Os sistemas de IA de alto risco devem manter um ficheiro técnico completo antes da colocação no mercado da UE. O Art.º 11 e o Anexo IV definem exatamente o que incluir — desde a arquitetura do sistema à governação dos dados de treino e planos de monitorização pós-colocação no mercado.
O que é o Ficheiro Técnico?
A documentação técnica — vulgarmente chamada «ficheiro técnico» — é o pacote de evidências principal que demonstra que um sistema de IA de alto risco cumpre todos os requisitos do Regulamento IA da UE. Exigida pelo Art.º 11 e estruturada pelo Anexo IV, deve ser elaborada antes de o sistema ser colocado no mercado da UE e mantida atualizada ao longo do ciclo de vida do sistema.
O ficheiro técnico não é submetido centralmente. O fornecedor conserva-o e apresenta-o a pedido às autoridades de vigilância do mercado e aos organismos notificados. Este é um modelo de recolha: as autoridades vêm ter consigo; deve estar pronto a entregar um pacote completo e coerente, não uma pilha improvisada de ficheiros montada sob pressão.
O Art.º 11 impõe três deveres aos fornecedores:
- Elaborá-lo antes da colocação no mercado ou da entrada em serviço.
- Mantê-lo atualizado — qualquer alteração substancial ao sistema requer a atualização do ficheiro e a reavaliação da conformidade.
- Disponibilizá-lo às autoridades competentes e aos organismos notificados a pedido, num prazo definido (tipicamente 10 dias úteis ao abrigo das regras nacionais de vigilância do mercado).
O critério de «atualizado» é funcional: o ficheiro técnico deve refletir o sistema tal como efetivamente implantado, não o sistema tal como originalmente concebido. Se uma atualização do modelo altera as características de desempenho, os limiares de exatidão ou os dados de treino, o ficheiro deve ser revisto em conformidade.
Quem Necessita de Documentação Técnica?
A documentação técnica ao abrigo do Art.º 11 e do Anexo IV é obrigatória para os fornecedores de:
- Sistemas de IA de alto risco listados no Anexo III — sistemas autónomos em áreas como categorização biométrica, recrutamento, pontuação de crédito, gestão de infraestruturas críticas, educação, aplicação da lei, migração e controlo de fronteiras e administração da justiça (sujeitos ao filtro de risco significativo do Art.º 6.º(3))
- Sistemas de IA que funcionam como componentes de segurança em produtos regulamentados do Anexo I — IA incorporada em dispositivos médicos, máquinas, veículos, equipamentos de aviação e produtos semelhantes regulamentados pela legislação europeia existente de segurança de produtos
A documentação técnica não é exigida para:
- Sistemas de IA de risco mínimo (chatbots, filtros de spam, motores de recomendação fora de categorias de alto risco)
- Sistemas de IA sujeitos apenas a obrigações de transparência ao abrigo do Art.º 50 (por exemplo, divulgações de deepfake, divulgações de reconhecimento de emoções onde não são de alto risco)
- Fornecedores de modelos de IA de uso geral (GPAI) — estes têm obrigações de documentação separadas ao abrigo do Art.º 53, incluindo documentação técnica para o próprio modelo, mas não o formato do Anexo IV concebido para sistemas de alto risco implantados
Se é um utilizador final (não um fornecedor), não é obrigado a preparar o ficheiro técnico. No entanto, os utilizadores finais devem manter registos de uso do sistema (Art.º 26(5)), e os fornecedores têm o direito de recorrer a estes registos quando atualizam a documentação técnica ou tratam de comunicações de incidentes.
