Artigo 12 do Regulamento (UE) 2024/1689 — Conservação de Registos. Texto oficial, interpretação prática, obrigações principais e implicações de conformidade.
Resumo do Texto Oficial
O Artigo 12 do Regulamento (UE) 2024/1689 estabelece requisitos obrigatórios de conservação de registos para sistemas de IA de alto risco. O artigo insere-se no Título III, Capítulo 2, que estabelece os requisitos técnicos e de governação que os sistemas de IA de alto risco devem satisfazer antes de serem colocados no mercado da UE ou postos em serviço.
A obrigação central é que os sistemas de IA de alto risco devem ser concebidos e desenvolvidos com capacidades de registo que permitam o registo automático de eventos — vulgarmente designados por registos — ao longo da vida operacional do sistema. Estes registos servem um duplo propósito: apoiar a monitorização pós-comercialização pelo fornecedor ao abrigo do Artigo 72 e permitir que as autoridades nacionais competentes exerçam as suas funções de supervisão e investigação.
O Artigo 12(2) especifica que as capacidades de registo devem, no mínimo, registar o período de cada utilização do sistema (data e hora de início e de fim), a base de dados de referência contra a qual os dados de entrada foram verificados quando aplicável, os dados de entrada que conduziram a um determinado resultado e — no que diz respeito aos sistemas de identificação biométrica — a identidade das pessoas singulares envolvidas na verificação dos resultados.
O artigo atribui claramente a obrigação de conceção aos fornecedores. O registo deve estar incorporado no sistema por construção, e não adicionado retrospetivamente. Isto reflete a filosofia de conceção mais ampla do Regulamento. Os operadores que implementam estes sistemas têm obrigações complementares ao abrigo do Artigo 26 para preservar os registos gerados durante a sua utilização do sistema, na medida em que tais registos estejam sob o seu controlo.
O Que Isto Significa na Prática
Para os fornecedores que desenvolvem ou colocam sistemas de IA de alto risco no mercado da UE, o Artigo 12 exige que as decisões ao nível da engenharia sejam tomadas durante a fase de conceção e não após a implementação. O registo deve ser uma característica arquitetural do produto.
Partes afetadas. Qualquer organização que desenvolva, coloque no mercado ou ponha em serviço um sistema de IA de alto risco tal como definido ao abrigo do Artigo 6 e do Anexo III está sujeita ao Artigo 12. Isto inclui sistemas utilizados na triagem de candidatos a emprego, na notação de crédito, na identificação biométrica, na gestão de infraestruturas críticas, na avaliação educacional, na aplicação da lei, no controlo de fronteiras e na administração da justiça, entre outros. Os operadores — organizações que implementam um sistema de IA de alto risco de um fornecedor no seu próprio contexto — têm obrigações secundárias de manutenção dos registos que controlam.
Ações concretas necessárias. Um fornecedor deve implementar registos automáticos que capturem os pontos de dados necessários sem intervenção manual. Por exemplo, um fornecedor de uma ferramenta de triagem de CV assistida por IA deve garantir que o sistema regista cada sessão de recrutamento, a versão do conjunto de dados utilizada para treinar ou calibrar o modelo e as entradas (perfis de candidatos) que geraram cada saída (classificação ou recomendação). Um operador que implemente essa ferramenta deve conservar esses registos e disponibilizá-los às autoridades a pedido.
Utilidade investigativa. Os registos existem principalmente para permitir a análise retrospetiva. Se um sistema produzir um resultado discriminatório ou causar danos, os reguladores devem ser capazes de reconstituir o que aconteceu. Os registos incompletos, sobrepostos ou inacessíveis frustram este propósito e expõem tanto o fornecedor como o operador a riscos de execução.
Proporcionalidade. O âmbito específico do que deve ser registado é calibrado em função do tipo de sistema. Os sistemas biométricos enfrentam os requisitos mais granulares. Os fornecedores devem documentar as suas decisões de conceção de registo na documentação técnica exigida pelo Artigo 11.
Obrigações Principais
- Registo por conceção. Os sistemas de IA de alto risco devem ser concebidos e desenvolvidos com capacidades automáticas de registo de eventos incorporadas na arquitetura do sistema antes da colocação no mercado ou da implementação.
- Conteúdo mínimo dos registos. Os registos devem capturar, no mínimo: o período operacional de cada sessão de utilização, a base de dados de referência utilizada para verificação de entradas quando aplicável, os dados de entrada que produziram cada saída ou decisão e — para sistemas de identificação biométrica — as identidades das pessoas singulares que verificaram os resultados.
- Conservação de registos pelo operador. Os operadores devem conservar os registos gerados durante a sua utilização de um sistema de IA de alto risco pelo período exigido pela legislação aplicável e, no mínimo, pelo tempo necessário para apoiar a monitorização pós-comercialização e as investigações regulatórias.
- Acessibilidade às autoridades. Os registos devem estar disponíveis para as autoridades nacionais competentes a pedido para facilitar a supervisão regulatória, a investigação de incidentes e as atividades de vigilância do mercado.
