Artigo 18 do Regulamento (UE) 2024/1689 — Conservação de documentação. Texto oficial, interpretação prática, obrigações fundamentais e implicações para a conformidade.
Resumo do texto oficial
O Artigo 18 do Regulamento (UE) 2024/1689 estabelece obrigações obrigatórias de conservação de documentação para os fornecedores de sistemas de IA de alto risco classificados ao abrigo do Anexo III ou desenvolvidos ao abrigo das disposições do Título III, Capítulo 2. O artigo exige que os fornecedores conservem, por um período de dez anos a contar da data em que o sistema de IA de alto risco é colocado no mercado ou entra em serviço, um conjunto específico de documentos e registos que comprovem a conformidade com o Regulamento.
A documentação que deve ser conservada inclui: a documentação técnica elaborada ao abrigo do Artigo 11 e do Anexo IV; a documentação do sistema de gestão da qualidade exigida pelo Artigo 17; a declaração UE de conformidade emitida ao abrigo do Artigo 47; quando aplicável, a documentação e os certificados emitidos por organismos notificados na sequência de avaliações de conformidade ao abrigo do Artigo 43; e os planos de monitorização pós-comercialização e os dados daí resultantes recolhidos ao abrigo do Artigo 72.
Quando um fornecedor estiver estabelecido fora da União Europeia, a obrigação de manter documentação acessível recai conjuntamente sobre o fornecedor e sobre o representante autorizado com sede na UE designado ao abrigo do Artigo 22. O artigo esclarece ainda que quando o direito setorial da União — como o Regulamento relativo aos dispositivos médicos (UE) 2017/745 ou o Regulamento relativo às máquinas (UE) 2023/1230 — prescreva um período de conservação mais longo para registos técnicos equivalentes, aplica-se o requisito setorial mais rigoroso, garantindo a coerência entre os quadros regulamentares.
O que isto significa na prática
Para as equipas de conformidade e os proprietários de produtos, o Artigo 18 traduz-se num programa concreto de gestão de registos que deve ser concebido antes de um sistema de IA de alto risco chegar ao mercado, e não adaptado posteriormente.
Quem é afetado. Qualquer pessoa coletiva que se qualifique como "fornecedor" ao abrigo do Artigo 3(3) — tipicamente a organização que desenvolve ou manda desenvolver um sistema de IA de alto risco e o coloca no mercado sob o seu próprio nome ou marca comercial — assume a obrigação primária. Os distribuidores e importadores terceiros não estão diretamente sujeitos ao Artigo 18, mas podem desencadear obrigações equivalentes caso procedam a uma modificação substancial de um sistema ao abrigo do Artigo 25.
O que conservar. A obrigação abrange o ciclo de vida documental completo: documentação técnica da fase de conceção (arquitetura, conjuntos de dados de treino, avaliação de riscos), os registos do sistema de gestão da qualidade incluindo trilhos de auditoria interna, a declaração de conformidade assinada, quaisquer certificados de organismos notificados, e o registo de monitorização pós-comercialização em evolução. O controlo de versões é implicitamente necessário, uma vez que as atualizações que constituam uma modificação substancial reiniciam as obrigações de conformidade e, consequentemente, o ciclo documental.
Exemplos práticos. Uma empresa fintech que implementa um modelo de pontuação de crédito classificado como de alto risco deve arquivar a ficha do modelo, os relatórios de testes de enviesamento, a declaração de conformidade e todos os registos de incidentes pós-implementação durante dez anos. Um fabricante de dispositivos médicos que integre uma ferramenta de diagnóstico com IA que já se enquadre no MDR deve verificar se se aplica a regra de conservação de 15 anos do MDR, caso em que esse período mais longo prevalece.
Recomendação operacional. Os fornecedores devem implementar um sistema de gestão de documentos (DMS) com acesso baseado em funções, calendários de conservação automatizados associados às datas de colocação no mercado, e um trilho de auditoria de quem acedeu ou modificou os registos — tudo o que também apoia a prontidão para as inspeções de fiscalização do mercado ao abrigo do Artigo 74.
Obrigações fundamentais
- Conservar a documentação técnica compilada ao abrigo do Artigo 11 e do Anexo IV durante um mínimo de 10 anos a contar da data de colocação no mercado ou de entrada em serviço do sistema de IA de alto risco.
- Manter a documentação do sistema de gestão da qualidade exigida pelo Artigo 17, incluindo registos de controlos internos, resultados de testes e ações corretivas, pelo mesmo período de 10 anos.
- Preservar a declaração UE de conformidade emitida ao abrigo do Artigo 47 e, quando uma avaliação de conformidade tiver sido realizada por um organismo notificado ao abrigo do Artigo 43, todos os certificados e correspondência relacionada emitida por esse organismo.
