Checklist de obrigacoes do fornecedor para fundadores e lideres de compliance

Obrigacoes do fornecedor devem ser verificadas antes de venda, lancamento, mudanca material ou revisao enterprise. A checklist decide se a empresa e fornecedora, identifica o ativo de IA, o caminho de risco, os deveres, as evidencias e quando reabrir a decisao.

1. Confirme o ativo de IA

Nao revise "IA no produto" como tema unico. Identifique sistema, integracao de modelo, scoring, recomendacao, API, ferramenta interna ou modelo GPAI. Registre area, owner, fase, usuarios, pessoas afetadas, dados, fonte do modelo, fornecedor e jornada do cliente.

2. Decida o papel no AI Act

Documente se a empresa e fornecedora, deployer, importadora, distribuidora, fabricante, fornecedora GPAI ou varios papeis. Explique quem define finalidade, vende a funcao, controla UX, muda limites e fornece instrucoes aos clientes.

3. Verifique a cadeia de valor

Artigo 25 importa quando a equipe white-labela, fine-tuna, reconfigura ou vende sistema de terceiro como produto proprio. Pergunte se o cliente ve o fornecedor, se sua marca e usada, se finalidade ou comportamento muda e se documentos do fornecedor bastam.

4. Classifique o risco

Conecte a checklist a classificacao de IA. Registre se o ativo e proibido, alto risco, transparencia, risco minimo, GPAI ou fora do escopo. Para possivel alto risco, documente caso de uso, finalidade, pessoas afetadas, supervisao humana e consequencia do output.

5. Mapeie deveres de alto risco

Para alto risco, artigo 16 exige owners para requisitos, sistema de qualidade, documentacao tecnica, logs sob controle do fornecedor, conformidade, declaracao UE, CE, registro, acoes corretivas, cooperacao com autoridades e acessibilidade.

6. Separe GPAI

Se a empresa pode fornecer modelo GPAI, avalie artigo 53 separadamente: documentacao tecnica, informacoes downstream, politica de copyright, resumo publico de treinamento, cooperacao com autoridades e padroes ou codigos. Usar modelo terceiro nao basta.

7. Monte pacote de evidencias

Guarde papel, classificacao, documentos do fornecedor, documentacao tecnica, testes, supervisao humana, logs, seguranca, instrucoes ao cliente, ticket de release, risco residual, monitoramento, incidentes e reavaliacao. Organize por decisoes.

8. Prepare documentacao cliente

Clientes podem pedir finalidade, limites, supervisao, monitoramento, usos suportados, dependencias de modelo, dados, avisos de mudanca e suporte. Sales, trust center, ajuda, contratos e questionarios devem usar a mesma fonte aprovada.

9. Defina monitoramento e correcao

Atribua owner para incidentes, reclamacoes, updates do fornecedor, drift do modelo, escalonamentos e correcoes. Defina quando pausar, notificar clientes, atualizar instrucoes ou escalar para legal e compliance.

10. Defina gatilhos de reavaliacao

Reabra a checklist para nova finalidade, novo segmento, mais automacao, menos revisao humana, novos dados, mudanca de modelo, contexto de alto risco, incidente ou nova orientacao oficial.

FAQ

Qual e o objetivo pratico?

Mostrar papel, deveres, evidencias, instrucoes ao cliente, monitoramento e reavaliacao do sistema de IA oferecido ou modificado.

Quando se aplica a SaaS?

Quando a equipe desenvolve ou encomenda sistema de IA, vende sob seu nome, modifica sistema de alto risco, muda finalidade ou fornece modelo GPAI.

O que documentar primeiro?

Um registro por workflow de IA: papel, classificacao, deveres, owner de evidencias, documentos tecnicos, documentacao cliente, monitoramento, bloqueios de launch e reavaliacao.