EU AI Act: A Comissão Europeia Emite Diretrizes para Relato de Incidentes
Em 26 de setembro de 2025, a Comissão Europeia (CE) publicou um rascunho de diretrizes sobre os requisitos de relato de incidentes sérios para sistemas de IA de alto risco, conforme o EU AI Act. Para as organizações que desenvolvem ou implantam sistemas de IA que possam se enquadrar no escopo de sistemas de IA de alto risco, entender essas novas obrigações de relato é essencial para o planejamento de conformidade.
Pontos Principais
- A Comissão publicou um modelo de relato de incidentes e um documento de diretrizes em 26 de setembro de 2025.
- Os provedores de sistemas de IA de alto risco serão obrigados a relatar “incidentes sérios” às autoridades nacionais.
- Os prazos de relato variam de dois (2) a quinze (15) dias, dependendo da gravidade e tipo do incidente.
- A consulta pública está aberta até 7 de novembro de 2025.
Compreendendo o Quadro de Relato de Incidentes
O Artigo 73 do EU AI Act estabelece um sistema de relato em camadas para incidentes sérios envolvendo sistemas de IA de alto risco. Embora esses requisitos não entrem em vigor até agosto de 2026, as diretrizes recém-publicadas oferecem valiosos insights sobre as expectativas da Comissão.
O quadro de relato serve a múltiplos propósitos: criar um sistema de alerta precoce para padrões prejudiciais, estabelecer uma responsabilidade clara para provedores e usuários, possibilitar medidas corretivas oportunas e fomentar a transparência para construir a confiança pública nas tecnologias de IA.
O Que Qualifica Como um “Incidente Sério”?
De acordo com o Artigo 3(49) da Lei, um incidente sério ocorre quando um incidente ou mau funcionamento de um sistema de IA leva direta ou indiretamente a:
- Morte de uma pessoa ou dano sério à saúde de uma pessoa;
- Interrupção grave e irreversível de infraestruturas críticas;
- Violação das obrigações de direitos fundamentais sob a lei da UE;
- Dano sério à propriedade ou ao meio ambiente.
Um aspecto importante nas diretrizes é a ênfase na causação direta e indireta. Um sistema de IA que fornece uma análise médica incorreta que leva a danos ao paciente por meio de decisões subsequentes de médicos seria classificado como um incidente sério indireto. Isso significa que as organizações devem considerar os efeitos subsequentes em suas estruturas de gerenciamento de riscos.
Interseção com Regimes de Relato Existentes
Para clientes que gerenciam múltiplos frameworks de conformidade, as diretrizes oferecem esclarecimento bem-vindo sobre as obrigações de relato sobrepostas. Sistemas de IA de alto risco já sujeitos a obrigações de relato equivalentes sob outras leis da UE, como NIS2, DORA ou CER, geralmente precisam apenas relatar violações de direitos fundamentais sob a Lei de IA.
Isso reflete a tentativa da Comissão de minimizar os ônus de relato duplicados, embora a implementação prática ainda exija uma cuidadosa coordenação entre as equipes de governança de IA, jurídicas e de conformidade.
Implicações Práticas para as Organizações
As organizações devem começar a mapear seus sistemas de IA de acordo com os critérios de alto risco e preparar processos internos para a detecção, investigação e relato de incidentes. Considerações chave incluem:
- Estabelecer protocolos claros de resposta a incidentes;
- Implementar sistemas de monitoramento para detectar potenciais incidentes sérios;
- Desenvolver procedimentos de investigação que preservem evidências;
- Criar equipes multifuncionais para gerenciar obrigações de relato;
- Atualizar avaliações de risco para considerar cenários de incidentes sérios.
Próximos Passos
É encorajado que os clientes participem da consulta pública, que permanece aberta até 7 de novembro de 2025. A Comissão está particularmente buscando feedback e exemplos sobre a interação com outros regimes de relato.
As organizações também devem começar a revisar suas estruturas de governança de IA para garantir que possam implementar efetivamente esses requisitos de relato quando se tornarem aplicáveis em agosto de 2026.
