Artigo 17 — Sistema de gestão da qualidade (Regulamento UE sobre IA)

Artigo 17 do Regulamento (UE) 2024/1689 — Sistema de gestão da qualidade. Texto oficial, interpretação prática, obrigações fundamentais e implicações de conformidade.

Resumo do texto oficial

O Artigo 17 do Regulamento (UE) 2024/1689 exige que os fornecedores de sistemas de IA de alto risco implementem um sistema de gestão da qualidade (SGQ) antes de colocarem esses sistemas no mercado ou de os colocarem em serviço. O SGQ deve ser documentado de forma sistemática e ordenada e deve abranger todas as fases do ciclo de vida do sistema de IA.

O regulamento especifica que o SGQ deve abordar, no mínimo: a estratégia do fornecedor para a conformidade regulatória, incluindo procedimentos de avaliação da conformidade; as técnicas, procedimentos e ações sistemáticas utilizados para a conceção, controlo de conceção e verificação do sistema de IA; os procedimentos de gestão de dados que abrangem a aquisição, recolha, análise, etiquetagem, armazenamento, filtragem, extração, agregação e retenção de dados; o sistema de gestão de riscos previsto no Artigo 9; o estabelecimento e implementação do sistema de monitorização pós-comercialização em conformidade com o Artigo 72; procedimentos de notificação de incidentes em conformidade com o Artigo 73; o tratamento da comunicação com autoridades competentes, organismos notificados e outros operadores relevantes; sistemas e procedimentos de manutenção de registos; gestão de recursos, incluindo medidas relacionadas com a cadeia de abastecimento; e um quadro de responsabilização que documente as responsabilidades em toda a organização.

Quando os fornecedores forem pessoas singulares ou microempresas, tal como definidas na Recomendação 2003/361/CE da Comissão, a Comissão fica habilitada a adotar atos de execução que permitam disposições simplificadas de SGQ, reconhecendo o princípio da proporcionalidade que atravessa o regulamento.

O que isto significa na prática

Para qualquer organização que desenvolva ou coloque no mercado da UE um sistema de IA de alto risco, o Artigo 17 significa que a conformidade não pode ser um exercício pontual realizado no momento do lançamento. Deve estar incorporada num sistema organizacional vivo que governe todo o ciclo de vida do produto — desde as decisões iniciais de conceção até à implementação, monitorização e eventual desativação.

Em termos concretos, um fornecedor deve ser capaz de demonstrar que existem procedimentos documentados e que são seguidos em cada fase. Um fornecedor de IA para os cuidados de saúde, por exemplo, não pode simplesmente treinar um modelo e submetê-lo a uma avaliação de conformidade. A organização deve demonstrar que a aquisição de dados seguiu regras de governação documentadas, que as escolhas de conceção foram revistas em relação a critérios de risco, que as responsabilidades de supervisão estão atribuídas e registadas, e que existe um mecanismo para detetar e notificar incidentes pós-implementação.

O requisito do SGQ significa que a conformidade é tanto um desafio organizacional e processual como um desafio técnico. As empresas que já operam sob a ISO 9001 ou quadros de gestão setoriais — como a ISO 13485 nos dispositivos médicos — encontrarão sobreposições significativas, mas ainda terão de mapear explicitamente os seus sistemas existentes em relação aos requisitos do Regulamento IA, em vez de presumir equivalência.

Os fornecedores de menor dimensão beneficiam da disposição de proporcionalidade: as microempresas podem qualificar-se para disposições simplificadas ao abrigo de atos de execução emitidos pela Comissão. Contudo, isto não os isenta das obrigações substantivas subjacentes; pode apenas afetar a forma como essas obrigações são documentadas e geridas.

Na prática, os fornecedores devem tratar o SGQ como a espinha dorsal central a partir da qual todos os outros artefactos de conformidade — documentação técnica, registos de risco, planos de monitorização pós-comercialização, registos de incidentes — são gerados e governados.

Obrigações fundamentais

Estabelecer um sistema de gestão da qualidade documentado antes de colocar no mercado ou em serviço um sistema de IA de alto risco, abrangendo todas as fases do ciclo de vida.
Integrar os procedimentos de gestão de riscos exigidos pelo Artigo 9 no SGQ, garantindo que a identificação, avaliação e mitigação de riscos sejam sistemáticas e rastreáveis.
Documentar as práticas de gestão de dados que abrangem a aquisição, etiquetagem, processamento, armazenamento e retenção, em conformidade com os requisitos de governação de dados do Artigo 10.
Manter a documentação técnica especificada no Artigo 11 e no Anexo IV como resultado do SGQ, mantendo-a atualizada e acessível para fins de avaliação da conformidade e vigilância do mercado.
Implementar procedimentos de monitorização pós-comercialização e de notificação de incidentes no âmbito do SGQ, em conformidade com os Artigos 72 e 73, respetivamente.
Definir e documentar estruturas de responsabilização, funções e responsabilidades em toda a organização, incluindo a supervisão da cadeia de abastecimento quando componentes de terceiros contribuem para o sistema de IA.

