Artigo 25 do Regulamento (UE) 2024/1689 — Responsabilidades ao longo da cadeia de valor da IA. Texto oficial, interpretação prática, obrigações fundamentais e implicações de conformidade.
Resumo do Texto Oficial
O Artigo 25 do Regulamento (UE) 2024/1689 (o Regulamento IA da UE) estabelece as condições em que partes diferentes do fornecedor original assumem responsabilidades ao nível do fornecedor relativamente a um sistema de IA de alto risco. O artigo insere-se no Título III, Capítulo 3, que rege as obrigações dos fornecedores e dos utilizadores ao longo do ciclo de vida dos sistemas de IA de alto risco.
O artigo especifica três cenários desencadeadores. Em primeiro lugar, um distribuidor, importador, utilizador ou outro terceiro torna-se fornecedor — com todas as obrigações associadas ao abrigo do Capítulo 2 do Título III — quando coloca um sistema de IA de alto risco no mercado ou o coloca em serviço sob o seu próprio nome ou marca comercial. Em segundo lugar, o estatuto de fornecedor é assumido quando um terceiro efetua uma modificação substancial a um sistema de IA de alto risco. Em terceiro lugar, uma alteração à finalidade prevista de um sistema de IA de alto risco — mesmo sem alteração física — pode desencadear requisitos de reclassificação e de reavaliação.
Quando ocorre tal transição de responsabilidade, o fornecedor original não é automaticamente exonerado de responsabilidade. O Regulamento exige que os acordos contratuais entre as partes da cadeia de abastecimento delimitem claramente quem detém quais obrigações em cada fase. Isso garante que a responsabilidade regulatória acompanha a entidade que exerce controlo efetivo sobre a implementação ou modificação do sistema. O artigo reforça o princípio mais amplo de que o Regulamento IA da UE atribui obrigações com base no papel real e na influência de cada ator na cadeia de valor, e não apenas em rótulos contratuais formais.
O Que Isto Significa na Prática
O Artigo 25 tem implicações diretas de conformidade para qualquer organização que integre, reformule a marca, modifique substancialmente ou reimplante um sistema de IA de alto risco de terceiros. Previne a prática comercial comum de assumir que a responsabilidade de conformidade recai exclusivamente sobre o fornecedor a montante.
Integradores de sistemas e revendedores que colocam um sistema de IA de alto risco no mercado da UE sob a sua própria marca — por exemplo, uma empresa de software que incorpora um motor de pontuação de crédito baseado em IA de terceiros no seu próprio produto e o comercializa sob o seu próprio nome — tornam-se fornecedores ao abrigo do Regulamento. Devem cumprir todas as obrigações previstas no Artigo 16, incluindo avaliações de conformidade, documentação técnica, registo na base de dados da UE e aposição da marcação CE.
Empresas que modificam sistemas de IA devem avaliar se as suas alterações constituem uma modificação substancial. O novo treino de um modelo com um novo conjunto de dados, a alteração dos limiares de decisão de forma a alterar os perfis de risco, ou a extensão da funcionalidade do sistema para um novo domínio são exemplos suscetíveis de desencadear uma reavaliação. Mesmo uma alteração puramente ao nível do software que afete os resultados num contexto regulamentado pode ser qualificada.
Utilizadores que repõem sistemas para além da utilização prevista original — por exemplo, usando uma ferramenta geral de análise do local de trabalho para tomar decisões de emprego — devem avaliar se o novo caso de utilização se enquadra numa categoria de alto risco e, em caso afirmativo, se se tornaram efetivamente o fornecedor do sistema.
Na prática, as organizações devem auditar todos os sistemas de IA no seu stack, mapear a finalidade prevista documentada pelo fornecedor original e estabelecer processos de governação internos para sinalizar quando as alterações propostas ou os novos casos de utilização se aproximam dos limiares do Artigo 25.
Obrigações Fundamentais
- Assumir obrigações de fornecedor ao reformular a marca: Qualquer distribuidor, importador ou terceiro que comercialize ou implemente um sistema de IA de alto risco sob o seu próprio nome ou marca comercial deve cumprir todas as obrigações do fornecedor ao abrigo do Artigo 16, incluindo documentação técnica, avaliação de conformidade e registo na base de dados da UE.
- Reavaliar após modificação substancial: Qualquer parte que efetue uma modificação substancial a um sistema de IA de alto risco deve tratar o sistema modificado como um novo sistema de IA de alto risco, repetir o procedimento de avaliação de conformidade relevante e atualizar toda a documentação em conformidade.
- Registar novamente o sistema: Quando o estatuto de fornecedor é assumido ou é efetuada uma modificação substancial, o novo fornecedor deve registar o sistema (ou a sua versão modificada) na base de dados da UE para sistemas de IA de alto risco estabelecida ao abrigo do Artigo 71.
- Verificar a finalidade prevista antes da implementação: Os utilizadores devem verificar que a sua utilização de um sistema de IA de alto risco permanece dentro da finalidade prevista documentada pelo fornecedor original; qualquer desvio material deve ser avaliado quanto às implicações de conformidade ao abrigo do Artigo 25.
- Manter uma clara repartição contratual de responsabilidades: Todas as partes na cadeia de valor da IA — fornecedores originais, importadores, distribuidores e utilizadores — devem garantir que os seus acordos repartam claramente as responsabilidades de conformidade, especialmente quando são previstas modificações ou reformulações de marca.
