Artigo 10 do Regulamento (UE) 2024/1689 — Dados e governação de dados. Texto oficial, interpretação prática, obrigações fundamentais e implicações para a conformidade.
Resumo do Texto Oficial
O Artigo 10 do Regulamento (UE) 2024/1689 (o Regulamento UE sobre IA), inserido no Título III, Capítulo 2, estabelece requisitos obrigatórios de governação de dados para os fornecedores de sistemas de IA de alto risco. O artigo aplica-se aos conjuntos de dados de treino, validação e teste utilizados no desenvolvimento de tais sistemas.
Nos termos do Artigo 10(2), as práticas de governação de dados devem abranger: as opções de conceção subjacentes à recolha de dados; as operações de preparação de dados, incluindo anotação, rotulagem, limpeza, enriquecimento e agregação; a formulação de pressupostos relevantes relativos à utilização prevista; e um exame dos possíveis enviesamentos suscetíveis de afetar a saúde, a segurança ou os direitos fundamentais.
O Artigo 10(3) exige que os conjuntos de dados de treino, validação e teste estejam sujeitos a práticas adequadas de gestão de dados e sejam relevantes, representativos, isentos de erros e completos em função da finalidade prevista. Nos casos em que a total ausência de erros não seja alcançável, os fornecedores devem documentar os erros residuais e o seu impacto potencial.
O Artigo 10(4) aborda o tratamento de categorias especiais de dados pessoais — tal como definidas no Artigo 9 do Regulamento (UE) 2016/679 (RGPD) e no Artigo 10 do Regulamento (UE) 2018/1725 — limitando estritamente esse tratamento à monitorização e correção de enviesamentos, sujeito a salvaguardas adequadas. O Artigo 10(5) prevê que os Estados-Membros podem estabelecer condições específicas para o tratamento de dados pessoais sensíveis no interesse público para fins de desenvolvimento de IA, sujeito a condições rigorosas. O Artigo 10(6) clarifica que os requisitos relativos aos conjuntos de dados se aplicam proporcionalmente aos fornecedores que utilizam conjuntos de dados pré-existentes que não recolheram originalmente, na medida em que esse exame seja tecnicamente viável.
O que isto significa na prática
O Artigo 10 impõe obrigações concretas a qualquer organização que desenvolva ou implante um sistema de IA de alto risco na UE. Na prática, a conformidade exige o estabelecimento e a manutenção de um programa estruturado de governação de dados que abranja todo o ciclo de vida do desenvolvimento.
Para um fornecedor que desenvolve uma ferramenta de triagem de recrutamento assistida por IA (um sistema do Anexo III, ponto 4), o Artigo 10 exige a documentação das razões pelas quais foram escolhidos conjuntos de dados específicos, quais as etapas de pré-processamento aplicadas e de que forma os conjuntos de dados abrangem a diversidade demográfica do conjunto de candidatos pretendido. Se os dados de treino sub-representarem candidatos de determinadas origens regionais ou étnicas, o fornecedor deve identificar essa lacuna, avaliar o risco de enviesamento relativamente à igualdade de tratamento, e ou corrigir o conjunto de dados ou implementar mitigações técnicas — tudo rastreável na documentação técnica exigida pelo Artigo 11.
Para um fornecedor que integra um modelo de IA ou um conjunto de dados de terceiros, o Artigo 10(6) ainda exige um exame de melhores esforços das propriedades dos dados pré-construídos relativamente ao caso de utilização pretendido. Basear-se unicamente na ficha de dados do fornecedor a montante não é suficiente; os fornecedores a jusante devem validar que as propriedades dos dados se alinham com o seu contexto específico de implementação.
Na prática, as equipas de conformidade devem: manter um plano de gestão de dados por sistema; instituir registos de linhagem de dados; realizar avaliações documentadas de enviesamento e representatividade nas fases de treino, validação e teste; e garantir que qualquer utilização de dados pessoais sensíveis para correção de enviesamentos seja coberta por uma base jurídica e controlos de acesso adequados. Estes registos fazem parte da documentação técnica que deve estar disponível para as autoridades nacionais competentes mediante pedido.
Obrigações Fundamentais
- Quadro de governação de dados: Estabelecer práticas documentadas de governação e gestão de dados que abranjam todas as fases — treino, validação e teste — antes de colocar um sistema de IA de alto risco no mercado.
- Critérios de qualidade dos conjuntos de dados: Garantir que os conjuntos de dados cumprem quatro critérios de qualidade cumulativos: relevância para a finalidade pretendida, representatividade do contexto de implementação, ausência de erros (ou taxas de erro residual documentadas) e integralidade.
- Exame de enviesamentos: Realizar e documentar um exame dos conjuntos de dados quanto a enviesamentos que possam conduzir a discriminação ou a riscos para a saúde, a segurança ou os direitos fundamentais, aplicando medidas corretivas sempre que sejam identificados enviesamentos.
- Documentação da preparação de dados: Registar todas as operações de preparação de dados — anotação, rotulagem, limpeza, enriquecimento e agregação — juntamente com os pressupostos e opções de conceção que as moldaram.
- Utilização restrita de dados sensíveis: Tratar categorias especiais de dados pessoais apenas para deteção e correção de enviesamentos, sujeito a salvaguardas equivalentes ao RGPD, e apenas quando estritamente necessário e proporcionado.
- Conjuntos de dados de terceiros e pré-existentes: Realizar um exame proporcionado e tecnicamente viável de quaisquer conjuntos de dados pré-existentes ou de terceiros para verificar se cumprem os requisitos relevantes para o caso de utilização específico do fornecedor.
