·

AI Safety in Healthcare

Saúde

Healthcare IT / CIO

Lei da IA da UE explicada: o que as organizações de saúde precisam de saber

Um guia completo sobre a Lei da IA da UE para organizações de saúde. Compreenda as classificações de risco, os prazos de conformidade e as obrigações para implementadores e fornecedores

EU regulations document with healthcare compliance requirements

A Lei da IA da UE (Regulamento UE 2024/1689) é o primeiro quadro jurídico abrangente para a regulamentação da inteligência artificial, ou IA, na União Europeia. Foi adotada pelo Parlamento Europeu em março de 2024 e publicada no Jornal Oficial da União Europeia em julho de 2024. Para as organizações de saúde, acrescenta uma nova camada de obrigações juridicamente vinculativas aos quadros existentes. Hospitais, consultórios de medicina geral e fornecedores de tecnologia de saúde que operam ou prestam serviços nos mercados da UE precisam de compreender o que a Lei exige, quando esses requisitos se aplicam e quem é responsável por cumpri-los.

O que é a Lei da IA da UE

A Lei da IA da UE estabelece um quadro jurídico unificado para os sistemas de IA utilizados em todos os setores da União Europeia. O seu objetivo declarado é garantir que os sistemas de IA colocados no mercado da UE ou utilizados nele sejam seguros, transparentes, rastreáveis, não discriminatórios e sujeitos a supervisão humana.

A Lei aplica-se não apenas a organizações sediadas na UE, mas também a fornecedores e utilizadores fora da UE cujos sistemas de IA afetem pessoas dentro dela, conferindo-lhe um alcance extraterritorial significativo.

O regulamento está estruturado em torno de um sistema de classificação baseado no risco, com obrigações proporcionais ao dano potencial que um sistema de IA pode causar. Introduz também novas estruturas de governação, incluindo o Gabinete Europeu para a IA, que integra a Comissão Europeia e supervisiona a aplicação das regras relativas aos modelos de IA de uso geral, ou GPAI. Um modelo GPAI é um modelo de IA de grande dimensão treinado em conjuntos de dados abrangentes, capaz de executar uma vasta gama de tarefas.

Quando entra em vigor a Lei da IA da UE

A Lei entrou em vigor em 1 de agosto de 2024, mas as obrigações estão a ser introduzidas através de um calendário de implementação faseado, em vez de uma única data de entrada em vigor. Os decisores no setor da saúde devem estar atentos aos seguintes marcos principais:

  • Fevereiro de 2025: Aplicam-se as proibições de sistemas de IA de risco inaceitável. A obrigação de literacia em IA para todas as organizações que implementam IA também entra em vigor nesta data, exigindo que o pessoal que trabalha com sistemas de IA tenha conhecimentos suficientes para os utilizar adequadamente.

  • Agosto de 2025: Tornam-se aplicáveis as regras que regem os modelos GPAI, incluindo modelos de base que sustentam muitas ferramentas clínicas de IA.

  • Agosto de 2026: As obrigações essenciais para sistemas de IA de alto risco, incluindo avaliações de conformidade, documentação técnica e requisitos de supervisão humana, aplicam-se na íntegra. Este é o prazo crítico de conformidade para a maioria da IA clínica.

  • Agosto de 2027: Aplica-se um período de transição alargado especificamente aos sistemas de IA já regulamentados como dispositivos médicos ao abrigo do Regulamento dos Dispositivos Médicos (MDR) ou do Regulamento dos Dispositivos Médicos de Diagnóstico In Vitro (IVDR), que requerem avaliação por Organismo Notificado. Estes sistemas têm um ano adicional para cumprir os requisitos do Artigo 6.º(1) da Lei da IA.

A Comissão Europeia propôs ajustes ao calendário das regras de alto risco através da iniciativa Digital Omnibus, que aborda desafios de implementação, incluindo atrasos no desenvolvimento de normas harmonizadas. As organizações de saúde devem acompanhar este processo, pois pode afetar quando determinados requisitos de documentação de conformidade se tornam exequíveis na prática.

