Artigo 19 do Regulamento (UE) 2024/1689 — Registos gerados automaticamente. Texto oficial, interpretação prática, obrigações essenciais e implicações de conformidade.
Resumo do Texto Oficial
O Artigo 19 do Regulamento (UE) 2024/1689 estabelece uma obrigação de registo que opera em dois planos: uma obrigação de conceção para os fornecedores e uma obrigação operacional para os operadores.
Do lado do fornecedor, o Artigo 19(1) exige que os sistemas de IA de alto risco sejam tecnicamente capazes de gerar automaticamente registos do seu funcionamento ao longo de toda a sua vida útil. Os fornecedores devem incorporar esta capacidade no sistema na medida do tecnicamente exequível, garantindo que os eventos possam ser registados sem intervenção manual. Isto liga-se diretamente ao quadro mais amplo de transparência e rastreabilidade do Título III.
Do lado do operador, o Artigo 19(2) exige que os operadores conservem os registos gerados automaticamente pelos sistemas de IA de alto risco que exploram. O período mínimo de conservação é de seis meses, salvo se o direito da União ou o direito aplicável do Estado-Membro prescrever um período mais longo. A regulamentação setorial — por exemplo, nas finanças, na saúde ou nas infraestruturas críticas — irá frequentemente substituir este mínimo por defeito.
Os registos contemplados pelo Artigo 19 servem múltiplas finalidades de conformidade: apoiam a monitorização pós-comercialização ao abrigo do Artigo 72, facilitam a comunicação de incidentes ao abrigo do Artigo 73, e fornecem a base probatória necessária às autoridades nacionais competentes quando conduzem a vigilância do mercado ao abrigo do Capítulo VI. O artigo não prescreve em si mesmo o formato técnico preciso ou a granularidade dos registos, deixando esses detalhes a serem abordados através de normas harmonizadas e dos requisitos de documentação técnica do Artigo 11 e do Anexo IV.
O Que Isto Significa na Prática
Para as organizações que operam sistemas de IA de alto risco, o Artigo 19 introduz uma obrigação concreta de conservação de dados que deve ser incorporada nos processos operacionais desde o primeiro dia de implantação.
Os operadores devem primeiro verificar que o sistema de IA que estão a utilizar é tecnicamente capaz de gerar registos automaticamente. Se um fornecedor entregar um sistema que careça desta capacidade onde é tecnicamente exequível, o fornecedor está em incumprimento das suas próprias obrigações — mas o operador ainda tem a responsabilidade de realizar a devida diligência adequada antes da implantação, conforme exigido pelo Artigo 26.
Na prática, isto significa que os operadores devem solicitar aos fornecedores documentação clara que confirme a presença da funcionalidade de registo, descrevendo que eventos são registados e especificando o formato do registo. Esta documentação deve fazer parte dos acordos contratuais entre o fornecedor e o operador.
Uma vez em funcionamento, os operadores devem implementar uma política de conservação de registos que abranja pelo menos seis meses. Para organizações que operam em setores regulados, esta base é quase sempre alargada: um hospital que implante uma ferramenta de diagnóstico assistida por IA terá de alinhar a conservação dos registos com a legislação de registos médicos; um banco que implante um sistema de pontuação de crédito por IA deve ter em conta as regras de conservação de registos de serviços financeiros, que frequentemente exigem vários anos de conservação.
As etapas operacionais concretas incluem: designar a responsabilidade pelo armazenamento dos registos e pelos controlos de acesso, garantir que os registos são à prova de adulteração e armazenados em segurança, estabelecer processos para recuperar prontamente os registos em resposta a um pedido regulatório ou investigação de incidente, e documentar a política de conservação no âmbito do quadro de governação de IA mais amplo da organização.
Os registos devem capturar informação suficiente para reconstruir as entradas fornecidas ao sistema, as saídas geradas, a versão do modelo em uso e o calendário das operações — permitindo uma revisão post hoc significativa.
Obrigações Essenciais
- Os fornecedores devem conceber e construir sistemas de IA de alto risco de modo a que sejam tecnicamente capazes de gerar automaticamente registos do seu funcionamento, na medida do tecnicamente exequível, durante toda a vida útil operacional do sistema.
- Os operadores devem conservar os registos gerados automaticamente produzidos pelos sistemas de IA de alto risco que exploram por um mínimo de seis meses a contar da data de geração, ou mais tempo se exigido pela legislação aplicável da União ou do Estado-Membro.
- Os operadores devem garantir que os registos conservados são acessíveis, seguros e capazes de ser fornecidos às autoridades nacionais competentes a pedido durante a vigilância do mercado ou investigações de incidentes.
- Os fornecedores devem documentar a capacidade de registo do seu sistema — incluindo o que é registado, o formato do registo e quaisquer limitações técnicas conhecidas — como parte da documentação técnica exigida ao abrigo do Artigo 11 e do Anexo IV.
- Quando a regulamentação setorial impuser requisitos de conservação mais rigorosos ou mais longos, os operadores devem aplicar esses requisitos em acréscimo e em substituição da base de seis meses.