Relação com outros artigos

O Artigo 17 funciona como a espinha dorsal organizacional do regime de conformidade para sistemas de IA de alto risco estabelecido no Título III, Capítulo 3. Retira o seu conteúdo substantivo de múltiplas obrigações interligadas: o sistema de gestão de riscos do Artigo 9, os requisitos de dados e governação de dados do Artigo 10 e o regime de documentação técnica do Artigo 11 alimentam diretamente o que o SGQ deve abranger e produzir.

O SGQ deve também apoiar os procedimentos de avaliação da conformidade nos Artigos 43 e 44, uma vez que a documentação que gera constitui a prova primária analisada pelos organismos notificados ou pelos processos de autoavaliação. As obrigações pós-implementação ao abrigo do Artigo 72 (monitorização pós-comercialização) e do Artigo 73 (notificação de incidentes graves) devem ser integradas nos procedimentos do SGQ, em vez de serem geridas como atividades ad hoc separadas.

O Artigo 26 impõe deveres aos utilizadores que são distintos mas complementares das obrigações do SGQ dos fornecedores. Nos casos em que fornecedores e utilizadores se sobrepõem — por exemplo, quando uma organização tanto desenvolve como implementa internamente um sistema de IA de alto risco — o SGQ do Artigo 17 deve ser lido em conjunto com as obrigações do utilizador do Artigo 26 para garantir cobertura completa.

Calendário de conformidade

O Regulamento UE sobre IA entrou em vigor em 1 de agosto de 2024, na sequência da publicação no Jornal Oficial da União Europeia. A aplicação das suas disposições é faseada:

Fevereiro de 2025 — As proibições relativas a práticas de IA de risco inaceitável (Artigo 5) tornaram-se aplicáveis.
Agosto de 2025 — As obrigações relativas a modelos de IA de uso geral (Título VIII) tornaram-se aplicáveis.
2 de agosto de 2026 — O Artigo 17 torna-se aplicável aos fornecedores de sistemas de IA de alto risco listados no Anexo III (sistemas em áreas como biometria, infraestruturas críticas, educação, emprego, serviços essenciais, aplicação da lei, migração e administração da justiça).
2 de agosto de 2027 — O Artigo 17 torna-se aplicável aos fornecedores de sistemas de IA de alto risco regidos pelo Anexo I (componentes de IA em produtos já sujeitos à legislação de harmonização da União, como dispositivos médicos, máquinas e equipamentos de aviação).

Os fornecedores cujos sistemas já se encontrem no mercado antes destas datas beneficiam de disposições transitórias ao abrigo do Artigo 111, que podem diferir as obrigações plenas de conformidade do SGQ, sujeitas a condições relacionadas com modificações significativas e ciclos contínuos de avaliação da conformidade. As organizações devem iniciar a conceção do SGQ e as avaliações de lacunas com bastante antecedência em relação ao prazo aplicável, de modo a permitir a validação interna, o envolvimento de organismos notificados quando necessário, e o aperfeiçoamento iterativo antes de a obrigação se tornar aplicável.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Quem é obrigado a estabelecer um sistema de gestão da qualidade ao abrigo do Artigo 17?

O Artigo 17 impõe a obrigação do sistema de gestão da qualidade exclusivamente aos fornecedores de sistemas de IA de alto risco, conforme definidos no Artigo 6 e no Anexo III do Regulamento (UE) 2024/1689. Os utilizadores não estão sujeitos a esta obrigação específica, embora carreguem deveres separados ao abrigo do Artigo 26.

O que deve incluir um sistema de gestão da qualidade ao abrigo do Artigo 17?

O SGQ deve abranger, no mínimo: uma estratégia de conformidade regulatória, metodologias de conceção e desenvolvimento, procedimentos de gestão de dados, gestão de riscos conforme exigido pelo Artigo 9, documentação técnica nos termos do Artigo 11, registo e arquivo, monitorização pós-comercialização nos termos do Artigo 72, obrigações de notificação de incidentes e disposições de supervisão humana.

O Artigo 17 exige um sistema de gestão da qualidade certificado, como a ISO 9001?

O Artigo 17 não impõe nenhuma norma de certificação específica. Contudo, a conformidade com normas reconhecidas como a ISO 9001 ou equivalentes setoriais pode apoiar a demonstração de conformidade, especialmente quando normas harmonizadas ao abrigo do Artigo 40 incorporem requisitos de SGQ.

Como se relaciona o sistema de gestão da qualidade com a documentação técnica?

O SGQ e a documentação técnica estão estreitamente ligados. O SGQ deve gerar e manter a documentação técnica exigida pelo Artigo 11 e pelo Anexo IV, e a própria documentação serve como prova primária de que o SGQ está a funcionar corretamente durante a avaliação da conformidade.

Quando se torna aplicável o Artigo 17?

O Artigo 17 aplica-se aos fornecedores de sistemas de IA de alto risco constantes do Anexo III a partir de 2 de agosto de 2026, e aos fornecedores de sistemas de IA de alto risco abrangidos pelo Anexo I (legislação setorial de harmonização da União) a partir de 2 de agosto de 2027, sob reserva das disposições transitórias do Artigo 111.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.