(1)

A finalidade do presente regulamento é  melhorar o funcionamento do mercado interno mediante o estabelecimento de um quadro jurídico uniforme para o desenvolvimento, a comercialização e a utilização da inteligência artificial em conformidade com os valores da União. O presente regulamento observa um conjunto de razões imperativas de reconhecido interesse público , como o elevado nível de proteção da saúde, da segurança e dos direitos fundamentais, e assegura a livre circulação transfronteiras de produtos e serviços baseados em inteligência artificial, evitando assim que os Estados-Membros imponham restrições ao desenvolvimento, à comercialização e à utilização dos sistemas de inteligência artificial, salvo se explicitamente autorizado pelo presente regulamento.

(1)

A finalidade do presente regulamento é  promover a adoção de uma inteligência artificial centrada no ser humano e fiável e assegurar um elevado nível de proteção da saúde, da segurança, dos direitos fundamentais, da democracia , do Estado de direito e do ambiente contra os efeitos nocivos dos sistemas de inteligência artificial na União, apoiando simultaneamente a inovação e melhorando o funcionamento do mercado interno. O presente regulamento estabelece um quadro jurídico uniforme para o desenvolvimento , a colocação no mercado , a entrada em serviço e a utilização de inteligência artificial em conformidade com os valores da União e assegura a livre circulação transfronteiras de produtos e serviços baseados em inteligência artificial, evitando assim que os Estados-Membros imponham restrições ao desenvolvimento, à comercialização e à utilização dos sistemas de inteligência artificial (sistemas IA) , salvo se explicitamente autorizado pelo presente regulamento. Determinados sistemas de IA podem também ter impacto na democracia, no Estado de direito e no ambiente. Estas preocupações são especificamente abordadas nos setores críticos e enunciam casos enumerados nos anexos do presente regulamento.

(1-A)

O presente regulamento deve preservar os valores da União, facilitando a repartição dos benefícios da inteligência artificial pela sociedade, protegendo as pessoas dos riscos, assim como as empresas, a democracia, o Estado de direito e o ambiente, e estimulando, ao mesmo tempo, a inovação e o emprego de modo a colocar a Europa numa posição de liderança neste domínio.

(2)

Os sistemas de inteligência artificial ( sistemas de IA) podem ser implantados facilmente em vários setores da economia e da sociedade, incluindo além fronteiras, e circular por toda a União. Certos Estados-Membros já ponderaram a adoção de regras nacionais para assegurar que a inteligência artificial seja segura e seja desenvolvida e utilizada em conformidade com as obrigações de proteção dos direitos fundamentais. As diferenças entre regras nacionais podem conduzir à fragmentação do mercado interno e reduzir a segurança jurídica para os operadores que desenvolvem ou utilizam sistemas de IA. Como tal, é necessário assegurar um nível de proteção elevado e coerente em toda a União e evitar divergências que prejudiquem a livre circulação dos sistemas de IA e dos produtos e serviços conexos no mercado interno, mediante o estabelecimento de obrigações uniformes para os operadores e a garantia da proteção uniforme das razões imperativas de reconhecido interesse público e dos direitos das pessoas em todo o mercado interno, com base no artigo 114.o do Tratado sobre o Funcionamento da União Europeia (TFUE). Visto que o presente regulamento contém regras específicas aplicáveis à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, nomeadamente restrições à utilização de sistemas de IA para a identificação biométrica à distância «em tempo real» em espaços acessíveis ao público para efeitos de manutenção da ordem pública, é apropriado basear este regulamento no artigo 16.o do TFUE, no respeitante a essas regras específicas. Face a essas regras específicas e ao recurso ao artigo 16.o do TFUE, é apropriado consultar o Comité Europeu para a Proteção de Dados.

(2)

Os sistemas de IA podem ser implantados facilmente em vários setores da economia e da sociedade, incluindo além-fronteiras, e circular por toda a União. Certos Estados-Membros já ponderaram a adoção de regras nacionais para assegurar que a inteligência artificial seja de confiança e segura e seja desenvolvida e utilizada em conformidade com as obrigações de proteção dos direitos fundamentais. As diferenças entre regras nacionais podem conduzir à fragmentação do mercado interno e reduzir a segurança jurídica para os operadores que desenvolvem ou utilizam sistemas de IA. Como tal, é necessário assegurar um nível de proteção elevado e coerente em toda a União , com vista a alcançar uma IA de confiança, e evitar divergências que prejudiquem a livre circulação , a inovação, a implantação e a adoção dos sistemas de IA e dos produtos e serviços conexos no mercado interno, mediante o estabelecimento de obrigações uniformes para os operadores e a garantia da proteção uniforme das razões imperativas de reconhecido interesse público e dos direitos das pessoas em todo o mercado interno, com base no artigo 114.o do Tratado sobre o Funcionamento da União Europeia (TFUE).

(2-A)

Uma vez que a inteligência artificial depende frequentemente do tratamento de grandes volumes de dados, e de muitos sistemas e aplicações de IA para o tratamento de dados pessoais, afigura-se adequado basear o presente regulamento no artigo 16.o do TFUE, que consagra o direito das pessoas singulares a serem protegidas no tratamento de dados pessoais e prevê a adoção de regras aplicáveis à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais.

(2-B)

O direito fundamental à proteção dos dados pessoais está salvaguardado, em particular nos Regulamentos (UE) 2016/679 e (UE) 2018/1725 e na Diretiva (UE) 2016/680. Além disso, a Diretiva 2002/58/CE protege a vida privada e a confidencialidade das comunicações, incluindo a criação de condições para o armazenamento de dados pessoais e não pessoais em equipamentos terminais e o acesso a esses dados a partir de tais equipamentos. Estes atos jurídicos constituem a base para um tratamento dos dados sustentável e responsável, nomeadamente nos casos em que os conjuntos de dados contêm uma combinação de dados pessoais e não pessoais. O presente regulamento não visa afetar a aplicação do direito da União já em vigor que rege o tratamento de dados pessoais, incluindo as funções e as competências das autoridades de supervisão independentes que são responsáveis pelo controlo do cumprimento desses instrumentos. O presente regulamento não afeta os direitos fundamentais à vida privada e à proteção de dados pessoais, previstos no direito da União em matéria de proteção de dados e privacidade e consagrados na Carta dos Direitos Fundamentais da União Europeia (a seguir designada por «a Carta»).

(2-C)

Os sistemas de inteligência artificial na União estão sujeitos à legislação pertinente em matéria de segurança dos produtos que estabelece um quadro de proteção dos consumidores contra produtos perigosos em geral, legislação essa que deverá continuar a ser aplicável. O presente regulamento não prejudica igualmente as regras estabelecidas por outros atos jurídicos da União relativos à proteção do consumidor e à segurança dos produtos, incluindo o Regulamento (UE) 2017/2394, o Regulamento (UE) 2019/1020 e a Diretiva 2001/95/CE relativa à segurança geral dos produtos, bem como a Diretiva 2013/11/UE.

(2-D)

Em conformidade com o artigo 114.o, n.o 2, do TFUE, o presente regulamento complementa e não deve prejudicar os direitos e interesses dos trabalhadores. Por conseguinte, o presente regulamento não deve prejudicar o direito da UE em matéria de política social e de legislações laborais nacionais e respetivas práticas, ou seja, qualquer disposição legal e contratual relativa às condições de emprego, às condições de trabalho, incluindo a saúde e segurança no trabalho e a relação entre empregadores e trabalhadores, incluindo a informação, consulta e participação. O presente regulamento não deve prejudicar o exercício dos direitos fundamentais reconhecidos pelos Estados-Membros e a nível da União, incluindo o direito ou a liberdade de fazer greve ou a liberdade de realizar outras ações abrangidas pelos sistemas específicos de relações laborais dos Estados-Membros, em conformidade com o direito e/ou as práticas nacionais. Também não deve afetar as práticas de concertação, o direito de negociar, celebrar e aplicar convenções coletivas ou o direito de ação coletiva, em conformidade com o direito e/ou as práticas nacionais. Em qualquer caso, não deve impedir a Comissão de propor legislação específica sobre os direitos e liberdades dos trabalhadores afetados pelos sistemas de IA.

(2-E)

O presente regulamento não deve afetar as disposições destinadas a melhorar as condições de trabalho nas plataformas de trabalho previstas na Diretiva … [COD 2021/414/CE].

(2-F)

O presente regulamento deve ajudar a apoiar a investigação e a inovação e não deve comprometer a atividade de investigação e desenvolvimento e respeitar a liberdade de investigação científica. Por conseguinte, é necessário excluir do seu âmbito de aplicação sistemas de IA especificamente desenvolvidos exclusivamente para fins de investigação científica e desenvolvimento e assegurar que o regulamento não afete a atividade de investigação científica e desenvolvimento em matéria de sistemas de IA. Seja em que circunstância for, qualquer atividade de investigação e desenvolvimento deve ser realizada em conformidade com a Carta, o direito da União e a legislação nacional.

(3)

A inteligência artificial é uma família de tecnologias em rápida evolução, capaz de oferecer um vasto conjunto de benefícios económicos e sociais a todo o leque de indústrias e atividades sociais. Ao melhorar as previsões, otimizar as operações e a repartição de recursos e personalizar as soluções digitais disponibilizadas às pessoas e às organizações, a utilização da inteligência artificial pode conferir importantes vantagens competitivas às empresas e contribuir para progressos sociais e ambientais, por exemplo, nos cuidados de saúde, na agricultura, na educação e na formação, na gestão das infraestruturas, na energia, nos transportes e logística, nos serviços públicos, na segurança, na justiça, na eficiência energética e dos recursos e na atenuação das alterações climáticas e adaptação às mesmas.

(3)

A inteligência artificial é uma família de tecnologias em rápida evolução, capaz de oferecer , e que já oferece mesmo, um vasto conjunto de benefícios económicos , ambientais e sociais a todo o leque de indústrias e atividades sociais , se desenvolvida de acordo com princípios gerais pertinentes em conformidade com a Carta e com os valores em que a União se alicerça . Ao melhorar as previsões, otimizar as operações e a repartição de recursos e personalizar as soluções digitais disponibilizadas às pessoas e às organizações, a utilização da inteligência artificial pode conferir importantes vantagens competitivas às empresas e contribuir para progressos sociais e ambientais, por exemplo, nos cuidados de saúde, na agricultura, na segurança alimentar, na educação e na formação, nos meios de comunicação social, no desporto, na cultura, na gestão das infraestruturas, na energia, nos transportes e logística, na gestão de crises, nos serviços públicos, na segurança, na justiça, na eficiência energética e dos recursos , na monitorização ambiental, na preservação e recuperação da biodiversidade e dos ecossistemas e na atenuação das alterações climáticas e adaptação às mesmas.

(3-A)

Para contribuírem para serem atingidas as metas de neutralidade carbónica, as empresas europeias devem procurar utilizar todos os avanços tecnológicos disponíveis que possam contribuir para a consecução deste objetivo. A IA é uma tecnologia que pode potencialmente ser utilizada para tratar a quantidade cada vez maior de dados gerados durante processos industriais, ambientais, de saúde e outros. Para facilitar os investimentos em soluções de análise e otimização baseadas na IA, o presente regulamento deve proporcionar um ambiente previsível e proporcionado para soluções industriais de baixo risco.

(4)

Ao mesmo tempo, em função das circunstâncias relativas à sua aplicação e utilização específicas, a inteligência artificial pode criar riscos e prejudicar interesses públicos e direitos protegidos pela legislação da União. Esses prejuízos podem ser materiais ou imateriais.

(4)

Ao mesmo tempo, em função das circunstâncias relativas à sua aplicação e utilização específicas, bem como do nível de desenvolvimento tecnológico, a inteligência artificial pode criar riscos e prejudicar interesses públicos ou privados e direitos fundamentais das pessoas singulares que estão protegidos pela legislação da União. Esses prejuízos podem ser materiais ou imateriais , incluindo danos físicos, psicológicos, sociais ou económicos .

(4-A)

Tendo em conta o grande impacto que a inteligência artificial pode ter na sociedade e a necessidade de criar confiança, é fundamental que a inteligência artificial e o seu quadro regulamentar sejam desenvolvidos em conformidade com os valores da União consagrados no artigo 2.o do TUE, os direitos e liberdades fundamentais consagrados nos Tratados, a Carta e o direito internacional em matéria de direitos humanos. Como condição prévia, a inteligência artificial deve ser uma tecnologia centrada no ser humano. Não deve substituir a autonomia humana nem assumir a perda de liberdade individual e deve servir, em primeiro lugar, as necessidades da sociedade e o bem comum. Devem ser previstas salvaguardas para assegurar o desenvolvimento e a utilização de inteligência artificial eticamente incorporada que respeite os valores da União e a Carta.

(5)

Como tal, é necessário adotar um quadro jurídico da União que estabeleça regras harmonizadas em matéria de inteligência artificial para promover o desenvolvimento, a utilização e a adoção da inteligência artificial no mercado interno e que, ao mesmo tempo, proporcione um nível elevado de proteção de interesses públicos, como a saúde e a segurança e a proteção dos direitos fundamentais, conforme reconhecido e protegido pelo direito da União. Para alcançar esse objetivo, torna-se necessário estabelecer regras aplicáveis à colocação no mercado e  à colocação em serviço de determinados sistemas de IA, garantindo assim o correto funcionamento do mercado interno e permitindo que esses sistemas beneficiem do princípio de livre circulação dos produtos e dos serviços. Ao estabelecer essas regras, o presente regulamento apoia o objetivo da União de estar na vanguarda mundial do desenvolvimento de uma inteligência artificial que seja segura, ética e de confiança, conforme mencionado pelo Conselho Europeu (33) e garante a proteção de princípios éticos, conforme solicitado especificamente pelo Parlamento Europeu (34).

(5)

Como tal, é necessário adotar um quadro jurídico da União que estabeleça regras harmonizadas em matéria de inteligência artificial para promover o desenvolvimento, a utilização e a adoção da inteligência artificial no mercado interno e que, ao mesmo tempo, proporcione um nível elevado de proteção de interesses públicos, como a saúde e a segurança, a proteção dos direitos fundamentais, a democracia e o Estado de direito e o ambiente, conforme reconhecido e protegido pelo direito da União. Para alcançar esse objetivo, torna-se necessário estabelecer regras aplicáveis à colocação no mercado e em serviço e à utilização de determinados sistemas de IA, garantindo assim o correto funcionamento do mercado interno e permitindo que esses sistemas beneficiem do princípio de livre circulação dos produtos e dos serviços. Estas regras devem ser claras e sólidas na proteção dos direitos fundamentais, apoiando novas soluções inovadoras e permitindo um ecossistema europeu de intervenientes públicos e privados que criem sistemas de IA em consonância com os valores da União. Ao estabelecer essas regras, bem como medidas de apoio à inovação, com especial destaque para as PME e as empresas em fase de arranque, o presente regulamento apoia o objetivo de promover a IA desenvolvida na UE, assim como o objetivo da União de estar na vanguarda mundial do desenvolvimento de uma inteligência artificial que seja segura, ética e de confiança, conforme mencionado pelo Conselho Europeu (33), e garante a proteção de princípios éticos, conforme solicitado especificamente pelo Parlamento Europeu (34).

(5-A)

Além disso, para promover o desenvolvimento dos sistemas de IA em consonância com os valores da União, a União deve colmatar as principais lacunas e os obstáculos que impedem o potencial da transformação digital, e designadamente a escassez de trabalhadores com competências digitais, as preocupações em matéria de cibersegurança, a falta de investimento e o acesso a este, bem como o fosso existente e potencial entre as grandes empresas, as PME e as empresas em fase de arranque. Deve dar-se uma atenção especial à necessidade de garantir que os benefícios da IA e da inovação nas novas tecnologias se façam sentir em todas as regiões da União e que sejam disponibilizados investimentos e recursos suficientes, especialmente para as regiões que possam estar atrasadas em alguns indicadores digitais.

(6)

A definição de «sistema de IA» deve ser inequívoca, para assegurar a segurança jurídica, concedendo em simultâneo a flexibilidade suficiente para se adaptar a  futuras evoluções tecnológicas. A definição deve basear-se nas principais características funcionais do software , em particular a capacidade, tendo em vista um determinado conjunto de objetivos definidos pelos seres humanos, de criar resultados, tais como conteúdos, previsões, recomendações ou decisões que influenciam o ambiente com o qual o sistema interage, quer numa dimensão física, quer digital. Os sistemas de IA podem ser concebidos para operar com diferentes níveis de autonomia e ser utilizados autonomamente ou como componente de um produto, independentemente de o sistema estar fisicamente incorporado no produto (integrado) ou servir a funcionalidade do produto sem estar incorporado nele (não integrado) . A definição de «sistema de IA» deve ser completada por uma lista de técnicas e abordagens específicas utilizadas para o seu desenvolvimento, que deve ser atualizada face à evolução do mercado e da tecnologia, mediante a adoção de atos delegados da Comissão que alterem essa lista.

(6)

A definição de «sistema de IA» constante do presente regulamento deve ser inequívoca e estar estreitamente alinhada com o trabalho das organizações internacionais ativas no domínio da inteligência artificial , para assegurar a segurança jurídica, a harmonização e a ampla aceitação, proporcionando em simultâneo a flexibilidade suficiente para se adaptar a  rápidas evoluções tecnológicas neste domínio . Além disso, deve basear-se em características principais da inteligência artificial , tais como a sua capacidade de aprendizagem, raciocínio ou modelização, para a distinguir de sistemas de software ou abordagens de programação mais simples. Os sistemas de IA são concebidos para operar com diferentes níveis de autonomia, o que significa que têm , pelo menos , um certo grau de independência das ações efetuadas por controlo humano e capacidades para funcionar sem intervenção humana. O termo «baseado em máquinas» refere-se ao facto de os sistemas de IA requererem o uso de máquinas. A referência a objetivos explícitos ou implícitos visa sublinhar que os sistemas de IA podem funcionar de acordo com objetivos explícitos definidos por seres humanos ou com objetivos implícitos. Os objetivos do sistema de IA podem ser diferentes da finalidade prevista para o sistema de IA num contexto específico . A referência às previsões inclui conteúdos, que são considerados no presente regulamento uma forma de previsão e  um dos resultados possíveis produzidos por um sistema de IA. Para efeitos do presente regulamento, o ambiente deve ser entendido nos contextos em que os sistemas de IA funcionam, ao passo que os resultados gerados pelo sistema de IA, ou seja, as previsões, recomendações ou decisões, respondem perante os objetivos do sistema, com base em contributos desse ambiente . Essa produção influencia ainda mais o ambiente em causa, ainda que através da mera introdução de nova informação.

(6-A)

Os sistemas de IA possuem frequentemente capacidade de aprendizagem automática que lhes permitem adaptar-se e desempenharem novas tarefas de uma forma autónoma. A aprendizagem automática envolve um processo computacional de otimização, a partir de dados, dos parâmetros do modelo, sob a forma de uma construção matemática que gera um resultado baseado em dados de entrada. As abordagens para a aprendizagem automática incluem, por exemplo, uma aprendizagem supervisionada, não supervisionada e por reforço, utilizando uma grande variedade de métodos de que faz parte a aprendizagem profunda recorrendo a redes neurais. O presente regulamento visa fazer face a novos riscos potenciais que possam surgir delegando o controlo em sistemas de IA, em especial sistemas de IA que possam evoluir após a sua implantação. A função e os resultados de muitos destes sistemas de IA baseiam-se em relações matemáticas abstratas que são difíceis de compreender pelos seres humanos e de monitorizar e cujos contributos específicos são também difíceis de rastrear. Estas características complexas e opacas (elemento de caixa negra) têm o seu impacto sobre a responsabilização e a capacidade de explicar. Técnicas comparativamente mais simples como as abordagens baseadas no conhecimento, as estimativas bayesianas ou o esquema de tomada de decisões sob a forma de árvore podem também conduzir a lacunas jurídicas que devem ser abordadas no presente regulamento, em especial quando são utilizadas em combinação com abordagens de aprendizagem automática em sistemas híbridos.

(6-B)

Os sistemas de IA podem ser usados como um sistema de software independente, integrados num produto físico, utilizados para servir a funcionalidade de um produto físico sem estar incorporado nele (não integrados) ou utilizados como componente de IA de um sistema mais vasto. Se este sistema de maior dimensão não funcionar sem a componente de IA em questão, todo o sistema de maior dimensão deve ser considerado como um único sistema de IA nos termos do presente regulamento.

(7)

A definição de «dados biométricos» utilizada no presente regulamento está em consonância e deve ser interpretada de forma coerente com a definição de «dados biométricos» constante do artigo 4.o, ponto 14, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (35), do artigo 3.o , ponto 18 , do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho  (36) e do artigo 3.o , ponto 13 , da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho  (37) .

(7)

A definição de «dados biométricos» utilizada no presente regulamento está em consonância e deve ser interpretada de forma coerente com a definição de «dados biométricos» constante do artigo 4.o, ponto 14, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (35) . Os dados baseados na biometria são dados adicionais resultantes de um tratamento técnico específico relacionado com os sinais físicos , fisiológicos ou comportamentais de uma pessoa singular , como expressões faciais , movimentos, frequência cardíaca, voz, digitação ou marcha, que podem, ou não , permitir a identificação ou confirmar a identificação única de uma pessoa singular .

(7-A)

A definição de «identificação biométrica» usada neste regulamento deve ser entendida como o reconhecimento automatizado de características humanas físicas, fisiológicas, comportamentais e psicológicas, tais como o rosto, o movimento dos olhos, as expressões faciais, a forma do corpo, a voz, a fala, a marcha, a postura, a frequência cardíaca, a pressão arterial, o odor, a força dos dedos ao digitar, reações psicológicas (raiva, angústia, tristeza, etc.) com o objetivo de verificar a identidade de um indivíduo, comparando os dados biométricos desse indivíduo com dados biométricos de indivíduos armazenados numa base de dados (identificação de um-para-muitos), independentemente do seu respetivo e prévio consentimento;

(7-B)

A definição de «categorização biométrica» utilizada neste regulamento deve ser entendida como a inserção de indivíduos em categorias específicas, ou o processo de inferir as suas características e atributos, como o género, sexo, idade, cor do cabelo, cor dos olhos, tatuagens, origem étnica ou social, saúde, capacidade mental ou física, traços comportamentais ou de personalidade, características da linguagem, religião, ou pertença a uma minoria nacional, ou orientação sexual ou política, com base nos seus dados biométricos ou de base biométrica, ou que possam ser razoavelmente inferidos a partir desses dados.

(8)

O conceito de «sistema de identificação biométrica à distância» utilizado no presente regulamento deve ser definido, de modo funcional, como um sistema de IA que se destina à identificação de pessoas singulares à distância por meio da comparação dos dados biométricos de uma pessoa com os dados biométricos contidos numa base de dados de referência, sem que se saiba, antecipadamente, se a pessoa visada estará presente e pode ser identificada, independentemente da tecnologia, dos processos ou dos tipos de dados biométricos utilizados. Tendo em conta as diferentes características e formas como são utilizados, bem como os diferentes riscos inerentes, deve ser efetuada uma distinção entre sistemas de identificação biométrica à distância «em tempo real» e «em diferido». No caso dos sistemas «em tempo real», a recolha dos dados biométricos, a comparação e a identificação ocorrem de imediato, quase de imediato ou, em todo o caso, sem um atraso significativo. Não pode haver, a este respeito, margem para contornar as regras do presente regulamento sobre a utilização «em tempo real» dos sistemas de IA em causa por via da introdução de ligeiros retardamentos no sistema. Os sistemas «em tempo real» implicam a utilização «ao vivo» ou «quase ao vivo» de materiais, como vídeos, criados por uma câmara ou outro dispositivo com uma funcionalidade semelhante. Por outro lado, no caso dos sistemas «em diferido», os dados biométricos já foram recolhidos e a comparação e a identificação ocorrem apenas após um atraso significativo. Estes sistemas utilizam materiais, tais como imagens ou vídeos, criados por câmaras de televisão em circuito fechado ou dispositivos privados antes de o sistema ser utilizado relativamente às pessoas singulares em causa.

