Artigo 27 do Regulamento (UE) 2024/1689 — Avaliação de impacto sobre os direitos fundamentais para sistemas de IA de alto risco. Texto oficial, interpretação prática, obrigações essenciais e implicações para o cumprimento.
Resumo do Texto Oficial
O Artigo 27 do Regulamento (UE) 2024/1689 estabelece uma obrigação para determinados operadores de sistemas de IA de alto risco de realizarem uma avaliação de impacto sobre os direitos fundamentais (FRIA) antes de colocar tais sistemas em serviço. A obrigação aplica-se a operadores que sejam organismos regidos pelo direito público conforme definido na Diretiva 2014/24/UE, e a operadores que sejam entidades privadas que prestem serviços de natureza pública — especificamente nas áreas de serviços bancários, seguros, cuidados de saúde, educação e formação profissional, gestão do emprego e dos trabalhadores, e administração de infraestruturas críticas.
A avaliação deve ser realizada antes da implantação e deve abranger os seguintes elementos: uma descrição dos processos do operador em que o sistema de IA de alto risco será utilizado e a sua finalidade; as categorias de pessoas singulares e grupos suscetíveis de serem afetados; os riscos específicos para os direitos fundamentais que possam resultar da utilização; as medidas concretas que o operador tenciona implementar para mitigar esses riscos; uma indicação sobre se existem mecanismos de reclamação ou recurso; e, quando aplicável, uma descrição do impacto sobre as crianças.
Os operadores abrangidos pela obrigação devem também notificar a autoridade de fiscalização do mercado relevante antes de implantar determinadas categorias de sistemas de IA de alto risco enumeradas no Anexo III. A avaliação deve basear-se nas informações fornecidas pelo fornecedor nos termos do Artigo 13 e deve ser documentada e mantida disponível para as autoridades competentes.
O que isto significa na prática
Para as organizações dentro do âmbito de aplicação, o Artigo 27 exige um processo estruturado e documentado antes de qualquer sistema de IA de alto risco entrar em funcionamento. Não se trata de um exercício de verificação pontual — a FRIA deve refletir o contexto real de implantação e ser revista quando esse contexto se alterar materialmente.
Um hospital público que implante um sistema de diagnóstico ou triagem assistido por IA deve avaliar quais os grupos de pacientes que podem ser desproporcionalmente afetados, quais os direitos em jogo (dignidade, não discriminação, acesso aos cuidados de saúde) e quais as salvaguardas existentes caso o sistema produza recomendações incorretas. Uma autarquia local que utilize um sistema de IA para triagem de elegibilidade para prestações sociais deve identificar os riscos para o direito à proteção social e ao devido processo, e documentar como o controlo humano funcionará na prática.
As entidades privadas que prestam serviços financeiros ao público — como plataformas de pontuação de crédito ou subscrição de seguros — enquadram-se no âmbito de aplicação se se qualificarem como operadores de sistemas de alto risco do Anexo III. Uma empresa fintech que utilize um modelo de IA para avaliar pedidos de crédito deve mapear os grupos demográficos expostos a decisões algorítmicas, avaliar o risco de resultados discriminatórios e estabelecer uma via de recurso documentada.
Na prática, os operadores devem integrar a FRIA nos seus fluxos de trabalho existentes de avaliação de impacto sobre a proteção de dados (AIPD) ao abrigo do RGPD onde relevante, uma vez que o Artigo 27(4) permite expressamente que as duas avaliações sejam realizadas conjuntamente. As organizações devem designar um responsável pela avaliação, utilizar a documentação técnica e as instruções de utilização do fornecedor como contributos, e criar um registo com versões que possa ser apresentado às autoridades supervisoras a pedido.
Obrigações Essenciais
- Realizar uma avaliação de impacto sobre os direitos fundamentais antes de implantar qualquer sistema de IA de alto risco no âmbito do operador, abrangendo a utilização pretendida, as pessoas afetadas, os riscos identificados e as mitigações planeadas.
- Documentar a avaliação por escrito e conservá-la para inspeção pelas autoridades competentes e autoridades de fiscalização do mercado a pedido.
- Notificar a autoridade de fiscalização do mercado relevante antes da implantação sempre que exigido pela categoria específica de sistema de IA de alto risco listada no Anexo III.
- Utilizar as informações e instruções de utilização fornecidas pelo fornecedor do sistema de IA ao abrigo do Artigo 13 como contributo obrigatório para a avaliação.
- Atualizar a avaliação quando o contexto de implantação se alterar significativamente, incluindo alterações nas categorias de pessoas afetadas, na finalidade de utilização ou no perfil de risco do sistema.
- Quando for também necessária uma avaliação de impacto sobre a proteção de dados ao abrigo do Artigo 35 do RGPD, as duas avaliações podem ser realizadas conjuntamente para reduzir o encargo administrativo, desde que todos os elementos de ambas sejam abrangidos.
