Artigo 16 do Regulamento (UE) 2024/1689 — Obrigações dos fornecedores de sistemas de IA de alto risco. Texto oficial, interpretação prática, obrigações fundamentais e implicações para a conformidade.
Resumo do texto oficial
O Artigo 16 do Regulamento (UE) 2024/1689 (a Lei da IA da UE) estabelece o conjunto abrangente de obrigações que os fornecedores de sistemas de IA de alto risco devem cumprir antes de colocarem os seus sistemas no mercado ou de os colocarem em serviço. O artigo funciona como o ponto de ancoragem central para as responsabilidades dos fornecedores no âmbito do Título III, Capítulo 3.
Nos termos do Artigo 16, os fornecedores devem garantir que os seus sistemas de IA de alto risco cumprem todos os requisitos estabelecidos no Capítulo 2 do Título III, abrangendo a gestão de riscos (Artigo 9), os dados e a governação de dados (Artigo 10), a documentação técnica (Artigo 11), a conservação de registos (Artigo 12), a transparência e o fornecimento de informações (Artigo 13), a supervisão humana (Artigo 14) e a exatidão, robustez e cibersegurança (Artigo 15).
Para além do cumprimento do Capítulo 2, o Artigo 16 impõe obrigações administrativas e processuais específicas. Os fornecedores devem estabelecer um sistema de gestão da qualidade em conformidade com o Artigo 17, elaborar documentação técnica conforme especificado no Anexo IV e, quando aplicável, submeter-se a um procedimento de avaliação da conformidade antes de apor a marcação CE. Devem registar os seus sistemas na base de dados da UE criada ao abrigo do Artigo 71 sempre que o registo seja obrigatório, cooperar com as autoridades nacionais competentes mediante pedido e conservar toda a documentação relevante durante um período de dez anos após a colocação do sistema no mercado ou a sua entrada em serviço. Os fornecedores estabelecidos fora da UE devem designar um representante autorizado na União nos termos do Artigo 22.
O que isto significa na prática
Para as organizações que desenvolvem ou encomendam sistemas de IA de alto risco, o Artigo 16 traduz-se num programa de conformidade pré-comercialização estruturado que deve ser concluído antes de qualquer implementação ou lançamento comercial.
Desenvolvedores e fornecedores que constroem sistemas de IA que se enquadram nas categorias de alto risco definidas no Anexo III — abrangendo áreas como identificação biométrica, infraestruturas críticas, educação, emprego, serviços essenciais, aplicação da lei, migração e administração da justiça — devem tratar o Artigo 16 como a sua lista de verificação de conformidade principal. Antes do lançamento, devem ter um sistema de gestão da qualidade documentado em vigor, ter concluído uma avaliação da conformidade (auto-avaliação ou de terceiros, consoante a categoria), ter aposto a marcação CE e ter registado o produto na base de dados da Lei da IA da UE.
Um exemplo concreto: uma empresa de software que oferece uma ferramenta de triagem de CV baseada em IA a departamentos de RH enquadra-se no Anexo III, ponto 4 (emprego e gestão de trabalhadores). Antes de colocar esta ferramenta no mercado, a empresa deve documentar o seu processo de gestão de riscos, demonstrar a qualidade dos seus dados de treino, fornecer documentação técnica que permita às entidades reguladoras avaliar a conformidade, implementar mecanismos de supervisão humana e registar o sistema. Se a empresa estiver estabelecida fora da UE, deve designar um representante autorizado com sede na UE.
As obrigações contínuas persistem após a implementação. Os fornecedores devem manter registos, monitorizar o desempenho pós-comercialização ao abrigo do Artigo 72, notificar incidentes graves ao abrigo do Artigo 73 e atualizar a documentação técnica quando o sistema sofrer modificações substanciais. A conformidade não é um evento único, mas uma responsabilidade operacional contínua.
Os fornecedores que operam em setores de produtos regulamentados — como dispositivos médicos ou maquinaria — devem ainda satisfazer os requisitos de conformidade específicos do setor que interagem com a Lei da IA ao abrigo do Anexo I.
Obrigações fundamentais
- Garantir o cumprimento do Capítulo 2: Verificar que o sistema de IA de alto risco cumpre todos os requisitos técnicos e de governação (Artigos 8–15) antes da colocação no mercado, incluindo gestão de riscos, governação de dados, transparência, supervisão humana e robustez.
- Estabelecer um sistema de gestão da qualidade: Implementar um SGQ documentado em conformidade com o Artigo 17, abrangendo políticas, procedimentos, avaliação da conformidade, monitorização pós-comercialização e fluxos de trabalho de notificação de incidentes.
- Elaborar e manter a documentação técnica: Preparar e manter atualizada a documentação técnica especificada no Anexo IV, disponibilizando-a às autoridades nacionais competentes e aos organismos notificados mediante pedido.
- Submeter-se à avaliação da conformidade e apor a marcação CE: Concluir o procedimento de avaliação da conformidade aplicável (auto-avaliação ou de terceiros) e apor a marcação CE antes de colocar o sistema no mercado ou de o colocar em serviço na UE.
- Registar na base de dados da UE: Inscrever o sistema na base de dados a nível da UE para sistemas de IA de alto risco criada ao abrigo do Artigo 71, sempre que o registo seja obrigatório para a categoria relevante.
