Obrigações do EU AI Act para IA em dispositivos médicos, sistemas de diagnóstico e suporte à decisão clínica. Abrange a interação MDR/IVDR e a dupla conformidade com o Anexo I.
Por que razão o EU AI Act tem especial relevância na saúde
O EU AI Act (Regulamento (UE) 2024/1689) cria as suas obrigações de conformidade mais exigentes precisamente nos domínios em que os erros da IA têm consequências de vida ou morte. A saúde e as ciências da vida situam-se na interseção de duas dessas exigências: a classificação estrutural do AI em dispositivos médicos como de alto risco ao abrigo do Art. 6(1), e a densidade regulatória já existente no setor ao abrigo do MDR (UE) 2017/745, do IVDR (UE) 2017/746, do GDPR Art. 9 e do Regulamento relativo aos Ensaios Clínicos (UE) 536/2014.
Para os fornecedores e utilizadores de IA na saúde, esta interseção não é meramente aditiva. Cria conjuntos de obrigações sobrepostos que devem ser concebidos, documentados e monitorizados em conjunto. Um sistema de IA integrado num dispositivo de imagiologia de diagnóstico deve satisfazer a avaliação de conformidade por organismo notificado ao abrigo do MDR e uma avaliação de conformidade separada ao abrigo do EU AI Act. Um hospital que implementa uma ferramenta de triagem baseada em IA torna-se um utilizador ao abrigo do Art. 26 com obrigações independentes que não podem ser cumpridas confiando apenas na marcação CE do fornecedor.
As consequências do incumprimento são correspondentemente elevadas. As autoridades de supervisão nacionais podem impor coimas até 30 milhões de euros ou 6% do volume de negócios anual global pela colocação no mercado de IA de alto risco não conforme. Para além das sanções financeiras, ordens de retirada do mercado, suspensão da utilização clínica e medidas corretivas obrigatórias podem interromper a prestação de cuidados aos doentes à escala.
A Via Regulatória Dupla
A característica estrutural definidora da conformidade da IA na saúde é a aplicação simultânea do direito de segurança dos produtos e do direito específico da IA. Quando um sistema de IA constitui um componente de segurança de um dispositivo médico tal como definido no Anexo I do EU AI Act (com referência cruzada ao Novo Quadro Legislativo), é automaticamente classificado como de alto risco ao abrigo do Art. 6(1) sem qualquer avaliação adicional da probabilidade ou gravidade do dano. A classificação é categórica.
Isto significa que as organizações devem manter duas vias paralelas de avaliação de conformidade — uma ao abrigo do MDR ou do IVDR, outra ao abrigo do EU AI Act — e devem demonstrar a conformidade com ambas na base de dados da UE para sistemas de IA de alto risco (EUAI DB) antes da colocação no mercado.
Casos de Utilização de IA de Alto Risco — Dispositivos Médicos e Prestação de Cuidados
IA em Imagiologia de Diagnóstico
Os sistemas de IA implementados em radiologia, anatomia patológica e oftalmologia que analisam imagens para detetar, classificar ou caracterizar lesões, anomalias ou estados de doença são, em praticamente todas as configurações clinicamente relevantes, componentes de segurança de dispositivos médicos ao abrigo do MDR de Classe IIa ou superior. São, portanto, de alto risco ao abrigo do Art. 6(1) e devem cumprir o Capítulo III, Secção 2 do EU AI Act, que abrange a governação de dados (Art. 10), a documentação técnica (Art. 11, Anexo IV), o registo automático (Art. 12), a transparência (Art. 13), a supervisão humana (Art. 14) e a exatidão, robustez e cibersegurança (Art. 15).
Sistemas de Apoio à Decisão Clínica
As ferramentas de apoio à decisão clínica (CDS) abrangem um amplo espectro de risco em função do seu papel funcional. A distinção regulatória crítica reside em saber se o sistema substitui ou assiste o juízo clínico:
- Produção autónoma ou quase autónoma: Um sistema CDS que gera uma recomendação de prescrição, determina a dosagem de medicação de um doente ou classifica um doente como necessitando de intervenção de emergência sem exigir revisão clínica antes de a produção ser aplicada é, em princípio, de alto risco ao abrigo do Anexo III e pode constituir um dispositivo médico ao abrigo do MDR.
