Checklist de obrigacoes dos implantadores para fundadores e lideres de compliance

As obrigacoes dos implantadores no EU AI Act devem ser verificadas antes de uma equipa colocar em servico um sistema de IA de alto risco, alterar o modo de uso, expandi-lo para um novo workflow de cliente ou colaborador, ou confiar no output para uma decisao relevante. A checklist pratica e: confirmar o papel, usar o sistema conforme as instrucoes do fornecedor, atribuir supervisao humana competente, controlar dados de entrada quando a equipa os controla, monitorizar uso real, conservar logs, gerir avisos e triggers de impact assessment, e definir quando suspender ou escalar.

Para equipas SaaS, isto e um processo operacional, nao apenas um memorando legal. Liga configuracao de produto, implementacao, vendor management, suporte, formacao, security logging, privacy review e incident response. Um fundador ou compliance lead deve conseguir abrir um registo e perceber que sistema e usado, porque a empresa e implantadora, que instrucoes se aplicam, quem supervisiona, que evidencias existem e o que obriga a reavaliar.

Use esta checklist com as expectativas de AI governance para vendors SaaS. Os restantes temas relacionados ainda nao estao localizados em portugues.

1. Confirmar sistema e caso de uso

Nomeie o sistema de IA e o workflow exatos. Registe fornecedor, produto, versao ou configuracao, finalidade, business owner, utilizadores, pessoas afetadas, dados de entrada, output, ponto de decisao e contexto: clientes, colaboradores, candidatos, contractors ou operacoes internas.

Indique se o sistema e de alto risco, sujeito a transparencia, de risco minimo ou ainda em classificacao. Se a classificacao estiver em aberto, a checklist nao esta concluida. Deve mostrar owner, perguntas abertas, documentos pedidos ao fornecedor e data da decisao.

2. Decidir se a empresa e implantadora

O papel de implantador surge quando a organizacao usa um sistema de IA sob a sua autoridade, exceto uso pessoal nao profissional. Empresas SaaS podem ser implantadoras quando usam IA de terceiros em suporte, recrutamento, trust and safety, fraude, scoring de clientes, moderacao de conteudo ou operacoes internas.

Documente os factos: quem escolheu o sistema, quem define o uso operacional, quem controla acesso, limiares, prompts, regras ou escaladas, quem forma os utilizadores e quem decide se o output e aceite, revisto, substituido ou ignorado.

3. Guardar instrucoes do fornecedor

O artigo 26 exige medidas tecnicas e organizativas para usar sistemas de alto risco de acordo com as instrucoes. A equipa precisa de instrucoes atuais, release notes, limites, usos suportados e nao suportados, expectativas de monitorizacao, instrucoes de supervisao humana e rotas de escalada.

Guarde-as onde product, security, legal, suporte e operacoes consigam encontrá-las. Registe versao e data de revisao. Se suporte ou implementacao usam guias proprios, alinhe-os com as instrucoes oficiais antes do lancamento.

4. Atribuir supervisao humana

Supervisao humana nao se cumpre apenas nomeando uma equipa numa policy. O artigo 26 exige pessoas naturais com competencia, formacao, autoridade e suporte. O registo deve mostrar funcoes ou nomes, treino, poderes de decisao e pontos de intervencao.

Por workflow, confirme se o reviewer entende o output, tem contexto suficiente, pode substituir, pausar, escalar ou recusar, e sabe quando o sistema esta fora do uso aprovado.

5. Inputs, monitorizacao e logs

Quando o implantador controla dados de entrada, estes devem ser relevantes e suficientemente representativos para a finalidade. Podem incluir dados de clientes, RH, tickets, documentos, prompts, labels, campos CRM, transacoes ou configuracoes. Documente controlos de qualidade, dados excluidos, dados obsoletos, riscos de bias ou representatividade e owner de remediacao.

Os implantadores devem monitorizar a operacao com base nas instrucoes. Sinais uteis incluem tickets de suporte, queixas, taxas de override, sampling, incidentes, drift, avisos do fornecedor, uso indevido ou correcoes manuais repetidas.

Logs automaticos sob controlo do implantador devem ser mantidos por periodo adequado e pelo menos seis meses, salvo outra norma. Registe que logs existem, quem os controla, retencao, acesso, restricoes de security, privacy review, exportacao e recuperacao em incidente.

6. Avisos, impacto e escalada

Antes de usar um sistema de IA de alto risco no local de trabalho, empregadores implantadores devem informar representantes dos trabalhadores e trabalhadores afetados quando aplicavel. Dependendo do sistema e do artigo 50, tambem podem ser necessarios avisos a pessoas sujeitas a interacoes ou decisoes assistidas por IA.

O artigo 27 pode exigir fundamental rights impact assessment para certos implantadores. O artigo 26 tambem liga informacoes do fornecedor a DPIAs sob GDPR quando aplicavel. Documente decisao, factos, owner e triggers de reavaliacao.

Se o uso conforme as instrucoes puder criar risco, a rota deve incluir fornecedor ou distribuidor, autoridade de vigilancia de mercado e suspensao. Em incidentes graves, inclua legal, security, privacy e comunicacao com clientes.

7. Evidence pack e reavaliacao

Organize evidencias em torno de decisoes: papel, classificacao, instrucoes, uso aprovado, supervisao, formacao, controlos de input, monitorizacao, retencao de logs, avisos, decisao de impact assessment, contactos do fornecedor, rota de incidente e triggers.

Reabra a checklist quando mudarem instrucoes, versao, workflow, segmento de cliente, inputs, automacao, revisao humana, queixas, logs, incidentes ou orientacoes oficiais.

FAQ

Qual e o objetivo pratico?

Mostrar que a equipa segue instrucoes, atribui supervisao competente, monitoriza uso, controla inputs relevantes, conserva logs, gere avisos e escala riscos.

Quando se aplica a equipas SaaS?

Quando a equipa usa um sistema de IA sob a sua autoridade num processo de negocio, sobretudo em usos de alto risco ou workflows de clientes, colaboradores, candidatos, fraude, seguranca ou operacoes.

O que documentar primeiro?

Um registo por workflow de IA: papel, classificacao, instrucoes, uso aprovado, supervisao, monitorizacao, logs, avisos, decisao de impact assessment, rota de incidente e triggers.

Fontes

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission AI Act Service Desk, Article 26.
• European Commission AI Act Service Desk, Article 27.
• European Commission AI Act Service Desk, Article 50.
• European Commission AI Act Service Desk, Article 4.