Lei de IA da UE: Monitoramento e Relatório de Incidentes Pós-Mercado (Artigos 72–73)
A conformidade não termina quando um sistema de IA de alto risco é enviado. O Artigo 72 exige que os prestadores monitorem sistemas em campo contra um plano documentado, e o Artigo 73 estabelece prazos rigorosos para relatar incidentes graves às autoridades. Ambos alimentam o sistema de gestão de riscos do Artigo 9, para que lições na produção impulsionem mudanças reais.
Lei de IA da UE: Monitoramento e Relatório de Incidentes Pós-Mercado (Artigos 72–73)
A conformidade não termina quando um sistema de IA de alto risco é enviado. O Artigo 72 exige que os prestadores monitorem sistemas em campo contra um plano documentado, e o Artigo 73 estabelece prazos rigorosos para relatar incidentes graves às autoridades. Ambos alimentam o sistema de gestão de riscos do Artigo 9, para que lições na produção impulsionem mudanças reais.
Última atualização: 4 de julho de 2026
Artigo 72: Monitoramento Pós-Mercado
Prestadores de sistemas de IA de alto risco devem ativamente monitorar como seus sistemas se desempenham após serem colocados no mercado ou postos em serviço:
- Estabeleça e documente um sistema de monitoramento pós-mercado proporcional à natureza da tecnologia de IA e seus riscos
- Coletar, documentar e analisar dados relevantes sobre o desempenho ao longo da vida útil do sistema, incluindo de desenvolvedores e outras fontes
- Baseie a atividade em um plano de monitoramento pós-mercado que faz parte da documentação técnica — a Comissão deve fornecer um modelo
- Use o monitoramento para avaliar a conformidade contínua e detectar problemas que precisam de ação corretiva
Artigo 73: Relatório de Incidentes Graves
Quando algo dá muito errado, o Artigo 73 impõe prazos curtos e escalonados para relatar às autoridades de vigilância do mercado. Um incidente grave inclui morte ou dano grave à saúde, interrupção grave e irreversível de infraestrutura crítica, violação de obrigações de direitos fundamentais ou dano grave à propriedade ou ao meio ambiente:
- Regra geral: relatar imediatamente após o prestador estabelecer uma ligação causal (ou probabilidade razoável) entre o sistema e o incidente, e no máximo 15 dias após tomar conhecimento
- Violação generalizada ou interrupção grave e irreversível de infraestrutura crítica: no máximo 2 dias
- Morte de uma pessoa: no máximo 10 dias
- Um relatório inicial, possivelmente incompleto, pode ser apresentado primeiro para atender ao prazo, seguido de um relatório completo; o prestador também deve investigar e tomar ação corretiva
O relógio é curto — dias, não meses. Reconstruir o que um agente fez, após o fato, sem um registro duradouro é exatamente onde as equipes são pegos.
O Loop de Feedback para o Artigo 9
Monitoramento e relatório de incidentes não são papelada isolada — eles fecham o loop de volta para a gestão de riscos:
- Descobertas do monitoramento pós-comercialização alimentam o sistema de gerenciamento de riscos do Artigo 9, que deve ser um processo contínuo e iterativo ao longo do ciclo de vida
- Incidentes graves e riscos identificados desencadeiam revisão e atualização dos controles de risco e, quando necessário, a documentação técnica
- Isso torna a conformidade uma disciplina operacional contínua, e não um exercício de conformidade pré-mercado único
- Boas evidências de produção são o que permite que você relatar com precisão e prove que agiu com base no que encontrou
Como a AIAgentree ajuda
O monitoramento pós-comercialização e a notificação de incidentes dependem de ter um registro confiável do que os agentes realmente fizeram — que é exatamente o que a AIAgentree captura:
- Rastros de decisão são sua evidência de incidente: registros invioláveis de o que um agente decidiu e por quê dão a você a reconstrução que um relatório de incidente grave precisa, em um prazo de dias
- Rastreamento de resultados revela deriva e falhas em produção, apoiando a coleta e análise de dados contínua que o monitoramento do Artigo 72 exige
- Retenção de auditoria (seis meses ou mais) com residência de dados da UE na Alemanha mantém registros invioláveis disponíveis para relatórios e para alimentar lições de volta no seu processo de gerenciamento de riscos
Perguntas Frequentes
O que é monitoramento pós-mercado sob o Ato de IA da UE?
O Artigo 72 exige que os provedores de sistemas de IA de alto risco estabeleçam e documentem um sistema de monitoramento, proporcional aos riscos, que coleta e analisa dados de desempenho ao longo da vida útil do sistema. Ele é executado contra um plano de monitoramento pós-mercado que faz parte da documentação técnica.
