Artigo 20 do Regulamento (UE) 2024/1689 — Medidas corretivas e dever de informação. Texto oficial, interpretação prática, obrigações fundamentais e implicações para a conformidade.
Resumo do Texto Oficial
O Artigo 20 do Regulamento (UE) 2024/1689 estabelece uma obrigação obrigatória de medidas corretivas e dever de informação para os fornecedores de sistemas de IA de alto risco. Quando um fornecedor tiver razões para crer que um sistema de IA de alto risco que colocou no mercado ou colocou em serviço já não está em conformidade com os requisitos definidos no Capítulo 2 do Título III, esse fornecedor deve imediatamente tomar as medidas corretivas necessárias para colocar o sistema em conformidade, retirá-lo ou recolhê-lo, conforme adequado.
O fornecedor é simultaneamente obrigado a informar os distribuidores do sistema e, quando aplicável, o representante autorizado, os responsáveis pela implementação e quaisquer outras terceiras partes relevantes sobre a não conformidade e as medidas corretivas adotadas. Quando o sistema de IA apresentar um risco na aceção do Artigo 79(1), o fornecedor deve igualmente notificar imediatamente as autoridades nacionais competentes dos Estados-Membros em que disponibilizou o sistema e, quando aplicável, o organismo notificado que emitiu um certificado para o sistema, fornecendo detalhes sobre a não conformidade e as medidas corretivas empreendidas.
O artigo combina, portanto, duas obrigações distintas mas interligadas: uma obrigação operacional de agir e restaurar a conformidade, e uma obrigação informacional de garantir que todos os atores da cadeia de fornecimento e implementação — incluindo as autoridades de fiscalização do mercado — sejam informados prontamente da situação e das medidas tomadas para a resolver. Esta estrutura dual garante que os riscos não permaneçam confinados à organização do fornecedor, mas sejam surfaced prontamente em todo o ecossistema regulatório e comercial.
O Que Isto Significa na Prática
Para as organizações que desenvolvem ou colocam sistemas de IA de alto risco no mercado da UE, o Artigo 20 cria uma obrigação permanente que está permanentemente ativa ao longo de todo o ciclo de vida do sistema. A conformidade não pode ser tratada como um exercício pontual limitado à avaliação inicial de conformidade.
Quem é afetado: Qualquer fornecedor de um sistema de IA de alto risco no âmbito do Anexo III, ou sistemas sujeitos às regras de classificação de alto risco do Artigo 6. Isto inclui fabricantes, importadores que colocam um sistema de terceiros no mercado da UE sob o seu próprio nome, e pessoas jurídicas em países terceiros cujos sistemas são utilizados na UE através de um representante autorizado.
O que desencadeia a ação: O limiar é "razões para crer" — uma fasquia probatória deliberadamente baixa. Um fornecedor não precisa de certeza de não conformidade; uma base credível de preocupação, seja ela proveniente de dados internos de monitorização pós-comercialização, de um relatório de um responsável pela implementação, de uma reclamação de um utilizador, ou de uma investigação de um regulador, é suficiente para ativar a obrigação.
Exemplo concreto: Um fornecedor de um sistema de IA de alto risco utilizado na pontuação de crédito deteta, através do seu processo de monitorização pós-comercialização (exigido ao abrigo do Artigo 72), que a precisão do sistema se degradou significativamente para um grupo demográfico protegido, levantando uma potencial violação dos requisitos de viés e robustez ao abrigo dos Artigos 9 e 15. Ao abrigo do Artigo 20, o fornecedor deve avaliar prontamente as opções corretivas (novo treino, ajuste de parâmetros, suspensão temporária), implementar a medida escolhida, notificar todos os responsáveis pela implementação que atualmente utilizam o sistema, e informar a autoridade nacional de fiscalização do mercado relevante se a degradação constituir um risco ao abrigo do Artigo 79(1).
Documentação: Todas as medidas corretivas e notificações devem ser registadas na documentação técnica mantida ao abrigo do Artigo 18 e nos registos conservados ao abrigo do Artigo 19, uma vez que estes serão as principais evidências analisadas pelas autoridades.
Obrigações Fundamentais
- Medida corretiva imediata: Tomar todas as medidas necessárias para restaurar a conformidade, retirar o sistema do mercado ou recolhê-lo dos responsáveis pela implementação e utilizadores, proporcionalmente à natureza e gravidade da não conformidade identificada.
- Notificação da cadeia de abastecimento: Informar distribuidores, representantes autorizados e responsáveis pela implementação sobre a não conformidade e as medidas corretivas adotadas, sem demora injustificada.
- Notificação das autoridades: Quando a não conformidade apresentar um risco na aceção do Artigo 79(1), notificar as autoridades competentes de fiscalização do mercado de todos os Estados-Membros afetados e quaisquer organismos notificados que emitiram um certificado para o sistema.
- Fornecimento de informações: Fornecer às autoridades nacionais e organismos notificados informações completas sobre a não conformidade, as suas potenciais consequências e as medidas corretivas implementadas ou planeadas.
- Vigilância contínua: Manter os sistemas de monitorização pós-comercialização exigidos ao abrigo do Artigo 72 para garantir que as circunstâncias que dão origem a não conformidades sejam detetadas prontamente e não persistam sem ser abordadas.