Os 14 Elementos do Anexo IV
O Anexo IV especifica o conteúdo mínimo do ficheiro técnico. Não existe um formato rígido — os fornecedores podem organizar a documentação como entenderem — mas todos os 14 elementos devem estar presentes e substanciais. As entradas de caixa de verificação sem evidências de suporte não satisfazem o Anexo IV.
| # | Elemento do Anexo IV | O que deve conter |
|---|---|---|
| 1 | Descrição geral | Nome do sistema, identificador de versão, finalidade prevista, utilizadores previstos, mercados geográficos, nome e endereço do fornecedor, qualquer representante autorizado |
| 2 | Componentes do sistema | Requisitos de hardware, componentes de software, modelos ou bibliotecas de terceiros utilizados, visão geral da metodologia de treino, abordagem algorítmica (por exemplo, aprendizagem supervisionada, aprendizagem por reforço, arquitetura transformadora) |
| 3 | Especificações de design | Arquitetura do sistema, diagramas de fluxo de dados, decisões de design principais e a sua fundamentação, compromissos realizados (por exemplo, exatidão vs. explicabilidade), formato de saída e como os resultados alimentam decisões a jusante |
| 4 | Dados de treino, validação e teste | Conjuntos de dados utilizados em cada etapa, fontes de dados, procedimentos de governação de dados, propriedades estatísticas dos conjuntos de dados (tamanho, distribuição, cobertura), protocolos de processamento e pré-processamento de dados, medidas tomadas para detetar e corrigir preconceitos nos conjuntos de dados |
| 5 | Documentação de gestão de riscos | O sistema completo de gestão de riscos do Art.º 9: riscos identificados para a saúde, segurança e direitos fundamentais; estimação e avaliação de riscos; medidas de mitigação de riscos adotadas; riscos residuais aceites; base para aceitar riscos residuais |
| 6 | Alterações ao ciclo de vida | Descrição de todas as modificações substanciais feitas após a implantação inicial, a sua natureza e âmbito, como a conformidade foi reavaliada após cada alteração, histórico de versões com datas |
| 7 | Medidas de supervisão humana | Como os requisitos do Art.º 14 são implementados: mecanismos de substituição e paragem, interfaces que permitem aos operadores humanos monitorizar resultados, requisitos de formação ou qualificação para operadores, procedimentos documentados para intervenção humana |
| 8 | Procedimentos de validação e teste | Métricas de desempenho utilizadas (exatidão, precisão, recordação, F1, AUC, métricas de equidade), descrições dos conjuntos de dados de teste, condições e ambiente de teste, metodologia e resultados de testes de preconceito, testes de robustez e stress, desempenho fora da distribuição |
| 9 | Medidas de cibersegurança | Medidas técnicas contra roubo de modelos, envenenamento de dados, ataques adversariais, injeção de prompts (para sistemas baseados em LLM), controlos de acesso, encriptação em trânsito e em repouso, procedimentos de gestão de vulnerabilidades |
| 10 | Monitorização de preconceito e exatidão | Procedimentos de monitorização contínua pós-implantação, limiares de exatidão abaixo dos quais o sistema aciona uma revisão, benchmarks de desempenho desagregados por grupos demográficos onde relevante, procedimentos para agir sobre desvio ou preconceito detetados |
| 11 | Instruções de utilização | O documento dirigido ao utilizador final ao abrigo do Art.º 13: finalidade e casos de utilização previstos, características e limitações de desempenho, restrições conhecidas, requisitos de manutenção e atualização, obrigações de registo para utilizadores finais, ponto de contacto para comunicação de incidentes |
| 12 | Plano de monitorização pós-colocação no mercado | O design do sistema de monitorização do Art.º 72: dados recolhidos dos utilizadores finais, frequência dos ciclos de monitorização, limiares que acionam uma revisão ou atualização, procedimento de comunicação de incidentes graves (Art.º 73), procedimento para retroalimentar dados de monitorização na gestão de riscos |
| 13 | Descrição das interfaces | APIs e pontos de integração, formatos e restrições dos dados de entrada, formatos dos dados de saída e a sua semântica, integração com outros sistemas ou componentes, compatibilidade de versões |
| 14 | Normas harmonizadas e especificações comuns | Lista de normas harmonizadas aplicadas (por exemplo, ISO/IEC 42001:2023, normas EN ao abrigo do programa de normalização do Regulamento IA), especificações comuns adotadas ao abrigo do Art.º 41, a medida em que cada norma foi aplicada, quaisquer desvios e a sua justificação |
Nota prática sobre o elemento 4 (dados de treino): O Anexo IV não exige que divulgue os conjuntos de dados publicamente ou às autoridades por defeito. Exige que a documentação exista e possa ser produzida. Para conjuntos de dados proprietários, uma descrição dos procedimentos de governação de dados, resumos estatísticos e resultados de testes de preconceito satisfarão tipicamente o requisito sem divulgar dados comercialmente sensíveis.