Relação com Outros Artigos
O Artigo 27 insere-se no Capítulo 3 do Título III, que distribui as obrigações entre fornecedores e operadores. Deve ser lido em conjugação com o Artigo 26 (obrigações dos operadores em geral), que estabelece o dever mais amplo dos operadores de utilizarem sistemas de alto risco em conformidade com as instruções do fornecedor e de implementarem controlo humano. A FRIA baseia-se diretamente nas informações que o fornecedor é obrigado a fornecer ao abrigo do Artigo 13 (transparência e fornecimento de informações aos operadores) e do Artigo 16(d) (obrigação do fornecedor de elaborar documentação técnica).
O Artigo 27(4) cria uma ligação procedimental direta ao RGPD: quando for também necessária uma AIPD ao abrigo do Artigo 35 do Regulamento (UE) 2016/679, as duas avaliações podem ser fundidas. Esta ligação é particularmente relevante para os operadores que tratam dados pessoais, o que será o caso na maioria dos contextos regulados abrangidos pelo Anexo III.
O Artigo 27 também se articula com o Artigo 72 (fiscalização do mercado) e o Artigo 74 (acesso a dados), uma vez que a avaliação concluída deve estar disponível para as autoridades competentes que exercem funções de supervisão.
Cronograma de Conformidade
O Regulamento IA da UE entrou em vigor em 1 de agosto de 2024 (vinte dias após a publicação no Jornal Oficial em 12 de julho de 2024). As suas disposições aplicam-se por fases:
- 2 de fevereiro de 2025 — As proibições de práticas de IA com risco inaceitável (Artigo 5) tornaram-se aplicáveis.
- 2 de agosto de 2025 — As obrigações relativas a modelos de IA de uso geral (Título VIII, Capítulo 2) e as disposições de governação tornaram-se aplicáveis.
- 2 de dezembro de 2026 — As obrigações para os sistemas de IA de alto risco listados no Anexo I (legislação de segurança de produtos) tornam-se aplicáveis.
- 2 de agosto de 2027 — As obrigações para os sistemas de IA de alto risco listados no Anexo III (sistemas autónomos de alto risco, incluindo os mais suscetíveis de desencadear FRIAs ao abrigo do Artigo 27 em áreas como emprego, educação, identificação biométrica e acesso a serviços públicos) tornam-se aplicáveis.
O Artigo 27 enquadra-se no regime de obrigações dos operadores de alto risco e, por conseguinte, torna-se executório em 2 de agosto de 2027 para os sistemas do Anexo III, e em 2 de dezembro de 2026 para os sistemas do Anexo I. Os operadores não devem aguardar até estes prazos: a construção de processos FRIA agora permite que as organizações identifiquem e corrijam riscos para os direitos fundamentais antes do início da aplicação e alinhem as avaliações com os programas AIPD em curso ao abrigo do RGPD.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
O Artigo 27 aplica-se especificamente a operadores de sistemas de IA de alto risco que sejam organismos regidos pelo direito público, conforme definido na Diretiva 2014/24/UE, ou entidades privadas que prestem serviços de natureza pública, como serviços bancários, seguros, cuidados de saúde ou educação. Nem todos os operadores estão abrangidos — as empresas privadas que operam exclusivamente em contextos comerciais sem uma dimensão de serviço público estão geralmente fora do âmbito desta obrigação específica, embora permaneçam sujeitas a outras obrigações dos operadores ao abrigo do Regulamento IA.
A avaliação deve ser realizada antes da implantação do sistema de IA de alto risco. Trata-se de uma obrigação pré-implantação, o que significa que o operador deve realizar e documentar a avaliação antes de colocar o sistema em utilização. A avaliação deve ser atualizada quando ocorrerem alterações significativas no contexto de implantação ou na utilização do sistema.
A avaliação de conformidade ao abrigo do Artigo 43 é realizada pelo fornecedor ou em seu nome para verificar que o sistema de IA cumpre os requisitos técnicos do Capítulo 2 antes da colocação no mercado. A FRIA ao abrigo do Artigo 27 é realizada pelo operador para avaliar o impacto concreto nos direitos fundamentais no contexto específico de implantação. São complementares: a avaliação de conformidade aborda a conformidade intrínseca do sistema, enquanto a FRIA aborda o impacto real sobre os indivíduos num determinado caso de utilização.
O Artigo 27 não impõe explicitamente auditoria externa. A avaliação pode ser concluída internamente pelo operador. Contudo, os operadores devem notificar a autoridade de fiscalização do mercado relevante antes da implantação em determinados casos, e a avaliação documentada deve ser disponibilizada às autoridades competentes mediante pedido. O envolvimento de peritos externos é uma boa prática, particularmente em contextos de implantação complexos ou sensíveis.
Os operadores devem utilizar as informações disponibilizadas pelo fornecedor ao abrigo do Artigo 13 (transparência e fornecimento de informações) e as instruções de utilização. Os fornecedores são obrigados a fornecer informações suficientes sobre a finalidade pretendida, as capacidades, as limitações e os riscos do sistema, a fim de permitir aos operadores realizar uma avaliação significativa dos impactos nos direitos fundamentais.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.