(8)

O conceito de «sistema de identificação biométrica à distância» utilizado no presente regulamento deve ser definido, de modo funcional, como um sistema de IA que se destina à identificação de pessoas singulares à distância por meio da comparação dos dados biométricos de uma pessoa com os dados biométricos contidos numa base de dados de referência, sem que se saiba, antecipadamente, se a pessoa visada estará presente e pode ser identificada, independentemente da tecnologia, dos processos ou dos tipos de dados biométricos utilizados , com exclusão dos sistemas de verificação que comparem apenas os dados biométricos de um indivíduo com os seus dados biométricos facultados previamente (um para um) . Tendo em conta as diferentes características e formas como são utilizados, bem como os diferentes riscos inerentes, deve ser efetuada uma distinção entre sistemas de identificação biométrica à distância «em tempo real» e «em diferido». No caso dos sistemas «em tempo real», a recolha dos dados biométricos, a comparação e a identificação ocorrem de imediato, quase de imediato ou, em todo o caso, sem um atraso significativo. Não pode haver, a este respeito, margem para contornar as regras do presente regulamento sobre a utilização «em tempo real» dos sistemas de IA em causa por via da introdução de ligeiros retardamentos no sistema. Os sistemas «em tempo real» implicam a utilização «ao vivo» ou «quase ao vivo» de materiais, como vídeos, criados por uma câmara ou outro dispositivo com uma funcionalidade semelhante. Por outro lado, no caso dos sistemas «em diferido», os dados biométricos já foram recolhidos e a comparação e a identificação ocorrem apenas após um atraso significativo. Estes sistemas utilizam materiais, tais como imagens ou vídeos, criados por câmaras de televisão em circuito fechado ou dispositivos privados antes de o sistema ser utilizado relativamente às pessoas singulares em causa. Uma vez que o conceito de identificação biométrica é independente do consentimento individual, esta definição aplica-se mesmo quando são colocados avisos no local que está sob a vigilância do sistema de identificação biométrica à distância, não sendo anulado de facto pela pré-inscrição.

(8-A)

A identificação de pessoas singulares à distância é entendida como uma distinção entre os sistemas de identificação biométrica à distância e os sistemas de verificação individual de proximidade que utilizam meios de identificação biométrica, cujo único objetivo é confirmar se uma pessoa singular específica que se apresenta para identificação é ou não autorizada, por exemplo para ter acesso a um serviço, a um dispositivo ou a instalações.

(9)

Para efeitos do presente regulamento, deve entender-se por «espaço acessível ao público» qualquer espaço físico que seja acessível ao público, independentemente de o espaço em questão ser detido por uma entidade privada ou pública. Como tal, a definição não abrange locais de natureza privada ou que não são de acesso livre a terceiros, incluindo as autoridades policiais, a não ser que essas partes tenham sido especificamente convidadas ou autorizadas, tais como residências, clubes privados, escritórios, armazéns e fábricas. Os espaços em linha também não são abrangidos, uma vez que não são espaços físicos. Contudo, a mera possibilidade de aplicar determinadas condições para o acesso a um espaço particular, como bilhetes de admissão ou restrições de idade, não significa que o espaço não é acessível ao público na aceção do presente regulamento. Consequentemente, além dos espaços públicos, como as ruas, as partes relevantes dos edifícios governamentais e a maioria das infraestruturas de transporte, espaços como cinemas, teatros, lojas e centros comerciais também são, por norma, acessíveis ao público. Para determinar se um espaço é acessível ao público deve recorrer-se a uma análise casuística, tendo em conta as especificidades da situação em apreço.

(9)

Para efeitos do presente regulamento, deve entender-se por «espaço acessível ao público» qualquer espaço físico que seja acessível ao público, independentemente de o espaço em questão ser detido por uma entidade privada ou pública e independentemente de potenciais restrições à sua capacidade . Como tal, a definição não abrange locais de natureza privada ou que não são de acesso livre a terceiros, incluindo as autoridades policiais, a não ser que essas partes tenham sido especificamente convidadas ou autorizadas, tais como residências, clubes privados, escritórios, armazéns e fábricas. Os espaços em linha também não são abrangidos, uma vez que não são espaços físicos. Contudo, a mera possibilidade de aplicar determinadas condições para o acesso a um espaço particular, como bilhetes de admissão ou restrições de idade, não significa que o espaço não é acessível ao público na aceção do presente regulamento. Consequentemente, além dos espaços públicos, como as ruas, as partes relevantes dos edifícios governamentais e a maioria das infraestruturas de transporte, espaços como cinemas, teatros, campos desportivos, escolas, universidades, partes relevantes de hospitais e bancos, parques de diversões, festivais, lojas e centros comerciais também são, por norma, acessíveis ao público. Para determinar se um espaço é acessível ao público deve recorrer-se a uma análise casuística, tendo em conta as especificidades da situação em apreço.

(9-A)

É importante assinalar que os sistemas de IA devem esforçar-se tanto quanto possível para respeitar os princípios gerais que estabelecem um quadro de alto nível que promova uma abordagem coerente centrada no ser humano em prol de uma IA ética e fiável, em consonância com a Carta dos Direitos Fundamentais da União Europeia e os valores em que se funda a União, incluindo a proteção dos direitos fundamentais, a iniciativa e o controlo por humanos, a solidez técnica e a segurança, a privacidade e a governação dos dados, a transparência, a não discriminação e a equidade, bem como o bem-estar social e ambiental.

(9-B)

A «Literacia no domínio da IA» diz respeito às competências, aos conhecimentos e à compreensão que permitem que os fornecedores, os utilizadores e as pessoas afetadas, tendo em conta os seus respetivos direitos e obrigações no contexto do presente regulamento, implantem os sistemas de IA com conhecimento de causa e tomem consciência das oportunidades e dos riscos inerentes à IA, bem como dos eventuais danos que a IA pode causar, promovendo, assim, o seu controlo democrático. A literacia em IA não deve circunscrever-se à aprendizagem sobre ferramentas e tecnologias, mas deve também ter por objetivo dotar os fornecedores e utilizadores das noções e competências necessárias para assegurar o cumprimento e a aplicação do presente regulamento. Por conseguinte, é necessário que a Comissão e os Estados-Membros, bem como os fornecedores e os utilizadores de sistemas de IA, em cooperação com todas as partes interessadas pertinentes, promovam o desenvolvimento de um nível suficiente de literacia em IA em todos os quadrantes da sociedade para os cidadãos de todas as faixas etárias, incluindo mulheres e raparigas, e que os progressos na matéria sejam acompanhados de perto.

(10)

Para assegurar condições de concorrência equitativas e uma proteção eficaz dos direitos e das liberdades das pessoas singulares em toda a União, as regras estabelecidas no presente regulamento devem aplicar-se aos fornecedores de sistemas de IA de uma forma não discriminatória, independentemente de estarem estabelecidos na União ou num país terceiro, e aos utilizadores de sistemas de IA estabelecidos na União.

(10)

Para assegurar condições de concorrência equitativas e uma proteção eficaz dos direitos e das liberdades das pessoas singulares em toda a União e a nível internacional , as regras estabelecidas no presente regulamento devem aplicar-se aos fornecedores de sistemas de IA de uma forma não discriminatória, independentemente de estarem estabelecidos na União ou num país terceiro, e aos responsáveis pela instalação de sistemas de IA estabelecidos na União. Para que a União seja fiel aos seus valores fundamentais, os sistemas de IA concebidos para serem utilizados em práticas consideradas inaceitáveis pelo presente regulamento devem igualmente ser considerados inaceitáveis fora da União devido ao seu efeito particularmente prejudicial para os direitos fundamentais consagrados na Carta. Por conseguinte, é adequado proibir a exportação desses sistemas de IA para países terceiros por fornecedores residentes na União.

(11)

Face à natureza digital dos sistemas de IA, determinados sistemas devem ser abrangidos pelo âmbito do presente regulamento, mesmo quando não são colocados no mercado ou em serviço, nem são utilizados na União. Esta situação verifica-se, por exemplo, quando um operador estabelecido na União contrata determinados serviços a um operador estabelecido fora da União relativamente a uma atividade a realizar por um sistema de IA que seria considerado «de risco elevado» e cujos efeitos afetam pessoas singulares localizadas na União. Nessas circunstâncias, o operador fora da União poderia utilizar o seu sistema de IA para tratar dados recolhidos e transferidos licitamente da União e fornecer ao operador contratante na União o resultado desse sistema de IA decorrente desse tratamento, sem que o sistema de IA em causa fosse colocado no mercado ou em serviço ou utilizado na União. Para evitar que o presente regulamento seja contornado e para assegurar uma proteção eficaz das pessoas singulares localizadas na União, o presente regulamento deve ser igualmente aplicável a fornecedores e utilizadores de sistemas de IA estabelecidos num país terceiro nos casos em que o resultado desses sistemas seja utilizado na União. No entanto, para ter em conta os mecanismos existentes e as necessidades especiais de cooperação com os parceiros estrangeiros com quem são trocadas informações e dados, o presente regulamento não deve ser aplicável às autoridades públicas de um país terceiro e às organizações internacionais quando estas atuam no âmbito de acordos internacionais celebrados a nível nacional ou europeu para efeitos de cooperação policial e judiciária com a União ou com os seus Estados-Membros. Tais acordos têm sido celebrados bilateralmente entre Estados-Membros e países terceiros ou entre a União Europeia, a Europol e outras agências da UE e países terceiros e organizações internacionais.

(11)

Face à natureza digital dos sistemas de IA, determinados sistemas devem ser abrangidos pelo âmbito do presente regulamento, mesmo quando não são colocados no mercado ou em serviço, nem são utilizados na União. Esta situação verifica-se, por exemplo, quando um operador estabelecido na União contrata determinados serviços a um operador estabelecido fora da União relativamente a uma atividade a realizar por um sistema de IA que seria considerado «de risco elevado» e cujos efeitos afetam pessoas singulares localizadas na União. Nessas circunstâncias, o operador fora da União poderia utilizar o seu sistema de IA para tratar dados recolhidos e transferidos licitamente da União e fornecer ao operador contratante na União o resultado desse sistema de IA decorrente desse tratamento, sem que o sistema de IA em causa fosse colocado no mercado ou em serviço ou utilizado na União. Para evitar que o presente regulamento seja contornado e para assegurar uma proteção eficaz das pessoas singulares localizadas na União, o presente regulamento deve ser igualmente aplicável a fornecedores e utilizadores ou responsáveis pela implantação de sistemas de IA estabelecidos num país terceiro nos casos em que o resultado desses sistemas se destine a ser utilizado na União. No entanto, para ter em conta os mecanismos existentes e as necessidades especiais de cooperação com os parceiros estrangeiros com quem são trocadas informações e dados, o presente regulamento não deve ser aplicável às autoridades públicas de um país terceiro e às organizações internacionais quando estas atuam no âmbito de acordos internacionais celebrados a nível nacional ou europeu para efeitos de cooperação policial e judiciária com a União ou com os seus Estados-Membros. Tais acordos têm sido celebrados bilateralmente entre Estados-Membros e países terceiros ou entre a União Europeia, a Europol e outras agências da UE e países terceiros e organizações internacionais. Não obstante, esta exceção deve estar limitada aos países e organizações internacionais de confiança que partilham os valores da União.

(12)

O presente regulamento deverá ser também aplicável a instituições, órgãos e organismos da União quando atuam como fornecedor ou utilizador de um sistema de IA. Os sistemas de IA desenvolvidos ou utilizados exclusivamente para efeitos militares devem ser excluídos do âmbito do presente regulamento, caso essa utilização seja abrangida pela competência exclusiva da política externa e de segurança comum regulamentada nos termos do título V do Tratado da União Europeia (TUE). O presente regulamento não prejudica a responsabilidade dos prestadores intermediários de serviços estabelecida na Diretiva 2000/31/CE do Parlamento Europeu e do Conselho [na redação que lhe foi dada pelo Regulamento Serviços Digitais].

(12)

O presente regulamento deverá ser também aplicável a instituições, órgãos e organismos da União quando atuam como fornecedor ou responsável pela implantação de um sistema de IA. Os sistemas de IA desenvolvidos ou utilizados exclusivamente para efeitos militares devem ser excluídos do âmbito do presente regulamento, caso essa utilização seja abrangida pela competência exclusiva da política externa e de segurança comum regulamentada nos termos do título V do Tratado da União Europeia (TUE). O presente regulamento não prejudica a responsabilidade dos prestadores intermediários de serviços estabelecida na Diretiva 2000/31/CE do Parlamento Europeu e do Conselho [na redação que lhe foi dada pelo Regulamento Serviços Digitais].

(12-A)

O software e os dados que sejam partilhados abertamente e que possam, eles próprios ou uma versão alterada dos mesmos, ser livremente consultados, utilizados, alterados e redistribuídos pelos utilizadores podem contribuir para a investigação e para a inovação no mercado. Estudos da Comissão Europeia demonstram, além disso, que o software livre e de código fonte aberto pode contribuir com 65 a 95 mil milhões de euros para o PIB da União Europeia e proporcionar oportunidades significativas de crescimento da economia europeia. Os utilizadores têm a possibilidade de executar, copiar, distribuir, estudar, alterar e melhorar o software e os dados, incluindo os modelos, através de licenças livres e de fonte aberta. A fim de promover o desenvolvimento e a implantação da IA, especialmente por PME, empresas em fase de arranque e investigação académica, mas também por indivíduos, o presente regulamento não deve aplicar-se a esses componentes de IA livres e de fonte aberta, exceto na medida em que sejam colocados no mercado ou em serviço por um fornecedor como parte de um sistema de IA de risco elevado ou de um sistema de IA abrangido pelos títulos II ou IV do presente regulamento.

(12-B)

Nem o desenvolvimento colaborativo de componentes de IA com software livre e de código fonte aberto nem a sua disponibilização em repositórios abertos devem constituir uma colocação no mercado ou uma entrada em serviço. Uma atividade comercial que se enquadre num entendimento de disponibilização no mercado pode, no entanto, caracterizar-se pela cobrança de um preço, com exceção de transações entre microempresas, por um componente de IA com «software» livre e de fonte aberta, mas também pela cobrança de um preço por serviços de apoio técnico, pela disponibilização de uma plataforma de software através da qual o fornecedor lucre com outros serviços ou pela utilização de dados pessoais por razões que não sejam exclusivamente destinadas a melhorar a segurança, a compatibilidade ou a interoperabilidade do software.

(12-C)

Os criadores de componentes de software livre e de código fonte aberto não devem ser obrigados, ao abrigo do presente regulamento, a cumprir os requisitos relativos à cadeia de valor da IA e, em particular, no que diz respeito ao fabricante que utilizou esse componente de software livre e de código fonte aberto. No entanto, os criadores de componentes de IA gratuitos e de fonte aberta devem ser incentivados a aplicar práticas de documentação amplamente adotadas, como modelos e cartões de dados, como forma de acelerar a partilha de informações ao longo da cadeia de valor da IA, permitindo a promoção de sistemas de IA fiáveis na União.

(13)

A fim de assegurar um nível elevado e coerente de proteção dos interesses públicos nos domínios da saúde, da segurança e dos direitos fundamentais, devem ser criadas normas comuns aplicáveis a todos os sistemas de IA de risco elevado. Essas normas devem ser coerentes com a Carta dos Direitos Fundamentais da União Europeia ( a seguir designada por «Carta») e não discriminatórias, bem como estar em consonância com os compromissos comerciais internacionais da União.

(13)

A fim de assegurar um nível elevado e coerente de proteção dos interesses públicos nos domínios da saúde, da segurança e dos direitos fundamentais, bem como da democracia e do Estado de direito e do ambiente, devem ser criadas normas comuns aplicáveis a todos os sistemas de IA de risco elevado. Essas normas devem ser coerentes com a Carta , o Pacto Ecológico Europeu, a Declaração Conjunta sobre os Direitos Digitais da União e as Orientações Éticas para uma Inteligência Artificial ( IA) de Confiança do Grupo de Peritos de Alto Nível em Inteligência Artificial e não discriminatórias, bem como estar em consonância com os compromissos comerciais internacionais da União.

(14)

Para que o conjunto de normas vinculativas aplicáveis aos sistemas de IA seja proporcionado e eficaz, deve seguir-se uma abordagem baseada no risco claramente definida. Essa abordagem deve adaptar o tipo e o conteúdo dessas normas à intensidade e ao âmbito dos riscos criados pelos sistemas de IA. Como tal, é necessário proibir determinadas práticas de inteligência artificial, estabelecer requisitos aplicáveis aos sistemas de IA de risco elevado e obrigações para os operadores pertinentes, bem como estabelecer obrigações de transparência para determinados sistemas de IA.

(14)

Para que o conjunto de normas vinculativas aplicáveis aos sistemas de IA seja proporcionado e eficaz, deve seguir-se uma abordagem baseada no risco claramente definida. Essa abordagem deve adaptar o tipo e o conteúdo dessas normas à intensidade e ao âmbito dos riscos criados pelos sistemas de IA. Como tal, é necessário proibir determinadas práticas de inteligência artificial inaceitáveis , estabelecer requisitos aplicáveis aos sistemas de IA de risco elevado e obrigações para os operadores pertinentes, bem como estabelecer obrigações de transparência para determinados sistemas de IA.

(15)

Além das inúmeras utilizações benéficas da inteligência artificial, essa tecnologia pode ser utilizada indevidamente e conceder instrumentos novos e poderosos para práticas manipuladoras, exploratórias e de controlo social. Essas práticas são particularmente prejudiciais e devem ser proibidas, pois desrespeitam valores da União, como a dignidade do ser humano, a liberdade, a igualdade, a democracia e o Estado de direito, bem como direitos fundamentais da União, incluindo o direito à não discriminação, à proteção de dados pessoais e à privacidade, e os direitos das crianças.

(15)

Além das inúmeras utilizações benéficas da inteligência artificial, essa tecnologia pode ser utilizada indevidamente e conceder instrumentos novos e poderosos para práticas manipuladoras, exploratórias e de controlo social. Essas práticas são particularmente prejudiciais e abusivas e devem ser proibidas, pois desrespeitam valores da União, como a dignidade do ser humano, a liberdade, a igualdade, a democracia e o Estado de direito, bem como direitos fundamentais da União, incluindo o direito à não discriminação, à proteção de dados pessoais e à privacidade, e os direitos das crianças.

(16)

Deve ser proibida a colocação no mercado, a colocação em serviço ou a utilização de determinados sistemas de IA concebidos para distorcer o comportamento humano, os quais são passíveis de provocar danos físicos ou psicológicos. Esses sistemas de IA utilizam componentes subliminares que não são detetáveis pelos seres humanos ou exploram vulnerabilidades de crianças e adultos associadas à sua idade e às suas incapacidades físicas ou mentais. A intenção destes sistemas é distorcer substancialmente o comportamento de uma pessoa de uma forma que cause ou seja suscetível de causar danos a essa ou a outra pessoa. A intenção pode não ser detetada caso a distorção do comportamento humano resulte de fatores externos ao sistema de IA que escapam ao controlo do fornecedor ou do utilizador. A proibição não pode impedir a investigação desses sistemas de IA para efeitos legítimos, desde que essa investigação não implique uma utilização do sistema de IA em relações homem-máquina que exponha pessoas singulares a danos e seja efetuada de acordo com normas éticas reconhecidas para fins de investigação científica.

(16)

Deve ser proibida a colocação no mercado, a colocação em serviço ou a utilização de determinados sistemas de IA com o objetivo ou o efeito de distorcer substancialmente o comportamento humano, os quais são passíveis de provocar danos físicos ou psicológicos. Esta limitação deve ser entendida como incluindo as neurotecnologias assistidas por sistemas de IA que são utilizadas para monitorizar, utilizar ou influenciar os dados neurais recolhidos através de interfaces cérebro-computador, na medida em que distorçam substancialmente o comportamento de uma pessoa singular de uma forma que cause ou seja suscetível de causar danos significativos a essa ou a outra pessoa. Esses sistemas de IA utilizam componentes subliminares que não são detetáveis pelos seres humanos ou exploram vulnerabilidades de indivíduos e grupos específicos de pessoas associadas aos seus traços de personalidade conhecidos ou inferidos, à sua idade e às suas incapacidades físicas ou mentais ou situação social ou económica . A intenção destes sistemas é distorcer ou produzir o efeito de distorcer substancialmente o comportamento de uma pessoa de uma forma que cause ou seja suscetível de causar danos significativos a essa ou a outra pessoa ou grupos de pessoas, incluindo danos que possam ser acumulados ao longo do tempo . A intenção de distorcer o comportamento pode não ser detetada caso a distorção resulte de fatores externos ao sistema de IA que escapam ao controlo do fornecedor ou do utilizador , como fatores que não podem ser razoavelmente previstos e mitigados pelo fornecedor ou pelo responsável pela implantação do sistema de IA. De qualquer modo, não é necessário que o fornecedor ou o responsável pela implantação tenha a intenção de causar um dano substancial, desde que tal dano resulte de práticas manipulativas ou exploradoras possibilitadas pela IA. As proibições de tais práticas de IA complementam as disposições constantes da Diretiva 2005/29/CE, segundo a qual as práticas comerciais desleais são proibidas, independentemente de recorrerem a sistemas de IA ou a outras possibilidades. Neste contexto, as práticas comerciais lícitas, por exemplo no domínio da publicidade, que estejam em conformidade com o direito da União não devem, por si só, ser consideradas como uma violação da proibição.  A proibição não pode impedir a investigação desses sistemas de IA para efeitos legítimos, desde que essa investigação não implique uma utilização do sistema de IA em relações homem-máquina que exponha pessoas singulares a danos e seja efetuada de acordo com normas éticas reconhecidas para fins de investigação científica que tenham por base um consentimento informado específico dos indivíduos a ela expostos ou, sendo caso disso, do seu tutor legal .

(16-A)

Os sistemas de IA que classificam pessoas singulares colocando-as em categorias específicas, de acordo com características sensíveis ou protegidas conhecidas ou inferidas, são particularmente intrusivos, violam a dignidade humana e apresentam um grande risco de discriminação. Essas características incluem o género, a identidade de género, a raça, origem étnica, migração ou estatuto de cidadania, orientação política, orientação sexual, religião, deficiência ou qualquer outro motivo pelo qual a discriminação seja proibida nos termos do artigo 21.o da Carta dos Direitos Fundamentais da UE, bem como nos termos do artigo 9.o do Regulamento (UE) 2016/769; Como tal, esses sistemas devem ser proibidos.

(17)

Os sistemas de IA que possibilitam a classificação social de pessoas singulares para uso geral das autoridades públicas ou em nome destas podem criar resultados discriminatórios e levar à exclusão de determinados grupos. Estes sistemas podem ainda violar o direito à dignidade e à não discriminação e os valores da igualdade e da justiça. Esses sistemas de IA avaliam ou classificam a credibilidade de pessoas singulares com base no seu comportamento social em diversos contextos ou em características de personalidade ou pessoais, conhecidas ou previsíveis. A classificação social obtida por meio desses sistemas de IA pode levar ao tratamento prejudicial ou desfavorável de pessoas singulares ou grupos inteiros das mesmas em contextos sociais não relacionados com o contexto nos quais os dados foram originalmente gerados ou recolhidos ou a um tratamento prejudicial que é injustificado ou desproporcionado face à gravidade do seu comportamento social. Como tal, esses sistemas de IA devem ser proibidos.

(17)

Os sistemas de IA que possibilitam a classificação social de pessoas singulares para uso geral podem criar resultados discriminatórios e levar à exclusão de determinados grupos. Estes sistemas violam o direito à dignidade e à não discriminação e os valores da igualdade e da justiça. Esses sistemas de IA avaliam ou classificam pessoas singulares ou grupos com base em múltiplos pontos de dados e ocorrências no tempo relacionadas com o seu comportamento social em diversos contextos ou em características de personalidade ou pessoais conhecidas , inferidas ou previsíveis. A classificação social obtida por meio desses sistemas de IA pode levar ao tratamento prejudicial ou desfavorável de pessoas singulares ou grupos inteiros das mesmas em contextos sociais não relacionados com o contexto nos quais os dados foram originalmente gerados ou recolhidos ou a um tratamento prejudicial que é injustificado ou desproporcionado face à gravidade do seu comportamento social. Como tal, esses sistemas de IA devem ser proibidos.

(18)

A utilização de sistemas de IA para a identificação biométrica à distância «em tempo real» de pessoas singulares em espaços acessíveis ao público para efeitos de manutenção da ordem pública é  considerada particularmente intrusiva para os direitos e as liberdades das pessoas em causa, visto que pode afetar a vida privada de uma grande parte da população, dar origem a uma sensação de vigilância constante e dissuadir indiretamente o exercício da liberdade de reunião e de outros direitos fundamentais. Além disso, dado o impacto imediato e as oportunidades limitadas para a realização de controlos adicionais ou correções da utilização desses sistemas que funcionam «em tempo real», estes dão origem a riscos acrescidos para os direitos e as liberdades das pessoas visadas pelas autoridades policiais.

