Obrigacoes do fornecedor: guia pratico para equipas SaaS

As obrigacoes do fornecedor no EU AI Act importam quando uma empresa SaaS desenvolve, comercializa, modifica substancialmente ou coloca no mercado da UE um sistema de IA ou modelo GPAI sob o seu nome ou controlo. A pergunta nao e apenas quem escreveu o codigo do modelo. Tambem importa quem define a finalidade, vende a funcionalidade, controla a experiencia do cliente ou altera um sistema de terceiro.

Comece por uma analise de roles por workflow. A empresa pode ser deployer numa ferramenta interna, provider numa funcionalidade de cliente, provider de modelo GPAI numa API, ou novo provider segundo o Article 25 se rebrand, modifica substancialmente ou altera o intended purpose.

Que trilho de obrigacoes

Para sistemas high-risk, o Article 16 inclui conformidade com requisitos, quality management system, documentacao tecnica, logs, conformity assessment, EU declaration of conformity, CE marking, registo, corrective actions, cooperacao com autoridades e accessibility quando aplicavel.

O Article 25 pode deslocar responsabilidade na cadeia de valor. Um deployer, importer, distributor ou terceiro pode tornar-se provider ao usar o seu nome, modificar substancialmente ou alterar a finalidade.

Para modelos GPAI, o Article 53 trata de documentacao tecnica, informacao para downstream providers, politica de copyright, resumo publico de training content e cooperacao com autoridades.

O que documentar primeiro

Registe AI asset, intended purpose, role, risk track, obrigacoes ativadas e evidence. Inclua owner, reviewer, local da documentacao, risk-management file, testes, data governance, vendor documents, conformity status, release ticket, monitoring, incident process, customer documentation e reassessment triggers.

Integrar em product gates

Coloque provider checks em discovery, architecture review, vendor review e release readiness. Product sabe quando escalar, legal recebe factos cedo, engineering sabe que logs e testes contam, compliance sabe onde esta a evidence.

Erros comuns

Nao assuma que o provider e sempre o vendor do modelo. Evite inventarios sem campo de role, documentacao tecnica no fim, perda de downstream information e falta de triggers para substantial modifications.

FAQ

Qual e o objetivo pratico?

Provar que quem desenvolve, vende, modifica ou coloca no mercado um sistema AI ou modelo GPAI consegue demonstrar design, documentacao, avaliacao, monitoring e suporte.

Quando se aplica a SaaS?

Quando a equipa desenvolve, manda desenvolver, vende sob o seu nome, modifica substancialmente, altera finalidade ou fornece um modelo GPAI.

O que documentar primeiro?

Role e classificacao: AI asset, finalidade, contexto cliente, fornecedores, risk track, conclusao, obrigacoes, owner de evidence e reassessment.