28 dias até a aplicação da Lei da IA da UE
Saiba mais →

Artigo 26 da Lei de IA da UE: Obrigações do Deployer para IA de Alto Risco

O Artigo 26 estabelece o que os deployers — as organizações que usam um sistema de IA de alto risco sob sua própria autoridade — devem fazer. Ao contrário das obrigações do fornecedor, esses deveres recaem sobre o operador que executa o sistema no mundo real: seguir as instruções, atribuir supervisão humana competente, monitorar a operação, manter os logs e agir quando algo dá errado. Esta página descreve cada dever.

Artigo 26: Imersão Profunda

Artigo 26 da Lei de IA da UE: Obrigações do Deployer para IA de Alto Risco

O Artigo 26 estabelece o que os deployers — as organizações que usam um sistema de IA de alto risco sob sua própria autoridade — devem fazer. Ao contrário das obrigações do fornecedor, esses deveres recaem sobre o operador que executa o sistema no mundo real: seguir as instruções, atribuir supervisão humana competente, monitorar a operação, manter os logs e agir quando algo dá errado. Esta página descreve cada dever.

Última atualização: 4 de julho de 2026

Quem é um Deployer?

Um deployer é qualquer pessoa física ou jurídica que usa um sistema de IA sob sua própria autoridade no curso de uma atividade profissional (indivíduos que usam IA para razões puramente pessoais e não profissionais são excluídos).

As obrigações do deployer estão ao lado, e não em vez das obrigações do fornecedor. O fornecedor constrói e documenta o sistema; o deployer é responsável por como ele é realmente usado. Se um deployer modificar substancialmente um sistema de alto risco ou colocar seu próprio nome nele, ele também pode assumir as obrigações do fornecedor sob o Artigo 25.

Os Deveres Principais do Deployer

O Artigo 26 impõe um conjunto definido de obrigações operacionais aos deployers de sistemas de IA de alto risco:

  • Use de acordo com as instruções — tomar medidas técnicas e organizacionais apropriadas para usar o sistema de acordo com as instruções do fornecedor para uso
  • Atribuir supervisão humana competente — confiar a supervisão a pessoas físicas que tenham a competência, treinamento, autoridade e apoio necessários para exercê-la sob o Artigo 14
  • Controlar os dados de entrada — onde o deployer controla os dados de entrada, garantir que sejam relevantes e suficientemente representativos em vista do propósito pretendido do sistema
  • Monitorar a operação — monitorar a operação do sistema contra as instruções para uso e informar o fornecedor ou distribuidor onde um risco surgir
  • Mantenha os logs gerados automaticamente — reter os logs que o sistema gera automaticamente, na medida em que estejam sob o controle do deployer, por pelo menos seis meses (a menos que um período mais longo seja estabelecido pela lei da União ou nacional)
  • Informar os trabalhadores e representantes — antes de colocar um sistema de alto risco em serviço no local de trabalho, informar os trabalhadores afetados e seus representantes de que estarão sujeitos a ele
  • Avaliação de impacto de proteção de dados — onde relevante, usar as informações fornecidas sob o Artigo 13 para realizar uma avaliação de impacto de proteção de dados sob o RGPD
  • Suspender e informar sobre risco grave — onde o sistema apresenta um risco à saúde, segurança ou direitos fundamentais, ou um incidente grave ocorre, suspender o uso, informar o fornecedor, distribuidor e autoridades relevantes e cooperar

O Piso de Retenção de Log de Seis Meses

Os deployers devem manter os logs gerados automaticamente pelo sistema de IA de alto risco por um período apropriado ao propósito pretendido e, em qualquer caso, por pelo menos seis meses — a menos que um período de retenção mais longo seja exigido pela lei da União ou nacional.

Isso se aplica aos logs que estão sob o controle do deployer. É o contraparte do lado do deployer do design de registro do fornecedor sob os Artigos 12 e 19: o fornecedor constrói a capacidade de registro, e o deployer é responsável por realmente reter e ser capaz de produzir os registros resultantes. As regras setoriais (por exemplo, no setor financeiro ou de saúde) frequentemente estabelecem um piso mais longo, então trate seis meses como o mínimo, não o alvo.

As autoridades públicas que atuam como deployers têm deveres adicionais de transparência e registro sob os Artigos 26 e 49.

Como a AIAgentree Ajuda

A AIAgentree fornece aos deployers um sistema de registro em execução para exatamente os deveres que o Artigo 26 impõe — a retenção de log, o fluxo de trabalho de supervisão e a evidência de monitoramento:

  • Retenção de auditoria mantém os registros de decisão gerados automaticamente bem além do piso de seis meses, com armazenamento com evidência de violação e residência de dados da UE na Alemanha, para que você possa produzir logs por solicitação
  • Fluxos de trabalho de supervisão humana e aprovação capturam quem revisou, aprovou, anulou ou escalonou uma decisão — a evidência de que a supervisão competente foi realmente exercida sob o Artigo 14
  • Rastreamento de resultados, busca de precedentes e captura assíncrona de baixa latência (abaixo de 10ms) fornecem o sinal de monitoramento para detectar quando um sistema está se desviando das instruções para uso, disponível por meio de REST, MCP, A2A, OpenTelemetry e SDKs Python e TypeScript — comece gratuitamente com 25 traços

Perguntas Frequentes

Qual é a diferença entre um fornecedor e um implementador?