Nota prática sobre o elemento 14 (normas): A partir de meados de 2026, o programa de normalização do Regulamento IA ainda está em curso. A ISO/IEC 42001 (sistemas de gestão de IA) está disponível e é amplamente referenciada. Os fornecedores devem monitorizar o trabalho de normalização europeu ao abrigo do CEN/CENELEC JTC 21 e atualizar esta secção à medida que as normas harmonizadas são publicadas no Jornal Oficial.
Declaração UE de Conformidade (Art.º 47)
A Declaração UE de Conformidade (DoC UE) é um documento obrigatório separado — não faz parte do ficheiro técnico, mas refere-se a ele. A DoC UE é a declaração formal do fornecedor de que o sistema de IA cumpre todos os requisitos aplicáveis do Regulamento IA da UE.
Uma DoC UE válida deve incluir:
- O nome e endereço do fornecedor (e do representante autorizado, se aplicável)
- O nome, versão, número de série ou de lote do sistema de IA, se aplicável
- Uma declaração de que o sistema cumpre o Regulamento IA da UE
- O procedimento de avaliação de conformidade utilizado: Anexo VI (controlo interno / auto-avaliação) para a maioria dos sistemas do Anexo III, ou Anexo VII (avaliação por terceiros por um organismo notificado) para IA de categorização biométrica e IA utilizada em infraestruturas críticas que requerem envolvimento de terceiros
- Uma lista das normas harmonizadas ou especificações comuns utilizadas
- A assinatura do representante autorizado do fornecedor com data e local
A DoC UE deve ser conservada durante 10 anos após a colocação no mercado e produzida a pedido. Acompanha a marcação CE (ver abaixo).
Para sistemas de IA incorporados em produtos do Anexo I, a DoC UE pode ser fundida com a declaração de conformidade exigida ao abrigo da legislação sectorial relevante, desde que contenha todos os elementos exigidos por ambos os instrumentos jurídicos.
Marcação CE (Art.º 48)
Os sistemas de IA de alto risco colocados no mercado da UE devem ostentar a marcação CE, que sinaliza a conformidade com o Regulamento IA da UE e qualquer outra legislação europeia harmonizada aplicável que abranja o mesmo produto.
Exceções: Os sistemas de IA nas categorias do Anexo III implantados por autoridades públicas para uso interno próprio estão isentos dos requisitos de marcação CE. Permanecem sujeitos a todas as outras obrigações — documentação técnica, gestão de riscos, supervisão humana, registo — mas não precisam de apor a marcação CE.
A marcação CE deve ser aposta antes de o sistema ser colocado no mercado da UE. Deve ser visível, legível e indelével. Onde a natureza física do sistema não permite apor a marcação diretamente, pode aparecer na embalagem ou nas instruções de utilização.
Quando um sistema de IA de alto risco é um componente de um produto do Anexo I que já exige marcação CE ao abrigo de legislação específica do sector (por exemplo, dispositivos médicos, máquinas), a marcação CE abrange a conformidade com a legislação sectorial e o Regulamento IA. Os fornecedores devem documentar claramente quais os procedimentos de avaliação de conformidade que sustentam a marcação CE.