Relação com Outros Artigos
O Artigo 10 situa-se no centro do quadro de requisitos para sistemas de IA de alto risco e conecta-se diretamente a várias outras disposições. O Artigo 9 (sistema de gestão de riscos) alimenta o Artigo 10: os riscos identificados através da governação de dados — como o enviesamento dos conjuntos de dados — devem ser geridos através do processo iterativo de gestão de riscos. O Artigo 11 (documentação técnica) e o Anexo IV exigem que os fornecedores registem as opções de governação de dados e as características dos conjuntos de dados como parte da documentação de conformidade revista por organismos notificados ou autoavaliada.
O Artigo 13 (transparência e fornecimento de informações) baseia-se na documentação de dados para permitir instruções de utilização significativas, nomeadamente no que diz respeito às limitações conhecidas decorrentes de lacunas na qualidade dos dados. O Artigo 17 (sistema de gestão da qualidade) exige que a governação de dados seja institucionalizada nos processos de qualidade mais amplos do fornecedor.
Para sistemas que tratam dados pessoais, o Artigo 10 intersecta-se com as obrigações do RGPD — o Artigo 5 (princípios relativos à qualidade dos dados) e o Artigo 25 (proteção de dados desde a conceção) são requisitos complementares que os fornecedores devem satisfazer em paralelo. O Artigo 10(4) faz referência explícita ao Regulamento (UE) 2016/679 e ao Regulamento (UE) 2018/1725 para delimitar o tratamento permitido de dados sensíveis.
Calendário de Conformidade
O Regulamento UE sobre IA entrou em vigor em 1 de agosto de 2024, vinte dias após a publicação no Jornal Oficial da UE (JO L 2024/1689, 12 de julho de 2024). O Artigo 10 segue o calendário de aplicação faseada aplicável aos sistemas de IA de alto risco:
- 2 de fevereiro de 2025: As proibições relativas a práticas de IA de risco inaceitável (Artigo 5) tornaram-se executáveis; sem obrigação direta ao abrigo do Artigo 10 nesta fase.
- 2 de agosto de 2025: Os requisitos relativos aos modelos GPAI (Título VIII) tornaram-se aplicáveis; as autoridades nacionais de fiscalização do mercado assumiram a responsabilidade operacional pela supervisão dos sistemas de alto risco.
- 2 de agosto de 2026: O Artigo 10 torna-se plenamente executável para os sistemas de IA de alto risco listados no Anexo III (aplicações de alto risco de finalidade geral, incluindo identificação biométrica, infraestruturas críticas, educação, emprego, serviços essenciais, aplicação da lei, migração e justiça). Os fornecedores devem ter a governação de dados em conformidade documentada e operacional até esta data.
- 2 de agosto de 2027: O Artigo 10 torna-se executável para os sistemas de IA de alto risco regulamentados ao abrigo do Anexo I (legislação de segurança de produtos, incluindo máquinas, dispositivos médicos, veículos e aviação). Estes sistemas devem cumprir todos os requisitos de governação de dados no âmbito das suas avaliações de conformidade de produtos até ao prazo alargado.
Recomenda-se vivamente que os fornecedores iniciem as avaliações de lacunas em matéria de governação de dados com bastante antecedência em relação ao prazo aplicável, uma vez que a remediação dos conjuntos de dados de treino e a obtenção de dados de terceiros em conformidade podem exigir um tempo de preparação significativo.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
O Artigo 10 exige que os fornecedores de sistemas de IA de alto risco implementem práticas de governação e gestão de dados que abranjam os conjuntos de dados de treino, validação e teste. Tal inclui garantir que os conjuntos de dados são relevantes, representativos, isentos de erros e completos relativamente à finalidade pretendida. Os fornecedores devem também examinar os dados quanto a potenciais enviesamentos e documentar as opções de recolha e tratamento de dados.
O Artigo 10 aplica-se aos fornecedores — pessoas coletivas ou singulares que desenvolvem ou mandam desenvolver sistemas de IA de alto risco para colocação no mercado ou colocação em serviço sob o seu próprio nome ou marca. Abrange qualquer sistema de IA de alto risco listado no Anexo III ou nos anexos relativos a setores regulamentados, independentemente de o fornecedor estar estabelecido dentro ou fora da UE.
Existem exceções limitadas para modelos de código aberto, mas os fornecedores que colocam sistemas de IA de alto risco no mercado da UE utilizando componentes de código aberto continuam responsáveis pelo cumprimento do Artigo 10 no que diz respeito aos dados de treino, validação e teste que utilizam ou compilam para esse sistema.
O Artigo 10 aplica-se aos sistemas de IA de alto risco ao abrigo do Anexo III (excluindo as instituições de crédito) a partir de 2 de agosto de 2026. Para os sistemas de IA de alto risco regulamentados ao abrigo de legislação de harmonização da União específica listada no Anexo I, o prazo estende-se até 2 de agosto de 2027. As autoridades nacionais de fiscalização do mercado assumiram as responsabilidades de supervisão em 2 de agosto de 2025.
O regulamento não define um limiar estatístico fixo. Os fornecedores devem demonstrar, através de análise documentada, que os dados de treino abrangem as condições geográficas, demográficas, contextuais e operacionais de implementação pretendidas. As lacunas de representação devem ser identificadas, avaliadas quanto ao risco de enviesamento, e mitigadas através de medidas técnicas ou salvaguardas compensatórias documentadas no dossiê técnico.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.