90% das organizações que usam IA são utilizadores finais que integram modelos de terceiros — OpenAI, Anthropic, Azure AI ou ferramentas de IA SaaS. Compreenda as suas obrigações: o que o fornecedor deve dar-lhe, o que deve fazer e quando se torna um fornecedor.
A Realidade da IA de Terceiros: A Maioria das Organizações São Utilizadores Finais
A maioria das organizações europeias que usam IA não são nem a OpenAI, nem a Mistral, nem um laboratório de investigação. Integram modelos existentes — via API, uma plataforma SaaS, um componente Azure AI ou um plug-in de ferramenta de negócio. Salesforce Einstein, Copilot para Microsoft 365, um chatbot de RH impulsionado por um grande modelo de linguagem, uma solução de pontuação de crédito adquirida a um fornecedor especialista: em todos estes casos, é um utilizador final de um sistema de IA construído por outra pessoa.
Esta posição é ocupada pela grande maioria das organizações afetadas pelo Regulamento IA da UE. Implica obrigações precisas — diferentes das do fornecedor, mas não negligenciáveis. Pode também evoluir: se modificar o sistema ou o revender, o seu estatuto jurídico muda.
Compreender a sua posição na cadeia de valor de IA é o primeiro passo em qualquer esforço de conformidade.
As Suas Obrigações como Utilizador Final
As obrigações do utilizador final diferem dependendo do nível de risco do sistema de IA que está a usar.
Para Sistemas de IA de Alto Risco (Anexo III)
Se implanta um sistema de IA de terceiros que se qualifica como de alto risco (avaliação da solvabilidade, identificação biométrica, triagem de recrutamento, gestão de infraestruturas críticas, etc.), as suas obrigações ao abrigo do Art.º 26 são:
1. Siga as instruções de utilização Use o sistema apenas para a sua finalidade prevista e em conformidade com as instruções que o fornecedor é obrigado a fornecer. Usar um sistema de IA de alto risco fora do seu âmbito validado é uma falha de conformidade, mesmo que seja apenas um utilizador final.
2. Atribua supervisão humana Designe uma pessoa singular com a competência, autoridade e recursos para realizar supervisão humana significativa sobre os resultados do sistema de IA. Esta pessoa deve ser capaz de compreender o que o sistema está a fazer, detetar anomalias e substituir ou parar o sistema quando necessário.
3. Assegure a qualidade dos dados de entrada Assegure que os dados que introduz no sistema são relevantes, suficientemente representativos e adequados para a finalidade prevista no seu contexto de implantação específico. Um sistema validado numa população pode comportar-se de forma diferente na sua — esse é o seu risco a gerir.
4. Monitorize a operação e detete anomalias Monitorize ativamente a operação do sistema para anomalias, resultados inesperados ou degradação do desempenho. Esta não é a responsabilidade do fornecedor na implantação — é sua.
5. Retenha registos Ative e retenha os registos automatizados produzidos pelo sistema pelo período exigido pelo Regulamento (e qualquer regulamentação sectorial que possa aplicar-se). Não desative os registos para poupar espaço de armazenamento.
6. Comunique incidentes graves Se tiver conhecimento de um incidente grave ou mau funcionamento — que causou ou poderia causar morte, dano grave, violações dos direitos fundamentais ou dano significativo à propriedade — notifique o fornecedor sem atraso injustificado. Em alguns casos (particularmente onde a implantação envolve serviços orientados para o público ou atividades adjacentes à aplicação da lei), a comunicação direta à autoridade nacional de vigilância do mercado também pode ser necessária.
7. Avaliação de impacto sobre os direitos fundamentais (organismos públicos) Se é um organismo público, ou uma entidade privada que implanta sistemas de IA em áreas suscetíveis de afetar direitos fundamentais (saúde, serviços sociais, educação, aplicação da lei), deve realizar uma Avaliação de Impacto sobre os Direitos Fundamentais antes da implantação (Art.º 27).
Para Sistemas de IA Apenas de Transparência (Art.º 50)
Se implanta um chatbot, sistema de conteúdo gerado por IA ou ferramenta de reconhecimento de emoções que não é de alto risco mas se enquadra nas obrigações de transparência do Art.º 50, deve:
- Informar os utilizadores que estão a interagir com um sistema de IA (Art.º 50(1))
- Assegurar que o conteúdo gerado por IA é tecnicamente marcado (Art.º 50(4)) onde aplicável
- Informar as pessoas expostas quando o reconhecimento de emoções ou a categorização biométrica está a ser utilizado (Art.º 50(2)–(3))
Estas obrigações aplicam-se mesmo quando se usa uma API de terceiros ou uma ferramenta SaaS. O fornecedor é responsável por incorporar a capacidade técnica; é responsável por a ativar e assegurar que a divulgação efetivamente chega aos utilizadores.
