Documentação de sistemas de IA: o que exige o Regulamento da IA

O essencial

  • A documentação de um sistema de IA é o conjunto de provas que demonstra que um sistema foi concebido, testado e monitorizado de forma responsável. Não é o mesmo que utilizar a IA para redigir documentação.
  • Ao abrigo do Regulamento da IA, a documentação técnica é obrigatória para os sistemas de IA de risco elevado. O artigo 11.º exige-a antes da colocação no mercado e impõe mantê-la atualizada.
  • O anexo IV define nove secções que essa documentação deve conter, da descrição geral do sistema ao plano de vigilância pós-comercialização.
  • Artefactos já conhecidos (fichas de modelo, fichas de conjuntos de dados, registos) respondem diretamente a estas obrigações: a maior parte do trabalho consiste em organizar provas que já deveria produzir.
  • Uma base de provas bem estruturada satisfaz em simultâneo o Regulamento da IA, a ISO/IEC 42001 e o NIST AI RMF, razão pela qual a documentação pertence a um processo de governação e não a uma pasta de última hora.
Dossiê de documentação sistema IA para a conformidade com o Regulamento da IA

Documentação de IA e documentação de sistemas de IA: duas coisas distintas

Quem procura «artificial intelligence documentation» encontra sobretudo software: ferramentas que leem documentos (Document AI, processamento inteligente de documentos) ou ferramentas que redigem a documentação por si. Esse significado existe, mas não é aquilo de que uma equipa de conformidade ou de risco precisa. Este guia trata do outro significado: a documentação de sistemas de IA, ou seja, o processo estruturado que descreve como funciona um determinado sistema de IA, com que dados foi treinado, como foi testado, que riscos comporta e como é supervisionado. É o rasto escrito (cada vez mais digital) que permite a um auditor, a uma autoridade ou ao seu próprio conselho confirmar que o sistema faz aquilo que afirma sem causar danos. A distinção importa porque os destinatários são diferentes. Um redator técnico quer produzir um manual mais depressa. O prestador de um sistema de IA de risco elevado tem de demonstrar, quando solicitado, que o sistema cumpre requisitos legais. A autoridade norte-americana NTIA afirma-o com clareza: a documentação é um contributo essencial para a transparência e a avaliação, seja interna ou externa, voluntária ou imposta. A quem diz respeito? Ao abrigo do Regulamento da IA, os prestadores e os responsáveis pela implementação de sistemas de risco elevado assumem as obrigações mais exigentes, e os prestadores de modelos de IA de finalidade geral (GPAI) têm os seus próprios deveres documentais. Se concebe, vende ou implementa IA num setor regulado, o tema diz-lhe respeito, e a plataforma AI Sigil foi concebida para estruturar precisamente estas provas.

Porque a documentação de sistemas de IA é agora uma obrigação legal

Durante anos, documentar a IA foi uma boa prática. O Regulamento da IA transformou-a em obrigação. O artigo 11.º exige que a documentação técnica de um sistema de risco elevado seja elaborada antes da sua colocação no mercado ou colocação em serviço e mantida atualizada. Deve fornecer às autoridades nacionais e aos organismos notificados informação suficiente, de forma clara e completa, para avaliar a conformidade. Este último ponto redefine todo o exercício. A documentação não é redigida para os seus utilizadores, mas para que um terceiro possa verificar a conformidade. Se um avaliador não conseguir seguir as suas provas, o sistema não é comprovadamente conforme, por muito bem concebido que esteja. Dois fatores tornam o tema urgente. O primeiro é o calendário: as obrigações documentais dos sistemas de risco elevado enumerados no anexo III aplicam-se a partir de 2 de agosto de 2026, pelo que as provas têm de existir antes do lançamento, e não depois de um incidente. O segundo é a responsabilização: como sustenta o relatório da NTIA, um registo integrado na avaliação é a base de uma responsabilização de ponta a ponta. A documentação é o que liga uma decisão de conceção a um resultado de teste e, depois, a um comportamento em produção. A AI Sigil foi construída para essa disciplina de rastreabilidade.