(18)

A utilização de sistemas de IA para a identificação biométrica à distância «em tempo real» de pessoas singulares em espaços acessíveis ao público é particularmente intrusiva para os direitos e as liberdades das pessoas em causa e pode , em última análise, afetar a vida privada de uma grande parte da população, dar origem a uma sensação de vigilância constante , dar às partes que utilizam a identificação biométrica em espaços acessíveis ao público uma posição de poder incontrolável e dissuadir indiretamente o exercício da liberdade de reunião e de outros direitos fundamentais que estão no cerne do Estado de direito. As imprecisões técnicas dos sistemas de IA concebidos para a identificação biométrica à distância de pessoas singulares podem conduzir a resultados enviesados e ter efeitos discriminatórios. Esta questão é particularmente relevante quando diz respeito à idade, à etnia, ao género ou a deficiências das pessoas . Além disso, dado o impacto imediato e as oportunidades limitadas para a realização de controlos adicionais ou correções da utilização desses sistemas que funcionam «em tempo real», estes dão origem a riscos acrescidos para os direitos e as liberdades das pessoas visadas pelas autoridades policiais. Como tal, deve ser proibida a utilização desses sistemas em locais acessíveis ao público. Do mesmo modo, os sistemas de IA utilizados para a análise de imagens registadas de espaços acessíveis ao público através de sistemas de pós-identificação biométrica à distância devem também ser proibidos, a menos que exista uma autorização judicial prévia para a sua utilização no contexto da aplicação da lei, quando estritamente necessária para a pesquisa direcionada ligada a uma infração penal grave e específica já ocorrida, e apenas mediante prévia autorização judicial.

(19)

Como tal, deve ser proibida a utilização desses sistemas para efeitos de manutenção da ordem pública, salvo em três situações enunciadas exaustivamente e definidas de modo restrito, em que a utilização é estritamente necessária por motivos de interesse público importante e cuja importância prevalece sobre os riscos. Essas situações implicam a procura de potenciais vítimas de crimes, incluindo crianças desaparecidas, certas ameaças à vida ou à segurança física de pessoas singulares ou ameaças de ataque terrorista, e a deteção, localização, identificação ou instauração de ações penais relativamente a infratores ou suspeitos de infrações penais a que se refere a Decisão-Quadro 2002/584/JAI do Conselho  (38) , desde que puníveis no Estado-Membro em causa com pena ou medida de segurança privativas de liberdade de duração máxima não inferior a três anos e tal como definidas pela legislação desse Estado-Membro. Esse limiar para a pena ou medida de segurança privativa de liberdade prevista no direito nacional contribui para assegurar que a infração seja suficientemente grave para justificar potencialmente a utilização de sistemas de identificação biométrica à distância «em tempo real». Além disso, das 32 infrações penais enumeradas na Decisão-Quadro 2002/584/JAI do Conselho, algumas são provavelmente mais pertinentes do que outras, já que o recurso à identificação biométrica à distância «em tempo real» será previsivelmente necessário e proporcionado em graus extremamente variáveis no respeitante à deteção, localização, identificação ou instauração de ação penal relativamente a um infrator ou suspeito das diferentes infrações penais enumeradas e tendo em conta as prováveis diferenças em termos de gravidade, probabilidade e magnitude dos prejuízos ou das possíveis consequências negativas.

(20)

A fim de assegurar que esses sistemas sejam utilizados de uma forma responsável e proporcionada, também importa estabelecer que, em cada uma dessas três situações enunciadas exaustivamente e definidas de modo restrito, é necessário ter em conta determinados elementos, em especial no que se refere à natureza da situação que dá origem ao pedido e às consequências da utilização para os direitos e as liberdades de todas as pessoas em causa e ainda às salvaguardas e condições previstas para a utilização. Além disso, a utilização de sistemas de identificação biométrica à distância «em tempo real» em espaços acessíveis ao público para efeitos de manutenção da ordem pública deve estar sujeita a limites espaciais e temporais adequados, tendo em conta, especialmente, os dados ou indícios relativos às ameaças, às vítimas ou ao infrator. A base de dados de pessoas utilizada como referência deve ser adequada a cada utilização em cada uma das três situações acima indicadas.

(21)

Cada utilização de um sistema de identificação biométrica à distância «em tempo real» em espaços acessíveis ao público para efeitos de manutenção da ordem pública deve estar sujeita a uma autorização expressa e específica de uma autoridade judiciária ou de uma autoridade administrativa independente de um Estado-Membro. Em princípio, essa autorização deve ser obtida antes da sua utilização, salvo em situações de urgência devidamente justificadas, ou seja, quando a necessidade de utilizar os sistemas em causa torna efetiva e objetivamente impossível obter uma autorização antes de iniciar essa utilização. Nessas situações de urgência, a utilização deve limitar-se ao mínimo absolutamente necessário e estar sujeita a salvaguardas e condições adequadas, conforme determinado pelo direito nacional e especificado no contexto de cada caso de utilização urgente pela própria autoridade policial. Ademais, nessas situações, a autoridade policial deve procurar obter quanto antes uma autorização, apresentando as razões para não ter efetuado o pedido mais cedo.

(22)

Além disso, no âmbito do quadro exaustivo estabelecido pelo presente regulamento, importa salientar que essa utilização no território de um Estado-Membro apenas deve ser possível uma vez que o Estado-Membro em causa tenha decidido possibilitar expressamente a autorização dessa utilização de acordo com o presente regulamento nas regras de execução previstas no direito nacional. Consequentemente, ao abrigo do presente regulamento, os Estados-Membros continuam a ser livres de não possibilitar essa utilização ou de apenas possibilitar essa utilização relativamente a alguns dos objetivos passíveis de justificar uma utilização autorizada identificados no presente regulamento.

(23)

A utilização de sistemas de IA para a identificação biométrica à distância «em tempo real» de pessoas singulares em espaços acessíveis ao público para efeitos de manutenção da ordem pública implica necessariamente o tratamento de dados biométricos. As regras do presente regulamento que proíbem essa utilização, salvo em certas exceções, e que têm por base o artigo 16.o do TFUE, devem aplicar-se como lex specialis relativamente às regras em matéria de tratamento de dados biométricos previstas no artigo 10.o da Diretiva (UE) 2016/680, regulando assim essa utilização e o tratamento de dados biométricos conexo de uma forma exaustiva. Como tal, essa utilização e esse tratamento apenas devem ser possíveis se forem compatíveis com o quadro estabelecido pelo presente regulamento, sem que exista margem, fora desse quadro, para as autoridades competentes utilizarem esses sistemas e efetuarem o tratamento desses dados pelos motivos enunciados no artigo 10.o da Diretiva (UE) 2016/680, caso atuem para efeitos de manutenção da ordem pública. Neste contexto, o presente regulamento não pretende constituir o fundamento jurídico do tratamento de dados pessoais, nos termos do artigo 8.o da Diretiva (UE) 2016/680. Contudo, a utilização de sistemas de identificação biométrica à distância «em tempo real» em espaços acessíveis ao público para outros fins que não os policiais, incluindo por parte das autoridades competentes, não deve ser abrangida pelo quadro específico relativo a essa utilização para efeitos de manutenção da ordem pública estabelecido pelo presente regulamento. Assim, uma utilização para outros fins que não a manutenção da ordem pública não deve estar sujeita ao requisito de autorização previsto no presente regulamento nem às eventuais regras de execução previstas no direito nacional.

(24)

Qualquer tratamento de dados biométricos e de outros dados pessoais envolvidos na utilização de sistemas de IA para fins de identificação biométrica, desde que não estejam associados à utilização de sistemas de identificação biométrica à distância «em tempo real» em espaços acessíveis ao público para efeitos de manutenção da ordem pública , conforme regida pelo presente regulamento , incluindo quando esses sistemas são utilizados pelas autoridades competentes em espaços acessíveis ao público para outros fins que não os policiais , deve continuar a cumprir todos os requisitos decorrentes do artigo 9.o, n.o 1, do Regulamento (UE) 2016/679, do artigo 10.o, n.o 1, do Regulamento (UE) 2018/1725 e do artigo 10.o da Diretiva (UE) 2016/680, conforme aplicável.

(24)

Qualquer tratamento de dados biométricos e de outros dados pessoais envolvidos na utilização de sistemas de IA para fins de identificação biométrica, desde que não estejam associados à utilização de sistemas de identificação biométrica à distância «em tempo real» em espaços acessíveis ao público, conforme regida pelo presente regulamento, deve continuar a cumprir todos os requisitos decorrentes do artigo 9.o, n.o 1, do Regulamento (UE) 2016/679, do artigo 10.o, n.o 1, do Regulamento (UE) 2018/1725 e do artigo 10.o da Diretiva (UE) 2016/680, conforme aplicável.

(25)

Nos termos do artigo 6.o-A do Protocolo (n.o 21) relativo à posição do Reino Unido e da Irlanda em relação ao espaço de liberdade, segurança e justiça, anexo ao TUE e ao TFUE, a Irlanda não fica vinculada pelas regras estabelecidas no artigo 5.o, n.o 1, alínea d), e n.os 2 e 3, do presente regulamento e adotadas com base no artigo 16.o do TFUE que digam respeito ao tratamento de dados pessoais pelos Estados-Membros no exercício de atividades que se enquadram no âmbito da parte III, título V, capítulos 4 ou 5, do TFUE, caso não esteja vinculada por regras que rejam formas de cooperação judiciária em matéria penal ou de cooperação policial no âmbito das quais devam ser observadas as disposições definidas com base no artigo 16.o do TFUE.

(25)

Nos termos do artigo 6.o-A do Protocolo (n.o 21) relativo à posição do Reino Unido e da Irlanda em relação ao espaço de liberdade, segurança e justiça, anexo ao TUE e ao TFUE, a Irlanda não fica vinculada pelas regras estabelecidas no artigo 5.o, n.o 1, alínea d), do presente regulamento e adotadas com base no artigo 16.o do TFUE que digam respeito ao tratamento de dados pessoais pelos Estados-Membros no exercício de atividades que se enquadram no âmbito da parte III, título V, capítulos 4 ou 5, do TFUE, caso não esteja vinculada por regras que rejam formas de cooperação judiciária em matéria penal ou de cooperação policial no âmbito das quais devam ser observadas as disposições definidas com base no artigo 16.o do TFUE.

(26)

Nos termos dos artigos 2.o e 2.o-A do Protocolo (n.o 22) relativo à posição da Dinamarca, anexo ao TUE e ao TFUE, a Dinamarca não fica vinculada pelas regras estabelecidas no artigo 5.o, n.o 1, alínea d), e n.os 2 e 3, do presente regulamento e adotadas com base no artigo 16.o do TFUE que digam respeito ao tratamento de dados pessoais pelos Estados-Membros no exercício de atividades que se enquadram no âmbito de aplicação da parte III, título V, capítulos 4 ou 5, do TFUE, nem fica sujeita à aplicação das mesmas.

(26)

Nos termos dos artigos 2.o e 2.o-A do Protocolo (n.o 22) relativo à posição da Dinamarca, anexo ao TUE e ao TFUE, a Dinamarca não fica vinculada pelas regras estabelecidas no artigo 5.o, n.o 1, alínea d), do presente regulamento e adotadas com base no artigo 16.o do TFUE que digam respeito ao tratamento de dados pessoais pelos Estados-Membros no exercício de atividades que se enquadram no âmbito de aplicação da parte III, título V, capítulos 4 ou 5, do TFUE, nem fica sujeita à aplicação das mesmas.

(26-A)

Os sistemas de IA utilizados pelas autoridades policiais, ou em seu nome, para fazer previsões, perfis ou avaliações dos riscos com base nos perfis de pessoas singulares ou análises de dados baseadas nos traços de personalidade ou características de um indivíduo, incluindo a sua localização, ou no historial criminal de pessoas singulares ou grupos de pessoas para prever a ocorrência ou recorrência de uma ou mais infrações penais, reais ou potenciais, ou outro comportamento social criminalizado ou infrações administrativas, incluindo sistemas de previsão de fraudes, apresentam um risco particular de discriminação contra determinadas pessoas ou grupos de pessoas, uma vez que violam a dignidade humana, bem como o princípio jurídico fundamental da presunção de inocência. Como tal, esses sistemas de IA devem ser proibidos.

(26-B)

O abate indiscriminado e não direcionado de dados biométricos das redes sociais ou de imagens de CCTV para criar ou expandir bases de dados de reconhecimento facial agrava o sentimento de vigilância em larga escala e pode conduzir a violações flagrantes dos direitos fundamentais, incluindo o direito à privacidade. Como tal, deve ser proibida a utilização de sistemas de IA para esta finalidade.

(26-C)

Existem sérias preocupações relativamente à base científica dos sistemas de IA que visam detetar emoções ou características físicas ou fisiológicas, tais como expressões faciais, movimentos, frequência cardíaca ou voz. As emoções ou expressão de emoções e perceções variam consideravelmente de acordo com culturas e situações, mesmo quando se trata de uma única pessoa. Entre as principais deficiências de tais tecnologias estão a fiabilidade limitada (as categorias das emoções não são expressas de forma fiável, nem inequivocamente associadas, a um conjunto comum de movimentos físicos ou fisiológicos), a falta de especificidade (as expressões físicas ou fisiológicas não correspondem perfeitamente às categorias de emoções) e a limitada generalização (os efeitos do contexto e da cultura não são suficientemente considerados). Podem surgir problemas de fiabilidade e, consequentemente, grandes riscos de abuso, especialmente quando o sistema é implantado em situações reais relacionadas com a aplicação da lei, a gestão das fronteiras, o local de trabalho e as instituições de ensino. Por conseguinte, deve ser proibida a colocação no mercado, a colocação em serviço ou a utilização de sistemas de IA destinados a serem utilizados nestes contextos para detetar o estado emocional de indivíduos.

(26-D)

As práticas proibidas pela legislação da União, incluindo a legislação sobre proteção de dados, não discriminação, defesa do consumidor e direito da concorrência, não podem ser afetadas pelo presente regulamento.

(27)

Os sistemas de IA de risco elevado só podem ser colocados no mercado da União ou colocados em serviço se cumprirem determinados requisitos obrigatórios. Esses requisitos devem assegurar que os sistemas de IA de risco elevado disponíveis na União ou cujos resultados sejam utilizados na União não representam riscos inaceitáveis para interesses públicos importantes da União, conforme reconhecidos e protegidos pelo direito da União. A classificação de «risco elevado» aplicada a sistemas de IA deve limitar-se aos sistemas que têm um impacto prejudicial substancial na saúde, na segurança e nos direitos fundamentais das pessoas no território da União e essa limitação deve minimizar quaisquer potenciais restrições ao comércio internacional, se for caso disso.

(27)

Os sistemas de IA de risco elevado só podem ser colocados no mercado da União, colocados em serviço ou utilizados se cumprirem determinados requisitos obrigatórios. Esses requisitos devem assegurar que os sistemas de IA de risco elevado disponíveis na União ou cujos resultados sejam utilizados na União não representam riscos inaceitáveis para interesses públicos importantes da União, conforme reconhecidos e protegidos pelo direito da União , incluindo os direitos fundamentais, a democracia, o Estado de direito ou o ambiente. A fim de assegurar o alinhamento com a legislação setorial e evitar duplicações, os requisitos para determinados sistemas de IA de risco elevado terão em conta a legislação setorial que estabelece requisitos para sistemas de IA de risco elevado incluídos no âmbito do presente regulamento, como o Regulamento (UE) 2017/745 relativo aos dispositivos médicos, o Regulamento (UE) 2017/746 relativo aos dispositivos médicos para diagnóstico in vitro ou a Diretiva 2006/42/CE relativa às máquinas . A classificação de «risco elevado» aplicada a sistemas de IA deve limitar-se aos sistemas que têm um impacto prejudicial substancial na saúde, na segurança e nos direitos fundamentais das pessoas no território da União e essa limitação deve minimizar quaisquer potenciais restrições ao comércio internacional, se for caso disso. Tendo em conta o ritmo rápido do desenvolvimento tecnológico, bem como as potenciais alterações na utilização de sistemas de IA, a lista de zonas de risco elevado e de casos de utilização constante do anexo III deve, não obstante, ser objeto de revisão permanente através de uma avaliação regular.

(28)

Os sistemas de IA podem produzir resultados adversos para a saúde e  a segurança das pessoas, em particular quando esses sistemas funcionam como componentes de produtos. Em conformidade com os objetivos da legislação de harmonização da União, designadamente facilitar a livre circulação de produtos no mercado interno e assegurar que apenas os produtos seguros e conformes entram no mercado, é importante prevenir e atenuar devidamente os riscos de segurança que possam ser criados por um produto devido aos seus componentes digitais, incluindo sistemas de IA. A título de exemplo, os robôs, que se têm tornado cada vez mais autónomos, devem operar com segurança e realizar as suas funções em ambientes complexos, seja num contexto industrial ou de assistência e cuidados pessoais. De igual forma, no setor da saúde, em que os riscos para a vida e a saúde são particularmente elevados, os cada vez mais sofisticados sistemas de diagnóstico e sistemas que apoiam decisões humanas devem produzir resultados exatos e de confiança. A dimensão dos impactos adversos causados pelo sistema de IA nos direitos fundamentais protegidos pela Carta é particularmente importante quando se classifica um sistema de IA como sendo de risco elevado. Esses direitos incluem o direito à dignidade do ser humano, o respeito da vida privada e familiar, a proteção de dados pessoais, a liberdade de expressão e de informação, a liberdade de reunião e de associação, a não discriminação, a defesa dos consumidores, os direitos dos trabalhadores, os direitos das pessoas com deficiência, o direito à ação e a um tribunal imparcial, a presunção de inocência e o direito de defesa e o direito a uma boa administração. Além desses direitos, é importante salientar que as crianças têm direitos específicos, consagrados no artigo 24.o da Carta da UE e na Convenção das Nações Unidas sobre os Direitos da Criança (descritos em mais pormenor no Comentário geral n.o 25 da Convenção das Nações Unidas sobre os Direitos da Criança no respeitante ao ambiente digital), que exigem que as vulnerabilidades das crianças sejam tidas em conta e que estas recebam a proteção e os cuidados necessários ao seu bem-estar. O direito fundamental a um nível elevado de proteção do ambiente consagrado na Carta e aplicado nas políticas da União também deve ser tido em conta ao avaliar a gravidade dos danos que um sistema de IA pode causar, incluindo em relação à saúde e à segurança das pessoas.

(28)

Os sistemas de IA podem ter um impacto adverso na saúde e segurança das pessoas, em particular quando esses sistemas funcionam como componentes de segurança de produtos. Em conformidade com os objetivos da legislação de harmonização da União, designadamente facilitar a livre circulação de produtos no mercado interno e assegurar que apenas os produtos seguros e conformes entram no mercado, é importante prevenir e atenuar devidamente os riscos de segurança que possam ser criados por um produto devido aos seus componentes digitais, incluindo sistemas de IA. A título de exemplo, os robôs, que se têm tornado cada vez mais autónomos, devem operar com segurança e realizar as suas funções em ambientes complexos, seja num contexto industrial ou de assistência e cuidados pessoais. De igual forma, no setor da saúde, em que os riscos para a vida e a saúde são particularmente elevados, os cada vez mais sofisticados sistemas de diagnóstico e sistemas que apoiam decisões humanas devem produzir resultados exatos e de confiança.

(28-A)

A dimensão dos impactos adversos causados pelo sistema de IA nos direitos fundamentais protegidos pela Carta é particularmente importante quando se classifica um sistema de IA como sendo de risco elevado. Esses direitos incluem o direito à dignidade do ser humano, o respeito da vida privada e familiar, a proteção de dados pessoais, a liberdade de expressão e de informação, a liberdade de reunião e de associação e a não discriminação, o direito à educação, a defesa dos consumidores, os direitos dos trabalhadores, os direitos das pessoas com deficiência, a igualdade de género, os direitos de propriedade intelectual, o direito a uma indemnização eficaz e a um julgamento imparcial, o direito de defesa e a presunção de inocência e o direito a uma boa administração. Além desses direitos, é importante salientar que as crianças têm direitos específicos, consagrados no artigo 24.o da Carta da UE e na Convenção das Nações Unidas sobre os Direitos da Criança (descritos em mais pormenor no Comentário geral n.o 25 da Convenção das Nações Unidas sobre os Direitos da Criança no respeitante ao ambiente digital), que exigem ambas que as vulnerabilidades das crianças sejam tidas em conta e que estas recebam a proteção e os cuidados necessários ao seu bem-estar. O direito fundamental a um nível elevado de proteção do ambiente consagrado na Carta e aplicado nas políticas da União também deve ser tido em conta ao avaliar a gravidade dos danos que um sistema de IA pode causar, inclusivamente em relação à saúde e à segurança das pessoas ou do ambiente.

(29)

Relativamente aos sistemas de IA de risco elevado que são componentes de segurança de produtos ou sistemas ou que são, eles próprios, produtos ou sistemas abrangidos pelo âmbito do Regulamento (CE) n.o 300/2008 do Parlamento Europeu e do Conselho (39), do Regulamento (UE) n.o 167/2013 do Parlamento Europeu e do Conselho (40), do Regulamento (UE) n.o 168/2013 do Parlamento Europeu e do Conselho (41), da Diretiva 2014/90/UE do Parlamento Europeu e do Conselho (42), da Diretiva (UE) 2016/797 do Parlamento Europeu e do Conselho (43), do Regulamento (UE) 2018/858 do Parlamento Europeu e do Conselho (44), do Regulamento (UE) 2018/1139 do Parlamento Europeu e do Conselho (45) e do Regulamento (UE) 2019/2144 do Parlamento Europeu e do Conselho (46), é adequado alterar esses atos para assegurar que a Comissão tenha em conta, aquando da adoção de futuros atos delegados ou de execução baseados nesses atos, os requisitos obrigatórios aplicáveis aos sistemas de IA de risco elevado estabelecidos no presente regulamento, atendendo às especificidades técnicas e regulamentares de cada setor e sem interferir com os mecanismos de governação, de avaliação da conformidade e  de execução existentes nem com as autoridades estabelecidas nestes regulamentos.

(29)

Relativamente aos sistemas de IA de risco elevado que são componentes de segurança de produtos ou sistemas ou que são, eles próprios, produtos ou sistemas abrangidos pelo âmbito do Regulamento (CE) n.o 300/2008 do Parlamento Europeu e do Conselho (39), do Regulamento (UE) n.o 167/2013 do Parlamento Europeu e do Conselho (40), do Regulamento (UE) n.o 168/2013 do Parlamento Europeu e do Conselho (41), da Diretiva 2014/90/UE do Parlamento Europeu e do Conselho (42), da Diretiva (UE) 2016/797 do Parlamento Europeu e do Conselho (43), do Regulamento (UE) 2018/858 do Parlamento Europeu e do Conselho (44), do Regulamento (UE) 2018/1139 do Parlamento Europeu e do Conselho (45) e do Regulamento (UE) 2019/2144 do Parlamento Europeu e do Conselho (46), é adequado alterar esses atos para assegurar que a Comissão tenha em conta, aquando da adoção de futuros atos delegados ou de execução baseados nesses atos, os requisitos obrigatórios aplicáveis aos sistemas de IA de risco elevado estabelecidos no presente regulamento, atendendo às especificidades técnicas e regulamentares de cada setor e sem interferir com os mecanismos de governação, avaliação da conformidade , vigilância do mercado e execução existentes nem com as autoridades estabelecidas nestes regulamentos.

(30)

Relativamente aos sistemas de IA que são componentes de segurança de produtos ou que são, eles próprios, produtos abrangidos pelo âmbito de determinada legislação de harmonização da União, é apropriado classificá-los como de risco elevado ao abrigo do presente regulamento nos casos em que forem objeto de um procedimento de avaliação da conformidade realizado por um organismo terceiro de avaliação da conformidade nos termos dessa legislação de harmonização da União aplicável. Em particular, tais produtos são máquinas, brinquedos, ascensores, aparelhos e sistemas de proteção destinados a ser utilizados em atmosferas potencialmente explosivas, equipamentos de rádio, equipamentos sob pressão, equipamentos de embarcações de recreio, instalações por cabo, aparelhos a gás, dispositivos médicos e dispositivos médicos para diagnóstico in vitro.

(30)

Relativamente aos sistemas de IA que são componentes de segurança de produtos ou que são, eles próprios, produtos abrangidos pelo âmbito de determinada legislação de harmonização da União e enumerados no anexo II , é apropriado classificá-los como de risco elevado ao abrigo do presente regulamento nos casos em que forem objeto de um procedimento de avaliação da conformidade , a fim de assegurar a conformidade com os requisitos essenciais de segurança, realizado por um organismo terceiro de avaliação da conformidade nos termos dessa legislação de harmonização da União aplicável. Em particular, tais produtos são máquinas, brinquedos, ascensores, aparelhos e sistemas de proteção destinados a ser utilizados em atmosferas potencialmente explosivas, equipamentos de rádio, equipamentos sob pressão, equipamentos de embarcações de recreio, instalações por cabo, aparelhos a gás, dispositivos médicos e dispositivos médicos para diagnóstico in vitro.