- Conservar as informações do fornecedor original: Quando um terceiro assume o estatuto de fornecedor, deve ter acesso a — e manter — toda a documentação técnica e informações de conformidade originalmente produzidas pelo fornecedor a montante, uma vez que estas sustentam as suas próprias obrigações de conformidade.
Relação com Outros Artigos
O Artigo 25 funciona como uma ponte entre as obrigações do fornecedor definidas no Artigo 16 (obrigações dos fornecedores de sistemas de IA de alto risco) e as obrigações do utilizador no Artigo 26. Garante que as responsabilidades enumeradas no Artigo 16 — documentação técnica, avaliação de conformidade, gestão da qualidade, monitorização pós-comercialização — não possam ser contornadas por acordos contratuais ou estruturas empresariais.
Deve ser lido em conjunto com o Artigo 6 (regras de classificação para sistemas de IA de alto risco) e o Anexo III, que definem quando um sistema é de alto risco e, portanto, sujeito ao regime pleno de obrigações do fornecedor. O Artigo 47 (declaração UE de conformidade) e o Artigo 48 (marcação CE) são diretamente implicados quando um novo fornecedor deve recertificar um sistema modificado.
O Artigo 71 (base de dados da UE de sistemas de IA de alto risco) é relevante porque é necessário um novo registo quando o estatuto de fornecedor muda. O Considerando 79 fornece orientação interpretativa sobre o que constitui uma modificação substancial. Para cadeias de abastecimento que envolvem modelos GPAI, os Artigos 51–56 regem as obrigações do fornecedor do modelo a montante, mas o Artigo 25 determina quando um integrador de sistemas que constrói sobre esse modelo se torna um fornecedor de sistemas de IA de alto risco por direito próprio.
Calendário de Conformidade
O Regulamento IA da UE entrou em vigor em 1 de agosto de 2024 (vinte dias após a publicação no Jornal Oficial da UE em 12 de julho de 2024). A aplicação é faseada:
- 2 de fevereiro de 2025 — As proibições de práticas de IA de risco inaceitável (Título II) começaram a ser aplicadas. O Artigo 25 ainda não se aplicava.
- 2 de agosto de 2025 — As obrigações para os modelos de IA de finalidade geral (Título VIII, Artigos 51–56) e as disposições de governação (Título III, Capítulo 4; Título V) começaram a ser aplicadas. O Artigo 25 ainda não se aplicava aos sistemas de IA de alto risco listados no Anexo III.
- 2 de agosto de 2026 — O Artigo 25 e o regime pleno de obrigações de fornecedor e utilizador do Capítulo 3 aplicam-se aos sistemas de IA de alto risco listados no Anexo III (incluindo sistemas biométricos, infraestruturas críticas, emprego, educação, acesso a serviços essenciais e casos de utilização de aplicação da lei). As organizações que operam nestes setores devem ter processos de governação, quadros contratuais e procedimentos de avaliação de modificações em vigor até esta data.
- 2 de agosto de 2027 — As obrigações do Artigo 25 estendem-se aos sistemas de IA de alto risco abrangidos pelo Anexo I (legislação de segurança de produtos, como dispositivos médicos e máquinas), onde esses sistemas já estavam no mercado antes de agosto de 2026 e estão sujeitos a um período transitório.
As organizações devem começar a mapear a conformidade com o Artigo 25 — em especial, auditorias da cadeia de abastecimento e protocolos de governação de modificações — com antecedência suficiente em relação ao prazo de agosto de 2026.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
O Artigo 25 aplica-se a distribuidores, importadores, utilizadores e quaisquer outros terceiros que coloquem um sistema de IA de alto risco no mercado ou o coloquem em serviço sob o seu próprio nome ou marca comercial, ou que modifiquem um sistema de IA de alto risco de forma a alterar a sua finalidade prevista ou o seu estatuto de conformidade. Nestes casos, essas partes assumem obrigações ao nível do fornecedor nos termos do Regulamento.
Um utilizador é considerado fornecedor — e deve cumprir todas as obrigações do fornecedor — quando coloca um sistema de IA de alto risco no mercado ou em serviço sob o seu próprio nome ou marca comercial, efetua uma modificação substancial num sistema de IA de alto risco que altera a sua finalidade prevista, ou modifica um sistema de IA de alto risco de forma que possa afetar a sua conformidade com os requisitos do Título III, Capítulo 2.
Uma modificação substancial é uma alteração a um sistema de IA de alto risco, física ou lógica, que afeta a conformidade do sistema com os requisitos do Título III, Capítulo 2, ou resulta numa alteração da finalidade prevista para a qual o sistema foi avaliado. Uma modificação substancial desencadeia obrigações de reavaliação e de novo registo.
Quando um terceiro assume o estatuto de fornecedor ao abrigo do Artigo 25, o fornecedor original não é automaticamente exonerado de toda a responsabilidade. Os acordos contratuais e a natureza da modificação determinam as obrigações em curso. As partes são incentivadas a documentar claramente as responsabilidades em acordos técnicos e jurídicos em toda a cadeia de abastecimento.
O Artigo 25 centra-se nas responsabilidades dentro da cadeia de valor dos sistemas de IA de alto risco. Para os modelos de IA de finalidade geral (GPAI), aplicam-se obrigações distintas ao abrigo do Título VIII (Artigos 51–56). No entanto, os integradores que constroem sistemas de IA de alto risco sobre modelos GPAI devem avaliar se a sua integração desencadeia obrigações de fornecedor ao abrigo do Artigo 25.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.