Para Sistemas de IA de Risco Mínimo
Sem obrigações jurídicas específicas ao abrigo do Regulamento IA. Aplicam-se códigos de conduta voluntários. As boas práticas de governação ainda recomendam documentação básica dos sistemas de IA em uso e revisão periódica do seu desempenho.
O Que Exigir ao Seu Fornecedor de IA de Terceiros
A sua capacidade de cumprir as obrigações de utilizador final depende diretamente do que o fornecedor lhe dá. O Regulamento IA exige que os fornecedores de sistemas de IA de alto risco forneçam informações específicas — e os fornecedores de modelos GPAI têm obrigações de documentação paralelas. Use esta lista de verificação ao adquirir IA de terceiros:
Para Qualquer Sistema de IA
- Descrição do sistema: O que é que o sistema faz, que entradas aceita, que saídas produz e que decisões pode influenciar?
- Finalidade prevista: Para que casos de utilização específicos foi o sistema concebido, validado e aprovado?
- Limitações conhecidas: Em que condições o sistema tem um desempenho fraco? Que populações, idiomas ou tipos de dados estão fora do seu âmbito validado?
- Instruções de utilização: O conjunto completo de instruções que o fornecedor é obrigado a fornecer ao abrigo do Art.º 13 para sistemas de alto risco
Especificamente para Sistemas de Alto Risco
- Declaração de Conformidade ou resumo dos resultados da avaliação de conformidade
- Documentação de gestão de riscos — que riscos foram identificados e como foram mitigados?
- Resultados de testes de preconceito e equidade — que características protegidas foram testadas, que métricas foram utilizadas e que resultados foram encontrados?
- Métricas de desempenho — exatidão, taxas de falso positivo/negativo e desempenho desagregado por grupos demográficos relevantes
- Capacidade de registo — confirmação de que o sistema gera os registos exigidos pelo Art.º 12 e instruções para aceder e retê-los
- Processo de notificação de incidentes — a quem contactar, em que prazo e por que canal quando ocorre um incidente grave
- Política de atualização — como é que o fornecedor o notifica de atualizações materiais e que revalidação é necessária após as atualizações?
Para Modelos GPAI (APIs e Acesso a Modelos de Fundação)
- Cartão de modelo ou resumo técnico — capacidades, limitações, resumo dos dados de treino, resultados de avaliação
- Declaração de conformidade com direitos de autor — como é que o fornecedor trata a legislação de direitos de autor para dados de treino e resultados
- Política de uso aceitável — que casos de utilização são proibidos pelo fornecedor e o que acontece se os violar?
- Termos de tratamento de dados — como é que o fornecedor trata os seus dados de entrada? São utilizados para treino adicional?
Quando Se Torna um Fornecedor
O Art.º 25 do Regulamento IA da UE é crucial para os utilizadores de IA de terceiros: define quando um utilizador final transita para fornecedor e assume todas as obrigações de fornecedor.
Torna-se um fornecedor quando:
1. Modifica Substancialmente um Sistema de IA de Alto Risco
Se pega num sistema de IA de alto risco e faz alterações substanciais que vão além do que o fornecedor pretendia — alterando o modelo, requalificando com os seus dados, alterando a lógica central — é agora um fornecedor de um sistema novo ou substancialmente modificado. Todas as obrigações de fornecedor aplicam-se: avaliação de conformidade, documentação técnica, marcação CE, registo na base de dados da UE.
Questão fundamental: A sua personalização é «uso dentro dos parâmetros previstos» ou «desenvolvimento de uma nova capacidade»? O ajuste fino de um modelo com os seus dados de domínio pode ou não ser uma modificação substancial dependendo do grau de alteração e de se afeta o perfil de risco.
2. Altera a Finalidade Prevista para Alto Risco
Se pegar num sistema não classificado como de alto risco e implantá-lo para um caso de utilização de alto risco — usando um classificador de texto geral para tomar decisões de emprego, por exemplo — alterou a finalidade prevista de uma forma que desencadeia a classificação de alto risco. Torna-se o fornecedor de um sistema de IA de alto risco e deve cumprir todas as obrigações de fornecedor para essa implantação.
3. Coloca o Sistema no Mercado Sob o Seu Próprio Nome
Se compra ou licencia um sistema de IA e o revende ou oferece a outros como seu próprio produto (marca branca), coloca-o no mercado sob o seu próprio nome e torna-se o fornecedor. Isto é comum no sector SaaS: integrar um modelo de terceiros no seu próprio produto SaaS torna-o o fornecedor para esse produto.
4. Faz Grandes Alterações a um Modelo GPAI
Se pegar num modelo GPAI e fizer grandes modificações às suas capacidades ou caso de utilização — para além do ajuste fino dentro dos parâmetros previstos do fornecedor — pode tornar-se um fornecedor de um novo modelo GPAI com as suas próprias obrigações do Capítulo V.