Por que a saúde é um setor prioritário ao abrigo da Lei

A saúde é explicitamente identificada como um domínio de alto risco na Lei da IA porque os sistemas de IA utilizados em contextos clínicos podem afetar diretamente a segurança dos doentes, o acesso aos cuidados e os direitos fundamentais. Um sistema de IA que influencia uma decisão de diagnóstico, recomenda um percurso de tratamento ou faz triagem de doentes com base na urgência prevista tem um potencial material de dano se for impreciso, enviesado ou utilizado sem supervisão humana adequada.

A orientação de saúde pública da Comissão Europeia sobre IA na saúde observa que os sistemas de IA de alto risco destinados a fins médicos devem cumprir requisitos relativos à mitigação de riscos, qualidade dos dados, transparência e supervisão humana. Isto reflete um reconhecimento mais amplo de que os riscos na saúde diferem fundamentalmente dos de setores como o marketing ou a logística.

Uma análise comparativa de quadros de governação de IA em cinco jurisdições concluiu que os esquemas de classificação de risco para IA na saúde estão a convergir internacionalmente, com a abordagem da UE a servir de modelo influente, particularmente na forma como distingue entre IA que apoia a tomada de decisões e IA que pode influenciar autonomamente os resultados clínicos.

Como a Lei da IA da UE classifica os sistemas de IA

A Lei organiza os sistemas de IA em quatro categorias de risco, cada uma com um nível diferente de obrigação regulamentar.

Risco inaceitável

Os sistemas de IA que representam uma ameaça clara aos direitos fundamentais ou à segurança são totalmente proibidos. Exemplos incluem sistemas de pontuação social utilizados por autoridades públicas e IA que explora vulnerabilidades psicológicas. Estas proibições aplicam-se a partir de fevereiro de 2025.

Alto risco

Sistemas de IA que representam riscos significativos para a saúde, segurança ou direitos fundamentais, mas cujos benefícios podem justificar a sua utilização sob condições rigorosas. Estes sistemas devem cumprir requisitos de conformidade extensos antes da implementação. A IA na saúde enquadra-se predominantemente nesta categoria.

Risco limitado

Sistemas de IA com obrigações específicas de transparência, como chatbots que devem informar que são IA. Muitas ferramentas digitais voltadas para o doente enquadram-se aqui.

Risco mínimo

Sistemas de IA sem requisitos regulamentares específicos ao abrigo da Lei, como filtros de spam ou IA utilizada em videojogos.

Uma categoria separada abrange os modelos GPAI. Estes grandes modelos de base sustentam muitas ferramentas clínicas de linguagem e têm as suas próprias obrigações, independentemente do nível de risco da aplicação a jusante construída sobre eles.

Que sistemas de IA na saúde são classificados como de alto risco

O Anexo III da Lei da IA especifica as categorias de sistemas de IA de alto risco. Para a saúde, o mais relevante é o ponto 5(a) do Anexo III: sistemas de IA destinados a serem utilizados como componentes de segurança de dispositivos médicos, ou como sistemas de IA autónomos que são eles próprios dispositivos médicos. A Lei abrange sistemas de IA utilizados para:

  • Diagnóstico e apoio à decisão clínica: incluindo ferramentas de IA que auxiliam na identificação de doenças, interpretação de imagiologia médica ou recomendação de percursos de diagnóstico

  • Recomendações de tratamento: sistemas de IA que sugerem ou priorizam opções de tratamento para doentes individuais

  • Triagem de doentes: sistemas que atribuem prioridade ou urgência clínica

  • Monitorização de doentes: ferramentas de IA que avaliam continuamente o estado do doente e sinalizam deterioração

Uma análise revista por pares na npj Digital Medicine concluiu que aproximadamente 75% dos dispositivos médicos comerciais com IA estão na radiologia, e todos exceto um são classificados como Classe IIa ou superior ao abrigo do MDR, o que significa que a maioria da IA clínica implementada será tratada como de alto risco ao abrigo da Lei da IA.

Os assistentes virtuais de saúde e chatbots clínicos alimentados por IA ocupam uma posição mais matizada. Quando fornecem informações clínicas que podem influenciar as decisões dos doentes, podem ser classificados como de alto risco. Quando funcionam principalmente como interfaces de comunicação, podem aplicar-se obrigações de transparência de risco limitado.