- Manter os registos de monitorização pós-comercialização recolhidos ao abrigo do plano exigido pelo Artigo 72, incluindo relatórios de incidentes e quaisquer notificações de incidentes graves apresentadas ao abrigo do Artigo 73.
- Garantir que a documentação é armazenada de modo a permitir a sua apresentação imediata às autoridades nacionais de fiscalização do mercado mediante pedido durante todo o período de conservação.
- Quando for designado um representante autorizado ao abrigo do Artigo 22, esse representante deve deter uma cópia da documentação e estar habilitado a fornecê-la às autoridades competentes em nome do fornecedor.
Relação com outros artigos
O Artigo 18 funciona como a estrutura de arquivo do quadro de conformidade de IA de alto risco e não pode ser compreendido isoladamente.
É a jusante do Artigo 11 (documentação técnica) e do Anexo IV, que definem o que deve ser criado; o Artigo 18 rege então durante quanto tempo deve ser conservado. Depende do Artigo 17 (sistema de gestão da qualidade) porque os registos do SGQ que impõe devem ser preservados. Faz referência ao Artigo 47 (declaração UE de conformidade) e ao Artigo 43 (avaliação de conformidade), cujos resultados fazem parte do dossier conservado.
As obrigações pós-comercialização ao abrigo do Artigo 72 (plano de monitorização pós-comercialização) e do Artigo 73 (notificação de incidentes graves) alimentam continuamente o arquivo de documentos ao longo da vida operacional do sistema. O Artigo 74 (fiscalização do mercado) e o Artigo 75 (acesso a dados e documentação) são os equivalentes de execução: os inspetores que exercem poderes ao abrigo desses artigos exigirão acesso precisamente aos registos que o Artigo 18 impõe que sejam conservados.
Para os fornecedores fora da UE, o Artigo 22 sobre representantes autorizados deve ser lido em conjunto com o Artigo 18 para determinar qual a entidade que detém os registos físicos ou eletrónicos no interior da União.
Calendário de conformidade
O Regulamento IA da UE entrou em vigor em 1 de agosto de 2024, dando início ao calendário de aplicação faseada.
O Artigo 18 enquadra-se no Título III, Capítulo 3, que regula as obrigações dos fornecedores e utilizadores de sistemas de IA de alto risco listados no Anexo III. Estas disposições aplicam-se a partir de 2 de agosto de 2026 — a data de aplicação geral para IA de alto risco, 24 meses após a entrada em vigor.
Para os sistemas de IA de alto risco abrangidos pela legislação setorial listada no Anexo I (por exemplo, máquinas, dispositivos médicos, aviação civil), o prazo é prorrogado até 2 de agosto de 2027, 36 meses após a entrada em vigor, em reconhecimento da necessidade de alinhamento com os quadros de conformidade setoriais existentes.
Os fornecedores devem ter em conta que o prazo de conservação de 10 anos começa a correr a partir do momento em que um sistema é colocado no mercado ou entra em serviço — o que pode ocorrer na ou pouco após a data de aplicação aplicável. As obrigações de documentação têm, portanto, início efetivo na mesma data em que as obrigações de alto risco no seu conjunto se tornam aplicáveis. As organizações que prevejam colocar sistemas no mercado na ou próximo da data de agosto de 2026 devem ter a sua infraestrutura de gestão de registos operacional com antecedência suficiente, uma vez que a documentação técnica ao abrigo do Artigo 11 deve existir antes de a avaliação de conformidade ser concluída.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Os fornecedores devem conservar a documentação técnica elaborada ao abrigo do Artigo 11, a declaração UE de conformidade, a documentação do sistema de gestão da qualidade exigida pelo Artigo 17, quaisquer decisões e documentos emitidos por organismos notificados, e relatórios de monitorização pós-comercialização. Estes registos devem ser conservados por um período de 10 anos após a colocação no mercado ou a entrada em serviço do sistema de IA de alto risco.
O Artigo 18 impõe obrigações de conservação de documentação principalmente aos fornecedores. No entanto, os utilizadores têm obrigações distintas ao abrigo do Artigo 26, incluindo a conservação de registos gerados automaticamente por sistemas de IA de alto risco na medida em que tais registos se encontrem sob o seu controlo. As duas obrigações são complementares e devem ser lidas em conjunto.
O período de conservação geral é de 10 anos a contar da data em que o sistema de IA de alto risco é colocado no mercado ou entra em serviço. Quando o direito setorial da União impuser um período de conservação mais longo, prevalece o requisito setorial mais rigoroso.
A documentação deve ser conservada de modo a poder ser disponibilizada às autoridades nacionais competentes mediante pedido durante todo o período de conservação. Não existe um requisito explícito de que os registos sejam conservados num país específico, mas os fornecedores devem ser capazes de os apresentar prontamente à autoridade de fiscalização do mercado de qualquer Estado-Membro onde o sistema seja utilizado.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.