- Produção filtrada para revisão clínica: Um CDS que apresenta diagnósticos diferenciais ordenados ou sinaliza resultados laboratoriais como anormais, onde um clínico qualificado revê e aprova cada recomendação antes de esta afetar a gestão do doente, pode não se qualificar como de alto risco, desde que não cumpra independentemente os critérios do Anexo III por outros fundamentos.
Esta distinção deve ser documentada na declaração de finalidade prevista do sistema de IA, que integra tanto a documentação técnica do AI Act como o processo técnico MDR.
Priorização de Triagem de Doentes em Contexto de Urgência
Os sistemas de IA que priorizam a ordem pela qual os doentes de urgência recebem atenção — incluindo modelos de predição de sépsis e sistemas de monitorização em UCI que acionam protocolos de escalada — operam em condições de pressão temporal e complexidade clínica que tornam a supervisão humana ao abrigo do Art. 14 particularmente exigente. As organizações que os implementam devem assegurar que o mecanismo de supervisão é genuinamente eficaz: o clínico designado para a responsabilidade de supervisão deve ter a compreensão técnica, o acesso ao raciocínio da IA e o tempo no fluxo de trabalho para intervir antes de a produção do sistema afetar os resultados dos doentes.
IA para Rastreio de Saúde Mental
As ferramentas de IA utilizadas para rastrear populações ou doentes individuais relativamente a condições de saúde mental — pontuações de risco de depressão, estratificação do risco de suicídio, rastreio de burnout — englobam simultaneamente as disposições de alto risco do AI Act (quando influenciam o acesso a cuidados ou a afetação de recursos) e o GDPR Art. 9 numa dimensão especialmente sensível. Os dados de saúde mental são dados de saúde para efeitos do GDPR; o seu tratamento para treino ou inferência de IA requer uma base jurídica ao abrigo do Art. 9(2) e garantias adequadas ao abrigo do Art. 22 (decisões individuais automatizadas).
Robótica Cirúrgica e Procedimentos Guiados por IA
Os componentes de IA integrados em sistemas robóticos cirúrgicos que adaptam parâmetros procedimentais em tempo real — posicionamento de instrumentos, modulação de feedback háptico, classificação de tecidos — são componentes de segurança de dispositivos implantáveis ativos ou de dispositivos médicos de Classe III ao abrigo do MDR. O encargo da avaliação de conformidade é correspondentemente o mais elevado disponível: avaliação por organismo notificado ao abrigo do Anexo IX ou X do MDR, combinada com a avaliação de conformidade ao abrigo do EU AI Act nos termos do Art. 43. As obrigações de vigilância pós-comercialização ao abrigo de ambos os quadros devem ser integradas num único sistema de acompanhamento clínico e monitorização do desempenho.
Categoria 5(a) do Anexo III — Acesso a Serviços Essenciais de Saúde
Para além da via dos dispositivos médicos, o Anexo III, ponto 5(a) do EU AI Act classifica separadamente como de alto risco os sistemas de IA utilizados para determinar o acesso a serviços públicos essenciais, incluindo a saúde. Um sistema de IA que determina se um doente se qualifica para um tratamento reembolsado, está incluído numa lista de espera para transplante ou é elegível para um ensaio clínico é de alto risco ao abrigo desta disposição, mesmo que não esteja integrado num dispositivo médico.
Obrigações do Fornecedor e do Utilizador na Saúde
Obrigações do Fornecedor
As organizações que desenvolvem, colocam no mercado ou colocam em serviço um sistema de IA de alto risco na saúde enquanto fornecedores ao abrigo do Art. 16 devem:
- Estabelecer e implementar um sistema de gestão da qualidade (SGQ) ao abrigo do Art. 17, que abranja controlos de conceção, gestão do risco alinhada com a ISO 14971 (harmonizada para o MDR) e procedimentos de monitorização pós-comercialização.
