Artigo 26 do Regulamento (UE) 2024/1689 — Obrigações dos utilizadores de sistemas de IA de alto risco. Texto oficial, interpretação prática, obrigações fundamentais e implicações de conformidade.
Resumo do Texto Oficial
O Artigo 26 do Regulamento (UE) 2024/1689 estabelece as obrigações que recaem sobre os utilizadores — aqueles que colocam em uso sistemas de IA de alto risco — e está inserido no Título III, Capítulo 3 da Lei. O artigo estabelece que os utilizadores devem tomar medidas técnicas e organizativas adequadas para garantir que utilizam esses sistemas em conformidade com as instruções de utilização fornecidas pelo fornecedor (Artigo 26(1)). Os utilizadores são obrigados a atribuir a tarefa de supervisão humana a pessoas que possuam a competência, formação e autoridade necessárias para a exercer eficazmente (Artigo 26(2)).
Quando os utilizadores determinam a finalidade de utilização ou exercem influência significativa sobre o funcionamento do sistema de IA, assumem responsabilidades acrescidas equiparáveis ao papel de um fornecedor. Os utilizadores devem monitorizar o funcionamento do sistema de IA de alto risco com base nas instruções de utilização e, quando relevante, informar o fornecedor sobre quaisquer riscos identificados (Artigo 26(5)). Não devem utilizar o sistema de formas que contradigam essas instruções ou colocar o pessoal sob pressão suscetível de comprometer uma supervisão adequada.
O Artigo 26(7) exige que os utilizadores conservem os registos gerados automaticamente pelo sistema de IA de alto risco na medida em que esses registos estejam sob o seu controlo, retendo-os por um período adequado à finalidade pretendida e às regras sectoriais aplicáveis, e nunca inferior a seis meses. O Artigo 26(9) impõe uma obrigação aos utilizadores que são organismos públicos e a certos operadores privados de realizar e documentar uma avaliação de impacto sobre os direitos fundamentais antes da implementação, e de a registar na base de dados da UE criada ao abrigo do Art. 71.
O Que Isto Significa na Prática
O Artigo 26 afeta diretamente qualquer organização que integre um sistema de IA de alto risco nas suas operações sem ser o desenvolvedor ou fornecedor original desse sistema. Os utilizadores típicos incluem hospitais que utilizam ferramentas de diagnóstico assistidas por IA, empregadores que utilizam IA para triagem de recrutamento, bancos que utilizam motores de pontuação de crédito por IA, e autoridades públicas que utilizam IA para decisões sobre elegibilidade a prestações.
Em termos concretos, um utilizador deve começar por ler e implementar minuciosamente as instruções de utilização do fornecedor — estas tornam-se uma linha de base de conformidade. Antes de entrar em produção, o utilizador deve identificar qual o membro do pessoal ou equipa que detém a responsabilidade de supervisão e garantir que tenham a formação e autoridade para intervir, pausar ou substituir os resultados do sistema. A pressão para ignorar ou contornar mecanismos de supervisão é expressamente proibida.
Durante o funcionamento, o utilizador deve conservar os registos gerados pelo sistema. Para um banco que implementa um modelo de risco de crédito de terceiros, isto significa preservar os registos de decisões automatizadas durante pelo menos seis meses e garantir que são acessíveis para auditoria ou inspeção regulatória. Se o sistema começar a produzir resultados inesperados ou estiver envolvido num incidente que cause ou possa causar dano, o utilizador deve escalar imediatamente para o fornecedor e, se necessário, para a autoridade supervisora nacional.
Os utilizadores do setor público e as empresas privadas que prestam serviços de interesse público enfrentam uma etapa adicional: uma avaliação de impacto formal sobre os direitos fundamentais deve ser concluída e registada na base de dados da UE antes da ativação do sistema. Esta avaliação deve identificar os impactos previsíveis sobre direitos como a não discriminação, a privacidade e o devido processo legal, e documentar medidas de mitigação.
Os utilizadores que vão além das suas instruções — reaproveitando um sistema para um caso de uso diferente ou modificando materialmente a sua configuração — arriscam ser reclassificados como fornecedores ao abrigo do Art. 25, atraindo todo o peso das obrigações do fornecedor, incluindo a avaliação de conformidade.
Obrigações Fundamentais
- Seguir as instruções de utilização: Implementar e operar o sistema de IA de alto risco estritamente em conformidade com as instruções do fornecedor; qualquer utilização fora da finalidade pretendida desencadeia potencial reclassificação como fornecedor.
- Garantir supervisão humana competente: Designar indivíduos com a competência, formação e autoridade necessárias para exercer supervisão humana eficaz; não instruir nem incentivar o pessoal a contornar funções de supervisão.
- Monitorizar e reportar riscos e incidentes: Monitorizar continuamente o desempenho do sistema; notificar prontamente o fornecedor e, quando aplicável, a autoridade de fiscalização do mercado relevante sobre qualquer risco grave ou incidente identificado durante a utilização.