O que a Lei da IA da UE significa para dispositivos médicos de IA e sobreposição com o MDR

Um dos aspetos mais complexos da Lei da IA para as organizações de saúde é a sua relação com a regulamentação existente de dispositivos médicos. Para mais informações sobre por que as ferramentas de documentação de IA precisam de se enquadrar no quadro do MDR, consulte esta análise. Os sistemas de IA já regulamentados como dispositivos médicos ao abrigo do MDR ou IVDR estão sujeitos a ambos os quadros simultaneamente, e as obrigações não se fundem simplesmente.

A análise jurídica da Reed Smith descreve isto como um quadro de dupla conformidade. Os sistemas de IA de dispositivos médicos classificados como MDR Classe IIa, IIb ou III, ou IVDR Classe A a D, geralmente qualificam-se como de alto risco ao abrigo da Lei da IA. A Lei da IA acrescenta então requisitos relativos à qualidade dos dados, governação de dados, manutenção de registos, transparência, responsabilização e supervisão humana que vão além do que o MDR exige.

As organizações podem integrar os requisitos da Lei da IA na documentação existente do sistema de gestão da qualidade (QMS), e é permitida uma única avaliação de conformidade quando o Organismo Notificado está acreditado ao abrigo de ambos os quadros. No entanto, as organizações de saúde não devem presumir que a conformidade com o MDR é suficiente. O briefing da Hunton Andrews Kurth é explícito quanto ao facto de a Lei da IA introduzir obrigações adicionais, incluindo a notificação de incidentes às Autoridades de Vigilância do Mercado no prazo de 15 dias para incidentes graves, que não têm equivalente direto no MDR.

A análise da White & Case observa ainda que a Lei da IA, o MDR e a Diretiva de Responsabilidade por Produtos revista formam em conjunto o que descrevem como um "triângulo regulamentar" que reforça a responsabilidade dos fabricantes de dispositivos médicos alimentados por IA, uma consideração relevante para decisões de aquisição, bem como para o planeamento de conformidade interno.

Principais obrigações de conformidade para IA de alto risco na saúde

As organizações que implementam ou fornecem sistemas de IA de alto risco na saúde devem cumprir um conjunto substancial de requisitos. As obrigações essenciais ao abrigo da Lei incluem:

Avaliação de conformidade

Os sistemas de IA de alto risco devem ser submetidos a uma avaliação de conformidade antes de serem colocados no mercado ou postos em serviço. Para dispositivos médicos de IA já sujeitos a revisão por Organismo Notificado ao abrigo do MDR, este processo pode ser integrado no percurso de avaliação existente.

Documentação técnica

Os fornecedores devem manter documentação técnica abrangente que cubra o design do sistema, metodologia de desenvolvimento, características dos dados de treino, métricas de desempenho e limitações conhecidas. Esta documentação deve ser mantida atualizada ao longo do ciclo de vida do sistema.

Mecanismos de supervisão humana

Os sistemas de IA de alto risco devem ser concebidos para permitir a supervisão humana, incluindo a capacidade dos utilizadores de monitorizar, compreender e, quando necessário, anular ou interromper os resultados do sistema.

Obrigações de transparência

Os fornecedores devem garantir que os utilizadores são informados de que estão a interagir com ou a confiar num sistema de IA. Para ferramentas clínicas, isto inclui a divulgação clara do papel da IA na geração de resultados, como sugestões de diagnóstico ou documentação clínica.

Governação de dados

Os dados de treino, validação e teste devem cumprir padrões de qualidade. Os dados devem ser relevantes, representativos e livres de erros suscetíveis de produzir resultados discriminatórios ou inseguros.

Monitorização pós-comercialização

Os fornecedores devem implementar sistemas para recolher e analisar dados de desempenho após a implementação, e notificar incidentes graves à autoridade nacional relevante.

Literacia em IA

Aplicável a partir de fevereiro de 2025, todas as organizações que implementam sistemas de IA devem garantir que o pessoal que trabalha com esses sistemas tem conhecimentos suficientes para compreender as suas capacidades e limitações. A HIMSS observou que esta obrigação se aplica a todos os níveis de risco, não apenas aos sistemas de alto risco.