- Conservar registos durante dez anos e cooperar com as autoridades: Conservar toda a documentação técnica, declarações de conformidade e registos aplicáveis durante pelo menos dez anos; responder a pedidos de informação das autoridades nacionais de supervisão e vigilância do mercado; designar um representante autorizado da UE se o fornecedor não estiver estabelecido na União.
Relação com outros artigos
O Artigo 16 não pode ser lido de forma isolada. É a obrigação de entrada que ativa e referencia praticamente todos os outros requisitos aplicáveis aos fornecedores no Título III.
Os requisitos técnicos substantivos que o Artigo 16 exige que os fornecedores satisfaçam encontram-se nos Artigos 8 a 15 (Capítulo 2). O sistema de gestão da qualidade que o Artigo 16 impõe está desenvolvido no Artigo 17. As especificações da documentação técnica constam do Anexo IV, referenciado pelo Artigo 11. Os procedimentos de avaliação da conformidade desencadeados pelo Artigo 16 estão detalhados no Artigo 43, com as regras relativas à declaração de conformidade no Artigo 47 e as regras relativas à marcação CE no Artigo 48.
As obrigações de vigilância pós-comercialização que alargam o âmbito do Artigo 16 para além da colocação inicial estão estabelecidas no Artigo 72, com a notificação de incidentes graves no Artigo 73. Os representantes autorizados — exigidos para fornecedores não pertencentes à UE ao abrigo do Artigo 16 — são regulados pelo Artigo 22. As circunstâncias em que os importadores e distribuidores assumem obrigações de fornecedor estão especificadas no Artigo 24. Por fim, o requisito de registo na base de dados da UE está associado ao Artigo 71. As autoridades nacionais competentes que aplicam as obrigações do Artigo 16 operam no âmbito do quadro estabelecido nos Artigos 70 e 74.
Calendário de conformidade
A Lei da IA da UE entrou em vigor em 1 de agosto de 2024, vinte dias após a publicação no Jornal Oficial. No entanto, as suas disposições aplicam-se de forma faseada:
- 2 de fevereiro de 2025: As proibições relativas a práticas de IA de risco inaceitável (Artigo 5) tornaram-se aplicáveis.
- 2 de agosto de 2025: As obrigações relativas a modelos de IA de uso geral (Título VIII, Artigos 51–56) tornaram-se aplicáveis.
- 2 de agosto de 2026: As obrigações do Artigo 16 tornam-se aplicáveis aos sistemas de IA de alto risco enumerados no Anexo III (sistemas de IA autónomos em áreas como emprego, educação, serviços essenciais, biometria e aplicação da lei).
- 2 de agosto de 2027: As obrigações do Artigo 16 tornam-se aplicáveis aos sistemas de IA de alto risco abrangidos pelo Anexo I (componentes de segurança de produtos já regulamentados pela legislação setorial da UE existente, como dispositivos médicos, maquinaria e aviação civil).
Os fornecedores não devem aguardar estas datas de aplicação para iniciar a preparação. A criação de um sistema de gestão da qualidade, a compilação de documentação técnica e a conclusão das avaliações de conformidade são processos que consomem muitos recursos. As organizações que colocam sistemas do Anexo III no mercado são aconselhadas a estar em conformidade operacional até meados de 2026, no máximo, com análises de lacunas e programas de reparação iniciados o mais tardar no início de 2025.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Um fornecedor é qualquer pessoa singular ou coletiva, autoridade pública, agência ou organismo que desenvolva um sistema de IA de alto risco ou que o mande desenvolver e o coloque no mercado ou o coloque em serviço sob o seu próprio nome ou marca comercial, mediante pagamento ou a título gratuito. Os importadores e distribuidores também podem assumir obrigações de fornecedor em determinadas circunstâncias definidas no Artigo 24.
O Artigo 16 exige que os fornecedores garantam que o seu sistema de IA de alto risco cumpre os requisitos estabelecidos no Capítulo 2 do Título III (Artigos 8 a 15) antes de o colocar no mercado ou de o colocar em serviço. Isto inclui a implementação de um sistema de gestão da qualidade, a elaboração de documentação técnica e o registo do sistema na base de dados da UE, quando aplicável.
Sim. O Artigo 16 obriga os fornecedores a conservar a documentação técnica e, quando aplicável, os registos gerados automaticamente pelo sistema durante um período de dez anos após a colocação do sistema no mercado ou a sua entrada em serviço. Esta obrigação de conservação é fundamental para a vigilância pós-comercialização e para efeitos de aplicação.
Para a maioria dos sistemas de IA de alto risco enumerados no Anexo III, as obrigações do Artigo 16 aplicam-se a partir de 2 de agosto de 2026. Os sistemas abrangidos pelo Anexo I (componentes de segurança de produtos regulamentados pela legislação setorial existente) têm até 2 de agosto de 2027. Os fornecedores devem iniciar os preparativos de conformidade bem antes dessas datas.
Os fornecedores podem recorrer a representantes autorizados estabelecidos na UE para cumprir determinadas obrigações administrativas em seu nome, tal como estabelecido no Artigo 22. No entanto, a responsabilidade legal pelo cumprimento dos requisitos do Capítulo 2 permanece com o fornecedor. A delegação não transfere a responsabilidade pela conformidade do próprio sistema.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.