28 dias até a aplicação da Lei da IA da UE
Saiba mais →

Lei de IA da UE: Monitoramento e Relatório de Incidentes Pós-Mercado (Artigos 72–73)

A conformidade não termina quando um sistema de IA de alto risco é enviado. O Artigo 72 exige que os prestadores monitorem sistemas em campo contra um plano documentado, e o Artigo 73 estabelece prazos rigorosos para relatar incidentes graves às autoridades. Ambos alimentam o sistema de gestão de riscos do Artigo 9, para que lições na produção impulsionem mudanças reais.

Artigos 72 e 73 — Monitoramento e Relatório de Incidentes

Lei de IA da UE: Monitoramento e Relatório de Incidentes Pós-Mercado (Artigos 72–73)

A conformidade não termina quando um sistema de IA de alto risco é enviado. O Artigo 72 exige que os prestadores monitorem sistemas em campo contra um plano documentado, e o Artigo 73 estabelece prazos rigorosos para relatar incidentes graves às autoridades. Ambos alimentam o sistema de gestão de riscos do Artigo 9, para que lições na produção impulsionem mudanças reais.

Última atualização: 4 de julho de 2026

Artigo 72: Monitoramento Pós-Mercado

Prestadores de sistemas de IA de alto risco devem ativamente monitorar como seus sistemas se desempenham após serem colocados no mercado ou postos em serviço:

  • Estabeleça e documente um sistema de monitoramento pós-mercado proporcional à natureza da tecnologia de IA e seus riscos
  • Coletar, documentar e analisar dados relevantes sobre o desempenho ao longo da vida útil do sistema, incluindo de desenvolvedores e outras fontes
  • Baseie a atividade em um plano de monitoramento pós-mercado que faz parte da documentação técnica — a Comissão deve fornecer um modelo
  • Use o monitoramento para avaliar a conformidade contínua e detectar problemas que precisam de ação corretiva

Artigo 73: Relatório de Incidentes Graves

Quando algo dá muito errado, o Artigo 73 impõe prazos curtos e escalonados para relatar às autoridades de vigilância do mercado. Um incidente grave inclui morte ou dano grave à saúde, interrupção grave e irreversível de infraestrutura crítica, violação de obrigações de direitos fundamentais ou dano grave à propriedade ou ao meio ambiente:

  • Regra geral: relatar imediatamente após o prestador estabelecer uma ligação causal (ou probabilidade razoável) entre o sistema e o incidente, e no máximo 15 dias após tomar conhecimento
  • Violação generalizada ou interrupção grave e irreversível de infraestrutura crítica: no máximo 2 dias
  • Morte de uma pessoa: no máximo 10 dias
  • Um relatório inicial, possivelmente incompleto, pode ser apresentado primeiro para atender ao prazo, seguido de um relatório completo; o prestador também deve investigar e tomar ação corretiva

O relógio é curto — dias, não meses. Reconstruir o que um agente fez, após o fato, sem um registro duradouro é exatamente onde as equipes são pegos.

O Loop de Feedback para o Artigo 9

Monitoramento e relatório de incidentes não são papelada isolada — eles fecham o loop de volta para a gestão de riscos:

  • Descobertas do monitoramento pós-comercialização alimentam o sistema de gerenciamento de riscos do Artigo 9, que deve ser um processo contínuo e iterativo ao longo do ciclo de vida
  • Incidentes graves e riscos identificados desencadeiam revisão e atualização dos controles de risco e, quando necessário, a documentação técnica
  • Isso torna a conformidade uma disciplina operacional contínua, e não um exercício de conformidade pré-mercado único
  • Boas evidências de produção são o que permite que você relatar com precisão e prove que agiu com base no que encontrou

Como a AIAgentree ajuda

O monitoramento pós-comercialização e a notificação de incidentes dependem de ter um registro confiável do que os agentes realmente fizeram — que é exatamente o que a AIAgentree captura:

  • Rastros de decisão são sua evidência de incidente: registros invioláveis de o que um agente decidiu e por quê dão a você a reconstrução que um relatório de incidente grave precisa, em um prazo de dias
  • Rastreamento de resultados revela deriva e falhas em produção, apoiando a coleta e análise de dados contínua que o monitoramento do Artigo 72 exige
  • Retenção de auditoria (seis meses ou mais) com residência de dados da UE na Alemanha mantém registros invioláveis disponíveis para relatórios e para alimentar lições de volta no seu processo de gerenciamento de riscos

Perguntas Frequentes

O que é monitoramento pós-mercado sob o Ato de IA da UE?

O Artigo 72 exige que os provedores de sistemas de IA de alto risco estabeleçam e documentem um sistema de monitoramento, proporcional aos riscos, que coleta e analisa dados de desempenho ao longo da vida útil do sistema. Ele é executado contra um plano de monitoramento pós-mercado que faz parte da documentação técnica.