- Os operadores devem garantir que a infraestrutura de registo é mantida durante todo o período de utilização do sistema de IA de alto risco e que a integridade dos registos é protegida contra adulteração ou eliminação inadvertida.
Relação com Outros Artigos
O Artigo 19 situa-se no Capítulo 3 do Título III e deve ser lido como parte de um quadro integrado de rastreabilidade e não como uma obrigação isolada.
Liga-se diretamente ao Artigo 12 (Conservação de registos), que exige que os sistemas de IA de alto risco sejam concebidos para permitir a conservação dos registos do seu funcionamento, e ao Artigo 11 e ao Anexo IV, que especificam a documentação técnica que os fornecedores devem manter, incluindo descrições da capacidade de registo.
O Artigo 19 alimenta o Artigo 72 (Monitorização pós-comercialização), que exige que os fornecedores monitorizem ativamente o desempenho do sistema no terreno — os registos são a fonte de dados primária para esta monitorização. Sustenta também o Artigo 73 (Comunicação de incidentes graves), onde os registos fornecem a base probatória para compreender o que ocorreu durante um incidente.
Os registos conservados ao abrigo do Artigo 19 estão entre os registos que as autoridades nacionais competentes podem solicitar quando exercem os seus poderes de vigilância do mercado ao abrigo dos Artigos 74 e 75. Por fim, a repartição de responsabilidades entre fornecedores e operadores articulada no Artigo 19 reflete o quadro mais amplo estabelecido pelo Artigo 25 (Responsabilidades ao longo da cadeia de valor) e pelo Artigo 26 (Obrigações dos operadores).
Calendário de Conformidade
A Lei da IA da UE entrou em vigor em 1 de agosto de 2024, iniciando um calendário de aplicação faseada.
O Artigo 19 enquadra-se no Título III, Capítulo 3, que rege as obrigações dos fornecedores e operadores de sistemas de IA de alto risco. A data de aplicação geral das obrigações relativas a sistemas de IA de alto risco — incluindo o Artigo 19 — é 2 de agosto de 2026 para os sistemas enumerados no Anexo III (aplicações de alto risco em áreas como educação, emprego, serviços essenciais e aplicação da lei). Para os sistemas de IA de alto risco abrangidos pelo Anexo I (componentes de segurança de produtos regulamentados pela legislação de harmonização da União existente), as obrigações aplicam-se a partir de 2 de agosto de 2027, alinhadas com a renovação ou primeira emissão das avaliações de conformidade de produtos relevantes.
Os marcos de aplicação anteriores incluem a proibição de práticas de IA de risco inaceitável (Artigo 5), que se aplicou a partir de 2 de fevereiro de 2025, e as obrigações relativas a modelos de IA de uso geral (Título VII), que se aplicaram a partir de 2 de agosto de 2025.
As organizações que operam sistemas de IA de alto risco devem tratar a data de 2 de agosto de 2026 como o prazo de conformidade rígido para as obrigações do Artigo 19, mas devem começar com antecedência suficiente a conceber políticas de conservação de registos, a rever contratos com fornecedores e a alinhar com as leis setoriais de conservação — a complexidade da governação de dados empresarial torna a conformidade de última hora estruturalmente difícil.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Os registos gerados automaticamente são registos produzidos por sistemas de IA de alto risco que capturam eventos, entradas, saídas e dados operacionais durante o ciclo de vida do sistema. O Artigo 19 exige que os fornecedores garantam que os seus sistemas de IA de alto risco gerem automaticamente tais registos na medida do tecnicamente exequível, permitindo a rastreabilidade e a monitorização pós-comercialização.
A obrigação principal recai sobre os operadores, que devem conservar os registos gerados automaticamente por um período mínimo definido pela legislação aplicável ou, na ausência de tal legislação, por pelo menos seis meses. Os fornecedores devem conceber e incorporar a funcionalidade de registo no próprio sistema. Ambas as partes têm responsabilidades distintas mas complementares.
Não. O Artigo 19 aplica-se especificamente aos sistemas de IA de alto risco tal como definidos no Artigo 6 e enumerados no Anexo III da Lei da IA da UE. Os sistemas de IA de uso geral e os sistemas de IA que não se enquadrem na classificação de alto risco não estão sujeitos a este requisito específico de registo, embora possam aplicar-se outras obrigações.
Os operadores devem conservar os registos gerados automaticamente durante pelo menos seis meses, salvo se o direito da União ou o direito do Estado-Membro aplicável ao operador ou ao caso de utilização prescrever um período diferente, normalmente mais longo. Os operadores devem verificar sempre os regulamentos setoriais — como os que abrangem a saúde, as finanças ou as infraestruturas críticas — uma vez que estes podem impor requisitos mais rigorosos.
A não conservação dos registos conforme exigido pelo Artigo 19 pode constituir uma violação da Lei da IA da UE e expor os operadores a ações de supervisão e coimas administrativas. Os registos são também prova crítica em caso de incidente, investigação de segurança ou auditoria regulatória, pelo que a sua ausência pode agravar significativamente a responsabilidade.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.