O que exige o anexo IV do Regulamento da IA (as nove secções)

O anexo IV é a lista de referência. Estabelece, no mínimo, nove domínios que a documentação técnica deve cobrir para um sistema de risco elevado.

  1. Descrição geral. A finalidade prevista do sistema, o prestador, as versões, a interação com hardware e software e as instruções de utilização.
  2. Processo de desenvolvimento e elementos. Especificações de conceção, arquitetura do sistema, requisitos de dados, metodologia de treino, avaliação da supervisão humana e procedimentos de validação e teste.
  3. Monitorização, funcionamento e controlo. Capacidades e limitações do sistema, exatidão esperada para grupos específicos, resultados não intencionais previsíveis e medidas técnicas de supervisão humana.
  4. Métricas de desempenho. Porque os indicadores escolhidos são adequados para este sistema.
  5. Sistema de gestão de riscos. O processo de gestão de riscos exigido pelo artigo 9.º, com os riscos identificados e as medidas de mitigação.
  6. Alterações no ciclo de vida. Um registo das alterações introduzidas no sistema ao longo da sua vida.
  7. Normas aplicadas. As normas harmonizadas aplicadas ou, na sua ausência, as soluções adotadas para cumprir os requisitos.
  8. Declaração UE de conformidade. A declaração formal referida no artigo 47.º.
  9. Plano de vigilância pós-comercialização. O sistema de acompanhamento do desempenho após a implementação, nos termos do artigo 72.º.

Os prestadores mais pequenos dispõem de um alívio. O Regulamento permite às PME e às empresas em fase de arranque apresentar os elementos do anexo IV de forma simplificada, e a Comissão deve publicar um formulário simplificado dirigido às microempresas e pequenas empresas. O alívio incide sobre a forma, não sobre o conteúdo: as mesmas perguntas exigem resposta, o que torna a ligação de cada secção a um controlo reutilizável particularmente vantajosa.

A cadeia de dependências documentais

O anexo IV parece composto por nove entregáveis separados. Na prática, cada secção é alimentada por outra obrigação que já tem de cumprir. Reconhecer esta cadeia evita escrever duas vezes a mesma documentação.

  • A governação de dados (artigo 10.º) alimenta a secção 2. As suas descrições de conjuntos de dados, registos de proveniência e controlos de qualidade tornam-se a parte de dados do processo de desenvolvimento.
  • A gestão de riscos (artigo 9.º) alimenta a secção 5. O registo de riscos e as provas de mitigação constituem a secção de gestão de riscos, e não uma nota à parte.
  • A conservação de registos (artigo 12.º) alimenta a secção 3. O artigo 12.º obriga os sistemas de risco elevado a conservar registos automáticos ao longo da sua vida; esses registos são a prova operacional da monitorização e do controlo.
  • A transparência (artigo 13.º) alimenta a secção 1. O artigo 13.º exige instruções de utilização claras, e esse mesmo conteúdo ancora a descrição geral.
  • A supervisão humana (artigo 14.º) alimenta as secções 2 e 3. O modo como uma pessoa pode intervir, ignorar ou parar o sistema pertence tanto ao processo de conceção como à descrição do controlo.

A lição é simples: a documentação é um subproduto de uma boa governação. Se os artigos 9.º, 10.º, 12.º, 13.º e 14.º forem corretamente tratados, o anexo IV é sobretudo montagem e não redação.

Os artefactos documentais principais

Não é preciso inventar formatos. O domínio já dispõe de artefactos comprovados, e cada um responde às obrigações acima.