- Preparar documentação técnica ao abrigo do Anexo IV, incluindo a finalidade prevista, o processo de gestão do risco, as descrições dos dados de treino, os resultados de validação e teste, e o plano de monitorização pós-comercialização.
- Registar o sistema na base de dados da UE antes da colocação no mercado (Art. 49).
- Assegurar que o sistema ostenta marcação CE e disponibilizar uma Declaração de Conformidade UE.
- Nomear um Representante Autorizado na UE se estabelecido fora da UE.
- Manter a documentação técnica e os registos durante 10 anos após a colocação no mercado (Art. 18).
Obrigações do Utilizador
Os hospitais, clínicas, redes de farmácias e outras instituições de saúde que atuam como utilizadores de sistemas de IA de alto risco de terceiros têm obrigações ao abrigo do Art. 26 que são independentes da conformidade do fornecedor:
- Implementar o sistema no âmbito das instruções de utilização do fornecedor — qualquer utilização fora desse âmbito pode reclassificar a instituição como fornecedor.
- Atribuir responsabilidades de supervisão humana a pessoal com a competência, autoridade e ferramentas necessárias para monitorizar e intervir na operação do sistema.
- Manter registos operacionais por um mínimo de seis meses, ou por um período mais longo quando a legislação setorial aplicável (vigilância MDR, legislação sobre conservação de registos hospitalares) o exija.
- Comunicar prontamente ao fornecedor incidentes graves ou avarias e, quando a segurança do doente esteja em causa, às autoridades de saúde relevantes ao abrigo dos procedimentos de vigilância do Art. 87 do MDR.
- Realizar avaliações de impacto sobre os direitos fundamentais (AIFR) ao abrigo do Art. 27 quando o sistema de IA é utilizado para tomar ou auxiliar decisões que afetam doentes individuais à escala.
Interação com o MDR, o IVDR e o GDPR
MDR e IVDR: O Regime de Dupla Avaliação de Conformidade
O Art. 6(1) do EU AI Act, lido em conjugação com o Anexo I, estabelece a via do componente de segurança. Quando um sistema de IA é um componente de segurança de um produto regulado ao abrigo do MDR ou do IVDR, a avaliação de conformidade ao abrigo do EU AI Act deve ser integrada no procedimento MDR/IVDR existente. O Art. 8(1) do EU AI Act dá precedência às regras setoriais específicas do MDR/IVDR quando estas impõem obrigações equivalentes ou mais rigorosas, mas não elimina as obrigações do AI Act — ajusta o procedimento, não o requisito.
Para dispositivos médicos de Classe IIb e Classe III com IA integrada, é obrigatória uma avaliação por organismo notificado ao abrigo do Anexo IX do MDR (gestão da qualidade) ou do Anexo X (exame de tipo). O mesmo organismo notificado, se designado ao abrigo do AI Act, pode realizar a avaliação de conformidade do AI Act no âmbito de um procedimento integrado. Para SaMD (software como dispositivo médico) de Classe I, os fabricantes devem avaliar independentemente se o sistema de IA se qualifica como de alto risco ao abrigo do AI Act por fundamentos diferentes do Art. 6(1).
GDPR Art. 9 e Dados de Treino
Os dados de saúde utilizados para treinar, validar ou testar modelos de IA são dados de categoria especial ao abrigo do GDPR Art. 9(1). O tratamento é proibido na ausência de uma das derrogações previstas no Art. 9(2), mais relevantemente:
- Art. 9(2)(a): consentimento explícito do titular dos dados
- Art. 9(2)(h): tratamento necessário para efeitos de diagnóstico médico ou prestação de cuidados de saúde, sujeito a sigilo profissional
- Art. 9(2)(j): investigação científica, sujeita às garantias do Art. 89
As obrigações de governação de dados do Art. 10 do EU AI Act — que exigem a documentação da origem, dos métodos de recolha, da representatividade e das limitações conhecidas dos conjuntos de dados — devem ser satisfeitas de forma consistente com a base jurídica aplicável ao abrigo do GDPR. A utilização retrospetiva de conjuntos de dados clínicos sem consentimento explícito exige uma derrogação de investigação e, tipicamente, aprovação de comissão de ética ao abrigo do Regulamento relativo aos Ensaios Clínicos ou da legislação nacional de investigação aplicável.
