Obrigacoes dos implantadores: guia pratico para equipas SaaS

As obrigacoes dos implantadores no EU AI Act aplicam-se quando uma organizacao usa um sistema de IA sob a sua autoridade. Para equipas SaaS, a questao nao e apenas se o sistema foi construido internamente ou comprado a um fornecedor. A questao operacional e quem controla a utilizacao, se o sistema e de alto risco, que instrucoes do provider devem ser seguidas, quem faz a supervisao humana e que evidencias existem sobre logs, monitorizacao e incidentes.

O artigo 26 exige que implantadores de sistemas de IA de alto risco usem o sistema conforme as instrucoes, atribuam supervisao humana competente, giram dados de entrada quando os controlam, monitorizem a operacao, guardem logs automaticos sob o seu controlo e ajam perante riscos ou incidentes graves. Em certos casos tambem podem existir informacao a trabalhadores, registo, apoio a DPIA ou avaliacao de impacto sobre direitos fundamentais.

Quando isto importa

Uma empresa SaaS pode ser provider para uma funcionalidade de cliente e implantador para uma ferramenta interna ou de terceiros. Exemplos comuns incluem suporte, RH, scoring de risco, fraude, workflows financeiros, queixas ou decisoes que afetam clientes e colaboradores.

A analise deve ser feita por workflow. Um unico documento sobre IA na empresa esconde funcoes diferentes. Separe obrigacoes de implantador, provider, transparencia, privacidade, seguranca, vendor risk e documentacao de cliente.

Registo operacional

Crie um registo para cada workflow relevante. Inclua sistema, fornecedor, processo, finalidade, utilizadores, pessoas afetadas, categorias de dados, geografia, estado de lancamento, instrucoes do provider e documentacao interna.

Depois documente funcao e classificacao: porque a equipa e implantadora, se o caso e de alto risco, que caminho do AI Act se aplica e que perguntas bloqueiam o lancamento. Cada obrigacao deve virar um controlo: instrucoes, supervisao, dados de entrada, logs, monitorizacao, suspensao e escalacao.

Checklist

• Nomear sistema, fornecedor, workflow, finalidade, utilizadores e pessoas afetadas.
• Decidir se a empresa e implantadora, provider ou ambos.
• Verificar alto risco ou outro caminho do AI Act.
• Traduzir instrucoes do provider em SOPs, tickets, criterios de aceitacao e formacao.
• Atribuir supervisao humana com competencia, autoridade e apoio.
• Definir controlos de dados de entrada.
• Clarificar logs, retencao, acesso e exportacao.
• Monitorizar erros, queixas, alteracoes de fornecedor, uso indevido e padroes inesperados.
• Preparar incidentes, suspensao, contacto com provider e escalacao.
• Guardar evidencias com responsavel, data, decisao e proxima revisao.

Erros comuns

O primeiro erro e assumir que o fornecedor cobre tudo. Os documentos ajudam, mas o implantador controla o uso real. O segundo e deixar instrucoes sem passos operacionais. O terceiro e supervisao humana sem autoridade. O quarto e descobrir tarde que os logs nao existem ou nao podem ser exportados.

FAQ

Qual e o objetivo pratico?

Provar que a equipa segue instrucoes, atribui supervisao competente, controla dados de entrada, conserva logs, monitoriza o uso, gere incidentes e reavalia o workflow quando os factos mudam.

Quem deve ser responsavel?

Product ou operacoes possuem os factos do workflow, engineering integracao e logs, security evidencias de fornecedor e monitorizacao, legal/compliance interpretacao e padroes de evidencia.

Fontes

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission AI Act Service Desk, Article 26: Obligations of deployers of high-risk AI systems.
• European Commission AI Act Service Desk, Article 27: Fundamental rights impact assessment for high-risk AI systems.
• European Commission AI Act Service Desk, Article 13: Transparency and provision of information to deployers.