Uma revisão de âmbito publicada na npj Digital Medicine que sintetiza evidências sobre quadros de governação de IA em organizações de saúde identificou a supervisão humana, a transparência e a monitorização pós-implementação como os componentes mais consistentemente citados de uma governação eficaz, alinhando-se estreitamente com o que a Lei agora exige.

Quem é responsável: fornecedores de IA vs. utilizadores

A Lei da IA estabelece uma distinção jurídica clara entre duas categorias de partes obrigadas.

Fornecedores

Os fornecedores são organizações que desenvolvem um sistema de IA, o colocam no mercado ou o põem em serviço sob o seu próprio nome ou marca comercial. Isto inclui fornecedores de IA, programadores de software e empresas de tecnologia de saúde.

Utilizadores

Os utilizadores são organizações que utilizam um sistema de IA de alto risco sob a sua própria autoridade num contexto profissional. Na saúde, isto significa hospitais, consultórios de medicina geral, sistemas de cuidados integrados e qualquer outra organização que utilize uma ferramenta de IA de terceiros em fluxos de trabalho clínicos ou administrativos.

Esta distinção é importante porque ambas as partes têm obrigações distintas e intransferíveis. Os fornecedores são responsáveis por garantir que os seus sistemas cumprem os requisitos técnicos e de documentação antes da implementação. Os utilizadores são responsáveis por garantir que os sistemas são utilizados adequadamente, que a supervisão humana está em vigor e que o pessoal está suficientemente formado.

A análise da revista Diagnostic and Interventional Radiology é clara ao afirmar que as organizações de saúde que atuam como utilizadores não podem simplesmente confiar na conformidade do fornecedor. Devem verificar ativamente que os sistemas de IA que utilizam cumprem os requisitos da Lei e que os processos internos apoiam a utilização conforme.

Uma nuance importante: as organizações de saúde que desenvolvem ferramentas de IA internamente para uso próprio podem qualificar-se para uma isenção limitada, mas apenas sob condições específicas, e a Lei ainda exige a adesão a padrões de qualidade de dados e transparência.

O que a supervisão humana realmente significa num contexto clínico

O requisito de supervisão humana da Lei não é simplesmente uma formalidade legal. Reflete um princípio fundamental: decisões relevantes que afetam doentes não devem ser delegadas inteiramente a sistemas automatizados.

Na prática, a supervisão humana significativa em fluxos de trabalho clínicos significa:

  • Um clínico que revê a documentação clínica gerada por IA antes de ser guardada no registo do doente, em vez de a aceitar sem revisão

  • Um radiologista que examina um achado sinalizado por IA e faz um julgamento clínico independente antes de agir sobre ele

  • Um enfermeiro de triagem que avalia uma pontuação de prioridade gerada por IA no contexto da observação direta do doente, em vez de a tratar como uma instrução definitiva

  • O pessoal clínico que tem a capacidade técnica e a permissão organizacional para anular ou ignorar um resultado de IA quando o julgamento clínico o justifica

Um comentário do BMJ Health Care Informatics que propõe uma abordagem estratificada por risco à governação de modelos de linguagem de grande dimensão na prática clínica argumenta que a supervisão significativa requer não apenas mecanismos técnicos, mas também cultura organizacional. Os clínicos devem sentir-se capacitados para questionar os resultados da IA, e as estruturas de governação devem apoiar esse comportamento.

A Lei exige que os sistemas de IA de alto risco sejam concebidos com mecanismos de supervisão incorporados por defeito, não adicionados posteriormente. As organizações de saúde que avaliam ferramentas de IA devem analisar se o design do produto apoia genuinamente a revisão do clínico, ou se as pressões do fluxo de trabalho tornam a aprovação automática dos resultados da IA o caminho de menor resistência.

Governação de dados e RGPD: como os dois quadros interagem

A Lei da IA introduz obrigações de governação de dados que coexistem com, mas não substituem, os requisitos existentes ao abrigo do Regulamento Geral sobre a Proteção de Dados (RGPD). As organizações de saúde que operam sob ambos os quadros precisam de compreender que a conformidade com o RGPD não satisfaz automaticamente os requisitos de dados da Lei da IA.