  • Fichas de modelo (model cards). Introduzidas por Mitchell e colegas em 2019, uma ficha de modelo resume a utilização prevista de um modelo, o seu desempenho entre grupos, as suas limitações e as suas considerações éticas. Sustenta as secções 1, 3 e 4 do anexo IV.
  • Fichas de conjuntos de dados (datasheets). Propostas por Gebru e colegas em 2018, uma ficha documenta a motivação, a composição, o processo de recolha e as utilizações recomendadas de um conjunto de dados. Sustenta a secção 2 e a governação de dados subjacente.
  • Fichas de sistema (system cards). Uma visão ao nível do sistema que descreve como os componentes se combinam, utilizada por vários grandes prestadores. Sustenta as secções 1 e 3.
  • Avaliações de impacto sobre a proteção de dados. Quando estão em causa dados pessoais, a AIPD liga a documentação da IA às obrigações existentes do RGPD.
  • Registos e controlo de alterações. Os registos automáticos (artigo 12.º) e um registo de alterações com controlo de versões sustentam as secções 3 e 6.

Para a IA de finalidade geral, o código de conduta GPAI do Serviço para a IA prevê um compromisso de documentação e um formulário de documentação do modelo, oferecendo aos prestadores de GPAI um modelo pronto para a informação que os responsáveis pela implementação a jusante irão solicitar. O relatório da NTIA agrupa estas ferramentas e recomenda que as fichas de modelo, as fichas de dados e as fichas de sistema se tornem prática corrente como contributos de responsabilização.

Uma única base de provas, três quadros

As mesmas provas respondem a mais do que um quadro. É a ideia mais útil para uma equipa de conformidade sob pressão. A ISO/IEC 42001, a norma de sistemas de gestão da IA, contém requisitos generalizados de «informação documentada» na cláusula 7.5 e um conjunto de controlos no anexo A (avaliações de impacto, políticas, registos). O NIST AI RMF exige perfis documentados que captem contexto, medição e monitorização. O Regulamento da IA exige o anexo IV. Lidos lado a lado, estes textos sobrepõem-se amplamente. Uma ficha de dados satisfaz ao mesmo tempo parte da secção 2 do anexo IV, parte dos controlos de gestão de dados da ISO 42001 e parte da função «Map» do NIST. Construa a prova uma vez, associe-a a cada quadro e reutilize-a. Duplicar a documentação por quadro é o desperdício mais comum e mais evitável na governação da IA; a AI Sigil associa um único conjunto de controlos a vários quadros para que a prova seja introduzida uma só vez.

Manter a documentação pronta para auditoria

Produzir a documentação uma vez não é o objetivo. Mantê-la verdadeira é que é. O anexo IV obriga a manter o processo atualizado, e as obrigações de conservação prolongam-se por anos após a retirada de um sistema. Algumas práticas distinguem as equipas prontas para auditoria das restantes.

  • Tratar a documentação como prova viva. Atualizá-la quando o modelo, os dados ou o perfil de risco mudam, e não num ritmo anual.
  • Controlar as versões de tudo. Um avaliador precisa de ver que versão do modelo corresponde a que resultado de teste e a que implementação.
  • Manter uma matriz de rastreabilidade. Associar cada secção do anexo IV (e cada controlo ISO ou NIST) ao artefacto exato que a satisfaz, para que as lacunas surjam antes de uma auditoria as encontrar.
  • Atribuir responsabilidade. Cada artefacto precisa de um responsável designado, ou fica desatualizado.
  • Planear a conservação. Conservar os registos pelo período exigido por lei, que pode ultrapassar largamente a vida ativa do sistema.

É aqui que uma pasta de PDF deixa de funcionar e uma plataforma de governação ocupa o seu lugar. Quando a documentação vive no mesmo sistema que gere controlos, riscos e provas, mantê-la atualizada torna-se um fluxo de trabalho em vez de uma corrida. Veja como a plataforma AI Sigil o resolve.