(31)

Classificar um sistema de IA como de risco elevado nos termos do presente regulamento não implica necessariamente que o produto cujo componente de segurança é o sistema de IA ou que o próprio sistema de IA enquanto produto seja considerado «de risco elevado», segundo os critérios estabelecidos na legislação de harmonização da União aplicável ao produto. Tal verifica-se no respeitante ao Regulamento (UE) 2017/745 do Parlamento Europeu e do Conselho (47) e ao Regulamento (UE) 2017/746 do Parlamento Europeu e do Conselho (48), que preveem a avaliação por terceiros da conformidade de produtos de risco médio e elevado.

(32)

Relativamente aos sistemas de IA autónomos, ou seja, sistemas de IA de risco elevado que não são componentes de segurança de produtos nem são, eles próprios, produtos, é apropriado classificá-los como de risco elevado se, em função da finalidade prevista , representarem um risco elevado de danos para a saúde e a segurança ou de prejuízo para os direitos fundamentais das pessoas, tendo em conta a gravidade dos possíveis danos e a probabilidade dessa ocorrência, e se forem utilizados num conjunto de domínios especificamente predefinidos no regulamento . A identificação desses sistemas baseia-se na mesma metodologia e nos mesmos critérios previstos para futuras alterações da lista de sistemas de IA de risco elevado.

(32)

Relativamente aos sistemas de IA autónomos, ou seja, sistemas de IA de risco elevado que não são componentes de segurança de produtos nem são, eles próprios, produtos, e que estão enumerados numa das áreas e casos de utilização no anexo III, é apropriado classificá-los como de risco elevado se, em função da finalidade prevista, representarem um risco significativo de danos para a saúde e a segurança ou de prejuízo para os direitos fundamentais das pessoas, e quando o sistema de IA seja usado como um componente de segurança de uma infraestrutura de importância crítica, para o ambiente. Esse risco significativo de danos deve ser identificado avaliando, por um lado, o efeito desse risco no que diz respeito ao seu nível de gravidade, intensidade, probabilidade de ocorrência e duração combinada e , por outro, se o risco pode afetar um indivíduo, uma pluralidade de pessoas ou um grupo específico de pessoas. Essa combinação pode, por exemplo, resultar numa elevada gravidade mas baixa probabilidade de afetar uma pessoa singular, ou numa elevada probabilidade de afetar um grupo de pessoas com baixa intensidade durante um longo período, dependendo do contexto . A identificação desses sistemas baseia-se na mesma metodologia e nos mesmos critérios previstos para futuras alterações da lista de sistemas de IA de risco elevado.

(32-A)

Os fornecedores cujos sistemas de IA se enquadrem num dos domínios e casos de utilização enumerados no anexo III que considerem que o seu sistema não representa um risco significativo de danos para a saúde, a segurança, os direitos fundamentais ou o ambiente devem informar as autoridades nacionais de controlo mediante a apresentação de uma notificação fundamentada. Tal pode assumir a forma de um resumo de uma página das informações pertinentes sobre o sistema de IA em questão, incluindo a sua finalidade prevista e a razão pela qual não representaria um risco significativo de danos para a saúde, a segurança, os direitos fundamentais ou o ambiente. A Comissão deve especificar critérios que permitam às empresas avaliar se o seu sistema representa esses riscos, bem como desenvolver um modelo de notificação fácil de utilizar e normalizado. Os fornecedores devem apresentar a notificação o mais cedo possível e, em qualquer caso, antes da colocação do sistema de IA no mercado ou da sua colocação em serviço, idealmente na fase de desenvolvimento, e devem ser livres de a colocar no mercado em qualquer momento após a notificação. No entanto, se a autoridade estimar que o sistema de IA em questão foi classificado incorretamente, deve opor-se à notificação no prazo de três meses. A objeção deve ser fundamentada e ser devidamente explicado por que razão o sistema de IA foi classificado incorretamente. O prestador deve conservar o direito de recorrer mediante a apresentação de mais argumentos. Se, decorridos os três meses, não tiver havido objeções à notificação, as autoridades nacionais de supervisão podem ainda intervir se o sistema de IA apresentar um risco a nível nacional, tal como para qualquer outro sistema de IA existente no mercado. As autoridades nacionais de controlo devem apresentar relatórios anuais ao Serviço IA, especificando as notificações recebidas e as decisões tomadas.

(33)

As imprecisões técnicas dos sistemas de IA concebidos para a identificação biométrica à distância de pessoas singulares podem conduzir a resultados enviesados e ter efeitos discriminatórios. Esta questão é particularmente importante no que diz respeito à idade, à etnia, ao sexo ou a deficiências das pessoas. Como tal, os sistemas de identificação biométrica à distância «em tempo real» e «em diferido» devem ser classificados como de risco elevado. Face aos riscos que estes dois tipos de sistemas de identificação biométrica à distância representam, ambos devem estar sujeitos a requisitos específicos relativos às capacidades de registo e à supervisão humana.

(33-A)

Uma vez que os dados biométricos constituem uma categoria especial de dados pessoais sensíveis em conformidade com o Regulamento (UE) n.o 2016/679, é adequado classificar como de risco elevado vários casos críticos de utilização de sistemas biométricos e baseados na biometria. Os sistemas de IA concebidos para serem utilizados na identificação biométrica de pessoas singulares e os sistemas de IA concebidos para serem utilizados para inferir sobre as características pessoais de pessoas singulares com base na biometria ou em dados biométricos, incluindo sistemas de reconhecimento de emoções, com exceção dos que são proibidos nos termos do presente regulamento, devem por conseguinte ser classificados como de risco elevado. Não devem ser abrangidos os sistemas de IA concebidos para serem utilizados na verificação biométrica, que inclui a autenticação, cujo único objetivo é confirmar que uma pessoa singular específica é quem afirma ser, e confirmar a identidade de uma pessoa singular com o único objetivo de ter acesso a um serviço, um dispositivo ou uma instalação (verificação um para um). Os sistemas biométricos e baseados na biometria previstos no direito da União para permitir a cibersegurança e medidas de proteção de dados pessoais não devem ser considerados como apresentando um risco significativo de danos para a saúde, a segurança e os direitos fundamentais.

(34)

No tocante à gestão e ao funcionamento de infraestruturas críticas, é apropriado classificar como de risco elevado os sistemas de IA concebidos para serem utilizados como componentes de segurança na gestão e no controlo do tráfego rodoviário e das redes de abastecimento de água, gás, aquecimento e  eletricidade , uma vez que a falha ou anomalia destes sistemas pode pôr em risco a vida e a saúde das pessoas em larga escala e provocar perturbações substanciais das atividades sociais e económicas normais.

(34)

No tocante à gestão e ao funcionamento de infraestruturas críticas, é apropriado classificar como de risco elevado os sistemas de IA concebidos para serem utilizados como componentes de segurança na gestão e no controlo das redes de abastecimento de água, gás, aquecimento , eletricidade e infraestruturas digitais críticas , uma vez que a falha ou anomalia destes sistemas pode comprometer a segurança e a integridade dessas infraestruturas críticas ou pôr em risco a vida e a saúde das pessoas em larga escala e provocar perturbações substanciais das atividades sociais e económicas normais. Os componentes de segurança das infraestruturas críticas, incluindo as infraestruturas digitais críticas, são sistemas utilizados para proteger diretamente a integridade física das infraestruturas críticas ou a saúde e a segurança das pessoas e dos bens. A falha ou a anomalia desses componentes podem conduzir diretamente a riscos para a integridade física das infraestruturas críticas e, por conseguinte, a riscos para a saúde e a segurança das pessoas e dos bens. Os componentes destinados a serem utilizados exclusivamente para fins de cibersegurança não deverão ser considerados componentes de segurança. Exemplos desses componentes de segurança podem incluir sistemas de monitorização da pressão da água ou sistemas de controlo de alarmes de incêndio em centros de computação em nuvem.

(35)

Os sistemas de IA utilizados no domínio da educação ou formação profissional, designadamente para determinar o acesso ou a afetação de pessoas a instituições de ensino e de formação profissional ou para avaliar testes que as pessoas realizam no âmbito da sua educação ou como pré-condição para a mesma, devem ser considerados de risco elevado, uma vez que determinam o percurso académico e profissional das pessoas e, como tal, afetam a capacidade destas para garantir a subsistência. Se indevidamente concebidos e utilizados, estes sistemas podem violar o direito à educação e à formação, bem como o direito a não ser alvo de discriminação e de perpetuação de padrões históricos de discriminação.

(35)

A implantação de sistemas de IA no ensino é fundamental para ajudar a modernizar os sistemas de ensino na sua totalidade, para reforçar a sua qualidade educativa, tanto em linha como não, e para acelerar a educação digital, tornando-a assim acessível a um público mais vasto. Os sistemas de IA utilizados no domínio da educação ou formação profissional, designadamente para determinar o acesso ou influenciar de forma substancial as decisões sobre admissão, ou para afetação de pessoas a instituições de ensino e de formação profissional, para avaliar testes que as pessoas realizam no âmbito da sua educação ou como pré-condição para a mesma , ou ainda para avaliar o grau de ensino adequado para um indivíduo e influenciar de forma substancial o nível de ensino e formação que as pessoas podem receber, ou a que serão capazes de aceder, ou monitorizar e detetar comportamentos proibidos de estudantes durante os testes , devem ser considerados sistemas de IA de risco elevado, uma vez que determinam o percurso académico e profissional das pessoas e, como tal, afetam a capacidade destas para garantir a subsistência. Se indevidamente concebidos e utilizados, estes sistemas podem ser particularmente intrusivos e violar o direito à educação e à formação, bem como o direito a não ser alvo de discriminação e de perpetuação de padrões históricos de discriminação , por exemplo contra as mulheres, determinados grupos etários, pessoas com deficiência ou pessoas de uma determinada origem racial ou étnica ou orientação sexual .

(36)

Os sistemas de IA utilizados nos domínios do emprego, da gestão de trabalhadores e do acesso ao emprego por conta própria, nomeadamente para efeitos de recrutamento e seleção, de tomada de decisões sobre promoções e despedimentos, de repartição de tarefas e de controlo ou avaliação de pessoas no âmbito de relações contratuais de trabalho também devem ser classificados como de risco elevado, uma vez que podem ter um impacto significativo nas perspetivas de carreira e na subsistência dessas pessoas. O conceito de «relações contratuais relacionadas com o trabalho» deve abranger os funcionários e as pessoas que prestam serviços por intermédio de plataformas, conforme mencionado no programa de trabalho da Comissão para 2021. Em princípio, essas pessoas não devem ser consideradas «utilizadores» na aceção do presente regulamento. Ao longo do processo de recrutamento e na avaliação, promoção ou retenção de pessoas em relações contratuais relacionadas com o trabalho, esses sistemas podem perpetuar padrões históricos de discriminação, por exemplo, contra as mulheres, certos grupos etários, pessoas com deficiência ou pessoas de uma determinada origem racial ou étnica ou orientação sexual. Os sistemas de IA utilizados para controlar o desempenho e o comportamento destas pessoas podem ter ainda um impacto nos seus direitos à proteção de dados pessoais e à privacidade.

(36)

Os sistemas de IA utilizados nos domínios do emprego, da gestão de trabalhadores e do acesso ao emprego por conta própria, nomeadamente para efeitos de recrutamento e seleção, de tomada de decisões ou para influenciar substancialmente decisões sobre a iniciação, promoções e despedimentos, de repartição personalizada de tarefas com base no comportamento individual, nas características pessoais ou em dados biométricos, e de controlo ou avaliação de pessoas no âmbito de relações contratuais de trabalho também devem ser classificados como de risco elevado, uma vez que podem ter um impacto significativo nas perspetivas de carreira, na subsistência dessas pessoas e nos direitos dos trabalhadores . O conceito de «relações contratuais relacionadas com o trabalho» deve abranger de forma significativa os funcionários e as pessoas que prestam serviços por intermédio de plataformas, conforme mencionado no programa de trabalho da Comissão para 2021. Ao longo do processo de recrutamento e na avaliação, promoção ou retenção de pessoas em relações contratuais relacionadas com o trabalho, esses sistemas podem perpetuar padrões históricos de discriminação, por exemplo, contra as mulheres, certos grupos etários, pessoas com deficiência ou pessoas de uma determinada origem racial ou étnica ou orientação sexual. Os sistemas de IA utilizados para controlar o desempenho e o comportamento destas pessoas podem ainda comprometer a essência dos seus direitos fundamentais à proteção de dados pessoais e à privacidade. O presente regulamento é aplicável sem prejuízo da competência da União e dos Estados-Membros para preverem regras mais específicas para a utilização de sistemas de IA em contexto laboral.

(37)

Outro domínio no qual a utilização de sistemas de IA merece especial atenção é o acesso a determinados serviços e prestações essenciais, de cariz privado e público, e o usufruto dos mesmos, os quais são necessários para que as pessoas participem plenamente na sociedade ou melhorem o seu nível de vida. Em particular, os sistemas de IA utilizados para avaliar a classificação de crédito ou a capacidade de endividamento de pessoas singulares devem ser classificados como sistemas de IA de risco elevado, uma vez que determinam o acesso dessas pessoas a recursos financeiros ou a serviços essenciais, como o alojamento, a eletricidade e os serviços de telecomunicações. Os sistemas de IA utilizados para essa finalidade podem conduzir à discriminação de pessoas ou grupos e perpetuar padrões históricos de discriminação, por exemplo, em razão da origem étnica ou racial, deficiência, idade ou orientação sexual, ou criar novas formas de impactos discriminatórios. Tendo em conta a dimensão bastante limitada do impacto e as alternativas disponíveis no mercado , é apropriado isentar os sistemas de IA utilizados para efeitos de avaliação da capacidade de endividamento e de classificação de crédito que sejam colocados em serviço por fornecedores de pequena dimensão para utilização própria . Normalmente, as pessoas singulares que se candidatam ou que recebem prestações e serviços de assistência pública de autoridades públicas dependem dos mesmos e estão numa posição vulnerável face às autoridades competentes. Caso sejam utilizados para determinar a recusa, redução, revogação ou recuperação dessas prestações e serviços pelas autoridades, os sistemas de IA podem ter um impacto significativo na subsistência das pessoas e podem infringir os seus direitos fundamentais, como o direito à proteção social, à não discriminação, à dignidade do ser humano ou à ação. Como tal, esses sistemas devem ser classificados como de risco elevado. No entanto, o presente regulamento não pode constituir um obstáculo ao desenvolvimento e à utilização de abordagens inovadoras na administração pública, que tirariam partido de uma maior utilização de sistemas de IA conformes e seguros, desde que esses sistemas não representem um risco elevado para as pessoas coletivas e singulares. Por último, os sistemas de IA utilizados para enviar ou estabelecer prioridades no envio de serviços de resposta a emergências devem ser classificados como de risco elevado, uma vez que tomam decisões em situações bastante críticas que afetam a vida, a saúde e os bens das pessoas.

(37)

Outro domínio no qual a utilização de sistemas de IA merece especial atenção é o acesso a determinados serviços e prestações essenciais, de cariz privado e público, e o usufruto dos mesmos, incluindo serviços de saúde e serviços essenciais, que abrangem mas não se limitam à habitação, eletricidade, aquecimento/refrigeração e internet, bem como as prestações necessárias para que as pessoas participem plenamente na sociedade ou melhorem o seu nível de vida. Em particular, os sistemas de IA utilizados para avaliar a classificação de crédito ou a capacidade de endividamento de pessoas singulares devem ser classificados como sistemas de IA de risco elevado, uma vez que determinam o acesso dessas pessoas a recursos financeiros ou a serviços essenciais, como o alojamento, a eletricidade e os serviços de telecomunicações. Os sistemas de IA utilizados para essa finalidade podem conduzir à discriminação de pessoas ou grupos e perpetuar padrões históricos de discriminação, por exemplo, em razão da origem étnica ou racial, género, deficiência, idade ou orientação sexual, ou criar novas formas de impactos discriminatórios. No entanto, os sistemas de IA previstos pelo direito da União para efeitos de deteção de fraudes na oferta de serviços financeiros não devem ser considerados de risco elevado nos termos do presente regulamento. Normalmente, as pessoas singulares que se candidatam ou que recebem prestações e serviços de assistência pública de autoridades públicas , incluindo serviços de saúde e serviços essenciais, que abrangem mas não se limitam à habitação, eletricidade, aquecimento/refrigeração e internet, dependem dos mesmo e estão numa posição vulnerável face às autoridades competentes. Caso sejam utilizados para determinar a recusa, redução, revogação ou recuperação dessas prestações e serviços pelas autoridades, os sistemas de IA podem ter um impacto significativo na subsistência das pessoas e podem infringir os seus direitos fundamentais, como o direito à proteção social, à não discriminação, à dignidade do ser humano ou à ação. De igual forma, os sistemas de IA concebidos para serem utilizados para tomar decisões ou influenciar substancialmente as decisões sobre a elegibilidade das pessoas singulares para efeitos de seguros de saúde e de vida podem também ter um impacto significativo nos meios de subsistência das pessoas e podem violar os seus direitos fundamentais, nomeadamente limitando o acesso aos cuidados de saúde ou perpetuando a discriminação com base em características pessoais. Como tal, esses sistemas devem ser classificados como de risco elevado. No entanto, o presente regulamento não pode constituir um obstáculo ao desenvolvimento e à utilização de abordagens inovadoras na administração pública, que tirariam partido de uma maior utilização de sistemas de IA conformes e seguros, desde que esses sistemas não representem um risco elevado para as pessoas coletivas e singulares. Por último, os sistemas de IA utilizados para avaliar e classificar chamadas de emergência efetuadas por pessoas singulares ou para enviar ou estabelecer prioridades no envio de serviços de resposta a emergências devem também ser classificados como de risco elevado, uma vez que tomam decisões em situações bastante críticas que afetam a vida, a saúde e os bens das pessoas.

(37-A)

Tendo em conta o papel e a responsabilidade das autoridades policiais e judiciais e o impacto das decisões que tomam para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou de execução de sanções penais, o recurso a alguns casos específicos de utilização de aplicações de IA na aplicação da lei deve ser classificado como de alto risco, designadamente nos casos em que possa potencialmente vir a afetar de forma significativa a vida ou os direitos fundamentais das pessoas.

(38)

As ações das autoridades policiais que implicam certas utilizações dos sistemas de IA são caracterizadas por um grau substancial de desequilíbrio de poder e podem conduzir à vigilância, detenção ou privação da liberdade de uma pessoa singular, bem como ter outros impactos adversos nos direitos fundamentais garantidos pela Carta. Em particular, se não for treinado com dados de alta qualidade, não cumprir os requisitos adequados em termos de exatidão ou solidez ou não tiver sido devidamente concebido e testado antes de ser colocado no mercado ou em serviço, o sistema de IA pode destacar pessoas de uma forma discriminatória ou incorreta e injusta. Além disso, o exercício de importantes direitos fundamentais processuais, como o direito à ação e a um tribunal imparcial, a presunção de inocência e o direito de defesa, pode ser prejudicado, em particular, se esses sistemas de IA não forem suficientemente transparentes, explicáveis e documentados. Como tal, é apropriado classificar como de risco elevado um conjunto de sistemas de IA concebidos para serem utilizados no contexto da manutenção da ordem pública, no qual a exatidão, a fiabilidade e a transparência são particularmente importantes para evitar impactos adversos, reter a confiança do público e assegurar a responsabilidade e vias de recurso eficazes. Tendo em conta a natureza das atividades em causa e os riscos associados às mesmas, esses sistemas de IA de risco elevado devem incluir, em particular, sistemas de IA concebidos para serem utilizados pelas autoridades policiais em avaliações individuais de riscos, em polígrafos e em instrumentos semelhantes ou para detetar o estado emocional de uma pessoa singular , para detetar «falsificações profundas», para avaliar a fiabilidade dos elementos de prova em processos penais, para prever a ocorrência ou a recorrência de uma infração penal real ou potencial com base na definição de perfis de pessoas singulares ou para avaliar os traços de personalidade e as características ou o comportamento criminal passado de pessoas singulares ou grupos , para a definição de perfis no decurso da deteção, investigação ou repressão de infrações penais, bem como para o estudo analítico de crimes relativos a pessoas singulares. Os sistemas de IA especificamente concebidos para serem utilizados em processos administrativos por autoridades fiscais e aduaneiras não devem ser considerados sistemas de IA de risco elevado utilizados por autoridades policiais para efeitos de prevenção, deteção, investigação e repressão de infrações penais.

(38)

As ações das autoridades policiais que implicam certas utilizações dos sistemas de IA são caracterizadas por um grau substancial de desequilíbrio de poder e podem conduzir à vigilância, detenção ou privação da liberdade de uma pessoa singular, bem como ter outros impactos adversos nos direitos fundamentais garantidos pela Carta. Em particular, se não for treinado com dados de alta qualidade, não cumprir os requisitos adequados em termos de desempenho, exatidão ou solidez ou não tiver sido devidamente concebido e testado antes de ser colocado no mercado ou em serviço, o sistema de IA pode destacar pessoas de uma forma discriminatória ou incorreta e injusta. Além disso, o exercício de importantes direitos fundamentais processuais, como o direito à ação e a um tribunal imparcial, a presunção de inocência e o direito de defesa, pode ser prejudicado, em particular, se esses sistemas de IA não forem suficientemente transparentes, explicáveis e documentados. Como tal, é apropriado classificar como de risco elevado um conjunto de sistemas de IA concebidos para serem utilizados no contexto da manutenção da ordem pública, no qual a exatidão, a fiabilidade e a transparência são particularmente importantes para evitar impactos adversos, reter a confiança do público e assegurar a responsabilidade e vias de recurso eficazes. Tendo em conta a natureza das atividades em causa e os riscos associados às mesmas, esses sistemas de IA de risco elevado devem incluir, em particular, sistemas de IA concebidos para serem utilizados pelas ou em nome das autoridades policiais, ou pelas agências, serviços ou organismos da União como apoio às autoridades policiais, em polígrafos e em instrumentos semelhantes na medida em que a sua utilização seja permitida ao abrigo do direito da União e nacional aplicável, para avaliar a fiabilidade dos elementos de prova em processos penais, para a definição de perfis no decurso da deteção, investigação ou repressão de infrações penais, bem como para o estudo analítico de crimes relativos a pessoas singulares. Os sistemas de IA especificamente concebidos para serem utilizados em processos administrativos por autoridades fiscais e aduaneiras não devem ser classificados como sistemas de IA de risco elevado utilizados por autoridades policiais para efeitos de prevenção, deteção, investigação e repressão de infrações penais. A utilização de ferramentas de IA pelas autoridades policiais e judiciárias não deve tornar-se um fator de desigualdade, fratura social ou exclusão. Não se deve descurar o impacto da utilização de ferramentas de IA nos direitos de defesa dos suspeitos, nomeadamente a dificuldade de obter informações significativas sobre o seu funcionamento e a consequente dificuldade em contestar os seus resultados em tribunal, em particular quando se trate de indivíduos sob investigação.

(39)

Os sistemas de IA utilizados na gestão da migração, do asilo e do controlo das fronteiras afetam pessoas que, muitas vezes, se encontram numa posição particularmente vulnerável e que dependem do resultado das ações das autoridades públicas competentes. Como tal, a exatidão, a natureza não discriminatória e a transparência dos sistemas de IA utilizados nesses contextos são particularmente importantes para garantir o respeito dos direitos fundamentais das pessoas em causa, nomeadamente os seus direitos à livre circulação, à não discriminação, à proteção da vida privada e dos dados pessoais, à proteção internacional e a uma boa administração. Deste modo, é apropriado classificar como de risco elevado os sistemas de IA concebidos para serem utilizados por autoridades públicas competentes incumbidas de funções no domínio da gestão da migração, do asilo e do controlo das fronteiras, como polígrafos e instrumentos semelhantes, ou para detetar o estado emocional de uma pessoa singular ; para avaliar determinados riscos colocados pelas pessoas singulares que entram no território de um Estado-Membro ou pedem um visto ou asilo; para verificar a autenticidade dos documentos apresentados pelas pessoas singulares; para auxiliar as autoridades públicas competentes na análise dos pedidos de asilo, de visto e de autorização de residência e das queixas relacionadas, com o objetivo de estabelecer a elegibilidade das pessoas singulares que requerem determinado estatuto. Os sistemas de IA no domínio da gestão da migração, do asilo e do controlo das fronteiras abrangidos pelo presente regulamento devem cumprir os requisitos processuais estabelecidos na Diretiva 2013/32/UE do Parlamento Europeu e do Conselho (49), no Regulamento (CE) n.o 810/2009 do Parlamento Europeu e do Conselho (50) e noutra legislação aplicável.