Enquanto o RGPD se concentra no tratamento lícito de dados pessoais, as disposições de governação de dados da Lei da IA concentram-se especificamente na qualidade e adequação dos dados utilizados para treinar, validar e testar sistemas de IA. A Lei exige que os conjuntos de dados de treino sejam:

  • Relevantes e suficientemente representativos do caso de uso pretendido

  • Livres de erros e lacunas de completude que possam causar resultados inseguros

  • Examinados quanto a potenciais enviesamentos que possam levar a resultados discriminatórios em contextos clínicos

O comentário revisto por pares da npj Digital Medicine destaca que os sistemas de IA treinados em conjuntos de dados que sub-representam certas populações de doentes, por idade, etnia, sexo ou perfil de comorbilidade, podem produzir resultados sistematicamente piores para esses grupos, com implicações diretas na segurança do doente. Os requisitos de governação de dados da Lei destinam-se a abordar este risco.

A residência de dados é uma consideração adicional. As organizações de saúde que adquirem ferramentas de IA de fornecedores não pertencentes à UE devem confirmar onde os dados dos doentes são processados e armazenados, tanto para satisfazer os requisitos do RGPD como para garantir a conformidade com as disposições de transparência e responsabilização da Lei da IA. O Espaço Europeu de Dados de Saúde (EHDS), que entrou em vigor em 2025, acrescenta uma camada adicional de governação de dados aplicável especificamente aos dados de saúde.

O que as organizações de saúde devem estar a fazer agora

Dado o calendário de implementação faseado, as organizações de saúde têm uma janela definida para se prepararem. Os seguintes passos representam o núcleo de um programa prático de conformidade:

  • Auditar as ferramentas de IA atuais: Identificar todos os sistemas de IA em uso em toda a organização, incluindo ferramentas incorporadas em sistemas de registos médicos, software de diagnóstico, automação administrativa e aplicações voltadas para o doente

  • Avaliar classificações de risco: Para cada sistema identificado, determinar se se enquadra na categoria de alto risco ao abrigo do Anexo III da Lei, ou se tem obrigações de transparência de risco limitado

  • Rever contratos com fornecedores: Examinar acordos com fornecedores de IA para compreender como as obrigações de conformidade são atribuídas. Os contratos devem especificar qual a parte responsável pelas avaliações de conformidade, documentação técnica e monitorização pós-comercialização

  • Nomear um responsável pela governação de IA: Designar a responsabilidade interna pela conformidade com a Lei da IA. Em organizações maiores, isto pode situar-se numa função de informática clínica, jurídica ou de governação da informação. Em consultórios mais pequenos, pode exigir apoio externo

  • Preparar documentação: Começar a compilar ou solicitar a documentação técnica exigida para sistemas de alto risco, incluindo evidências de avaliações de conformidade, garantias de qualidade de dados e mecanismos de supervisão humana

  • Implementar formação em literacia em IA: A obrigação de literacia em IA aplica-se desde fevereiro de 2025. As organizações que ainda não abordaram isto devem priorizar a formação para o pessoal clínico e administrativo que interage com ferramentas de IA

  • Estabelecer processos de notificação de incidentes: Implementar procedimentos internos para identificar e escalar incidentes relacionados com IA, alinhados com o requisito da Lei de notificar incidentes graves às autoridades nacionais no prazo de 15 dias

Um estudo comparativo de governação em cinco jurisdições concluiu que as organizações que desenvolveram proativamente estruturas internas de governação de IA antes dos prazos regulamentares estavam melhor posicionadas para cumprir os requisitos de conformidade do que aquelas que esperaram pelo início da aplicação.

Como avaliar fornecedores de IA quanto à conformidade com a Lei da IA da UE

As equipas de aquisição e informática clínica que avaliam produtos de IA devem tratar a conformidade com a Lei da IA da UE como um requisito padrão de diligência prévia, juntamente com evidências clínicas e segurança de dados. As principais questões a colocar aos fornecedores incluem:

  • Classificação de risco: Como classifica o fornecedor este sistema ao abrigo da Lei da IA? Que evidências apoiam essa classificação?

