Checklist de modelos de IA de finalidade geral para fundadores e compliance leads

Use esta checklist quando o produto SaaS, workflows internos ou stack de fornecedores dependem de um modelo capaz de executar muitas tarefas em contextos diferentes. O objetivo e saber que modelos importam, que papel a empresa tem, que evidencias existem e o que deve acontecer antes de lancamento, review de cliente ou auditoria.

No AI Act da UE, o artigo 53 exige documentacao tecnica, informacao para downstream providers, politica de copyright e resumo publico de conteudo de treino. O artigo 55 acrescenta obrigacoes para modelos com risco sistemico. O artigo 51 explica a classificacao.

1. Inventariar o modelo

Registe nome, provider, versao, hosting, regiao, use case, owners, categorias de dados, tipos de output, exposicao a clientes, fine-tuning, uso interno ou produto e local da documentacao do provider.

Condicao de passagem: um reviewer entende que modelo e usado, quem e owner, onde corre, que dados ve e porque importa.

2. Mapear o papel

Defina se a empresa e model provider, downstream provider de sistema AI, deployer, distribuidor ou cliente de uma feature vendor. Documente quem controla comportamento, intended use, outputs e modificacoes.

Escalar para legal se a empresa modifica materialmente um modelo, oferece acesso a clientes ou nao consegue explicar o seu papel.

3. Verificar evidencia estilo artigo 53

Peca documentacao tecnica, informacao de integracao, capability e limitation notes, politica de copyright, training summary, evidencias safety/security, update notices, data settings, retention e contactos compliance ou security.

Condicao de passagem: a equipa responde a compradores usando evidencias guardadas, nao memoria.

4. Avaliar risco sistemico

Pergunte se o provider classifica o modelo como sistemico, se notificou a AI Office, que avaliacoes existem, como reporta incidentes graves e que mudancas geram aviso ao cliente.

Para SaaS downstream, isto e dependency risk: politicas, disponibilidade, limites ou comportamento do provider podem afetar roadmap e promessas aos clientes.

5. Rever dados e privacidade

Confirme que dados pessoais, de cliente, confidenciais, codigo ou logs entram no modelo. Reveja retention, training, abuse monitoring, human review, regiao, access controls, deletion, direitos dos titulares e necessidade de DPIA, transfer review ou vendor risk review.

6. Definir uso e guardrails

Documente use case aprovado, usos proibidos, human review, disclosure, correcao de outputs, escalacao, monitoring, limites de sales claims e triggers de nova review.

7. Preparar respostas para clientes

Mantenha respostas aprovadas sobre providers, training com dados de clientes, processing, retention, subprocessors, human oversight, updates, incidentes e documentacao partilhavel.

8. Integrar no release management

Antes de lancamento ou mudanca de modelo, confirme inventario, papel, vendor evidence, privacy review, security review, disclosure, support materials, monitoring, rollback e reassessment triggers.

FAQ

Para que serve esta checklist?

Transforma uso de modelos num workflow repetivel: inventario, papel, evidencia, privacy, security, guardrails, respostas a clientes e change management.

Quando importa para SaaS?

Quando a equipa constroi, compra, integra, faz fine-tuning, deploya ou depende de um modelo de IA de finalidade geral.

O que documentar primeiro?

Inventario e papel. Depois evidencias do provider, factos privacy/security, regras de uso, respostas a clientes e release triggers.

Sources

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission AI Act Service Desk, Article 51.
• European Commission AI Act Service Desk, Article 53.
• European Commission AI Act Service Desk, Article 55.
• European Commission, Drawing-up a General-Purpose AI Code of Practice.