Lista de Verificação Prática: Ficheiro Técnico Mínimo Viável
Antes de qualquer sistema de IA de alto risco ser colocado no mercado da UE, verifique se estes 10 itens estão completos e documentados:
- [ ] Descrição do sistema e controlo de versões — nome, versão, finalidade prevista documentados; existe um registo de alterações
- [ ] Diagrama de arquitetura — diagrama de fluxo de dados e componentes mostrando todos os elementos de hardware, software e terceiros
- [ ] Inventário de dados de treino e registo de governação — conjuntos de dados catalogados com fonte, tamanho, divisões e procedimentos de qualidade de dados documentados
- [ ] Avaliação de riscos (por Art.º 9) — riscos identificados, medidas de mitigação e riscos residuais aceites documentados e aprovados
- [ ] Resultados de testes de preconceito — metodologia de teste documentada; resultados desagregados por grupos demográficos relevantes onde aplicável
- [ ] Métricas de exatidão num conjunto de teste representativo — métricas de desempenho documentadas com condições de teste; limiares definidos
- [ ] Documento de procedimento de supervisão humana — mecanismos de substituição descritos; requisitos do operador (formação, qualificação) documentados
- [ ] Avaliação de cibersegurança — vetores de ataque conhecidos avaliados; contramedidas técnicas documentadas
- [ ] Instruções de utilização (dirigidas ao utilizador final) — documento Art.º 13 completo, incluindo limitações, obrigações de registo e contacto para comunicação de incidentes
- [ ] Plano de monitorização pós-colocação no mercado — âmbito de recolha de dados, frequência de monitorização, gatilhos de revisão e procedimento de comunicação de incidentes documentados
Esta lista de verificação abrange o mínimo. Um ficheiro técnico bem preparado irá mais longe — particularmente na metodologia de testes de preconceito, cartões de modelo para modelos de componentes e evidências de que o processo de gestão de riscos é iterativo e não um exercício único.
Como isto se liga à Academia do Regulamento IA da UE
O nível Pro da Academia do Regulamento IA da UE inclui modelos de documentação técnica prontos a usar que abrangem todos os 14 elementos do Anexo IV, incluindo:
- Um livro de trabalho XLSX estruturado com um separador por elemento do Anexo IV, pré-preenchido com prompts e entradas de exemplo
- Um esqueleto de ficheiro técnico DOCX pronto a editar
- Uma folha de trabalho de avaliação de riscos seguindo o processo iterativo do Art.º 9
- Um modelo de registo de governação de dados que abrange conjuntos de dados de treino, validação e teste
- Um modelo de plano de monitorização pós-colocação no mercado alinhado com o Art.º 72
Estes modelos foram concebidos para serem adaptados ao seu sistema específico — são pontos de partida com conteúdo substantivo, não formulários em branco.
Páginas relacionadas:
- Anexo III — Categorias e obrigações de IA de alto risco
- Procedimentos de Avaliação de Conformidade (Anexo VI e VII)
- Academia do Regulamento IA da UE — modelos e formação
- Ferramentas — Seletor de Avaliação de Conformidade
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
O fornecedor do sistema de IA de alto risco é o único responsável pela preparação e manutenção da documentação técnica. Os utilizadores finais não são obrigados a prepará-la, mas devem manter registos de acesso e podem precisar de os fornecer aos fornecedores para fins de comunicação.
A documentação técnica deve ser conservada durante 10 anos após o sistema de IA ser colocado no mercado da UE ou em serviço (Art.º 18). Para sistemas de IA incorporados em produtos sujeitos à legislação do Anexo I, aplica-se o prazo de retenção da legislação do produto se for mais longo.
Não — a documentação técnica não é depositada centralmente. Deve ser conservada pelo fornecedor e disponibilizada às autoridades de vigilância do mercado e aos organismos notificados a pedido. O registo na base de dados de IA da UE (Art.º 71) é obrigatório, mas o ficheiro técnico completo fica com o fornecedor.
Um documento formal assinado pelo fornecedor declarando que o sistema de IA cumpre os requisitos do Regulamento IA da UE. Deve incluir o nome e versão do sistema, identidade do fornecedor, uma lista dos requisitos aplicáveis cumpridos, o procedimento de avaliação de conformidade utilizado e uma referência às normas harmonizadas relevantes. Acompanha a marcação CE.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.