O fornecedor desenvolve o sistema de IA e o coloca no mercado ou o põe em serviço sob seu próprio nome; o implementador usa esse sistema sob sua própria autoridade em um contexto profissional. O Artigo 26 regula os implementadores, enquanto os Artigos 8 a 21 regem os fornecedores. Uma organização pode ser ambos.

Por quanto tempo os implementadores devem manter os registros?

Pelo menos seis meses. O Artigo 26(6) exige que os implementadores mantenham os registros gerados automaticamente que estão sob seu controle por um período apropriado para o propósito pretendido e, em qualquer caso, por um mínimo de seis meses, a menos que a lei da União ou a lei nacional exija mais tempo.

Os implementadores devem informar os funcionários de que um sistema de IA está sendo usado?

Sim, quando o sistema é usado no local de trabalho. Antes de colocar um sistema de IA de alto risco em serviço ou uso no local de trabalho, os implementadores devem informar os representantes dos trabalhadores e os trabalhadores afetados de que eles estarão sujeitos ao sistema, de acordo com as regras de informação e consulta.

Quando um implementador se torna um fornecedor?

De acordo com o Artigo 25, um implementador assume as obrigações de fornecedor se colocar seu nome ou marca em um sistema de IA de alto risco já no mercado, fizer uma modificação substancial nele ou modificar o propósito pretendido de um sistema de forma que o torne de alto risco.

O que um implementador deve fazer se o sistema apresentar um risco grave?

Suspender o uso e informar o fornecedor ou distribuidor e a autoridade de vigilância do mercado relevante sem demora. Quando ocorre um incidente grave, o implementador deve relatá-lo e cooperar com as autoridades e o fornecedor sobre medidas corretivas.

Continue explorando o guia da Lei de IA da UE

Guia de Conformidade com a Lei de IA da UE

O guia completo para a conformidade com a Lei de IA da UE para agentes de IA — comece aqui.

Artigo 12 — Registro e Logging

O que todo sistema de IA de alto risco deve registrar e como capturá-lo.

Artigo 14 — Supervisão Humana

Desenvolvendo controles eficazes de supervisão humana para decisões de IA.

Anexo III — Sistemas de IA de Alto Risco

Quais casos de uso de IA a Lei classifica como de alto risco.

Lista de Verificação de Conformidade com a Lei de IA da UE

Uma lista de verificação passo a passo para alcançar e documentar a conformidade.

Calculadora de Custo de Conformidade

Estime seu esforço e custo de conformidade com a Lei de IA da UE.

Prazos e Cronograma

Principais datas de aplicação, incluindo o prazo de 2 de agosto de 2026.

Multas e Penalidades

Níveis de penalidade de até €35M ou 7% do faturamento anual global.

Obrigações de Transparência (Art. 13 e 50)

Deveres de divulgação para sistemas de IA e suas saídas.

Gestão de Risco e Avaliação de Conformidade

Desenvolva um sistema de gestão de risco e avalie a conformidade.

Obrigações do GPAI

Regras para provedores de modelos de IA de propósito geral.

Lei de IA da UE para Empresas dos EUA

Âmbito extraterritorial e o que os provedores dos EUA devem fazer.

Atualização Omnibus

As últimas alterações no cronograma e regras da Lei de IA da UE.

Calculadora de Penalidades

Estime sua multa máxima sob os níveis do Artigo 99.

Artigo 11 + Anexo IV

Qual documentação técnica a Lei de IA da UE exige.

Artigo 17: Gestão da Qualidade

O que os provedores de IA de alto risco devem documentar sobre o Sistema de Gestão da Qualidade (QMS).

Artigo 10: Governança de Dados

Qualidade dos dados, mitigação de vieses e deveres de governança.

Artigo 4: Alfabetização em IA

O dever de alfabetização em IA da equipe em vigor desde fevereiro de 2025.

Implementador vs Provedor

Quem assume qual obrigação — e quando um implementador se torna um provedor.

FRIA (Artigo 27)

Quem deve realizar uma Avaliação de Impacto nos Direitos Fundamentais, e como.

A Quem se Aplica?

Escopo, operadores e alcance extraterritorial da Lei de IA da UE.

Monitoramento Pós-Mercado

Artigos 72–73: monitoramento contínuo e relatórios de incidentes.

ISO 42001 vs Lei de IA da UE

Como o padrão voluntário e a lei vinculante se encaixam.

NIST AI RMF vs Lei de IA da UE

Uma abordagem prática entre o framework e a lei.

Lei de IA da UE para Saúde

IA médica de alto risco, interação com MDR/IVDR e supervisão clínica.

Lei de IA da UE para Serviços Financeiros

Avaliação de crédito, preços de seguros e regulamentação financeira existente.

Lei de IA da UE para RH e Emprego

Contratação de IA como alto risco, além da sobreposição com NYC LL144 e EEOC.