  • Avaliação de conformidade: O sistema foi submetido a uma avaliação de conformidade? Quando é necessário um Organismo Notificado, qual foi o organismo que a conduziu?

  • Documentação técnica: O fornecedor pode fornecer documentação técnica completa, incluindo características dos dados de treino, benchmarks de desempenho e limitações conhecidas?

  • Marcação CE: Para dispositivos médicos de IA, a marcação CE está em vigor ao abrigo do MDR ou IVDR, e foi atualizada para refletir os requisitos da Lei da IA?

  • Supervisão humana por design: Como é que o design do produto apoia a revisão e anulação pelo clínico? O fornecedor pode demonstrar isto num fluxo de trabalho em tempo real?

  • Residência de dados: Onde são processados e armazenados os dados dos doentes? Isto cumpre os requisitos do RGPD e do EHDS?

  • Monitorização pós-comercialização: Que processos tem o fornecedor em vigor para monitorização contínua do desempenho e notificação de incidentes?

  • Dependências de modelos GPAI: Se o produto for construído sobre um modelo de base, que obrigações se aplicam a esse modelo ao abrigo das disposições GPAI, e como as gere o fornecedor?

O verificador de conformidade da Plataforma de Informação Única da Lei da IA (SIP), mantido pela Comissão Europeia, fornece uma ferramenta estruturada para avaliar onde um determinado sistema de IA se enquadra no quadro regulamentar, sendo um ponto de partida útil para equipas de aquisição.

Penalidades por não conformidade

A estrutura de penalidades da Lei da IA é escalonada para refletir a gravidade da infração:

  • Até 35 milhões de euros ou 7% do volume de negócios anual global (o que for superior) para infrações envolvendo sistemas de IA proibidos

  • Até 15 milhões de euros ou 3% do volume de negócios anual global (o que for superior) para infrações de outras obrigações, incluindo requisitos de sistemas de alto risco

  • Até 7,5 milhões de euros ou 1,5% do volume de negócios anual global (o que for superior) por fornecer informações incorretas ou enganosas às autoridades

A aplicação será tratada ao nível dos Estados-Membros através de autoridades de supervisão nacionais designadas. O Gabinete Europeu para a IA terá responsabilidade de supervisão para a conformidade dos modelos GPAI. As penalidades podem aplicar-se aos utilizadores, não apenas aos programadores e fornecedores de IA, quando o utilizador não cumprir as suas próprias obrigações ao abrigo da Lei.

A análise de responsabilidade da White & Case observa que a retirada da Diretiva de Responsabilidade por IA autónoma em fevereiro de 2025 significa que as ações de responsabilidade civil serão canalizadas através da Diretiva de Responsabilidade por Produtos revista, em vez de um instrumento dedicado de responsabilidade por IA. Isto não reduz a exposição financeira para organizações consideradas em violação da própria Lei da IA.

Glossário: termos-chave da Lei da IA da UE para profissionais de saúde

Fornecedor

Uma organização ou indivíduo que desenvolve um sistema de IA, o coloca no mercado da UE ou o põe em serviço sob o seu próprio nome. Inclui fornecedores de IA e empresas de tecnologia de saúde.

Utilizador

Uma organização ou indivíduo que utiliza um sistema de IA de alto risco num contexto profissional sob a sua própria autoridade. Hospitais, consultórios de medicina geral e outras organizações de saúde que utilizam ferramentas de IA de terceiros são utilizadores.

Sistema de IA de alto risco

Um sistema de IA listado no Anexo III da Lei, ou utilizado como componente de segurança num produto regulamentado ao abrigo de legislação setorial específica, como o MDR. Sujeito às obrigações de conformidade mais extensas da Lei.

Avaliação de conformidade

Um processo formal pelo qual um fornecedor demonstra que um sistema de IA de alto risco cumpre os requisitos da Lei. Dependendo do tipo de sistema, pode ser conduzido pelo próprio fornecedor ou por um Organismo Notificado acreditado.

Monitorização pós-comercialização

Um processo contínuo pelo qual os fornecedores recolhem e analisam dados sobre o desempenho no mundo real de um sistema de IA implementado, com o objetivo de identificar riscos ou degradação de desempenho não aparentes durante a avaliação pré-comercialização.