Proteções Contratuais para Utilizadores Finais
Uma vez que a sua conformidade depende do que o fornecedor lhe dá, os seus contratos com fornecedores de IA de terceiros são uma ferramenta crítica de conformidade. Cláusulas principais a incluir:
Direitos de Informação
- Direito a receber e versão regularmente atualizada das instruções de utilização
- Direito a aceder à declaração de conformidade e ao resumo da avaliação de conformidade
- Direito a receber resultados de testes de preconceito e métricas de desempenho
- Direito a receber documentação de atualizações materiais do modelo antes da implantação
Gestão de Incidentes
- Obrigação do fornecedor de notificá-lo de quaisquer incidentes graves ou vulnerabilidades de que tome conhecimento, dentro de um prazo definido
- Canal e processo claros para reportar incidentes ao fornecedor
- Compromisso do fornecedor de cooperar com as suas investigações de incidentes e inquéritos regulatórios
Direitos de Auditoria
- Direito a auditoria ou a receber relatórios de auditoria sobre a conformidade do fornecedor com as obrigações do Regulamento IA
- Direito a solicitar documentação atualizada quando ocorram alterações significativas
Obrigações de Atualização
- O fornecedor deve notificá-lo antes de implantar atualizações materiais ao sistema de IA
- O fornecedor deve informar se uma atualização constitui uma modificação substancial que requer revalidação
- Continuidade da documentação — a documentação técnica atualizada deve ser fornecida com cada atualização material
Alocação de Responsabilidade
- Clareza sobre qual das partes é responsável por que obrigações ao abrigo do Art.º 25
- Indemnização por perdas decorrentes do incumprimento pelo fornecedor das obrigações do fornecedor
- Disposições de limitação de responsabilidade que não comprometam a sua capacidade de cumprir obrigações regulatórias
O Mercado de IA de Fornecedores: O Que Observar
O mercado de ferramentas e serviços de IA está a evoluir rapidamente, e a postura de conformidade com o Regulamento IA da UE dos fornecedores varia significativamente:
- Principais fornecedores de cloud e IA (Microsoft, Google, AWS, OpenAI, Anthropic) investiram fortemente na governação de IA e na documentação de conformidade GPAI. Os seus termos de serviço e cartões de modelo fornecem mais informações do que a maioria dos outros fornecedores.
- Fornecedores de IA vertical especialistas (tecnologia de RH, tecnologia jurídica, fintech, healthtech) estão em fases variadas de prontidão para o Regulamento IA da UE. Muitos são PME que ainda não mapearam completamente as suas obrigações.
- IA incorporada em ferramentas SaaS (funcionalidades de IA em CRM, ERP, ferramentas de produtividade) pode não ser comercializada como «produtos de IA» — mas se tomam ou influenciam decisões consequenciais sobre indivíduos, aplicam-se as obrigações do Regulamento IA da UE.
As equipas de aprovisionamento devem acrescentar a triagem de conformidade com o Regulamento IA à diligência devida de fornecedores — pedindo aos fornecedores que atestem o seu estatuto de conformidade, forneçam documentação de conformidade para sistemas de alto risco e se comprometam com partilha contínua de informações à medida que o panorama regulatório se desenvolve.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Sim, como utilizadores finais. O fornecedor da API (OpenAI, Anthropic) é o fornecedor do modelo GPAI e suporta as obrigações GPAI. Se construir uma aplicação sobre a sua API e a disponibilizar a utilizadores, torna-se o fornecedor dessa aplicação (um sistema de IA). Tem obrigações de utilizador final em relação ao modelo GPAI subjacente e obrigações de fornecedor para o seu próprio sistema de IA.
Para sistemas de IA de alto risco: o fornecedor (como fornecedor) deve fornecer instruções de utilização (Art.º 13) e um resumo da avaliação de conformidade ou a declaração de conformidade. Para modelos GPAI: os fornecedores devem fornecer documentação técnica e informações necessárias para conformidade a jusante. Solicite contratualmente: descrição do sistema, limitações conhecidas, resultados de testes de preconceito, métricas de desempenho e procedimentos de comunicação de incidentes.
Contratualmente, pode alocar responsabilidade entre as partes — mas a responsabilidade regulatória não pode ser contratualmente transferida. Se implanta um sistema de IA de alto risco, tem obrigações de utilizador final independentemente do seu acordo. Use os contratos para assegurar que o fornecedor lhe dá o que necessita para cumprir as suas obrigações, não para as escapar.
O Regulamento IA da UE aplica-se aos sistemas de IA colocados no mercado europeu independentemente do local de estabelecimento do fornecedor. Os fornecedores não-UE devem designar um representante autorizado na UE (Art.º 22) que tem as mesmas obrigações jurídicas que um fornecedor estabelecido na UE. Verifique que o fornecedor tem um representante autorizado antes de implantar o seu sistema de IA.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.