- Documentação das ações: Registar todas as decisões corretivas, notificações emitidas e comunicações com autoridades como parte das obrigações técnicas e de gestão da qualidade em curso ao abrigo dos Artigos 17, 18 e 19.
Relação com Outros Artigos
O Artigo 20 situa-se no núcleo operacional das obrigações do fornecedor ao longo do ciclo de vida e conecta-se a várias outras disposições.
É anterior ao Artigo 73 (comunicação de incidentes graves), que se aplica especificamente quando um sistema de IA de alto risco causa ou contribui para um incidente grave; os dois regimes podem ser acionados simultaneamente e devem ser geridos em paralelo. É posterior ao Artigo 72 (monitorização pós-comercialização), que é o principal mecanismo através do qual os fornecedores detetarão as não conformidades que ativam o Artigo 20.
A obrigação de medidas corretivas está também estreitamente ligada ao Artigo 9 (sistema de gestão de risco) e aos Artigos 15 e 17 (precisão, robustez e gestão da qualidade), uma vez que a adequação desses sistemas determinará se a não conformidade é detetada e corrigida em tempo útil. O Artigo 26 cria uma obrigação complementar para os responsáveis pela implementação de comunicar suspeitas de não conformidade aos fornecedores, tornando os responsáveis pela implementação uma importante fonte de informação a montante que alimenta o gatilho do Artigo 20. Por último, o Artigo 21 trata das obrigações de cooperação dos fornecedores após a intervenção formal das autoridades, e deve ser lido como a contrapartida regulatória de execução ao dever voluntário de medidas corretivas ao abrigo do Artigo 20.
Calendário de Conformidade
O Regulamento UE sobre IA entrou em vigor em 1 de agosto de 2024 (vinte dias após a publicação no Jornal Oficial em 12 de julho de 2024). O Artigo 20 enquadra-se no Título III, Capítulo 3 e aplica-se a sistemas de IA de alto risco. O calendário de aplicação faseado é o seguinte:
- Fevereiro de 2025: As disposições sobre práticas de IA proibidas (Título II) tornaram-se aplicáveis.
- Agosto de 2025: As regras sobre modelos de IA de uso geral (Título VIII, Capítulo 2) tornaram-se aplicáveis.
- Agosto de 2026: As obrigações para sistemas de IA de alto risco listados no Anexo III utilizados por autoridades públicas tornaram-se aplicáveis.
- Dezembro de 2026 (prazo primário de alto risco): O conjunto completo de obrigações do Título III — incluindo o Artigo 20 — tornou-se aplicável aos fornecedores de sistemas de IA de alto risco abrangidos pelo Anexo III. Os fornecedores cujos sistemas já estavam no mercado antes desta data beneficiaram de um período transitório, mas devem agora cumprir integralmente.
- Agosto de 2027: Prazo alargado para certos sistemas de IA de alto risco que são componentes de sistemas informáticos de grande escala da UE ou que estão sujeitos a normas harmonizadas ainda não publicadas no momento da entrada em vigor.
Para a maioria dos fornecedores de sistemas de IA de alto risco do Anexo III, o Artigo 20 é plenamente aplicável a partir de dezembro de 2026, e os processos de medidas corretivas e informação devem já estar operacionais.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
O Artigo 20 é acionado quando um fornecedor tem razões para crer que um sistema de IA de alto risco que colocou no mercado ou colocou em serviço já não está em conformidade com os requisitos do Capítulo 2 do Título III. Isto inclui situações em que a não conformidade é identificada pelo próprio fornecedor, comunicada por um responsável pela implementação, ou detetada através de atividades de monitorização pós-comercialização.
Os fornecedores devem notificar as autoridades nacionais competentes de fiscalização do mercado dos Estados-Membros em que disponibilizaram o sistema, bem como quaisquer organismos notificados envolvidos na avaliação de conformidade, distribuidores e responsáveis pela implementação do sistema de IA de alto risco afetado. A notificação deve abranger tanto a não conformidade identificada como quaisquer medidas corretivas adotadas.
O Artigo 20 impõe a obrigação primária aos fornecedores. No entanto, os responsáveis pela implementação têm uma obrigação complementar ao abrigo do Artigo 26 de informar os fornecedores quando têm razões para crer que a utilização de um sistema de IA de alto risco apresenta um risco ou que o sistema já não está em conformidade. O Artigo 20 e o Artigo 26 funcionam, portanto, em conjunto ao longo da cadeia de abastecimento.
As medidas corretivas incluem colocar o sistema de IA em conformidade, retirá-lo do mercado, recolhê-lo dos responsáveis pela implementação e dos utilizadores, e desativar o acesso ao sistema quando tecnicamente viável. A medida adequada depende da natureza e gravidade da não conformidade e do risco apresentado à saúde, segurança ou direitos fundamentais.
O Artigo 20 trata da não conformidade estrutural com os requisitos do Capítulo 2, enquanto o Artigo 73 rege especificamente a comunicação de incidentes graves. Na prática, um incidente grave pode revelar uma não conformidade sistémica que desencadeia simultaneamente o dever de medidas corretivas do Artigo 20. Os fornecedores devem gerir ambas as obrigações em paralelo quando os factos o justificam.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.