Avaliação de impacto nos direitos fundamentais

Uma avaliação estruturada que os utilizadores de certos sistemas de IA de alto risco devem realizar antes da implementação, avaliando o impacto potencial nos direitos fundamentais, incluindo não discriminação, privacidade e acesso aos cuidados de saúde.

Modelo de IA de uso geral

Um modelo de IA de grande dimensão treinado em conjuntos de dados abrangentes que pode executar uma vasta gama de tarefas. Os modelos de base que sustentam muitas ferramentas clínicas de linguagem enquadram-se nesta categoria e têm obrigações específicas ao abrigo da Lei, independentemente da aplicação a jusante.

Literacia em IA

O conhecimento e as competências necessárias para utilizar sistemas de IA adequadamente, avaliar criticamente os seus resultados e compreender as suas limitações. As organizações devem garantir que o pessoal relevante possui literacia em IA suficiente a partir de fevereiro de 2025.

Documentação técnica

O registo formal que um fornecedor deve manter, cobrindo o design de um sistema de IA, desenvolvimento, características dos dados, metodologia de teste e desempenho. Exigido para todos os sistemas de IA de alto risco e deve ser mantido atualizado ao longo da vida operacional do sistema.

Perguntas frequentes

▶ O que é a Lei da IA da UE e aplica-se a organizações de saúde

A Lei da IA da UE (Regulamento UE 2024/1689) é o primeiro quadro jurídico abrangente para a regulamentação da inteligência artificial na União Europeia. Aplica-se a qualquer organização que coloque sistemas de IA no mercado da UE ou os utilize para afetar pessoas dentro da UE, incluindo hospitais, consultórios de medicina geral e fornecedores de tecnologia de saúde. Não se aplica apenas a organizações sediadas na UE. O seu alcance extraterritorial significa que fornecedores não pertencentes à UE também estão abrangidos se os seus sistemas afetarem doentes da UE.

▶ Quando é que as organizações de saúde precisam de cumprir a Lei da IA da UE

As obrigações estão a ser introduzidas em fases. As proibições de sistemas de IA de risco inaceitável e o requisito de literacia em IA aplicam-se a partir de fevereiro de 2025. As regras para modelos GPAI aplicam-se a partir de agosto de 2025. As obrigações essenciais para sistemas de IA de alto risco, incluindo avaliações de conformidade e requisitos de supervisão humana, aplicam-se na íntegra a partir de agosto de 2026. Os sistemas de IA já regulamentados como dispositivos médicos ao abrigo do MDR têm um período de transição alargado até agosto de 2027.

▶ Que sistemas de IA na saúde são classificados como de alto risco ao abrigo da Lei

A Lei classifica os sistemas de IA utilizados para diagnóstico, apoio à decisão clínica, recomendações de tratamento, triagem de doentes e monitorização de doentes como de alto risco. Uma análise revista por pares na npj Digital Medicine concluiu que aproximadamente 75% dos dispositivos médicos comerciais com IA estão na radiologia e são classificados como Classe IIa ou superior ao abrigo do MDR, o que significa que a maioria da IA clínica implementada será tratada como de alto risco ao abrigo da Lei.

▶ Qual é a diferença entre um fornecedor e um utilizador ao abrigo da Lei da IA da UE

Os fornecedores são organizações que desenvolvem um sistema de IA e o colocam no mercado sob o seu próprio nome. Isto inclui fornecedores de IA e empresas de tecnologia de saúde. Os utilizadores são organizações que utilizam um sistema de IA de alto risco num contexto profissional, como hospitais e consultórios de medicina geral que utilizam ferramentas de IA de terceiros. Ambas as partes têm obrigações distintas que não podem ser transferidas para a outra. As organizações de saúde que atuam como utilizadores não podem simplesmente confiar na conformidade do fornecedor. Devem verificar ativamente que os sistemas cumprem os requisitos da Lei e que os processos internos apoiam a utilização conforme.