Quão rapidamente um incidente grave deve ser relatado?
Sob o Artigo 73, o prazo geral é imediatamente após estabelecer um link causal e no máximo 15 dias após ter conhecimento. Ele é encurtado para 10 dias se uma pessoa morreu e para 2 dias em caso de violação generalizada ou interrupção grave e irreversível de infraestrutura crítica.
O que conta como um incidente grave?
Um incidente grave inclui um incidente ou mau funcionamento que leva à morte ou dano grave à saúde, interrupção grave e irreversível de infraestrutura crítica, violação de obrigações destinadas a proteger direitos fundamentais ou dano grave à propriedade ou ao meio ambiente.
Quem é responsável pelo monitoramento pós-mercado e pelo relatório de incidentes?
Essas são principalmente obrigações do provedor para sistemas de IA de alto risco. Os implantadores contribuem monitorando a operação e informando o provedor ou a autoridade quando relevante, mas o sistema de monitoramento documentado e os relatórios de incidentes graves para a autoridade de vigilância do mercado estão com o provedor.
Como o monitoramento se conecta à gestão de riscos?
As descobertas alimentam o sistema de gestão de riscos do Artigo 9, que é um processo contínuo e iterativo. Incidentes graves e resultados de monitoramento disparam a revisão e atualização dos controles de risco e, quando necessário, a documentação técnica — tornando a conformidade uma disciplina contínua em vez de um exercício único.
Continue explorando o guia da Lei de IA da UE
Guia de Conformidade com a Lei de IA da UE
O guia completo para a conformidade com a Lei de IA da UE para agentes de IA — comece aqui.
Artigo 12 — Registro e Logging
O que todo sistema de IA de alto risco deve registrar e como capturá-lo.
Artigo 14 — Supervisão Humana
Desenvolvendo controles eficazes de supervisão humana para decisões de IA.
Anexo III — Sistemas de IA de Alto Risco
Quais casos de uso de IA a Lei classifica como de alto risco.
Lista de Verificação de Conformidade com a Lei de IA da UE
Uma lista de verificação passo a passo para alcançar e documentar a conformidade.
Calculadora de Custo de Conformidade
Estime seu esforço e custo de conformidade com a Lei de IA da UE.
Prazos e Cronograma
Principais datas de aplicação, incluindo o prazo de 2 de agosto de 2026.
Multas e Penalidades
Níveis de penalidade de até €35M ou 7% do faturamento anual global.
Obrigações de Transparência (Art. 13 e 50)
Deveres de divulgação para sistemas de IA e suas saídas.
Gestão de Risco e Avaliação de Conformidade
Desenvolva um sistema de gestão de risco e avalie a conformidade.
Obrigações do GPAI
Regras para provedores de modelos de IA de propósito geral.
Lei de IA da UE para Empresas dos EUA
Âmbito extraterritorial e o que os provedores dos EUA devem fazer.
Atualização Omnibus
As últimas alterações no cronograma e regras da Lei de IA da UE.
Calculadora de Penalidades
Estime sua multa máxima sob os níveis do Artigo 99.
Artigo 11 + Anexo IV
Qual documentação técnica a Lei de IA da UE exige.
Artigo 26: Obrigações do Implementador
O que os implementadores de IA de alto risco devem fazer, incluindo retenção de logs.
Artigo 17: Gestão da Qualidade
O que os provedores de IA de alto risco devem documentar sobre o Sistema de Gestão da Qualidade (QMS).
Artigo 10: Governança de Dados
Qualidade dos dados, mitigação de vieses e deveres de governança.
Artigo 4: Alfabetização em IA
O dever de alfabetização em IA da equipe em vigor desde fevereiro de 2025.
Implementador vs Provedor
Quem assume qual obrigação — e quando um implementador se torna um provedor.
FRIA (Artigo 27)
Quem deve realizar uma Avaliação de Impacto nos Direitos Fundamentais, e como.
A Quem se Aplica?
Escopo, operadores e alcance extraterritorial da Lei de IA da UE.
ISO 42001 vs Lei de IA da UE
Como o padrão voluntário e a lei vinculante se encaixam.
NIST AI RMF vs Lei de IA da UE
Uma abordagem prática entre o framework e a lei.
Lei de IA da UE para Saúde
IA médica de alto risco, interação com MDR/IVDR e supervisão clínica.
Lei de IA da UE para Serviços Financeiros
Avaliação de crédito, preços de seguros e regulamentação financeira existente.
Lei de IA da UE para RH e Emprego
Contratação de IA como alto risco, além da sobreposição com NYC LL144 e EEOC.