(39)

Os sistemas de IA utilizados na gestão da migração, do asilo e do controlo das fronteiras afetam pessoas que, muitas vezes, se encontram numa posição particularmente vulnerável e que dependem do resultado das ações das autoridades públicas competentes. Como tal, a exatidão, a natureza não discriminatória e a transparência dos sistemas de IA utilizados nesses contextos são particularmente importantes para garantir o respeito dos direitos fundamentais das pessoas em causa, nomeadamente os seus direitos à livre circulação, à não discriminação, à proteção da vida privada e dos dados pessoais, à proteção internacional e a uma boa administração. Deste modo, é apropriado classificar como de risco elevado os sistemas de IA concebidos para serem utilizados por ou em nome das autoridades públicas competentes, ou por agências, serviços ou organismos da União incumbidos de funções no domínio da gestão da migração, do asilo e do controlo das fronteiras, como polígrafos e instrumentos semelhantes , na medida em que a sua utilização seja permitida ao abrigo do direito nacional e da União aplicável ; para avaliar determinados riscos colocados pelas pessoas singulares que entram no território de um Estado-Membro ou pedem um visto ou asilo; para verificar a autenticidade dos documentos apresentados pelas pessoas singulares; para auxiliar as autoridades públicas competentes na análise e avaliação da veracidade das provas relacionadas com os pedidos de asilo, de visto e de autorização de residência e das queixas relacionadas, com o objetivo de estabelecer a elegibilidade das pessoas singulares que requerem determinado estatuto ; para acompanhar, vigiar ou tratar os dados pessoais no contexto de atividades de gestão das fronteiras, para efeitos de deteção, reconhecimento ou identificação de pessoas singulares; para a antecipação ou previsão de tendências relacionadas com os movimentos migratórios e a passagem das fronteiras . Os sistemas de IA no domínio da gestão da migração, do asilo e do controlo das fronteiras abrangidos pelo presente regulamento devem cumprir os requisitos processuais estabelecidos na Diretiva 2013/32/UE do Parlamento Europeu e do Conselho (49), no Regulamento (CE) n.o 810/2009 do Parlamento Europeu e do Conselho (50) e noutra legislação aplicável. Os Estados-Membros ou as instituições da União Europeia não devem, em circunstância alguma, recorrer a sistemas de IA utilizados na gestão da migração, do asilo e do controlo das fronteiras para contornar as suas obrigações internacionais ao abrigo da Convenção relativa ao Estatuto dos Refugiados, de 28 de julho de 1951, conforme alterada pelo Protocolo de 31 de janeiro de 1967, e tais sistemas também não devem ser utilizados para violar de algum modo o princípio da não repulsão ou para negar o acesso a vias legais seguras e eficazes de entrada no território da União, incluindo o direito a proteção internacional.

(40)

Determinados sistemas de IA concebidos para a administração da justiça e os processos democráticos devem ser classificados como de risco elevado, tendo em conta o seu impacto potencialmente significativo na democracia, no Estado de direito e nas liberdades individuais, bem como no direito à ação e a um tribunal imparcial. Em particular, para fazer face aos riscos de potenciais enviesamentos, erros e opacidade, é apropriado classificar como de risco elevado os sistemas de IA concebidos para auxiliar as autoridades judiciárias na investigação e na interpretação de factos e do direito e na aplicação da lei a um conjunto específico de factos. Contudo, essa classificação não deve ser alargada aos sistemas de IA concebidos para atividades administrativas puramente auxiliares que não afetam a administração efetiva da justiça em casos individuais, como a anonimização ou a pseudonimização de decisões judiciais, documentos ou dados, comunicações entre pessoal, tarefas administrativas ou afetação de recursos.

(40)

Determinados sistemas de IA concebidos para a administração da justiça e os processos democráticos devem ser classificados como de risco elevado, tendo em conta o seu impacto potencialmente significativo na democracia, no Estado de direito e nas liberdades individuais, bem como no direito à ação e a um tribunal imparcial. Em particular, para fazer face aos riscos de potenciais enviesamentos, erros e opacidade, é apropriado classificar como de risco elevado os sistemas de IA concebidos para serem utilizados por uma autoridade judiciária ou um órgão administrativo, ou em seu nome, para auxiliar as autoridades judiciárias ou órgãos administrativos na investigação e na interpretação de factos e do direito e na aplicação da lei a um conjunto específico de factos , ou utilizados de idêntica forma num contexto de resolução alternativa de litígios. A utilização de ferramentas de inteligência artificial pode auxiliar mas não deve substituir o poder de decisão dos magistrados ou a independência judicial, uma vez que a decisão final deve continuar a ser uma atividade humana . Contudo, essa classificação não deve ser alargada aos sistemas de IA concebidos para atividades administrativas puramente auxiliares que não afetam a administração efetiva da justiça em casos individuais, como a anonimização ou a pseudonimização de decisões judiciais, documentos ou dados, comunicações entre pessoal, tarefas administrativas ou afetação de recursos.

(40-A)

A fim de fazer face aos riscos de interferência externa indevida no direito de voto consagrado no artigo 39.o da Carta, e de efeitos desproporcionados nos processos democráticos, na democracia e no Estado de direito, os sistemas de IA concebidos para serem utilizados para influenciar o resultado de uma eleição ou referendo, ou o comportamento eleitoral de pessoas singulares no exercício do seu direito de voto em eleições ou referendos, devem ser classificados como sistemas de IA de risco elevado, com exceção dos sistemas de IA a cuja ação as pessoas singulares não estejam diretamente expostas, tais como instrumentos utilizados para organizar, otimizar e estruturar campanhas políticas de um ponto de vista administrativo e logístico.

(40-B)

Tendo em conta a escala das pessoas singulares que utilizam os serviços prestados por plataformas de redes sociais designadas como plataformas em linha de muito grande dimensão, essas plataformas em linha podem ser utilizadas de uma forma que influencie fortemente a segurança em linha, a formação da opinião pública e do discurso, os processos eleitorais e democráticos e as preocupações sociais. Por conseguinte, é adequado que os sistemas de IA utilizados por essas plataformas em linha nos seus sistemas de recomendação estejam sujeitos ao presente regulamento, a fim de assegurar que os sistemas de IA cumprem os requisitos estabelecidos no presente regulamento, incluindo os requisitos técnicos em matéria de governação de dados, documentação técnica e rastreabilidade, transparência, supervisão humana, exatidão e solidez. O cumprimento do presente regulamento deve permitir que essas plataformas em linha de muito grande dimensão cumpram as suas obrigações mais amplas em matéria de avaliação e atenuação dos riscos previstas no artigo 34.o e 35.o do Regulamento (UE) 2022/2065. As obrigações previstas no presente regulamento não prejudicam o Regulamento (UE) 2022/2065 e devem complementar as obrigações exigidas nos termos do Regulamento (UE) 2022/2065 quando a plataforma de rede social tiver sido designada como plataforma em linha de muito grande dimensão. Tendo em conta o impacto a nível europeu das plataformas de redes sociais designadas como plataformas em linha de muito grande dimensão, as autoridades designadas ao abrigo do Regulamento (UE) 2022/2065 devem agir como autoridades policiais para efeitos de aplicação desta disposição.

(41)

A classificação de um sistema de IA como de risco elevado por força do presente regulamento não deve ser interpretada como uma indicação de que a utilização do sistema é necessariamente lícita ao abrigo de outros atos do direito da União ou ao abrigo do direito nacional compatível com o direito da União, por exemplo, em matéria de proteção de dados pessoais ou de utilização de polígrafos e de instrumentos semelhantes ou de outros sistemas para detetar o estado emocional de pessoas singulares . Essa utilização deve continuar sujeita ao cumprimento dos requisitos aplicáveis resultantes da Carta e dos atos do direito derivado da União e do direito nacional em vigor. O presente regulamento não pode ser entendido como um fundamento jurídico para o tratamento de dados pessoais, incluindo de categorias especiais de dados pessoais, se for caso disso.

(41)

A classificação de um sistema de IA como um sistema de IA de risco elevado por força do presente regulamento não deve ser interpretada como uma indicação de que a utilização do sistema é necessariamente lícita ou ilícita ao abrigo de outros atos do direito da União ou ao abrigo do direito nacional compatível com o direito da União, por exemplo, em matéria de proteção de dados pessoais. Essa utilização deve continuar sujeita ao cumprimento dos requisitos aplicáveis resultantes da Carta e dos atos do direito derivado da União e do direito nacional em vigor.

(41-A)

Atualmente, aplicam-se ou são relevantes para os sistemas de IA uma série de regras juridicamente vinculativas a nível nacional, europeu e internacional, nomeadamente mas não exclusivamente o direito primário da UE (os Tratados da União Europeia e a respetiva Carta dos Direitos Fundamentais), o direito derivado da UE (como o Regulamento Geral sobre a Proteção de Dados, a Diretiva Responsabilidade dos Produtos, o Regulamento relativo ao livre fluxo de dados não pessoais, as diretivas relativas ao combate à discriminação, a legislação de proteção dos consumidores e as diretivas relativas à segurança e saúde no trabalho), os tratados das Nações Unidas em matéria de direitos humanos e as convenções do Conselho da Europa (como a Convenção Europeia dos Direitos Humanos), bem como o direito nacional. Além das regras aplicáveis a nível transversal, existem várias regras setoriais específicas para determinadas aplicações de IA (por exemplo, o Regulamento Dispositivos Médicos no setor da saúde).

(42)

Para atenuar os riscos dos sistemas de IA de risco elevado colocados no mercado ou colocados em serviço no mercado da União para os utilizadores e as pessoas afetadas, devem aplicar-se determinados requisitos obrigatórios, tendo em conta a finalidade de utilização prevista do sistema e de acordo com o sistema de gestão de riscos a estabelecer pelo fornecedor.

(42)

Para atenuar os riscos dos sistemas de IA de risco elevado colocados no mercado ou colocados em serviço no mercado da União para os responsáveis pela implantação e as pessoas afetadas, devem aplicar-se determinados requisitos obrigatórios, tendo em conta a finalidade de utilização prevista ou a utilização razoavelmente previsível do sistema e de acordo com o sistema de gestão de riscos a estabelecer pelo fornecedor. Tais requisitos devem ser orientados por objetivos, adequados à finalidade, razoáveis e eficazes, e não devem impor novos encargos regulamentares ou custos aos operadores.

(43)

Os sistemas de IA de risco elevado devem estar sujeitos ao cumprimento de requisitos relativos à qualidade dos conjuntos de dados utilizados, à documentação técnica e à manutenção de registos, à transparência e à prestação de informações aos utilizadores , à supervisão humana, à solidez, à exatidão e à cibersegurança. Esses requisitos são necessários para atenuar eficazmente os riscos para a saúde, a segurança e os direitos fundamentais, em função da finalidade prevista do sistema e quando não existam outras medidas menos restritivas do comércio, evitando, assim, restrições injustificadas do comércio.

(43)

Os sistemas de IA de risco elevado devem estar sujeitos ao cumprimento de requisitos relativos à qualidade e à pertinência dos conjuntos de dados utilizados, à documentação técnica e à manutenção de registos, à transparência e à prestação de informações aos responsáveis pela implantação , à supervisão humana, à solidez, à exatidão e à cibersegurança. Esses requisitos são necessários para atenuar eficazmente os riscos para a saúde, a segurança e os direitos fundamentais, bem como para o ambiente, a democracia e o Estado de direito, em função da finalidade prevista ou de uma utilização indevida razoavelmente previsível do sistema e quando não existam outras medidas menos restritivas do comércio, evitando, assim, restrições injustificadas do comércio.

(44)

A disponibilidade de dados de elevada qualidade é um fator essencial para o desempenho de vários sistemas de IA, sobretudo quando são utilizadas técnicas que envolvem o treino de modelos, com vista a assegurar que o sistema de IA de risco elevado funcione como pretendido e de modo seguro e não se torne a fonte de uma discriminação proibida pelo direito da União. Para garantir conjuntos de dados de treino, validação e teste de elevada qualidade é necessário aplicar práticas adequadas de governação e gestão de dados. Os conjuntos de dados de treino, validação e teste devem ser suficientemente relevantes, representativos, livres de erros e completos, tendo em vista a finalidade prevista do sistema. Também devem ter as propriedades estatísticas adequadas, nomeadamente no que respeita às pessoas ou aos grupos de pessoas nos quais o sistema de IA de risco elevado será utilizado. Em particular, os conjuntos de dados de treino, validação e teste devem ter em conta, na medida do exigido face à sua finalidade prevista, as características, as funcionalidades ou os elementos que são específicos do ambiente ou do contexto geográfico, comportamental ou funcional no qual o sistema de IA será utilizado. A fim de proteger os direitos de outras pessoas da discriminação que possa resultar do enviesamento dos sistemas de IA, os fornecedores devem poder efetuar também o tratamento de categorias especiais de dados pessoais por motivos de interesse público importante, para assegurar o controlo, a deteção e a correção de enviesamentos em sistemas de IA de risco elevado.

(44)

A disponibilidade de dados de elevada qualidade desempenha um papel vital para estruturar e garantir o desempenho de vários sistemas de IA, sobretudo quando são utilizadas técnicas que envolvem o treino de modelos, com vista a assegurar que o sistema de IA de risco elevado funcione como pretendido e de modo seguro e não se torne uma fonte de discriminação proibida pelo direito da União. Para garantir conjuntos de dados de treino, validação e teste de elevada qualidade é necessário aplicar práticas adequadas de governação e gestão de dados. Os conjuntos de dados de treino, e se for caso disso, validação e teste , incluindo os rótulos, devem ser suficientemente relevantes, representativos, devidamente controlados em termos de erros e  tão completos quanto possível , tendo em vista a finalidade prevista do sistema. Também devem ter as propriedades estatísticas adequadas, nomeadamente no que respeita às pessoas ou aos grupos de pessoas nos quais o sistema de IA de risco elevado será utilizado , devendo ser dada especial atenção à atenuação de eventuais enviesamentos dos conjuntos de dados, que possam resultar em riscos para os direitos fundamentais ou em discriminação para as pessoas afetadas pelo sistema de IA de risco elevado. Os preconceitos podem, por exemplo, ser inerentes a conjuntos de dados de base, especialmente quando dados históricos são usados, inseridos pelos criadores dos algoritmos ou gerados na aplicação dos sistemas a situações reais. Os resultados dos sistemas de IA são influenciados por preconceitos inerentes que tendem a aumentar gradualmente, e, desse modo, a perpetuar e a ampliar a discriminação existente, em particular de pessoas pertencentes a determinados grupos vulneráveis ou étnicos, ou determinadas comunidades racializadas. Em particular, os conjuntos de dados de treino, validação e teste devem ter em conta, na medida do exigido face à sua finalidade prevista, as características, as funcionalidades ou os elementos que são específicos do contexto geográfico , do respetivo enquadramento, do contexto comportamental ou funcional ou do contexto no qual o sistema de IA será utilizado. A fim de proteger os direitos de outras pessoas da discriminação que possa resultar do enviesamento dos sistemas de IA, os fornecedores devem , a título excecional e na sequência da aplicação de todas as condições válidas estabelecidas no presente regulamento e no Regulamento (UE) 2016/679, na Diretiva (UE) 2016/680 e no Regulamento (UE) 2018/1725, poder efetuar também o tratamento de categorias especiais de dados pessoais por motivos de interesse público importante, para assegurar o controlo, a deteção e a correção de enviesamentos em sistemas de IA de risco elevado. Os preconceitos negativos devem ser entendidos como enviesamentos que criam um efeito discriminatório direto ou indireto contra uma pessoa singular. Os requisitos relacionados com a governação dos dados podem ser cumpridos recorrendo a terceiros que ofereçam serviços de conformidade certificados, incluindo a verificação da governação de dados, a integridade dos conjuntos de dados e as práticas de formação, validação e teste de dados.

(45)

No contexto do desenvolvimento de sistemas de IA de risco elevado, determinados intervenientes, como fornecedores, organismos notificados e outras entidades interessadas, como polos de inovação digital, instalações de teste e experimentação e investigadores, devem poder aceder e utilizar conjuntos de dados de elevada qualidade dentro das respetivas áreas de intervenção relacionadas com o presente regulamento. Os espaços comuns europeus de dados criados pela Comissão e a facilitação da partilha de dados entre empresas e com as administrações públicas por motivos de interesse público serão cruciais para conceder um acesso fiável, responsável e não discriminatório a dados de elevada qualidade para o treino, a validação e o teste de sistemas de IA. Por exemplo, no domínio da saúde, o espaço europeu de dados de saúde facilitará o acesso não discriminatório a dados de saúde e o treino de algoritmos de inteligência artificial com base nesses conjuntos de dados, de forma segura, oportuna, transparente, fidedigna e protetora da privacidade e sob a alçada de uma governação institucional adequada. As autoridades competentes, incluindo as autoridades setoriais, que concedem ou apoiam o acesso aos dados também podem apoiar o fornecimento de dados de elevada qualidade para fins de treino, validação e teste de sistemas de IA.

(45)

No contexto do desenvolvimento e avaliação de sistemas de IA de risco elevado, determinados intervenientes, como fornecedores, organismos notificados e outras entidades interessadas, como polos de inovação digital, instalações de teste e experimentação e investigadores, devem poder aceder e utilizar conjuntos de dados de elevada qualidade dentro das respetivas áreas de intervenção relacionadas com o presente regulamento. Os espaços comuns europeus de dados criados pela Comissão e a facilitação da partilha de dados entre empresas e com as administrações públicas por motivos de interesse público serão cruciais para conceder um acesso fiável, responsável e não discriminatório a dados de elevada qualidade para o treino, a validação e o teste de sistemas de IA. Por exemplo, no domínio da saúde, o espaço europeu de dados de saúde facilitará o acesso não discriminatório a dados de saúde e o treino de algoritmos de inteligência artificial com base nesses conjuntos de dados, de forma segura, oportuna, transparente, fidedigna e protetora da privacidade e sob a alçada de uma governação institucional adequada. As autoridades competentes, incluindo as autoridades setoriais, que concedem ou apoiam o acesso aos dados também podem apoiar o fornecimento de dados de elevada qualidade para fins de treino, validação e teste de sistemas de IA.

(45-A)

O direito à privacidade e à proteção de dados pessoais deve ser garantido ao longo de todo o ciclo de vida do sistema de IA. A este respeito, os princípios da minimização dos dados e da proteção de dados desde a conceção e por norma, tal como estabelecidos na legislação da União em matéria de proteção de dados, são essenciais quando o tratamento de dados envolve riscos significativos para os direitos fundamentais das pessoas. Os fornecedores e os utilizadores de sistemas de IA devem aplicar medidas técnicas e organizativas modernas, a fim de proteger esses direitos. Essas medidas devem incluir não só a anonimização e a cifragem mas também a utilização de tecnologias cada vez mais disponíveis, que permitem a introdução de algoritmos nos dados e a obtenção de informações valiosas sem a transmissão entre as partes ou a cópia desnecessária dos próprios dados em bruto ou estruturados.

(46)

Para verificar o cumprimento dos requisitos estabelecidos no presente regulamento, é essencial dispor de informações sobre o desenvolvimento dos sistemas de IA de risco elevado e sobre o seu desempenho ao longo do respetivo ciclo de vida . Tal exige a manutenção de registos e a disponibilização de documentação técnica que contenham as informações necessárias para avaliar o cumprimento, por parte do sistema de IA, dos requisitos aplicáveis. Essas informações devem incluir as características gerais, as capacidades e as limitações do sistema, os algoritmos, os dados e os processos de treino, teste e validação utilizados, bem como documentação sobre o sistema de gestão de riscos aplicado. A documentação técnica deve estar sempre atualizada.

(46)

Para verificar o cumprimento dos requisitos estabelecidos no presente regulamento é essencial dispor de informações compreensíveis sobre o desenvolvimento dos sistemas de IA de risco elevado e sobre o seu desempenho ao longo da respetiva vida útil . Tal exige a manutenção de registos e a disponibilização de documentação técnica que contenham as informações necessárias para avaliar o cumprimento, por parte do sistema de IA, dos requisitos aplicáveis. Essas informações devem incluir as características gerais, as capacidades e as limitações do sistema, os algoritmos, os dados e os processos de treino, teste e validação utilizados, bem como documentação sobre o sistema de gestão de riscos aplicado. A documentação técnica deve estar sempre devidamente atualizada ao longo de todo o ciclo de vida do sistema de IA . Os sistemas de IA podem ter um grande e importante impacto ambiental e ocasionar um elevado consumo de energia durante o seu ciclo de vida. A fim de melhor compreender o impacto dos sistemas de IA no ambiente, a documentação técnica elaborada pelos fornecedores deve incluir informações sobre o consumo de energia do sistema de IA, incluindo o consumo durante o desenvolvimento e o consumo previsto durante a utilização. Essas informações devem ter em conta a legislação nacional e da União aplicável. Estas informações comunicadas devem ser compreensíveis, comparáveis e verificáveis e, para o efeito, a Comissão deve elaborar orientações sobre uma metodologia harmonizada para o cálculo e a comunicação dessas informações. Para garantir que é possível uma documentação técnica única importa harmonizar, tanto quanto possível, os termos e as definições relacionados com essa documentação obrigatória e qualquer documentação exigida pela legislação aplicável da União Europeia.

(46-A)

Os sistemas de IA devem ter em consideração métodos de última geração e as normas relevantes aplicáveis para reduzir o consumo de energia e de recursos e a produção de resíduos, bem como para aumentar a sua eficiência energética e a eficiência global do sistema. Os aspetos ambientais dos sistemas de IA significativos para efeitos do presente regulamento são o consumo de energia do sistema de IA na fase de desenvolvimento, formação e implantação, bem como o registo, a comunicação e o armazenamento destes dados. A conceção dos sistemas de IA deve permitir a medição e o registo do consumo de energia e de recursos em cada fase de desenvolvimento, formação e implantação. A monitorização e a comunicação das emissões dos sistemas de IA devem ser sólidas, transparentes, coerentes e exatas. A fim de assegurar a aplicação uniforme do presente regulamento e a estabilidade do ecossistema jurídico para os fornecedores e responsáveis pela implantação no mercado único, a Comissão deve desenvolver uma especificação comum para a metodologia destinada a cumprir o requisito de apresentação de relatórios e documentação sobre o consumo de energia e de recursos durante o desenvolvimento, a formação e a implantação. Essas especificações comuns sobre a metodologia de medição podem permitir desenvolver uma base de referência sobre a qual a Comissão possa decidir melhor se são necessárias futuras intervenções regulamentares, após a realização de uma avaliação de impacto que tenha em conta a legislação em vigor.

(46-B)

A fim de alcançar os objetivos do presente regulamento e contribuir para os objetivos ambientais da União, assegurando simultaneamente o bom funcionamento do mercado interno, pode ser necessário estabelecer recomendações e orientações e, eventualmente, metas para a sustentabilidade. Para o efeito, a Comissão tem o direito de desenvolver uma metodologia que contribua para a existência de indicadores-chave de desempenho (ICD) e uma referência para os Objetivos de Desenvolvimento Sustentável (ODS). O objetivo deve ser, em primeiro lugar, permitir uma comparação equitativa entre as opções de aplicação da IA, proporcionando incentivos para promover a utilização de tecnologias de IA mais eficientes que respondam às preocupações em matéria de energia e de recursos. Para atingir este objetivo, o presente regulamento deve prever os meios para estabelecer uma recolha de dados de base que forem comunicados sobre as emissões provenientes do desenvolvimento, formação e implantação.

(47-A)

Estes requisitos de transparência e explicabilidade das decisões tomadas pela IA também devem ajudar a contrariar os efeitos dissuasores da assimetria digital e dos chamados «padrões obscuros» que visem pessoas individuais e o seu consentimento informado.

(49)

Os sistemas de IA de risco elevado devem ter um desempenho coerente ao longo de todo o ciclo de vida e apresentar um nível adequado de exatidão, solidez e cibersegurança, de acordo com o estado da técnica geralmente reconhecido. O nível e as métricas de exatidão devem ser comunicadas aos utilizadores .

(49)

Os sistemas de IA de risco elevado devem ter um desempenho coerente ao longo de todo o ciclo de vida e apresentar um nível adequado de exatidão, solidez e cibersegurança, de acordo com o estado da técnica geralmente reconhecido. As métricas de desempenho e o seu nível esperado devem ser definidos com o objetivo principal de atenuar os riscos e o impacto negativo do sistema de IA. O nível e as métricas esperadas de desempenho devem ser comunicadas aos responsáveis pela implantação de forma clara, transparente, facilmente compreensível e em moldes inteligíveis. A declaração de indicadores de desempenho não pode ser considerada prova de níveis futuros, mas é necessário aplicar métodos pertinentes para assegurar níveis coerentes durante a utilização. Embora existam organizações de normalização para estabelecer normas, é necessária coordenação em matéria de avaliação comparativa para determinar a forma como estes requisitos e características normalizados dos sistemas de IA devem ser medidos. O Comité Europeu para a Inteligência Artificial deve reunir as autoridades nacionais e internacionais de metrologia e de avaliação comparativa e fornecer orientações não vinculativas para abordar os aspetos técnicos de como medir os níveis adequados de desempenho e robustez.