▶ A conformidade com o MDR satisfaz os requisitos da Lei da IA da UE para dispositivos médicos de IA

Não. Os sistemas de IA regulamentados como dispositivos médicos ao abrigo do MDR estão sujeitos a ambos os quadros simultaneamente. A Lei da IA acrescenta requisitos relativos à qualidade dos dados, governação de dados, manutenção de registos, transparência, responsabilização e supervisão humana que vão além do que o MDR exige. As organizações podem integrar os requisitos da Lei da IA na documentação existente do QMS, mas a conformidade com o MDR por si só não é suficiente.

▶ O que significa o requisito de supervisão humana na prática para o pessoal clínico

A supervisão humana significa que decisões relevantes que afetam doentes não devem ser delegadas inteiramente a sistemas automatizados. Na prática, significa que um clínico revê a documentação clínica gerada por IA antes de ser guardada no registo do doente, um radiologista faz um julgamento independente sobre um achado sinalizado por IA, e um enfermeiro de triagem avalia uma pontuação de prioridade gerada por IA com base na observação direta do doente. O pessoal clínico também deve ter tanto a capacidade técnica como a permissão organizacional para anular um resultado de IA quando o seu julgamento clínico o justifica.

▶ Como é que a Lei da IA da UE interage com o RGPD para organizações de saúde

A Lei da IA introduz obrigações de governação de dados que coexistem com o RGPD, mas não o substituem. A conformidade com o RGPD não satisfaz automaticamente os requisitos de dados da Lei da IA. Enquanto o RGPD se concentra no tratamento lícito de dados pessoais, a Lei da IA concentra-se especificamente na qualidade e adequação dos dados utilizados para treinar, validar e testar sistemas de IA. Os conjuntos de dados de treino devem ser relevantes, representativos e examinados quanto a enviesamentos que possam produzir resultados discriminatórios ou inseguros para grupos particulares de doentes.

▶ Quais são as penalidades por não conformidade com a Lei da IA da UE

A estrutura de penalidades é escalonada. As infrações envolvendo sistemas de IA proibidos podem resultar em coimas de até 35 milhões de euros ou 7% do volume de negócios anual global, o que for superior. As infrações de obrigações de sistemas de alto risco podem resultar em coimas de até 15 milhões de euros ou 3% do volume de negócios anual global. Fornecer informações incorretas às autoridades pode resultar em coimas de até 7,5 milhões de euros ou 1,5% do volume de negócios anual global. As penalidades podem aplicar-se aos utilizadores, bem como aos fornecedores, quando o utilizador não cumprir as suas próprias obrigações.

▶ O que devem as organizações de saúde estar a fazer agora para se prepararem para a Lei da IA da UE

As organizações devem começar por auditar todos os sistemas de IA atualmente em uso, incluindo ferramentas incorporadas em sistemas de registos médicos, software de diagnóstico e aplicações voltadas para o doente. Cada sistema deve ser avaliado face às classificações de risco da Lei. Os contratos com fornecedores devem ser revistos para confirmar como as obrigações de conformidade são atribuídas. A obrigação de literacia em IA aplica-se desde fevereiro de 2025, pelo que a formação para o pessoal que interage com ferramentas de IA deve ser uma prioridade se ainda não foi abordada. Os processos internos de notificação de incidentes alinhados com o requisito de notificação de incidentes graves em 15 dias da Lei também devem estar em vigor.

▶ Que questões devem as equipas de aquisição colocar aos fornecedores de IA sobre a conformidade com a Lei da IA da UE

As equipas de aquisição devem perguntar aos fornecedores como classificam o seu sistema ao abrigo da Lei e que evidências apoiam essa classificação. Devem solicitar confirmação de que uma avaliação de conformidade foi concluída e, quando é necessário um Organismo Notificado, qual foi o organismo que a conduziu. A documentação técnica completa, incluindo características dos dados de treino e limitações conhecidas, deve estar disponível mediante pedido. Os fornecedores também devem ser capazes de demonstrar como o design do produto apoia a revisão e anulação pelo clínico, confirmar onde os dados dos doentes são processados e armazenados, e explicar os seus processos de monitorização pós-comercialização e notificação de incidentes.

Get started with Tandem today

Join thousands of clinicians enjoying stress-free documentation.

Get started with Tandem today

Join thousands of clinicians enjoying stress-free documentation.

Get started with Tandem today

Join thousands of clinicians enjoying stress-free documentation.