- Rastreabilidade dos resultados. O sistema de registo deve permitir a reconstituição de uma cadeia causal desde uma entrada específica até uma saída específica, apoiando a responsabilização e o direito de explicação onde este se aplique.
- Alinhamento com a documentação técnica. A arquitetura de registo e o seu âmbito devem ser descritos na documentação técnica mantida ao abrigo do Artigo 11, garantindo a consistência entre o sistema tal como concebido e o sistema tal como monitorizado.
Relação com Outros Artigos
O Artigo 12 não pode ser lido de forma isolada. Funciona como parte de uma rede de requisitos interligados no Título III, Capítulo 2.
Artigo 9 (Sistema de gestão de riscos) estabelece o quadro geral no qual o registo se insere — os registos geram os dados operacionais necessários para identificar e avaliar riscos na implementação no mundo real.
Artigo 11 (Documentação técnica) exige que os fornecedores documentem a arquitetura e as capacidades de registo como parte do processo técnico mais amplo submetido aos organismos notificados ou conservado para inspeção regulatória.
Artigo 17 (Sistema de gestão da qualidade) exige que os fornecedores mantenham um sistema de gestão da qualidade que integre o registo em controlos operacionais mais amplos e procedimentos de ação corretiva.
Artigo 26 (Obrigações dos utilizadores) atribui aos operadores a obrigação de conservar os registos sob o seu controlo e de cooperar com os fornecedores e as autoridades, tornando o Artigo 12 uma responsabilidade partilhada ao longo da cadeia de abastecimento.
Artigo 72 (Monitorização pós-comercialização) é o destinatário final dos registos do Artigo 12 — o sistema de monitorização baseia-se nos registos operacionais para detetar a degradação do desempenho, os resultados inesperados e os riscos emergentes após a implementação.
Artigo 73 (Notificação de incidentes graves) utiliza os dados de registo como prova primária quando os fornecedores são obrigados a notificar avarias ou incidentes graves às autoridades de vigilância do mercado.
Calendário de Conformidade
A Lei da IA da UE (Regulamento 2024/1689) entrou em vigor em 1 de agosto de 2024, vinte dias após a publicação no Jornal Oficial da União Europeia.
A aplicação do Regulamento é faseada:
- 2 de fevereiro de 2025 — As proibições sobre práticas de IA de risco inaceitável (Título II, Artigo 5) tornaram-se aplicáveis.
- 2 de agosto de 2025 — As regras sobre modelos de IA de uso geral (Título VIII) e as obrigações de governação (Título III, Capítulo 4 sobre organismos notificados; Título VI sobre governação) tornaram-se aplicáveis.
- 2 de agosto de 2026 — As obrigações para os sistemas de IA de alto risco enumerados no Anexo III começam a ser aplicáveis para a maioria das categorias. O Artigo 12 enquadra-se nesta fase. Os fornecedores e operadores de sistemas de IA de alto risco devem ter capacidades de registo conformes em vigor até esta data.
- 2 de agosto de 2027 — Prazo alargado para sistemas de IA de alto risco abrangidos pela legislação de harmonização setorial da União existente enumerada no Anexo I (por exemplo, maquinaria, dispositivos médicos), dando a esses setores tempo adicional para adaptar os quadros de avaliação de conformidade existentes.
As organizações que desenvolvem sistemas de IA de alto risco devem considerar 2 de agosto de 2026 como o prazo de conformidade rígido para os requisitos de registo do Artigo 12, com a conceção e os testes da infraestrutura de registo concluídos com antecedência suficiente para permitir os procedimentos de avaliação de conformidade ao abrigo do Artigo 43.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
O Artigo 12 exige que os sistemas de IA de alto risco sejam concebidos e construídos com capacidades que permitam o registo automático de eventos — registos — ao longo da sua vida operacional. Estes registos devem permitir a monitorização pós-comercialização e facilitar a investigação de incidentes ou avarias graves.
A obrigação principal recai sobre os fornecedores de sistemas de IA de alto risco. Os fornecedores devem garantir que a capacidade de registo esteja incorporada no sistema por conceção, antes de o sistema ser colocado no mercado ou posto em serviço.
Os registos devem capturar, no mínimo, eventos relevantes para a identificação de riscos para a saúde, segurança ou direitos fundamentais durante a utilização do sistema. Isto inclui o período de cada utilização, a base de dados de referência contra a qual os dados de entrada foram verificados, os dados de entrada que conduziram a um determinado resultado e a identidade das pessoas singulares envolvidas na verificação dos resultados.
O Regulamento não especifica um período de conservação universal único no próprio Artigo 12, mas os registos devem ser conservados pelo período necessário para cumprir as obrigações ao abrigo do Regulamento, incluindo a monitorização pós-comercialização ao abrigo do Artigo 72. As regras sectoriais podem impor requisitos de conservação adicionais.
Não. O Artigo 12 aplica-se especificamente aos sistemas de IA de alto risco tal como definidos no Artigo 6 e enumerados no Anexo III do Regulamento (UE) 2024/1689. Os sistemas de IA de uso geral e os sistemas de risco inferior não estão sujeitos a este artigo, salvo se também se qualificarem como de alto risco.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.