(50)

A solidez técnica é um requisito essencial dos sistemas de IA de risco elevado. Estes sistemas devem ser resistentes aos riscos associados às suas limitações (por exemplo, erros, falhas, incoerências, situações inesperadas), bem como a ações maliciosas suscetíveis de pôr em causa a segurança do sistema de IA e dar origem a comportamentos prejudiciais ou indesejáveis. A falta de proteção contra estes riscos pode causar problemas de segurança ou afetar negativamente os direitos fundamentais, por exemplo, devido a decisões erradas ou a resultados errados ou enviesados gerados pelo sistema de IA.

(50)

A solidez técnica é um requisito essencial dos sistemas de IA de risco elevado. Estes sistemas devem ser resistentes aos riscos associados às suas limitações (por exemplo, erros, falhas, incoerências, situações inesperadas), bem como a ações maliciosas suscetíveis de pôr em causa a segurança do sistema de IA e dar origem a comportamentos prejudiciais ou indesejáveis. A falta de proteção contra estes riscos pode causar problemas de segurança ou afetar negativamente os direitos fundamentais, por exemplo, devido a decisões erradas ou a resultados errados ou enviesados gerados pelo sistema de IA. Os utilizadores do sistema de IA devem tomar medidas para assegurar que o eventual compromisso entre a robustez e a exatidão não conduza a resultados discriminatórios ou negativos para os subgrupos minoritários.

(51)

A cibersegurança desempenha um papel fundamental para garantir que os sistemas de IA sejam resistentes às ações de terceiros mal-intencionados que tentam explorar as vulnerabilidades dos sistemas com o objetivo de lhes alterar a utilização, o comportamento e o desempenho ou por em causa as propriedades de segurança. Os ciberataques contra sistemas de IA podem tirar partido de ativos específicos de inteligência artificial, como os conjuntos de dados de treino (por exemplo, contaminação de dados) ou os modelos treinados (por exemplo, ataques antagónicos), ou explorar vulnerabilidades dos ativos digitais do sistema de IA ou da infraestrutura de tecnologias da informação e comunicação (TIC) subjacente. A fim de assegurar um nível de cibersegurança adequado aos riscos, os fornecedores de sistemas de IA de risco elevado devem tomar medidas adequadas, tendo ainda em devida conta a infraestrutura de TIC subjacente.

(51)

A cibersegurança desempenha um papel fundamental para garantir que os sistemas de IA sejam resistentes às ações de terceiros mal-intencionados que tentam explorar as vulnerabilidades dos sistemas com o objetivo de lhes alterar a utilização, o comportamento e o desempenho ou pôr em causa as propriedades de segurança. Os ciberataques contra sistemas de IA podem tirar partido de ativos específicos de inteligência artificial, como os conjuntos de dados de treino (por exemplo, contaminação de dados) ou os modelos treinados (por exemplo, ataques antagónicos ou de confidencialidade ), ou explorar vulnerabilidades dos ativos digitais do sistema de IA ou da infraestrutura de tecnologias da informação e comunicação (TIC) subjacente. A fim de assegurar um nível de cibersegurança adequado aos riscos, os fornecedores de sistemas de IA de risco elevado , bem como os organismos notificados, as autoridades nacionais competentes e as autoridades de fiscalização do mercado, devem tomar medidas adequadas, tendo ainda em devida conta a infraestrutura de TIC subjacente. Os sistemas de IA de risco elevado devem ser acompanhados de soluções e correções de segurança ao longo da vida do produto, ou, em caso de ausência de dependência de um produto específico, durante um período que deve ser declarado pelo fabricante.

(53-A)

Enquanto signatários da Convenção das Nações Unidas sobre os Direitos das Pessoas com Deficiência (CNUDPD), a União Europeia e os seus Estados-Membros estão legalmente obrigados a proteger as pessoas com deficiência contra a discriminação e a promover a sua igualdade, a assegurar que as pessoas com deficiência gozem da mesma igualdade de acesso que outros às tecnologias e sistemas de informação e comunicação e a assegurar o respeito pela privacidade das pessoas com deficiência. Tendo em conta a crescente importância e utilização de sistemas de IA, a aplicação estrita dos princípios de conceção universal a todas as novas tecnologias e serviços deverá garantir o acesso pleno, igual e sem restrições de todas as pessoas potencialmente afetadas pelas tecnologias de IA ou que utilizem essas tecnologias, incluindo as pessoas com deficiência, de uma forma que tenha plenamente em conta a sua inerente dignidade e diversidade. Por conseguinte, é essencial que os fornecedores assegurem a plena conformidade com os requisitos de acessibilidade, incluindo a Diretiva (UE) 2016/2102 e a Diretiva (UE) 2019/882. Os fornecedores devem assegurar o cumprimento destes requisitos desde a conceção. Por conseguinte, as medidas necessárias devem ser integradas, tanto quanto possível, na conceção do sistema de IA de risco elevado.

(54)

O fornecedor deve introduzir um sistema de gestão da qualidade sólido, garantir a realização do procedimento de avaliação da conformidade exigido, elaborar a documentação pertinente e estabelecer um sistema de acompanhamento pós-comercialização capaz. As autoridades públicas que colocam em serviço sistemas de IA de risco elevado para sua própria utilização podem adotar e aplicar as regras relativas ao sistema de gestão da qualidade no âmbito do sistema de gestão da qualidade adotado a nível nacional ou regional, consoante o caso, tendo em conta as especificidades do setor e as competências e a organização da autoridade pública em causa.

(54)

O fornecedor deve introduzir um sistema de gestão da qualidade sólido, garantir a realização do procedimento de avaliação da conformidade exigido, elaborar a documentação pertinente e estabelecer um sistema de acompanhamento pós-comercialização capaz. Para os prestadores que já dispõem de sistemas de gestão da qualidade baseados em normas como a norma ISO 9001 ou outras normas pertinentes, não se deve esperar uma duplicação total do sistema de gestão da qualidade, mas sim uma adaptação dos seus sistemas existentes a determinados aspetos relacionados com o cumprimento dos requisitos específicos do presente regulamento. Tal deve também refletir-se em futuras atividades de normalização ou orientações adotadas pela Comissão a este respeito. As autoridades públicas que colocam em serviço sistemas de IA de risco elevado para sua própria utilização podem adotar e aplicar as regras relativas ao sistema de gestão da qualidade no âmbito do sistema de gestão da qualidade adotado a nível nacional ou regional, consoante o caso, tendo em conta as especificidades do setor e as competências e a organização da autoridade pública em causa.

(56)

Para permitir a execução do presente regulamento e criar condições de concorrência equitativas para os operadores, tendo ainda em conta as diferentes formas de disponibilização de produtos digitais, é importante assegurar que, em qualquer circunstância, uma pessoa estabelecida na União possa fornecer às autoridades todas as informações necessárias sobre a conformidade de um sistema de IA. Como tal, antes de disponibilizarem os seus sistemas de IA na União, caso não seja possível identificar um importador, os fornecedores estabelecidos fora da União devem, através de mandato escrito, designar um mandatário estabelecido na União.

(56)

Para permitir a execução do presente regulamento e criar condições de concorrência equitativas para os operadores, tendo ainda em conta as diferentes formas de disponibilização de produtos digitais, é importante assegurar que, em qualquer circunstância, uma pessoa estabelecida na União possa fornecer às autoridades todas as informações necessárias sobre a conformidade de um sistema de IA. Como tal, antes de disponibilizarem os seus sistemas de IA na União, os fornecedores estabelecidos fora da União devem, através de mandato escrito, designar um mandatário estabelecido na União.

(58)

Dada a natureza dos sistemas de IA e os riscos para a segurança e os direitos fundamentais possivelmente associados à sua utilização, nomeadamente no que respeita à necessidade de assegurar um controlo adequado do desempenho de um sistema de IA num cenário real, é apropriado determinar responsabilidades específicas para os utilizadores . Em particular, os utilizadores devem utilizar os sistemas de IA de risco elevado de acordo com as instruções de utilização e devem ser equacionadas outras obrigações relativas ao controlo do funcionamento dos sistemas de IA e à manutenção de registos, se for caso disso.

(58)

Dada a natureza dos sistemas de IA e os riscos para a segurança e os direitos fundamentais possivelmente associados à sua utilização, nomeadamente no que respeita à necessidade de assegurar um controlo adequado do desempenho de um sistema de IA num cenário real, é apropriado determinar responsabilidades específicas para os responsáveis pela implantação . Em particular, os responsáveis pela implantação devem utilizar os sistemas de IA de risco elevado de acordo com as instruções de utilização e devem ser equacionadas outras obrigações relativas ao controlo do funcionamento dos sistemas de IA e à manutenção de registos, se for caso disso.

(58-A)

Ainda que os riscos relacionados com os sistemas de IA possam ter origem na sua conceção, tais riscos também podem decorrer da forma como os referidos sistemas de IA são utilizados. Os responsáveis pela implantação de sistemas de IA de risco elevado desempenham, por conseguinte, um papel fundamental na garantia da proteção dos direitos fundamentais, complementando as obrigações do fornecedor aquando do desenvolvimento do sistema de IA. Os responsáveis pela utilização estão melhor posicionados para entender, na prática, de que forma o sistema de IA de risco elevado será utilizado, pelo que podem identificar potenciais riscos significativos que não foram previstos na fase de desenvolvimento, graças a um conhecimento mais preciso do contexto de utilização, das pessoas ou grupos de pessoas suscetíveis de serem afetados, incluindo os grupos marginalizados e vulneráveis. Os responsáveis pela implantação devem identificar estruturas de governação adequadas nesse contexto específico de utilização, tais como mecanismos de supervisão humana, procedimentos de tratamento de queixas e procedimentos de recurso, uma vez que as escolhas nas estruturas de governação podem ser fundamentais para atenuar os riscos para os direitos fundamentais em casos concretos de utilização. A fim de garantir de forma eficiente a proteção dos direitos fundamentais, o responsável pela implantação de sistemas de IA de risco elevado deve, por conseguinte, realizar, antes de colocar em funcionamento os sistemas de IA, uma avaliação do impacto sobre os direitos fundamentais. A avaliação do impacto deve ser acompanhada de um plano detalhado que descreva as medidas ou ferramentas que ajudarão a atenuar os riscos para os direitos fundamentais identificados o mais tardar no momento da entrada em serviço. Se esse plano não puder ser identificado, o responsável pela implantação deve abster-se de colocar o sistema em serviço. Ao realizar esta avaliação de impacto, o responsável pela implantação deve notificar a autoridade nacional de controlo e, na medida do possível, as partes interessadas pertinentes, bem como os representantes de grupos de pessoas suscetíveis de serem afetados pelo sistema de IA, a fim de recolher as informações pertinentes consideradas necessárias para realizar a avaliação de impacto, existindo um incentivo para que seja disponibilizado publicamente o resumo da sua avaliação de impacto sobre os direitos fundamentais no seu sítio Web em linha. Estas obrigações não devem aplicar-se às PME que, devido à falta de recursos, possam ter dificuldade em realizar essa consulta. No entanto, devem também procurar envolver esses representantes na avaliação do impacto sobre os direitos fundamentais. Além disso, tendo em conta o potencial impacto e a necessidade de supervisão e controlo democráticos, os responsáveis pela implantação de sistemas de IA de risco elevado que sejam autoridades públicas ou instituições, órgãos, organismos e agências da União, bem como os responsáveis pela implantação que sejam empresas designadas como controladores de acesso nos termos do Regulamento (UE) 2022/1925, devem ser obrigados a registar a utilização de qualquer sistema de IA de risco elevado numa base de dados pública. Outros responsáveis pela implantação podem inscrever-se voluntariamente.

(59)

É apropriado definir que o  utilizador do sistema de IA é a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo sob cuja autoridade o sistema de IA é operado, salvo se o sistema for utilizado no âmbito de uma atividade pessoal de caráter não profissional.

(59)

É apropriado definir que o  responsável pela implantação do sistema de IA é a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo sob cuja autoridade o sistema de IA é operado, salvo se o sistema for utilizado no âmbito de uma atividade pessoal de caráter não profissional.

(60)

Face à complexidade da cadeia de valor da inteligência artificial , determinados terceiros, nomeadamente os envolvidos na venda e no fornecimento de software, ferramentas e componentes de software, modelos pré-treinados e dados , ou os fornecedores de serviços de rede, devem cooperar , consoante o caso , com os fornecedores e  os utilizadores , para permitir que estes cumpram as obrigações estabelecidas no presente regulamento, e com as autoridades competentes estabelecidas no presente regulamento .

(60)

Na cadeia de valor da IA muitas entidades oferecem frequentemente ferramentas e serviços, mas também componentes ou processos, que são depois incorporados pelo fornecedor no sistema de IA, inclusivamente relacionados com a recolha e pré-tratamento de dados, formação com base em modelos, reciclagem, ensaio e avaliação de modelos, integração em software ou outros aspetos do desenvolvimento de modelos. As entidades envolvidas podem disponibilizar a sua oferta comercial direta ou indiretamente, através de interfaces, como as interfaces de programação de aplicações (IPA), distribuídas ao abrigo de licenças gratuitas e de fonte aberta, mas também cada vez mais por plataformas profissionais de IA, revenda de parâmetros de formação, kits «faça você mesmo» para construção de modelos ou da oferta de acesso pago a uma arquitetura para modelos que permita o seu desenvolvimento e treino. Face a esta complexidade da cadeia de valor da IA , todos os terceiros pertinentes , em especial os envolvidos no desenvolvimento, na venda e no fornecimento comercial de ferramentas de software, componentes , modelos pré-treinados ou dados incorporados no sistema de IA , ou os fornecedores de serviços de rede, devem , sem comprometer os seus próprios direitos de propriedade intelectual ou segredos comerciais , disponibilizar as informações , a formação ou os conhecimentos especializados necessários e cooperar, conforme adequado , com os fornecedores para permitir o seu controlo sobre todos os aspetos pertinentes das obrigações inerentes ao sistema de IA que sejam abrangidas pelo presente regulamento . A fim de permitir uma governação da cadeia de valor da IA que seja eficaz em termos de custos, o nível de controlo deve ser explicitamente divulgado por cada terceiro que disponibilize ao fornecedor um instrumento, serviço, componente ou processo, que será posteriormente incorporado pelo fornecedor no sistema de IA.

(60-A)

Quando uma das partes se encontra numa posição de negociação mais forte, existe o risco de essa parte poder utilizar essa posição em detrimento da outra parte contratante quando negoceiam o fornecimento de ferramentas, serviços, componentes ou processos utilizados ou integrados num sistema de IA de risco elevado ou as medidas corretivas em caso de violação ou de cessação de obrigações conexas. Esses desequilíbrios contratuais prejudicam, em especial, as micro, pequenas e médias empresas, bem como as empresas em fase de arranque, a menos que sejam detidas ou subcontratadas por uma empresa capaz de compensar adequadamente o subcontratante, uma vez que não dispõem de uma capacidade significativa para negociar as condições do acordo contratual e não podem ter outra alternativa senão aceitar cláusulas contratuais do tipo «pegar ou largar». Por conseguinte, as cláusulas contratuais abusivas que regulam o fornecimento de ferramentas, serviços, componentes ou processos que são utilizadas ou integradas num sistema de IA de risco elevado ou as medidas corretivas em caso de violação ou de cessação de obrigações conexas não devem ser vinculativas para as micro, pequenas ou médias empresas, e empresas em fase de arranque, quando lhes tenham sido impostas unilateralmente.

(60-B)

As regras relativas às cláusulas contratuais devem ter em conta o princípio da liberdade contratual enquanto conceito essencial nas relações entre empresas. Por conseguinte, nem todas as cláusulas contratuais devem ser sujeitas a um teste do caráter abusivo, mas apenas as cláusulas impostas unilateralmente às micro, pequenas e médias empresas. Tal diz respeito a situações do tipo «pegar ou largar», em que uma parte propõe uma determinada cláusula contratual e a micro, pequena ou média empresa ou empresa em fase de arranque não pode influenciar o teor dessa cláusula, apesar de tentar negociá-la. Uma cláusula contratual que é simplesmente proposta por uma das partes e aceite pela micro, pequena ou média empresa ou empresa em fase de arranque ou uma cláusula que é negociada e subsequentemente acordada de forma alterada entre as partes contratantes não deve ser considerada como imposta unilateralmente.

(60-C)

Além disso, as regras relativas a cláusulas contratuais abusivas só devem ser aplicáveis aos elementos de um contrato relativos ao fornecimento de ferramentas, serviços, componentes ou processos utilizados ou integrados num sistema de IA de risco elevado ou às medidas corretivas em caso de violação ou de cessação de obrigações conexas. As outras partes do mesmo contrato, que não estejam relacionadas com esses elementos, não devem ser sujeitas ao teste do caráter abusivo previsto no presente regulamento.

(60-D)

Os critérios de identificação das cláusulas contratuais abusivas só devem ser aplicados a cláusulas contratuais excessivas, em caso de abuso de uma posição negocial mais forte. A grande maioria das cláusulas contratuais que são comercialmente mais favoráveis para uma parte do que para a outra, incluindo as que são normais nos contratos entre empresas, constituem uma expressão normal do princípio da liberdade contratual e continuam a ser aplicáveis. Caso uma cláusula contratual não conste da lista de cláusulas que são sempre consideradas abusivas, aplica-se a disposição geral relativa ao caráter abusivo. A esse respeito, as cláusulas enumeradas como cláusulas abusivas devem servir de referência para a interpretação da disposição geral relativa ao caráter abusivo.

(60-E)

Os modelos de base são um desenvolvimento recente, em que os modelos de IA são desenvolvidos a partir de algoritmos concebidos para otimizar a generalidade e a versatilidade dos resultados. Esses modelos são frequentemente treinados com um vasta gama de fontes de dados e com grandes quantidades de dados para realizar um grande número de tarefas a jusante, incluindo algumas para as quais não foram especificamente desenvolvidos e treinados. O modelo de base pode ser unimodal ou multimodal, treinado através de vários métodos, como a aprendizagem supervisionada ou a aprendizagem reforçada. Os sistemas de IA com uma finalidade específica prevista e os sistemas de IA de finalidade geral podem ser uma aplicação de um modelo de base, o que significa que cada modelo de base pode ser reutilizado em inúmeros sistemas de IA a jusante ou em sistemas de IA de finalidade geral. Esses modelos têm uma importância cada vez maior para muitas aplicações e sistemas a jusante.

(60-F)

No caso dos modelos de base prestados como um serviço, como o acesso a IPA, a cooperação com os prestadores a jusante deve prolongar-se ao longo do período durante o qual esse serviço é prestado e suportado, a fim de permitir uma atenuação adequada dos riscos, a menos que o fornecedor do modelo de base transfira o modelo de treino, bem como informações exaustivas e adequadas sobre os conjuntos de dados e o processo de desenvolvimento do sistema ou restrinja o serviço, como o acesso a IPA, de modo a que o fornecedor a jusante possa cumprir plenamente o presente regulamento sem mais apoio do fornecedor original do modelo de base.

(60-G)

Tendo em conta a natureza e a complexidade da cadeia de valor dos sistemas de IA, é essencial esclarecer o papel dos intervenientes que contribuem para o desenvolvimento desses sistemas. Existe uma grande incerteza sobre como os modelos de base vão evoluir, tanto em termos de tipologia dos modelos como em termos de autogovernação. Por conseguinte, é essencial esclarecer a situação jurídica dos fornecedores de modelos de base. Tendo em conta a sua complexidade e impacto imprevisível e a falta de controlo do fornecedor de IA a jusante sobre o desenvolvimento do modelo de base e o consequente desequilíbrio de poder, e a fim de assegurar uma partilha equitativa das responsabilidades ao longo da cadeia de valor da IA, esses modelos devem estar sujeitos a requisitos e obrigações proporcionados e mais específicos ao abrigo do presente regulamento, nomeadamente, os modelos de base devem avaliar e atenuar os riscos e danos potenciais através de uma conceção, ensaio e análise adequados, devem aplicar medidas de governação de dados, incluindo a avaliação de enviesamentos, e cumprir os requisitos de conceção técnica, a fim de assegurar níveis adequados de desempenho, previsibilidade, interpretabilidade, corrigibilidade, segurança e cibersegurança e devem cumprir as normas ambientais. Estas obrigações devem ser acompanhadas de normas. Além disso, os modelos de base devem estar sujeitos a obrigações de informação e preparar toda a documentação técnica necessária para que os potenciais fornecedores a jusante possam cumprir as suas obrigações ao abrigo do presente regulamento. Os modelos de base generativa devem assegurar a transparência quanto ao facto de o conteúdo ser gerado por um sistema de IA e não por seres humanos. Esses requisitos e obrigações específicos não equivalem a considerar os modelos de base como sistemas de IA de risco elevado, mas devem garantir a concretização dos objetivos do presente regulamento de assegurar um nível elevado de proteção dos direitos fundamentais, da saúde, da segurança, do ambiente, da democracia e do Estado de direito. Os modelos pré-treinados desenvolvidos para um conjunto mais restrito, menos geral e mais limitado de aplicações e que não podem ser adaptados a uma vasta gama de tarefas, como os sistemas de IA polivalentes simples, não devem ser considerados modelos de base para efeitos do presente regulamento, devido à sua maior interpretabilidade, o que torna o seu comportamento menos imprevisível.

(60-H)

Tendo em conta a natureza dos modelos de base, há falta de conhecimentos especializados em avaliação da conformidade e os métodos de auditoria por terceiros ainda estão a ser desenvolvidos. O próprio setor está, por conseguinte, a desenvolver novas formas de avaliar os modelos fundamentais que cumprem, em parte, o objetivo de auditoria (como a avaliação de modelos, a simulação de ataques ou as técnicas de verificação e validação da aprendizagem automática). Essas avaliações internas dos modelos de base devem ser aplicáveis na generalidade (por exemplo, independentemente dos canais de distribuição, da modalidade e dos métodos de desenvolvimento), a fim de abordar os riscos específicos desses modelos, tendo em conta as práticas mais avançadas do setor, e centrar-se no desenvolvimento de conhecimentos e controlos técnicos suficientes sobre o modelo, na gestão de riscos razoavelmente previsíveis e na análise e ensaio exaustivos do modelo através de medidas adequadas, como a inclusão de avaliadores independentes. Uma vez que os modelos de base são um desenvolvimento novo e em rápida evolução no domínio da inteligência artificial, é conveniente que a Comissão e o Serviço IA acompanhem e avaliem periodicamente o quadro legislativo e de governação desses modelos e, em especial, dos sistemas de IA generativos baseados nesses modelos, que levantam questões significativas relacionadas com a geração de conteúdos em violação do direito da União ou das regras em matéria de direitos de autor e com potenciais utilizações abusivas. Importa esclarecer que o presente regulamento não prejudica a legislação da União em matéria de direitos de autor e direitos conexos, incluindo as Diretivas 2001/29/CE, 2004/48/ECR e (UE) 2019/790 do Parlamento Europeu e do Conselho.

(61)

A normalização deve desempenhar um papel fundamental, disponibilizando aos fornecedores soluções técnicas que assegurem o cumprimento do presente regulamento. O cumprimento de normas harmonizadas, conforme definido no Regulamento (UE) n.o 1025/2012 do Parlamento Europeu e do Conselho (54), deve constituir um meio de os fornecedores demonstrarem a conformidade com os requisitos do presente regulamento. Contudo , a  Comissão pode adotar especificações técnicas comuns em domínios onde não existem normas harmonizadas ou onde estas são insuficientes .

(61)

A normalização deve desempenhar um papel fundamental, disponibilizando aos fornecedores soluções técnicas que assegurem o cumprimento do presente regulamento. O cumprimento de normas harmonizadas, conforme definido no Regulamento (UE) n.o 1025/2012 do Parlamento Europeu e do Conselho (54), deve constituir um meio de os fornecedores demonstrarem a conformidade com os requisitos do presente regulamento. A fim de assegurar a eficácia das normas como instrumento político da União , e tendo em conta a  importância das normas para assegurar a conformidade com os requisitos do presente regulamento e para a competitividade das empresas, é necessário assegurar uma representação equilibrada dos interesses, incluindo todas as partes interessadas relevantes na elaboração das normas . O processo de normalização deve ser transparente no que diz respeito às pessoas singulares e coletivas que participam nas atividades de normalização.