Integração da Vigilância Pós-Comercialização
Tanto o MDR (Art. 83, Acompanhamento Clínico Pós-Comercialização) como o EU AI Act (Art. 72, monitorização pós-comercialização) exigem a recolha e análise contínuas de dados de desempenho no mundo real. Quando ambos se aplicam, um único sistema integrado de vigilância pós-comercialização pode satisfazer ambos os quadros, desde que capture os pontos de dados exigidos por cada um — incluindo os requisitos de evidência clínica do MDR e os requisitos de registo automático da operação do sistema de IA ao abrigo do AI Act.
Autoridades de Fiscalização
Agência Europeia de Medicamentos e Agências Nacionais de Medicamentos
A Agência Europeia de Medicamentos (EMA) não tem um papel direto de fiscalização ao abrigo do EU AI Act para IA não relacionada com medicamentos, mas a sua orientação sobre IA no desenvolvimento de medicamentos e na farmacovigilância é de referência para as empresas de ciências da vida. As agências nacionais de medicamentos — incluindo a ANSM (França), o BfArM (Alemanha) e os seus equivalentes — exercem autoridade de vigilância de mercado ao abrigo do MDR e do IVDR e podem investigar sistemas de IA integrados em dispositivos médicos no âmbito do seu mandato de vigilância pós-comercialização.
Organismos Notificados
Para sistemas de IA de alto risco que sejam componentes de segurança de dispositivos médicos, os organismos notificados designados ao abrigo do MDR/IVDR e, separada ou conjuntamente, ao abrigo do EU AI Act realizam avaliações de conformidade. Os seus certificados são um pré-requisito para a marcação CE. Os organismos notificados podem suspender ou retirar certificados quando a vigilância pós-comercialização revela não conformidades.
Autoridades Nacionais de Supervisão da IA
Cada Estado-Membro da UE designou ou está a designar uma autoridade nacional de supervisão da IA (autoridade competente ao abrigo do Art. 70 do EU AI Act). No setor da saúde, é necessária coordenação entre a autoridade de supervisão da IA e a agência nacional de medicamentos quando as competências se sobrepõem. A autoridade de supervisão da IA tem poderes para solicitar documentação, realizar auditorias, impor medidas corretivas e remeter casos para aplicação de sanções financeiras.
Roteiro de Conformidade — Prioridades para a IA na Saúde
Passo 1: Classificação e Avaliação do Âmbito de Aplicação
Mapeie todos os sistemas de IA em desenvolvimento ou implementação em relação ao Art. 6(1) (componente de segurança de um dispositivo médico) e ao Anexo III, ponto 5(a) (acesso a serviços essenciais). Documente a finalidade prevista de cada sistema com precisão suficiente para suportar as decisões de classificação ao abrigo do AI Act e do MDR/IVDR. Envolva assessoria regulatória para avaliar ferramentas CDS em situações-limite.
Passo 2: Planeamento da Dupla Avaliação de Conformidade
Para cada sistema de IA de alto risco que seja também um dispositivo médico, identifique a via de avaliação de conformidade MDR/IVDR aplicável e determine se o organismo notificado designado está também acreditado ao abrigo do EU AI Act. Planeie a avaliação de conformidade como um procedimento integrado sempre que possível, para reduzir duplicações.
Passo 3: Governação de Dados e Alinhamento com o GDPR
Audite os conjuntos de dados de treino e validação dos sistemas de IA na saúde. Documente as bases jurídicas ao abrigo do Art. 9(2) do GDPR para todos os dados de saúde utilizados no desenvolvimento de modelos. Estabeleça procedimentos de governação de dados ao abrigo do Art. 10 do EU AI Act e assegure que estes se refletem na documentação técnica exigida pelo Anexo IV.
