28 dias até a aplicação da Lei da IA da UE
Saiba mais →

Lei de IA da UE Artigo 27: Avaliação de Impacto nos Direitos Fundamentais (FRIA)

O Artigo 27 exige que certos desenvolvedores de sistemas de IA de alto risco realizem uma Avaliação de Impacto nos Direitos Fundamentais antes de colocar o sistema em uso. Ele documenta como o sistema será usado, quem será afetado, os riscos para os direitos fundamentais e as medidas de supervisão humana e governança em vigor — e os resultados são notificados à autoridade de vigilância do mercado.

Artigo 27 — Avaliação de Impacto nos Direitos Fundamentais

Lei de IA da UE Artigo 27: Avaliação de Impacto nos Direitos Fundamentais (FRIA)

O Artigo 27 exige que certos desenvolvedores de sistemas de IA de alto risco realizem uma Avaliação de Impacto nos Direitos Fundamentais antes de colocar o sistema em uso. Ele documenta como o sistema será usado, quem será afetado, os riscos para os direitos fundamentais e as medidas de supervisão humana e governança em vigor — e os resultados são notificados à autoridade de vigilância do mercado.

Última atualização: 4 de julho de 2026

Quem Deve Realizar uma FRIA

A obrigação de FRIA recai sobre um conjunto definido de desenvolvedores de sistemas de IA de alto risco, não sobre os prestadores e nem sobre todos os desenvolvedores:

  • Corpos regidos por direito público, e entidades privadas que prestam serviços públicos, quando desenvolvem sistemas de IA de alto risco
  • Desenvolvedores de sistemas de crédito do Anexo III — IA de alto risco usada para avaliar a solvência ou estabelecer uma pontuação de crédito (excluindo detecção de fraude)
  • Desenvolvedores de sistemas de seguros do Anexo III — IA de alto risco usada para avaliação de risco e precificação em seguros de vida e saúde
  • A avaliação deve ser concluída antes que o sistema seja colocado em uso

Onde uma Avaliação de Impacto de Proteção de Dados sob o Artigo 35 do GDPR já cobre alguns dos mesmos aspectos, a FRIA pode se basear nela em vez de duplicá-la.

O que a Avaliação Deve Cobrir

O Artigo 27(1) estabelece os elementos que uma FRIA deve descrever:

  • Uma descrição dos processos do desenvolvedor nos quais o sistema de alto risco será usado, de acordo com seu propósito pretendido
  • O período e frequência sobre os quais o sistema é pretendido para ser usado
  • As categorias de pessoas naturais e grupos provavelmente afetados no contexto específico
  • Os riscos específicos de dano provavelmente afetarão essas categorias de pessoas
  • Uma descrição das medidas de supervisão humana em vigor, de acordo com as instruções de uso
  • As medidas a serem tomadas se os riscos se materializarem, incluindo arranjos de governança interna e mecanismos de reclamação

Notificando a Autoridade

A FRIA não é um exercício puramente interno — seus resultados são relatados ao regulador:

  • Uma vez que a avaliação é realizada, o desenvolvedor notifica a autoridade de vigilância do mercado de seus resultados
  • O Escritório de IA é encarregado de desenvolver um questionário de modelo para ajudar os desenvolvedores a cumprir de forma simplificada
  • A FRIA deve ser atualizada se qualquer um de seus elementos mudar ou não estiver mais atualizado durante o período de uso
  • Ela complementa, e não substitui, as próprias obrigações de conformidade e gestão de riscos do prestador

Como a AIAgentree Ajuda

Uma FRIA tem que descrever medidas de supervisão humana e monitoramento em papel — AIAgentree fornece a evidência em execução de que essas medidas realmente operam:

  • Fluxos de trabalho de supervisão e aprovação humana dão substância concreta às medidas de supervisão que uma FRIA deve descrever, com um registro de quem revisou o que e quando
  • Registros de decisão evidenciáveis e rastreamento de resultados suportam o monitoramento contínuo dos riscos para as pessoas afetadas que uma FRIA compromete
  • Retenção de auditoria (seis meses ou mais) com residência de dados da UE na Alemanha mantém essa evidência de supervisão disponível se a autoridade pedir para ver como a avaliação se desenrola na prática

Perguntas Frequentes

Quem deve fazer uma Avaliação de Impacto nos Direitos Fundamentais?

Certos implantadores de sistemas de IA de alto risco: órgãos regidos por lei pública e entidades privadas que prestam serviços públicos, além de implantadores de sistemas de alto risco do Anexo III usados para avaliação de crédito e para avaliação e precificação de riscos em seguros de vida e saúde. É uma obrigação do implantador, não do provedor.

Quando a Avaliação de Impacto nos Direitos Fundamentais deve ser concluída?