(61-A)

A fim de facilitar o cumprimento, os primeiros pedidos de normalização devem ser emitidos pela Comissão o mais tardar dois meses após a entrada em vigor do presente regulamento. Tal deve servir para melhorar a segurança jurídica, promovendo assim o investimento e a inovação em IA, bem como a competitividade e o crescimento do mercado da União, reforçando simultaneamente a governação multilateral, representativa de todas as partes interessadas europeias relevantes, como o Serviço IA, as organizações e organismos europeus de normalização e os grupos de peritos criados ao abrigo da legislação setorial aplicável da União, bem como o setor, as PME, as empresas em fase de arranque, a sociedade civil, os investigadores e os parceiros sociais, e deve, em última análise, facilitar a cooperação mundial em matéria de normalização no domínio da IA, de forma coerente com os valores da União. Quando preparar o pedido de normalização, a Comissão deve consultar o Serviço IA e o Fórum Consultivo para a IA, a fim de recolher conhecimentos especializados pertinentes.

(61-B)

Caso os sistemas de IA se destinarem a serem utilizados no local de trabalho, as normas harmonizadas devem limitar-se às especificações técnicas e aos procedimentos.

(61-C)

A Comissão deve poder adotar especificações comuns em determinadas condições, sempre que não exista uma norma harmonizada pertinente, ou dar resposta a preocupações específicas em matéria de direitos fundamentais. Ao longo de todo o processo de elaboração, a Comissão deve consultar regularmente o Serviço IA e o seu fórum consultivo, as organizações e organismos europeus de normalização ou os grupos de peritos criados ao abrigo do direito setorial pertinente da União, bem como as partes interessadas relevantes, como a indústria, as PME, as empresas em fase de arranque, a sociedade civil, os investigadores e os parceiros sociais.

(61-D)

Ao adotar especificações comuns, a Comissão deve esforçar-se por alinhar a regulamentação relativa à IA com parceiros mundiais que partilham as mesmas ideias, o que é fundamental para promover a inovação e as parcerias transfronteiriças no domínio da IA, uma vez que a coordenação com parceiros que partilham as mesmas ideias nos organismos internacionais de normalização é extremamente importante.

(62)

A fim de assegurar um nível elevado de fiabilidade dos sistemas de IA de risco elevado, estes devem ser sujeitos a uma avaliação da conformidade antes de serem colocados no mercado ou em serviço.

(62)

A fim de assegurar um nível elevado de fiabilidade dos sistemas de IA de risco elevado, estes devem ser sujeitos a uma avaliação da conformidade antes de serem colocados no mercado ou em serviço. Para aumentar a confiança na cadeia de valor e proporcionar segurança às empresas quanto ao desempenho dos seus sistemas, os terceiros que fornecem componentes de IA podem solicitar voluntariamente uma avaliação da conformidade por terceiros.

(64)

Dada a  experiência mais vasta dos certificadores de pré-comercialização profissionais no domínio da segurança dos produtos e a diferente natureza dos riscos inerentes, é apropriado limitar, pelo menos numa fase inicial da aplicação do presente regulamento, o âmbito da avaliação da conformidade por terceiros aos sistemas de IA de risco elevado que não estejam relacionados com produtos. Como tal, a avaliação da conformidade desses sistemas deve ser realizada, regra geral, pelo fornecedor sob a sua própria responsabilidade, com a exceção única dos sistemas de IA concebidos para serem utilizados para a identificação biométrica à distância de pessoas, cuja avaliação da conformidade, contanto que os sistemas em causa não sejam proibidos, deve contar com a participação de um organismo notificado.

(64)

Dada a  complexidade dos sistemas de IA de risco elevado e os riscos que lhes estão associados, é essencial desenvolver uma capacidade mais adequada para a aplicação da avaliação da conformidade por terceiros aos sistemas de IA de risco elevado. No entanto, dada a atual experiência dos certificadores de pré-comercialização profissionais no domínio da segurança dos produtos e a diferente natureza dos riscos inerentes, é apropriado limitar, pelo menos numa fase inicial da aplicação do presente regulamento, o âmbito da avaliação da conformidade por terceiros aos sistemas de IA de risco elevado que não estejam relacionados com produtos. Como tal, a avaliação da conformidade desses sistemas deve ser realizada, regra geral, pelo fornecedor sob a sua própria responsabilidade, com a exceção única dos sistemas de IA concebidos para serem utilizados para a identificação biométrica à distância de pessoas e dos sistemas de IA concebidos para serem utilizados para fazer inferências sobre as características pessoais de pessoas singulares a partir de dados biométricos ou dados baseados em biometria, incluindo os sistemas de reconhecimento de emoções , cuja avaliação da conformidade, contanto que os sistemas em causa não sejam proibidos, deve contar com a participação de um organismo notificado.

(65)

Para efeitos de avaliação da conformidade por terceiros de sistemas de IA concebidos para serem utilizados para a identificação biométrica à distância de pessoas , o presente regulamento prevê que as autoridades nacionais competentes designem organismos notificados, os quais devem cumprir uma série de requisitos, nomeadamente em termos de independência, competência e ausência de conflitos de interesse.

(65)

Sempre que seja necessário realizar avaliações da conformidade por terceiros, o presente regulamento prevê que as autoridades nacionais competentes designem organismos notificados, os quais devem cumprir uma série de requisitos, nomeadamente em termos de independência, competência, ausência de conflitos de interesse e requisitos mínimos de cibersegurança . Os Estados-Membros devem promover a designação de um número suficiente de organismos de avaliação da conformidade para que a certificação seja viável de modo atempado. Os procedimentos de avaliação, designação, notificação e acompanhamento dos organismos de avaliação da conformidade devem ser implementados o mais uniformemente possível nos Estados-Membros, a fim de eliminar barreiras administrativas fronteiriças e garantir a realização do potencial do mercado interno.

(65-A)

Em conformidade com os compromissos assumidos pela União no âmbito do Acordo sobre os Obstáculos Técnicos ao Comércio da Organização Mundial do Comércio, é adequado maximizar a aceitação dos resultados dos testes produzidos pelos organismos de avaliação da conformidade competentes, independentemente do território onde estejam estabelecidos, se tal for necessário para demonstrar a conformidade com os requisitos aplicáveis do regulamento. A Comissão deve procurar utilizar ativamente eventuais instrumentos internacionais para esse efeito e, em especial, tentar celebrar eventuais acordos de reconhecimento mútuo com países que se encontrem num nível comparável de desenvolvimento técnico e tenham uma abordagem compatível em matéria de IA e de avaliação da conformidade.

(66)

Em consonância com a noção comummente estabelecida de modificação substancial de produtos regulamentados pela legislação de harmonização da União, é apropriado que um sistema de IA seja objeto de uma nova avaliação da conformidade sempre que seja alterado de maneira que possa afetar o cumprimento do presente regulamento ou que a finalidade prevista do sistema se altere. Além disso, no que respeita aos sistemas de IA que continuam a «aprender» depois de terem sido colocados no mercado ou em serviço (ou seja, que adaptam automaticamente o modo de funcionamento), é necessário criar regras que determinem que as alterações do algoritmo e do desempenho predeterminados pelo fornecedor e examinados aquando da avaliação da conformidade não constituem uma modificação substancial.

(66)

Em consonância com a noção comummente estabelecida de modificação substancial de produtos regulamentados pela legislação de harmonização da União, é apropriado que um sistema de IA de risco elevado seja objeto de uma nova avaliação da conformidade sempre que seja alterado de maneira não planeada que vá além do controlo ou das alterações predeterminadas pelo prestador, incluindo a aprendizagem contínua, e que possa criar um novo risco inaceitável e afetar significativamente o cumprimento do presente regulamento ou que a finalidade prevista do sistema de IA de risco elevado se altere. Além disso, no que respeita aos sistemas de IA que continuam a «aprender» depois de terem sido colocados no mercado ou em serviço (ou seja, que adaptam automaticamente o modo de funcionamento), é necessário criar regras que determinem que as alterações do algoritmo e do desempenho predeterminados pelo fornecedor e examinados aquando da avaliação da conformidade não constituem uma modificação substancial. O mesmo deve aplicar-se a atualizações do sistema de IA por motivos de segurança em geral e para proteger contra as ameaças em constante evolução de manipulação do sistema, desde que tal não implique uma modificação substancial.

(67)

Para que possam circular livremente dentro do mercado interno, os sistemas de IA de risco elevado devem apresentar a marcação CE para indicar o cumprimento do presente regulamento. Os Estados-Membros não podem criar obstáculos injustificados à colocação no mercado ou à colocação em serviço de sistemas de IA de risco elevado que cumpram os requisitos previstos no presente regulamento e apresentem a marcação CE.

(67)

Para que possam circular livremente dentro do mercado interno, os sistemas de IA de risco elevado devem apresentar a marcação CE para indicar o cumprimento do presente regulamento. No caso dos sistemas físicos de IA de risco elevado, deve ser aposta uma marcação CE física, que pode ser complementada por uma marcação CE digital. No caso dos sistemas unicamente digitais de IA de risco elevado, deve ser utilizada uma marcação CE digital. Os Estados-Membros não podem criar obstáculos injustificados à colocação no mercado ou à colocação em serviço de sistemas de IA de risco elevado que cumpram os requisitos previstos no presente regulamento e apresentem a marcação CE.

(68)

Em certas condições, uma disponibilização rápida de tecnologias inovadoras pode ser crucial para a saúde e a segurança das pessoas e  da sociedade em geral. Como tal, é apropriado que, por razões excecionais de segurança pública ou proteção da vida e da saúde das pessoas singulares e de proteção da propriedade industrial e comercial , os Estados-Membros possam autorizar a colocação no mercado ou a colocação em serviço de sistemas de IA que não foram objeto de uma avaliação da conformidade.

(68)

Em certas condições, uma disponibilização rápida de tecnologias inovadoras pode ser crucial para a saúde e a segurança das pessoas , para o ambiente e  as alterações climáticas e para a sociedade em geral. Como tal, é apropriado que, por razões excecionais de proteção da vida e da saúde das pessoas singulares, de proteção do ambiente e de proteção infraestruturas críticas , os Estados-Membros possam autorizar a colocação no mercado ou a colocação em serviço de sistemas de IA que não foram objeto de uma avaliação da conformidade.

(69)

Para facilitar o trabalho da Comissão e dos Estados-Membros no domínio da inteligência artificial, bem como aumentar a transparência para o público, os fornecedores de sistemas de IA de risco elevado que não os relacionados com produtos abrangidos pelo âmbito da atual legislação de harmonização da União devem ser obrigados a registar esses sistemas de IA de risco elevado numa base de dados da UE que será criada e gerida pela Comissão. A Comissão deve ser o responsável pelo tratamento dessa base de dados, nos termos do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (55). Para assegurar que a base de dados esteja plenamente operacional à data de implantação, o procedimento para a criação da base de dados deve incluir a elaboração de especificações funcionais pela Comissão e um relatório de auditoria independente.

(69)

Para facilitar o trabalho da Comissão e dos Estados-Membros no domínio da inteligência artificial, bem como aumentar a transparência para o público, os fornecedores de sistemas de IA de risco elevado que não os relacionados com produtos abrangidos pelo âmbito da atual legislação de harmonização da União devem ser obrigados a registar esses sistemas de IA de risco elevado e os modelos de base numa base de dados da UE que será criada e gerida pela Comissão. Essa base de dados deve ser de acesso livre e público, facilmente compreensível e legível por máquina. A base de dados também deve ser fácil de utilizar e de navegar, com funcionalidades de pesquisa, que permitam, no mínimo, ao público em geral pesquisar a base de dados por sistemas de alto risco específicos, localizações, categorias de risco nos termos do anexo IV e palavras-chave. Os responsáveis pela implantação que sejam autoridades públicas ou instituições, órgãos ou organismos da União ou que atuem em seu nome e os responsáveis pela implantação que sejam empresas designadas como controladores ao abrigo do Regulamento (UE) 2022/1925 também se devem registar na base de dados da UE antes da primeira colocação em serviço ou utilização de um sistema de IA de risco elevado e após cada modificação significativa. Os outros responsáveis pela implantação devem ter o direito de o fazer voluntariamente. Qualquer alteração substancial de um sistema de IA de risco elevado também deve ser registada na base de dados da UE.  A Comissão deve ser o responsável pelo tratamento dessa base de dados, nos termos do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (55). Para assegurar que a base de dados esteja plenamente operacional à data de implantação, o procedimento para a criação da base de dados deve incluir a elaboração de especificações funcionais pela Comissão e um relatório de auditoria independente. A Comissão deve ter em conta os riscos de cibersegurança e os relacionados com os perigos no exercício das suas funções de responsável pelo tratamento de dados na base de dados da UE. A fim de maximizar a disponibilidade e a utilização da base de dados pelo público, a base de dados, incluindo as informações disponibilizadas através da mesma, deve cumprir os requisitos estabelecidos na Diretiva 2019/882.

(71)

A inteligência artificial é uma família de tecnologias em rápida evolução que exige novas formas de supervisão regulamentar e um espaço seguro para a experimentação, garantindo ao mesmo tempo uma inovação responsável e a integração de salvaguardas e medidas de atenuação dos riscos adequadas. Para assegurar um quadro jurídico propício à inovação, preparado para o futuro e resistente a perturbações, as autoridades nacionais competentes de um ou vários Estados-Membros devem ser incentivadas a criar ambientes de testagem da regulamentação da inteligência artificial que facilitem o desenvolvimento e o teste de sistemas de IA inovadores sob uma supervisão regulamentar rigorosa, antes que estes sistemas sejam colocados no mercado ou em serviço.

(71)

A inteligência artificial é uma família de tecnologias em rápida evolução que exige supervisão regulamentar e um espaço seguro e controlado para a experimentação, garantindo ao mesmo tempo uma inovação responsável e a integração de salvaguardas e medidas de atenuação dos riscos adequadas. Para assegurar um quadro jurídico que promova a inovação, preparado para o futuro e resistente a perturbações, os Estados-Membros devem criar pelo menos um ambiente de testagem da regulamentação da inteligência artificial que facilite o desenvolvimento e o teste de sistemas de IA inovadores sob uma supervisão regulamentar rigorosa, antes que estes sistemas sejam colocados no mercado ou em serviço. Com efeito, é desejável que a criação de ambientes de testagem da regulamentação, cuja criação está atualmente à discrição dos Estados-Membros, seja tornada, como um próximo passo, obrigatória com critérios estabelecidos. Esse ambiente de testagem obrigatório também pode ser criado em conjunto com um ou mais Estados-Membros, desde que esse ambiente de testagem abranja o respetivo nível nacional dos Estados-Membros envolvidos. Podem igualmente ser criados outros ambientes de testagem a diferentes níveis, incluindo entre Estados-Membros, a fim de facilitar a cooperação transfronteiriça e as sinergias. Com exceção do ambiente de testagem obrigatório a nível nacional, os Estados-Membros também devem poder criar ambientes de testagem virtuais ou híbridos. Todos os ambientes de testagem da regulamentação devem poder acolher produtos físicos e virtuais. As autoridades responsáveis pela criação devem assegurar igualmente que os ambientes de testagem da regulamentação disponham de recursos financeiros e humanos adequados para o seu funcionamento.

(72)

Os objetivos dos ambientes de testagem da regulamentação devem passar por: fomentar a inovação no domínio da IA, mediante a criação de um ambiente controlado de experimentação e teste na fase de desenvolvimento e  pré-comercialização, com vista a assegurar que os sistemas de IA inovadores cumprem o presente regulamento e outra legislação aplicável dos Estados-Membros e da União; reforçar a segurança jurídica para os inovadores; melhorar a supervisão e  a compreensão, por parte das autoridades competentes, das oportunidades, dos riscos emergentes e dos impactos da utilização da inteligência artificial; e acelerar o acesso aos mercados , nomeadamente por via da eliminação dos entraves para as pequenas e médias empresas (PME) e as empresas em fase de arranque. Para assegurar uma aplicação uniforme em toda a União e economias de escala, é apropriado criar regras comuns para a  implantação dos ambientes de testagem da regulamentação e um quadro para a cooperação entre as autoridades competentes envolvidas na supervisão desses ambientes. O presente regulamento deve estabelecer o fundamento jurídico para a utilização de dados pessoais recolhidos para outras finalidades com vista ao desenvolvimento de determinados sistemas de IA por motivos de interesse público no âmbito do ambiente de testagem da regulamentação da IA, em conformidade com o artigo 6.o, n.o 4, do Regulamento (UE) 2016/679 e do artigo 6 . o do Regulamento (UE) 2018/1725 e sem prejuízo do artigo 4.o, n.o 2, da Diretiva (UE) 2016/680. Os participantes no ambiente de testagem devem assegurar salvaguardas adequadas e cooperar com as autoridades competentes, nomeadamente seguindo as suas orientações e  atuando de forma célere e de boa-fé para atenuar eventuais riscos elevados para a  segurança e os direitos fundamentais que possam revelar-se durante o desenvolvimento e  a experimentação no ambiente de testagem. A conduta dos participantes no ambiente de testagem deve ser tida em conta quando as autoridades competentes decidirem sobre a aplicação de uma coima, nos termos do artigo 83.o, n.o 2, do Regulamento (UE) 2016/679 e do artigo 57.o da Diretiva (UE) 2016/680.

(72)

Os objetivos dos ambientes de testagem da regulamentação devem passar por: as autoridades responsáveis pela criação aumentarem a sua compreensão das evoluções técnicas, melhorarem os métodos de supervisão e  prestarem orientações aos criadores e fornecedores de sistemas de IA , a fim de cumprirem o presente regulamento ou, se for caso disso, outra legislação aplicável da União ou dos Estados-Membros , bem como com a Carta dos Direitos Fundamentais; os potenciais fornecedores permitirem e  facilitarem o ensaio e o desenvolvimento de soluções inovadoras relacionadas com os sistemas de IA na fase de pré-comercialização, a fim de reforçar a segurança jurídica , permitir uma maior aprendizagem regulamentar através da criação de autoridades num ambiente controlado para desenvolver orientações melhores e identificar possíveis melhorias futuras do quadro jurídico através do processo legislativo ordinário. A identificação de quaisquer riscos significativos durante o desenvolvimento e a  testagem desses sistemas deve resultar na adoção imediata de medidas de atenuação e, na sua falta, na suspensão do processo de desenvolvimento e testagem até que se verifique essa atenuação. Para assegurar uma aplicação uniforme em toda a União e economias de escala, é apropriado criar regras comuns para a implantação dos ambientes de testagem da regulamentação e um quadro para a cooperação entre as autoridades competentes envolvidas na supervisão desses ambientes . Os Estados-Membros devem assegurar que os ambientes de testagem da regulamentação estão amplamente disponíveis em toda a União, devendo a participação continuar a ser voluntária. É particularmente importante garantir que as PME e  as empresas em fase de arranque possam aceder facilmente a  esses ambientes de testagem, estejam ativamente envolvidas e participem no desenvolvimento e no teste de sistemas de IA inovadores, de modo a  poderem contribuir com os seus conhecimentos especializados e  experiência .

(72-A)

O presente regulamento deve estabelecer a base jurídica para a utilização de dados pessoais recolhidos para outras finalidades com vista ao desenvolvimento de alguns sistemas de IA por motivos de interesse público no âmbito do ambiente de testagem da regulamentação da IA apenas em condições específicas, em conformidade com o artigo 6.o, n.o 4, do Regulamento (UE) 2016/679 e do artigo 6.o do Regulamento (UE) 2018/1725 e sem prejuízo do artigo 4.o, n.o 2, da Diretiva (UE) 2016/680. Os potenciais fornecedores no ambiente de testagem devem assegurar salvaguardas adequadas e cooperar com as autoridades competentes, nomeadamente seguindo as suas orientações e atuando de forma célere e de boa-fé para atenuar eventuais riscos elevados para a segurança, a saúde, o ambiente e os direitos fundamentais que possam surgir durante o desenvolvimento e a experimentação no ambiente de testagem. A conduta dos potenciais fornecedores no ambiente de testagem deve ser tida em conta quando as autoridades competentes tomarem uma decisão sobre a suspensão temporária ou permanente da sua participação no ambiente de testagem, ou decidirem aplicar uma coima, nos termos do artigo 83.o, n.o 2, do Regulamento (UE) 2016/679 e do artigo 57.o da Diretiva (UE) 2016/680.

(72-B)

A fim de garantir que a Inteligência Artificial produza resultados sociais e ambientais benéficos, os Estados-Membros devem apoiar e promover a investigação e o desenvolvimento da IA nesse sentido, atribuindo recursos suficientes, incluindo financiamento público e da União, e concedendo acesso prioritário a ambientes de testagem da regulamentação a projetos liderados pela sociedade civil. Esses projetos devem ser baseados no princípio da cooperação interdisciplinar entre criadores de IA e especialistas em matéria de desigualdade, não discriminação, acessibilidade e direitos do consumidor, ambientais e digitais, bem como académicos.

(73)

A fim de promover e proteger a inovação, é importante ter em especial atenção os interesses dos fornecedores e utilizadores de sistemas de IA de pequena dimensão. Para esse efeito, os Estados-Membros devem desenvolver iniciativas dirigidas a esses operadores, incluindo ações de sensibilização e comunicação de informações. Além disso, os interesses e as necessidades específicas dos fornecedores de pequena dimensão devem ser tidas em conta quando os organismos notificados fixam as taxas a pagar pela avaliação da conformidade. Os custos de tradução associados à documentação obrigatória e à comunicação com as autoridades podem constituir um custo substancial para os fornecedores e outros operadores, nomeadamente para os fornecedores de menor dimensão. Os Estados-Membros podem eventualmente assegurar que uma das línguas por si determinadas e aceites para a elaboração de documentação pelos fornecedores e a comunicação com os operadores seja uma língua amplamente compreendida pelo maior número possível de utilizadores transfronteiras.

(73)

A fim de promover e proteger a inovação, é importante ter em especial atenção os interesses dos fornecedores e utilizadores de sistemas de IA de pequena dimensão. Para esse efeito, os Estados-Membros devem desenvolver iniciativas dirigidas a esses operadores, incluindo ações de literacia em IA e de sensibilização e comunicação de informações. Os Estados-Membros devem utilizar os canais existentes e, se for caso disso, criar novos canais específicos para comunicar com PME, empresas em fase de arranque, utilizadores e outros inovadores, a fim de fornecer orientações e responder a perguntas sobre a aplicação do presente regulamento. Esses canais existentes podem incluir, entre outros, as Equipas de Resposta a Incidentes de Segurança Informática da ENISA, as autoridades nacionais de proteção de dados, a plataforma de IA a pedido, os Polos Europeus de Inovação Digital e outros instrumentos relevantes financiados por programas da UE, bem como as instalações de ensaio e experimentação criadas pela Comissão e pelos Estados-Membros a nível nacional ou da União. Sempre que adequado, esses canais devem trabalhar em conjunto para criar sinergias e assegurar a homogeneidade da sua orientação às empresas em fase de arranque, às PME e aos utilizadores. Além disso, os interesses e as necessidades específicas dos fornecedores de pequena dimensão devem ser tidas em conta quando os organismos notificados fixam as taxas a pagar pela avaliação da conformidade. A Comissão deve avaliar regularmente os custos de certificação e de conformidade para as PME e as empresas em fase de arranque, nomeadamente através de consultas transparentes com PME, empresas em fase de arranque e utilizadores, e trabalhar com os Estados-Membros para reduzir esses custos. Por exemplo, os custos de tradução associados à documentação obrigatória e à comunicação com as autoridades podem constituir um custo substancial para os fornecedores e outros operadores, nomeadamente para os fornecedores de menor dimensão. Os Estados-Membros podem eventualmente assegurar que uma das línguas por si determinadas e aceites para a elaboração de documentação pelos fornecedores e a comunicação com os operadores seja uma língua amplamente compreendida pelo maior número possível de utilizadores transfronteiras. As empresas de média dimensão que passaram recentemente da categoria de pequena para média, na aceção do anexo da Recomendação 2003/361/CE (artigo 16.o), devem ter acesso a essas iniciativas e orientações durante um período de tempo considerado adequado pelos Estados-Membros, uma vez que essas novas empresas de média dimensão podem, por vezes, não dispor dos recursos jurídicos e da formação necessários para assegurar a compreensão e o cumprimento adequados das disposições.

(74)

Para minimizar os riscos para a aplicação resultantes da falta de conhecimentos e competências especializadas no mercado, bem como facilitar o cumprimento, por parte dos fornecedores e dos organismos notificados, das obrigações que lhes são impostas pelo presente regulamento, a «plataforma IA a pedido», os polos europeus de inovação digital e as instalações de ensaio e experimentação criadas pela Comissão e pelos Estados-Membros a nível nacional ou europeu podem eventualmente contribuir para a aplicação do presente regulamento. No âmbito da respetiva missão e domínios de competência, estas entidades podem prestar apoio técnico e científico aos fornecedores e aos organismos notificados.