- Conservar os registos gerados automaticamente: Preservar os registos produzidos pelo sistema de IA por um mínimo de seis meses ou mais quando exigido pela lei aplicável ou pelas regras sectoriais, na medida em que esses registos estejam sob o controlo do utilizador.
- Realizar e registar uma avaliação de impacto sobre os direitos fundamentais: Os utilizadores que são organismos de direito público e os operadores privados que prestam serviços públicos devem completar uma avaliação de impacto sobre os direitos fundamentais documentada e registá-la na base de dados da UE antes da implementação.
- Informar e proteger os trabalhadores afetados: Quando o sistema é utilizado em contextos de emprego, os utilizadores devem informar os representantes dos trabalhadores e os indivíduos afetados em conformidade com o direito da União e nacional aplicável antes da implementação.
Relação com Outros Artigos
O Artigo 26 deve ser lido em conjunto com várias disposições interligadas. O Art. 25 define quando um utilizador é reclassificado como fornecedor — um limiar que os utilizadores devem monitorizar ativamente sempre que modificam ou reaproveitam um sistema. O Art. 13 (Transparência e prestação de informações aos utilizadores) rege o que o fornecedor deve comunicar através das instruções de utilização, moldando diretamente como se apresenta a conformidade com o Artigo 26(1). O Art. 14 (Supervisão humana) elabora os requisitos técnicos que os fornecedores devem integrar nos sistemas para permitir que os utilizadores cumpram os seus deveres de supervisão ao abrigo do Artigo 26(2).
O Art. 71 (Base de dados da UE) sustenta o requisito de registo imposto aos utilizadores públicos pelo Artigo 26(9). O Art. 73 (Notificação de incidentes graves) complementa o Artigo 26(5) ao detalhar o quadro procedimental para notificações de incidentes. Em contextos de emprego, o Artigo 26(6) cruza-se com a Diretiva 2002/14/CE sobre informação e consulta dos trabalhadores. Para os utilizadores em setores regulados — finanças, saúde, transportes — o direito sectorial da União pode impor obrigações adicionais ou sobrepostas que interagem com a linha de base do Artigo 26.
Calendário de Conformidade
A Lei da IA da UE entrou em vigor em 1 de agosto de 2024, com as obrigações a aplicarem-se segundo um calendário faseado. As disposições sobre práticas de IA proibidas tornaram-se aplicáveis em 2 de fevereiro de 2025. As obrigações relativas a modelos de IA de uso geral tornaram-se aplicáveis em 2 de agosto de 2025.
O Artigo 26, como obrigação aplicável aos sistemas de IA de alto risco listados no Anexo III, torna-se aplicável em 2 de agosto de 2026 para a maioria dos sistemas de alto risco, com um prazo alargado de 2 de agosto de 2027 para sistemas de IA de alto risco nas áreas de emprego, educação e acesso a serviços essenciais onde se aplica a legislação de harmonização da União existente (os sistemas listados no Anexo I). Os utilizadores devem, portanto, tratar 2 de agosto de 2026 como o prazo de conformidade principal para a prontidão operacional, designação de supervisão humana, infraestrutura de conservação de registos e procedimentos de avaliação de impacto sobre os direitos fundamentais, enquanto iniciam trabalhos preparatórios imediatamente para permitir tempo de antecedência suficiente para governação, revisão de procurement e formação do pessoal.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Um utilizador é qualquer pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que utiliza um sistema de IA de alto risco sob a sua própria autoridade, exceto quando o sistema é utilizado no âmbito de uma atividade puramente pessoal não profissional. Inclui empresas, instituições públicas e operadores que integram IA de alto risco de terceiros nos seus fluxos de trabalho.
Os utilizadores devem implementar medidas técnicas e organizativas adequadas para garantir que utilizam sistemas de IA de alto risco em conformidade com as instruções de utilização fornecidas pelo fornecedor. Devem também atribuir supervisão humana a indivíduos qualificados, monitorizar o desempenho e suspender a utilização se identificarem riscos.
Sim. O Artigo 26(9) exige que os utilizadores que são organismos regidos pelo direito público, ou operadores privados que prestam serviços públicos, realizem uma avaliação de impacto sobre os direitos fundamentais antes de colocar em funcionamento determinados sistemas de IA de alto risco. Esta avaliação deve ser registada na base de dados da UE antes da implementação.
Ao abrigo do Artigo 26(5), os utilizadores devem informar imediatamente o fornecedor e, quando aplicável, a autoridade de fiscalização do mercado relevante. Se o utilizador não conseguir contactar o fornecedor, deve notificar a autoridade diretamente. A obrigação aplica-se quando o utilizador tem razões para acreditar que o sistema representa um risco ou causou um incidente grave.
Não. A avaliação de conformidade é da responsabilidade do fornecedor ao abrigo do Art. 43. Os utilizadores são responsáveis pela utilização correta de acordo com as instruções do fornecedor, supervisão humana adequada, governação de dados para os dados de entrada que controlam, e obrigações de reporte. No entanto, os utilizadores que modifiquem substancialmente um sistema podem adquirir obrigações de fornecedor.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.