A Comissão Europeia Publica Diretrizes Preliminares para Incidentes Sérios de IA Sob a Lei da IA da UE
Em 26 de setembro de 2025, a Comissão Europeia publicou as ‘Diretrizes Preliminares do Artigo 73 da Lei de IA – Relato de Incidentes’ (as Diretrizes Preliminares). Essas diretrizes visam ajudar os fornecedores e implantadores de Sistemas de IA de Alto Risco (conforme definido sob a Lei de Inteligência Artificial da UE) a cumprirem suas obrigações de monitoramento pós-mercado, relatando incidentes sérios e infrações generalizadas de Sistemas de IA de Alto Risco às autoridades nacionais (sob o Artigo 73 da Lei de IA).
Objetivos das Diretrizes Preliminares
As Diretrizes Preliminares têm como objetivo esclarecer definições e obrigações de relato, fornecendo explicações sobre a natureza das obrigações e o que, quando e como relatar, além de oferecer exemplos práticos.
Definições e Obrigações de Relato
As diretrizes detalham os componentes de definições-chave, como um incidente sério, em relação ao qual as obrigações de relato se aplicam. Elas consideram o significado e as circunstâncias em que um incidente ou mau funcionamento do sistema de IA causa, direta ou indiretamente, morte ou danos graves, seja utilizado de acordo com seus propósitos pretendidos ou através de uso razoavelmente previsível.
Por exemplo, as diretrizes esclarecem que o dano sério de infração dos direitos fundamentais inclui os direitos protegidos pela Declaração dos Direitos Fundamentais da UE. No entanto, há um foco em incidentes sérios, sendo que apenas aquelas infrações que interferem significativamente nos direitos protegidos pela UE em larga escala são passíveis de relato. Exemplos incluem:
- IA discriminatória em recrutamento;
- Crédito que exclui categorias específicas de pessoas, como aquelas com nomes de certas regiões;
- Identificação biométrica que frequentemente erra ao identificar indivíduos de determinados contextos.
Sobreposição de Obrigações de Relato
As Diretrizes também esclarecem que o mesmo evento pode acionar obrigações de relato sob diferentes legislações da UE. Elas detalham como a Lei de IA mitiga o risco de sobreposição de obrigações e fadiga de relato, dando exemplos de cenários onde o relato sob a Lei de IA pode ser necessário. Por exemplo:
- De acordo com a Diretiva de Resiliência de Entidades Críticas, entidades em setores essenciais (incluindo energia, água e infraestrutura digital) devem relatar incidentes que interrompam serviços essenciais dentro de 24 horas. Sob a Lei de IA, apenas os incidentes envolvendo violações de direitos fundamentais requerem relato adicional.
- Sob a Lei de Resiliência Operacional Digital, entidades financeiras devem relatar incidentes significativos de TIC e ameaças cibernéticas usando modelos padronizados. Para sistemas de IA em serviços financeiros, apenas incidentes envolvendo direitos fundamentais acionam relato adicional sob a Lei de IA.
Alinhamento com Normas Internacionais
As Diretrizes enfatizam a intenção da UE de alinhar a monitorização de incidentes de IA com normas internacionais, incluindo o Monitor de Incidentes de IA e o Quadro Comum de Relato da Organização para a Cooperação e Desenvolvimento Econômico (OCDE).
Modelo de Relato de Incidentes
A Comissão Europeia também publicou um modelo de ‘Relato de Incidente para Incidentes Sérios sob a Lei de IA (Sistemas de IA de Alto Risco)’ juntamente com as Diretrizes Preliminares. As Diretrizes e o Modelo de Relato estão disponíveis online, e o feedback dos interessados pode ser enviado até 7 de novembro de 2025.