Antes de o implantador colocar o sistema de IA de alto risco em uso. Também deve ser mantida atualizada — se qualquer um de seus elementos mudar ou se tornar obsoleto durante o período de uso, o implantador atualiza a avaliação.

O que uma Avaliação de Impacto nos Direitos Fundamentais deve cobrir?

Os processos e o propósito pretendido do implantador para o sistema, o período e a frequência de uso, as categorias de pessoas e grupos prováveis de serem afetados, os riscos específicos de dano a eles, as medidas de supervisão humana em vigor e as medidas a serem tomadas se os riscos se materializarem, incluindo governança interna e mecanismos de reclamação.

Devemos informar um regulador sobre a Avaliação de Impacto nos Direitos Fundamentais?

Sim. Uma vez que a avaliação é realizada, o implantador notifica a autoridade de vigilância do mercado sobre os resultados. O Escritório de IA está desenvolvendo um questionário de modelo para apoiar uma forma simplificada de cumprir com essa notificação.

Uma Avaliação de Impacto nos Direitos Fundamentais pode reutilizar nossa Avaliação de Impacto de Proteção de Dados da GDPR?

Em parte. Onde uma Avaliação de Impacto de Proteção de Dados sob o Artigo 35 da GDPR já cobre elementos sobrepostos, a Avaliação de Impacto nos Direitos Fundamentais pode construir sobre e complementar em vez de duplicar o trabalho. A Avaliação de Impacto nos Direitos Fundamentais ainda tem seu próprio foco em direitos fundamentais que uma Avaliação de Impacto de Proteção de Dados não substitui completamente.

Continue explorando o guia da Lei de IA da UE

Guia de Conformidade com a Lei de IA da UE

O guia completo para a conformidade com a Lei de IA da UE para agentes de IA — comece aqui.

Artigo 12 — Registro e Logging

O que todo sistema de IA de alto risco deve registrar e como capturá-lo.

Artigo 14 — Supervisão Humana

Desenvolvendo controles eficazes de supervisão humana para decisões de IA.

Anexo III — Sistemas de IA de Alto Risco

Quais casos de uso de IA a Lei classifica como de alto risco.

Lista de Verificação de Conformidade com a Lei de IA da UE

Uma lista de verificação passo a passo para alcançar e documentar a conformidade.

Calculadora de Custo de Conformidade

Estime seu esforço e custo de conformidade com a Lei de IA da UE.

Prazos e Cronograma

Principais datas de aplicação, incluindo o prazo de 2 de agosto de 2026.

Multas e Penalidades

Níveis de penalidade de até €35M ou 7% do faturamento anual global.

Obrigações de Transparência (Art. 13 e 50)

Deveres de divulgação para sistemas de IA e suas saídas.

Gestão de Risco e Avaliação de Conformidade

Desenvolva um sistema de gestão de risco e avalie a conformidade.

Obrigações do GPAI

Regras para provedores de modelos de IA de propósito geral.

Lei de IA da UE para Empresas dos EUA

Âmbito extraterritorial e o que os provedores dos EUA devem fazer.

Atualização Omnibus

As últimas alterações no cronograma e regras da Lei de IA da UE.

Calculadora de Penalidades

Estime sua multa máxima sob os níveis do Artigo 99.

Artigo 11 + Anexo IV

Qual documentação técnica a Lei de IA da UE exige.

Artigo 26: Obrigações do Implementador

O que os implementadores de IA de alto risco devem fazer, incluindo retenção de logs.

Artigo 17: Gestão da Qualidade

O que os provedores de IA de alto risco devem documentar sobre o Sistema de Gestão da Qualidade (QMS).

Artigo 10: Governança de Dados

Qualidade dos dados, mitigação de vieses e deveres de governança.

Artigo 4: Alfabetização em IA

O dever de alfabetização em IA da equipe em vigor desde fevereiro de 2025.

Implementador vs Provedor

Quem assume qual obrigação — e quando um implementador se torna um provedor.

A Quem se Aplica?

Escopo, operadores e alcance extraterritorial da Lei de IA da UE.

Monitoramento Pós-Mercado

Artigos 72–73: monitoramento contínuo e relatórios de incidentes.

ISO 42001 vs Lei de IA da UE

Como o padrão voluntário e a lei vinculante se encaixam.

NIST AI RMF vs Lei de IA da UE

Uma abordagem prática entre o framework e a lei.

Lei de IA da UE para Saúde

IA médica de alto risco, interação com MDR/IVDR e supervisão clínica.

Lei de IA da UE para Serviços Financeiros

Avaliação de crédito, preços de seguros e regulamentação financeira existente.

Lei de IA da UE para RH e Emprego

Contratação de IA como alto risco, além da sobreposição com NYC LL144 e EEOC.