Quão rapidamente um incidente grave deve ser relatado?

Sob o Artigo 73, o prazo geral é imediatamente após estabelecer um link causal e no máximo 15 dias após ter conhecimento. Ele é encurtado para 10 dias se uma pessoa morreu e para 2 dias em caso de violação generalizada ou interrupção grave e irreversível de infraestrutura crítica.

O que conta como um incidente grave?

Um incidente grave inclui um incidente ou mau funcionamento que leva à morte ou dano grave à saúde, interrupção grave e irreversível de infraestrutura crítica, violação de obrigações destinadas a proteger direitos fundamentais ou dano grave à propriedade ou ao meio ambiente.

Quem é responsável pelo monitoramento pós-mercado e pelo relatório de incidentes?

Essas são principalmente obrigações do provedor para sistemas de IA de alto risco. Os implantadores contribuem monitorando a operação e informando o provedor ou a autoridade quando relevante, mas o sistema de monitoramento documentado e os relatórios de incidentes graves para a autoridade de vigilância do mercado estão com o provedor.

Como o monitoramento se conecta à gestão de riscos?

As descobertas alimentam o sistema de gestão de riscos do Artigo 9, que é um processo contínuo e iterativo. Incidentes graves e resultados de monitoramento disparam a revisão e atualização dos controles de risco e, quando necessário, a documentação técnica — tornando a conformidade uma disciplina contínua em vez de um exercício único.

Continue explorando o guia da Lei de IA da UE

Guia de Conformidade com a Lei de IA da UE

O guia completo para a conformidade com a Lei de IA da UE para agentes de IA — comece aqui.

Artigo 12 — Registro e Logging

O que todo sistema de IA de alto risco deve registrar e como capturá-lo.

Artigo 14 — Supervisão Humana

Desenvolvendo controles eficazes de supervisão humana para decisões de IA.

Anexo III — Sistemas de IA de Alto Risco

Quais casos de uso de IA a Lei classifica como de alto risco.

Lista de Verificação de Conformidade com a Lei de IA da UE

Uma lista de verificação passo a passo para alcançar e documentar a conformidade.

Calculadora de Custo de Conformidade

Estime seu esforço e custo de conformidade com a Lei de IA da UE.

Prazos e Cronograma

Principais datas de aplicação, incluindo o prazo de 2 de agosto de 2026.

Multas e Penalidades

Níveis de penalidade de até €35M ou 7% do faturamento anual global.

Obrigações de Transparência (Art. 13 e 50)

Deveres de divulgação para sistemas de IA e suas saídas.

Gestão de Risco e Avaliação de Conformidade

Desenvolva um sistema de gestão de risco e avalie a conformidade.

Obrigações do GPAI

Regras para provedores de modelos de IA de propósito geral.

Lei de IA da UE para Empresas dos EUA

Âmbito extraterritorial e o que os provedores dos EUA devem fazer.

Atualização Omnibus

As últimas alterações no cronograma e regras da Lei de IA da UE.

Calculadora de Penalidades

Estime sua multa máxima sob os níveis do Artigo 99.

Artigo 11 + Anexo IV

Qual documentação técnica a Lei de IA da UE exige.

Artigo 26: Obrigações do Implementador

O que os implementadores de IA de alto risco devem fazer, incluindo retenção de logs.

Artigo 17: Gestão da Qualidade

O que os provedores de IA de alto risco devem documentar sobre o Sistema de Gestão da Qualidade (QMS).

Artigo 10: Governança de Dados

Qualidade dos dados, mitigação de vieses e deveres de governança.

Artigo 4: Alfabetização em IA

O dever de alfabetização em IA da equipe em vigor desde fevereiro de 2025.

Implementador vs Provedor

Quem assume qual obrigação — e quando um implementador se torna um provedor.

FRIA (Artigo 27)

Quem deve realizar uma Avaliação de Impacto nos Direitos Fundamentais, e como.

A Quem se Aplica?

Escopo, operadores e alcance extraterritorial da Lei de IA da UE.

ISO 42001 vs Lei de IA da UE

Como o padrão voluntário e a lei vinculante se encaixam.

NIST AI RMF vs Lei de IA da UE

Uma abordagem prática entre o framework e a lei.

Lei de IA da UE para Saúde

IA médica de alto risco, interação com MDR/IVDR e supervisão clínica.

Lei de IA da UE para Serviços Financeiros

Avaliação de crédito, preços de seguros e regulamentação financeira existente.

Lei de IA da UE para RH e Emprego

Contratação de IA como alto risco, além da sobreposição com NYC LL144 e EEOC.