Perguntas frequentes

O que é a documentação de um sistema de IA? É o processo estruturado que descreve como um sistema de IA foi concebido, treinado, testado e monitorizado e que riscos comporta. Ao abrigo do Regulamento da IA chama-se documentação técnica e é obrigatória para os sistemas de risco elevado. O seu objetivo é permitir que uma autoridade ou um auditor confirmem a conformidade, algo distinto de um manual de utilizador e das ferramentas de IA que redigem documentação. A documentação de IA é obrigatória por lei? Para os sistemas de IA de risco elevado ao abrigo do Regulamento da IA, sim. O artigo 11.º exige documentação técnica antes da colocação no mercado, mantida atualizada. Os prestadores de modelos de IA de finalidade geral têm igualmente deveres documentais. Os sistemas fora das categorias de risco elevado podem exigir documentação mais ligeira ou voluntária, mas a direção da regulação e das normas aponta para mais, e não para menos. O que deve conter a documentação técnica do Regulamento da IA? No mínimo, os nove domínios do anexo IV: descrição geral, processo de desenvolvimento e elementos, monitorização e controlo, justificação das métricas, sistema de gestão de riscos, alterações no ciclo de vida, normas aplicadas, declaração UE de conformidade e plano de vigilância pós-comercialização. Qual é a diferença entre uma ficha de modelo e a documentação técnica? Uma ficha de modelo resume a finalidade, o desempenho e as limitações de um único modelo. A documentação técnica do Regulamento da IA é mais ampla: abrange todo o sistema, os seus dados, a sua gestão de riscos e as suas provas de conformidade. A ficha de modelo é um componente útil da documentação, não um substituto. Quando se aplicam estas obrigações documentais? As obrigações documentais dos sistemas de risco elevado enumerados no anexo III aplicam-se a partir de 2 de agosto de 2026. Como a documentação tem de existir antes da colocação no mercado, as equipas devem construí-la durante o desenvolvimento, e não depois do lançamento. As pequenas empresas podem documentar de forma mais simples? Sim. O Regulamento da IA permite às PME e às empresas em fase de arranque apresentar os elementos do anexo IV de forma simplificada, e a Comissão deve publicar um formulário simplificado para as microempresas e pequenas empresas. A simplificação incide sobre a forma e o esforço, não sobre a omissão das perguntas de fundo.

Conclusão

A documentação de um sistema de IA não é uma tarefa de redação acrescentada no fim. É a prova que transforma afirmações sobre um sistema em algo que uma autoridade, um auditor ou um conselho pode verificar. O Regulamento da IA torna-o explícito através do artigo 11.º e das nove secções do anexo IV, mas os mesmos registos respondem também à ISO/IEC 42001 e ao NIST AI RMF. As equipas que constroem a documentação como subproduto de uma boa governação, com controlo de versões, com responsável e reutilizada, estão prontas quando chega uma avaliação. As que a tratam como burocracia não estão. Veja como a AI Sigil transforma a documentação da IA num fluxo de governação.

Documentação de sistemas de IA: o que exige o Regulamento da IA

A documentação de um sistema de IA prova a sua conformidade. Saiba o que exigem o artigo 11.º e o anexo IV do Regulamento da IA, que artefactos conservar e como estar pronto para auditoria.

O que é um modelo de IA? Tipos, exemplos e governação

Um modelo de IA é um programa treinado com dados para fazer previsões. Conheça os tipos de modelos, exemplos e a sua governação ao abrigo do Regulamento de IA.

NIST AI RMF: O guia completo do framework de gestão de riscos de IA

NIST AI RMF explicado: as quatro funções principais, as sete características de confiabilidade e a correspondência com o Regulamento de IA da UE e a ISO 42001.

Agentes de IA autónomos: o guia de governação e conformidade

Os agentes de IA autónomos agem sem intervenção humana. Inventarie, classifique, supervisione e audite-os segundo o regulamento de IA, o NIST e a ISO 42001.

Auditabilidade da IA: o que torna um sistema auditável (e como prová-lo)

A auditabilidade é a camada de prova da governação da IA. O que torna um sistema de IA auditável segundo o Regulamento da IA, a ISO 42001 e o NIST.

Lei de IA do Colorado (SB 26-189): o que a conformidade ADMT exige em 2027

A Lei de IA do Colorado foi reescrita pela SB 26-189, em vigor a 1 de janeiro de 2027. O que a norma ADMT exige a programadores e implementadores.