Passo 4: Protocolos de Supervisão Humana
Conceba e implemente mecanismos de supervisão humana ao abrigo do Art. 14 para cada implementação de IA de alto risco. A supervisão deve ser operacionalmente realista: exige pessoal treinado, mecanismos de intervenção acessíveis e integração no fluxo de trabalho — não uma verificação pro forma. Para contextos de urgência com pressão temporal, a conceção da supervisão exige cuidado especial.
Passo 5: Integração da Vigilância Pós-Comercialização
Conceba um sistema de vigilância pós-comercialização que satisfaça simultaneamente os requisitos do Anexo III do MDR (ACPC) e do Art. 72 do EU AI Act. Estabeleça procedimentos de comunicação de incidentes alinhados com os prazos de vigilância do MDR (Art. 87: incidentes graves comunicados no prazo de 15 dias) e com a comunicação de incidentes graves ao abrigo do Art. 73 do AI Act.
Passo 6: Diligência Devida do Utilizador
As instituições de saúde que adquirem ferramentas de diagnóstico ou CDS de IA de terceiros devem exigir aos fornecedores a apresentação da Declaração de Conformidade UE, das instruções de utilização e de um resumo da documentação técnica. Os contratos de aquisição devem especificar as obrigações de conservação de registos, as responsabilidades de comunicação de incidentes e os limites do âmbito de utilização permitido, para evitar a reclassificação inadvertida como fornecedor.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Não. As avaliações de conformidade ao abrigo do MDR e do IVDR e as avaliações de conformidade ao abrigo do EU AI Act são obrigações jurídicas distintas que correm em paralelo. Um sistema de IA integrado num dispositivo médico de Classe IIb deve satisfazer ambos os quadros regulatórios de forma independente. Quando um organismo notificado já estiver envolvido ao abrigo do MDR ou do IVDR, esse organismo pode também ser designado como organismo notificado ao abrigo do AI Act, permitindo uma avaliação coordenada, mas a plena conformidade com ambos os quadros permanece obrigatória.
Não automaticamente. A classificação depende da função e da autonomia da ferramenta. Se o sistema de IA substitui ou anula substancialmente o juízo clínico — por exemplo, determinando de forma autónoma um diagnóstico ou prescrevendo um tratamento — é mais provável que se qualifique como de alto risco ao abrigo do Anexo III ou como componente de segurança de um dispositivo médico ao abrigo do Art. 6(1). Se o sistema apenas sinaliza ou filtra informação para um clínico que mantém plena autoridade de decisão, pode ficar fora da definição de alto risco, desde que não cumpra outros critérios do Anexo III.
O Art. 10 do EU AI Act exige que os conjuntos de dados de treino, validação e teste estejam sujeitos a práticas de governação de dados que abranjam a origem, os métodos de recolha, os enviesamentos conhecidos e a representatividade. Para a IA na saúde, esta obrigação intersecta-se com o Art. 9 do GDPR, que classifica os dados de saúde como dados de categoria especial e exige uma base jurídica explícita — tipicamente consentimento explícito ou uma derrogação ao abrigo do Art. 9(2)(h) ou (j) — para o tratamento. Os fornecedores devem documentar a composição dos conjuntos de dados na documentação técnica exigida pelo Anexo IV e demonstrar que os dados de treino não introduzem enviesamentos sistemáticos suscetíveis de comprometer a precisão do diagnóstico em subpopulações de doentes.
Os hospitais que atuam como utilizadores de sistemas de IA de alto risco ao abrigo do Art. 26 devem: verificar que o sistema de IA ostenta marcação CE e dispõe de uma Declaração de Conformidade UE; implementar as instruções de utilização do fornecedor; atribuir responsabilidades de supervisão humana a pessoal clínico qualificado; manter registos de operação do sistema por um mínimo de seis meses; e comunicar incidentes graves ou avarias ao fornecedor e, quando a segurança do doente esteja em causa, às autoridades de saúde competentes ao abrigo das regras de vigilância MDR aplicáveis. Os utilizadores não podem modificar sistemas de IA de alto risco de forma a alterar a sua finalidade prevista sem desencadear obrigações de reavaliação.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.