(74)

Para minimizar os riscos para a aplicação resultantes da falta de conhecimentos e competências especializadas no mercado, bem como facilitar o cumprimento, por parte dos fornecedores e dos organismos notificados, das obrigações que lhes são impostas pelo presente regulamento, a «plataforma IA a pedido», os polos europeus de inovação digital e as instalações de ensaio e experimentação criadas pela Comissão e pelos Estados-Membros a nível nacional ou europeu podem contribuir para a aplicação do presente regulamento. No âmbito da respetiva missão e domínios de competência, estas entidades podem prestar apoio técnico e científico aos fornecedores e aos organismos notificados.

(76)

A fim de facilitar uma aplicação simples, eficaz e harmoniosa do presente regulamento, deve ser criado um Comité Europeu para a Inteligência Artificial. O  Comité deve ser responsável por uma série de funções consultivas, nomeadamente a emissão de pareceres, recomendações, conselhos ou orientações em questões relacionadas com a aplicação do presente regulamento, incluindo no tocante a especificações técnicas ou normas existentes relativas aos requisitos indicados no presente regulamento , e a prestação de aconselhamento e  assistência à Comissão sobre questões específicas relacionadas com a  inteligência artificial .

(76)

A fim de evitar a fragmentação, de assegurar o funcionamento ideal do mercado único, de assegurar uma aplicação eficaz e harmoniosa do presente regulamento, de alcançar um nível elevado de fiabilidade e de proteção da saúde, da segurança, dos direitos fundamentais, do ambiente, da democracia e do Estado de direito em toda a União, no que diz respeito aos sistemas de IA, de apoiar ativamente as autoridades nacionais de controlo, as instituições, órgãos e organismos da União em questões relacionadas com o presente regulamento, de aumentar a utilização da inteligência artificial em toda a União, deve ser criado um Serviço da União Europeia para a Inteligência Artificial. O  Serviço IA deve ter personalidade jurídica, agir com total independência, ser responsável por uma série de funções consultivas e de coordenação , nomeadamente a emissão de pareceres, recomendações, conselhos ou orientações em questões relacionadas com a aplicação do presente regulamento, e ser adequadamente financiado e dotado de pessoal. Os Estados-Membros devem providenciar direção estratégica e o controlo do Serviço IA através do conselho de administração do Serviço IA, juntamente com a Comissão, a AEPD, a FRA e a ENISA. Um diretor executivo deve ser responsável pela gestão das atividades do secretariado e pela representação do Serviço IA. As partes interessadas devem participar formalmente nos trabalhos do Serviço IA através de um fórum consultivo que deve assegurar uma representação variada e equilibrada das partes interessadas e aconselhar o Serviço IA em questões relacionadas com o presente regulamento. Caso a  criação do Serviço IA se revele insuficiente para assegurar uma aplicação plenamente coerente do presente regulamento a nível da União, bem como de medidas transfronteiriças eficientes de execução, deve ser ponderada a criação de uma agência para a IA .

(77)

Os Estados-Membros desempenham um papel fundamental na aplicação e execução do presente regulamento. Nesse sentido, cada Estado-Membro deve designar uma ou várias autoridades nacionais competentes para efeitos de supervisão da aplicação e execução do presente regulamento . A fim de aumentar a eficácia organizativa dos Estados-Membros e de criar um ponto de contacto oficial para o público e outras contrapartes a nível dos Estados-Membros e da União, cada Estado-Membro deve designar uma autoridade nacional como autoridade nacional de controlo .

(77)

Cada Estado-Membro deve designar uma autoridade nacional de controlo para efeitos de supervisão da aplicação e execução do presente regulamento. Deve igualmente representar o seu Estado-Membro no conselho de administração do Serviço IA . A fim de aumentar a eficácia organizativa dos Estados-Membros e de criar um ponto de contacto oficial para o público e outras contrapartes a nível dos Estados-Membros e da União. Cada autoridade nacional de controlo deve atuar com total independência no desempenho das suas funções e no exercício dos poderes que lhe são atribuídos nos termos do presente regulamento .

(77-A)

As autoridades nacionais de controlo devem acompanhar a aplicação das disposições do presente regulamento e contribuir para a sua aplicação coerente em toda a União. Para tal, as autoridades nacionais de controlo devem cooperar entre si, com as autoridades nacionais competentes relevantes, com a Comissão e com o Serviço IA.

(77-B)

Os membros e o pessoal de cada autoridade nacional de controlo devem, nos termos do direito da União ou do direito nacional, ficar sujeitos à obrigação de sigilo profissional, tanto durante o mandato como após o seu termo, no que diz respeito às informações confidenciais a que tenham tido acesso no desempenho das suas funções ou exercício dos seus poderes. Durante o seu mandato, essa obrigação de sigilo profissional aplica-se, em especial, a segredos comerciais e à prestação de informações por pessoas singulares de violações do presente regulamento.

(78)

Para assegurar que os fornecedores de sistemas de IA de risco elevado possam aproveitar a experiência adquirida na utilização de sistemas de IA de risco elevado para melhorarem os seus sistemas e o processo de conceção e desenvolvimento ou possam adotar possíveis medidas corretivas em tempo útil, todos os fornecedores devem dispor de um sistema de acompanhamento pós-comercialização. Este sistema também é fundamental para assegurar uma resolução mais eficaz e atempada dos eventuais riscos decorrentes dos sistemas de IA que continuam a «aprender» depois de terem sido colocados no mercado ou em serviço. Neste contexto, os fornecedores devem ainda ser obrigados a introduzir um sistema para comunicar às autoridades competentes quaisquer incidentes graves ou violações do direito nacional e da União que protege os direitos fundamentais resultantes da utilização dos sistemas de IA que fornecem.

(78)

Para assegurar que os fornecedores de sistemas de IA de risco elevado possam aproveitar a experiência adquirida na utilização de sistemas de IA de risco elevado para melhorarem os seus sistemas e o processo de conceção e desenvolvimento ou possam adotar possíveis medidas corretivas em tempo útil, todos os fornecedores devem dispor de um sistema de acompanhamento pós-comercialização. Este sistema também é fundamental para assegurar uma resolução mais eficaz e atempada dos eventuais riscos decorrentes dos sistemas de IA que continuam a «aprender» ou a evoluir depois de terem sido colocados no mercado ou em serviço. Neste contexto, os fornecedores devem ainda ser obrigados a introduzir um sistema para comunicar às autoridades competentes quaisquer incidentes graves ou violações do direito nacional e da União , nomeadamente às que protegem os direitos fundamentais e os direitos dos consumidores, resultantes da utilização dos sistemas de IA que fornecem e adotar as medidas corretivas adequadas . Os responsáveis pela implantação também devem comunicar às autoridades competentes todos os incidentes graves ou violações do direito nacional ou da União resultantes da utilização dos seus sistemas de IA, assim que passem a ter conhecimento desses incidentes graves ou violações.

(79)

Para assegurar uma execução adequada e eficaz dos requisitos e das obrigações estabelecidas no presente regulamento, que faz parte da legislação de harmonização da União, o sistema de fiscalização do mercado e de conformidade dos produtos estabelecido no Regulamento (UE) 2019/1020 deve ser aplicado na íntegra. Quando tal for necessário ao cumprimento do seu mandato, as autoridades públicas ou os organismos nacionais que supervisionam a aplicação do direito da União que protege direitos fundamentais, incluindo os organismos de promoção da igualdade, também devem ter acesso à documentação elaborada por força do presente regulamento.

(79)

Para assegurar uma execução adequada e eficaz dos requisitos e das obrigações estabelecidas no presente regulamento, que faz parte da legislação de harmonização da União, o sistema de fiscalização do mercado e de conformidade dos produtos estabelecido no Regulamento (UE) 2019/1020 deve ser aplicado na íntegra. Para efeitos do presente regulamento, as autoridades nacionais de controlo devem atuar como autoridades de fiscalização do mercado para os sistemas de IA abrangidos pelo presente regulamento, com exceção dos sistemas de IA abrangidos pelo anexo II do presente regulamento. Para os sistemas de IA abrangidos pelos atos jurídicos enumerados no anexo II, as autoridades competentes ao abrigo desses atos jurídicos devem continuar a ser a autoridade principal. As autoridades nacionais de controlo e as autoridades nacionais competentes dos atos jurídicos enumerados no anexo II devem trabalhar em conjunto sempre que necessário. Se for caso disso, as autoridades competentes constantes dos atos jurídicos enumerados no anexo II devem enviar pessoal competente à autoridade nacional de controlo para a ajudar a desempenhar as suas funções. Para efeitos do presente regulamento, as autoridades nacionais de controlo devem ter os mesmos poderes e obrigações que as autoridades de fiscalização do mercado ao abrigo do Regulamento (UE) 2019/1020. Quando tal for necessário ao cumprimento do seu mandato, as autoridades públicas ou os organismos nacionais que supervisionam a aplicação do direito da União que protege direitos fundamentais, incluindo os organismos de promoção da igualdade, também devem ter acesso à documentação elaborada por força do presente regulamento. Depois de esgotadas todas as outras formas razoáveis de avaliar/verificar a conformidade e mediante pedido fundamentado, a autoridade nacional de controlo deve ter acesso aos conjuntos de dados de treino, validação e teste, ao modelo treinado e de aprendizagem do sistema de IA de risco elevado, incluindo os seus parâmetros pertinentes, e ao seu ambiente de execução/funcionamento. No caso de sistemas de software mais simples abrangidos pelo presente regulamento que não se baseiem em modelos treinados e em que tenham sido esgotadas todas as outras formas de verificar a conformidade, a autoridade nacional de controlo pode, a título excecional, ter acesso ao código-fonte, mediante pedido fundamentado. Caso a autoridade nacional de controlo tenha obtido acesso aos conjuntos de dados de treino, validação e teste em conformidade com o presente regulamento, esse acesso deve ser efetuado através de ferramentas e meios técnicos adequados, incluindo o acesso no local e, em circunstâncias excecionais, o acesso remoto. A autoridade nacional de controlo deve tratar todas as informações obtidas, incluindo o código-fonte, o software e os dados, conforme aplicável, como informações confidenciais e respeitar a legislação da União aplicável em matéria de proteção da propriedade intelectual e de segredos comerciais. A autoridade nacional de controlo deve eliminar todas as informações obtidas após a conclusão da investigação.

(80)

A legislação da União em matéria de serviços financeiros inclui regras e requisitos relativos à governação interna e à gestão dos riscos aplicáveis às instituições financeiras regulamentadas durante a prestação desses serviços, incluindo quando estas utilizam sistemas de IA. Para assegurar a coerência na aplicação e na execução das obrigações previstas no presente regulamento e das regras e requisitos da legislação da União aplicáveis aos serviços financeiros, as autoridades responsáveis pela supervisão e execução da legislação no domínio dos serviços financeiros, incluindo, se for caso disso, o Banco Central Europeu, devem ser designadas autoridades competentes para efeitos de supervisão da aplicação do presente regulamento, incluindo o exercício de funções de fiscalização do mercado, no que diz respeito aos sistemas de IA fornecidos ou utilizados por instituições financeiras regulamentadas e supervisionadas. A fim de reforçar a coerência entre o presente regulamento e as regras aplicáveis às instituições de crédito regulamentadas pela Diretiva 2013/36/UE do Parlamento Europeu e do Conselho (56), também é apropriado integrar o procedimento de avaliação da conformidade e algumas das obrigações processuais dos fornecedores relativas à gestão de riscos, ao acompanhamento pós-comercialização e à documentação nas obrigações e procedimentos em vigor por força da mesma diretiva. No intuito de evitar sobreposições, também devem ser previstas derrogações limitadas no respeitante ao sistema de gestão da qualidade dos fornecedores e à obrigação de controlo imposta aos utilizadores de sistemas de IA de risco elevado, contanto que tal se aplique a instituições de crédito regulamentadas pela Diretiva 2013/36/UE.

(80)

O direito da União em matéria de serviços financeiros inclui regras e requisitos relativos à governação interna e à gestão dos riscos aplicáveis às instituições financeiras regulamentadas durante a prestação desses serviços, incluindo quando estas utilizam sistemas de IA. Para assegurar a coerência na aplicação e na execução das obrigações previstas no presente regulamento e das regras e requisitos do direito da União aplicável aos serviços financeiros, as autoridades responsáveis pela supervisão e execução da legislação no domínio dos serviços financeiros, incluindo, se for caso disso, o Banco Central Europeu, devem ser designadas autoridades competentes para efeitos de supervisão da aplicação do presente regulamento, incluindo o exercício de funções de fiscalização do mercado, no que diz respeito aos sistemas de IA fornecidos ou utilizados por instituições financeiras regulamentadas e supervisionadas. A fim de reforçar a coerência entre o presente regulamento e as regras aplicáveis às instituições de crédito regulamentadas pela Diretiva 2013/36/UE do Parlamento Europeu e do Conselho (56), também é apropriado integrar o procedimento de avaliação da conformidade e algumas das obrigações processuais dos fornecedores relativas à gestão de riscos, ao acompanhamento pós-comercialização e à documentação nas obrigações e procedimentos em vigor por força da mesma diretiva. No intuito de evitar sobreposições, também devem ser previstas derrogações limitadas no respeitante ao sistema de gestão da qualidade dos fornecedores e à obrigação de controlo imposta aos responsáveis pela implantação de sistemas de IA de risco elevado, contanto que tal se aplique a instituições de crédito regulamentadas pela Diretiva 2013/36/UE.

(80-A)

Atendendo aos objetivos do presente regulamento, nomeadamente de assegurar um nível equivalente de proteção da saúde, da segurança e dos direitos fundamentais das pessoas singulares, a proteção do Estado de direito e da democracia, e tendo em conta que a atenuação dos riscos que os sistemas de IA representam para esses direitos pode não ser suficientemente alcançada a nível nacional ou estar sujeita a interpretações divergentes, que, em última análise, podem conduzir a um nível desigual de proteção das pessoas singulares e provocar a fragmentação do mercado, as autoridades nacionais de controlo devem estar habilitadas a realizar investigações conjuntas ou a recorrer aos processo de salvaguarda da União previsto no presente regulamento para a execução efetiva. As investigações conjuntas devem ser iniciadas quando uma autoridades nacional de controlo tiver motivos suficientes para crer que uma violação ao presente regulamento constitui uma violação generalizada ou uma violação generalizada ao nível da União, ou se o sistema de IA ou o modelo de base representar um risco que afete ou seja suscetível de afetar, pelo menos, 45 milhões de pessoas em mais do que um Estado-Membro.

(82)

Não obstante, é importante que os sistemas de IA relacionados com produtos que não são de risco elevado, nos termos do presente regulamento, e que, como tal, não são obrigados a cumprir os requisitos do mesmo , sejam seguros quando são colocados no mercado ou em serviço. A fim de contribuir para alcançar esse objetivo, a Diretiva 2001/95/CE do Parlamento Europeu e do Conselho (57) será aplicada como uma rede de segurança.

(82)

Não obstante, é importante que os sistemas de IA relacionados com produtos que não são de risco elevado, nos termos do presente regulamento, e que, como tal, não são obrigados a cumprir os requisitos aplicáveis a sistemas de IA de risco elevado , sejam seguros quando são colocados no mercado ou em serviço. A fim de contribuir para alcançar esse objetivo, a Diretiva 2001/95/CE do Parlamento Europeu e do Conselho (57) será aplicada como uma rede de segurança.

(83)

Para assegurar uma cooperação de confiança e construtiva entre as autoridades competentes a nível da União e nacional, todas as partes envolvidas na aplicação do presente regulamento devem respeitar a confidencialidade das informações e dos dados obtidos no exercício das suas funções.

(83)

Para assegurar uma cooperação de confiança e construtiva entre as autoridades competentes a nível da União e nacional, todas as partes envolvidas na aplicação do presente regulamento devem visar a transparência e a abertura, respeitando simultaneamente a confidencialidade das informações e dos dados obtidos no exercício das suas funções , adotando medidas técnicas e organizativas para proteger a segurança e a confidencialidade das informações obtidas no exercício das suas atividades, nomeadamente em matéria de direitos de propriedade intelectual e de interesses de segurança pública e nacional. Nos casos em que as atividades da Comissão, das autoridades nacionais competentes e dos organismos notificados nos termos do presente regulamento resultem numa violação de direitos de propriedade intelectual, os Estados-Membros devem prever medidas e vias de recurso adequadas para garantir o respeito dos direitos de propriedade intelectual em aplicação da Diretiva 2004/48/CE.

(84)

Os Estados-Membros devem tomar todas as medidas necessárias para assegurar a aplicação das disposições do presente regulamento, inclusive estabelecendo sanções efetivas, proporcionadas e dissuasivas aplicáveis à sua violação. No caso de determinadas violações específicas, os Estados-Membros devem ter em conta as margens e  os critérios estabelecidos no presente regulamento . A Autoridade Europeia para a Proteção de Dados deve ter competências para impor coimas às instituições, órgãos e organismos da União que se enquadram no âmbito do presente regulamento.

(84)

O cumprimento do presente regulamento deve poder ser assegurado mediante a aplicação de coimas pela autoridade nacional de controlo no âmbito dos processos iniciados em conformidade com o procedimento previsto no presente regulamento. Os Estados-Membros devem tomar todas as medidas necessárias para assegurar a aplicação das disposições do presente regulamento, inclusive estabelecendo sanções efetivas, proporcionadas e dissuasivas aplicáveis à sua violação. A fim de reforçar e harmonizar as sanções administrativas em caso de violação do presente regulamento, devem ser estabelecidos os limites máximos para a fixação de coimas para determinadas violações específicas . Ao avaliar o montante das coimas , as autoridades nacionais competentes devem , em cada caso individual, ter em conta todas as circunstâncias relevantes da situação específica, prestando especial atenção à natureza, à gravidade e  à duração da violação e às suas consequências, bem como à dimensão do prestador, em particular se o prestador for uma PME ou uma empresa em fase de arranque . A Autoridade Europeia para a Proteção de Dados deve ter competências para impor coimas às instituições, órgãos e organismos da União que se enquadram no âmbito do presente regulamento. As sanções e os custos de contencioso ao abrigo do presente regulamento não devem estar sujeitos a cláusulas contratuais ou quaisquer outras disposições.

(84-A)

Uma vez que os direitos e liberdades das pessoas singulares e coletivas e dos grupos de pessoas singulares podem ser gravemente prejudicados pelos sistemas de IA, é essencial que as pessoas singulares e coletivas e os grupos de pessoas singulares tenham um acesso significativo aos mecanismos de prestação de informações e de recurso e tenham direito a vias de recurso proporcionadas e eficazes. Devem poder comunicar violações ao presente regulamento à sua autoridade nacional de controlo, bem como ter o direito de apresentar uma queixa contra os prestadores ou responsáveis pela implantação dos sistemas de IA. Se aplicável, os responsáveis pela implantação devem prever mecanismos internos de apresentação de queixas a utilizar por pessoas singulares e coletivas e grupos de pessoas singulares. Sem prejuízo de qualquer outra via de recurso administrativa ou extrajudicial, as pessoas singulares e coletivas e os grupos de pessoas singulares devem igualmente ter direito a um recurso judicial efetivo relativamente a uma decisão juridicamente vinculativa de uma autoridade nacional de controlo que lhes diga respeito ou, caso a autoridade nacional de controlo não trate uma queixa, não informe o reclamante do andamento ou do resultado preliminar da queixa apresentada ou não cumpra a sua obrigação de tomar uma decisão final, à queixa.

(84-B)

As pessoas afetadas devem ser sempre informadas de que estão a ser alvo da utilização de um sistema de IA de risco elevado, quando os responsáveis pela implantação utilizam um sistema de IA de risco elevado para ajudar na tomada de decisões ou tomar decisões relacionadas com pessoas singulares. Essa informação pode constituir uma base para as pessoas afetadas exercerem o seu direito a uma explicação ao abrigo do presente regulamento. Quando os responsáveis pela implantação fornecem uma explicação às pessoas afetadas ao abrigo do presente regulamento, devem ter em conta o nível de conhecimentos especializados e genéricos de uma pessoa ou consumidor médios.

(84-C)

A legislação da União relativa à proteção dos denunciantes (Diretiva (UE) 2019/1937) aplica-se inteiramente a académicos, técnicos de conceção, criadores, colaboradores de projetos, auditores, gestores de produtos, engenheiros e operadores económicos que obtenham informações sobre violações do direito da União por parte de um fornecedor de sistema de IA ou do seu sistema de IA.

(85)

Para assegurar que é possível adaptar o quadro regulamentar quando necessário, o poder de adotar atos nos termos do artigo 290.o do TFUE deve ser delegado na Comissão no que diz respeito à alteração das técnicas e abordagens que definem sistemas de IA mencionadas no anexo I, da legislação de harmonização da União enumerada no anexo II, da lista de sistemas de IA de risco elevado constante do anexo III, das disposições relativas à documentação técnica que constam do anexo IV, do conteúdo da declaração de conformidade UE estabelecido no anexo V, das disposições relativas aos procedimentos de avaliação da conformidade que constam dos anexos VI e VII e das disposições que definem os sistemas de IA de risco elevado aos quais se deve aplicar o procedimento de avaliação da conformidade com base na avaliação do sistema de gestão da qualidade e na avaliação da documentação técnica. É particularmente importante que a Comissão proceda às consultas adequadas durante os trabalhos preparatórios, inclusive ao nível de peritos, e que essas consultas sejam conduzidas de acordo com os princípios estabelecidos no Acordo Interinstitucional, de 13 de abril de 2016, sobre legislar melhor (58). Em particular, a fim de assegurar a igualdade de participação na preparação dos atos delegados, o Parlamento Europeu e o Conselho recebem todos os documentos ao mesmo tempo que os peritos dos Estados-Membros e os respetivos peritos têm sistematicamente acesso às reuniões dos grupos de peritos da Comissão que tratem da preparação dos atos delegados.

(85)

Para assegurar que é possível adaptar o quadro regulamentar quando necessário, o poder de adotar atos nos termos do artigo 290.o do TFUE deverá ser delegado na Comissão no que diz respeito à alteração da legislação de harmonização da União enumerada no anexo II, da lista de sistemas de IA de risco elevado constante do anexo III, das disposições relativas à documentação técnica que constam do anexo IV, do conteúdo da declaração de conformidade UE estabelecido no anexo V, das disposições relativas aos procedimentos de avaliação da conformidade que constam dos anexos VI e VII e das disposições que definem os sistemas de IA de risco elevado aos quais se deve aplicar o procedimento de avaliação da conformidade com base na avaliação do sistema de gestão da qualidade e na avaliação da documentação técnica. É particularmente importante que a Comissão proceda às consultas adequadas durante os trabalhos preparatórios, inclusive ao nível de peritos, e que essas consultas sejam conduzidas de acordo com os princípios estabelecidos no Acordo Interinstitucional, de 13 de abril de 2016, sobre legislar melhor (58) . Essas consultas devem incluir a participação de uma seleção equilibrada de partes interessadas, incluindo organizações de consumidores, a sociedade civil, associações que representem pessoas afetadas, representantes de empresas de diferentes setores e dimensões, investigadores e cientistas . Em particular, a fim de assegurar a igualdade de participação na preparação dos atos delegados, o Parlamento Europeu e o Conselho recebem todos os documentos ao mesmo tempo que os peritos dos Estados-Membros e os respetivos peritos têm sistematicamente acesso às reuniões dos grupos de peritos da Comissão que tratem da preparação dos atos delegados.

(85-A)

Tendo em conta a rápida evolução tecnológica e os conhecimentos técnicos especializados necessários para realizar a avaliação de sistemas de IA de risco elevado, a Comissão deve rever regularmente a aplicação do presente regulamento, em especial no que diz respeito aos sistemas de IA proibidos, às obrigações de transparência e à lista de domínios de risco elevado e de casos de utilização, pelo menos anualmente, consultando o Serviço IA e as partes interessadas relevantes.

(87-A)

Uma vez que as informações fiáveis sobre a utilização de recursos e de energia, a produção de resíduos e outros impactos ambientais dos sistemas de IA e das respetivas TIC, incluindo software, hardware e, em particular, centros de dados, são limitadas, a Comissão deve introduzir uma metodologia adequada para medir o impacto ambiental e a eficácia do presente regulamento face aos objetivos ambientais e climáticos da União.

(89)

A Autoridade Europeia para a Proteção de Dados e o Comité Europeu para a Proteção de Dados foram consultados nos termos do artigo 42.o, n.o 2, do Regulamento (UE) 2018/1725, e emitiram parecer em […],

(89)

A Autoridade Europeia para a Proteção de Dados e o Comité Europeu para a Proteção de Dados foram consultados nos termos do artigo 42.o, n.o 2, do Regulamento (UE) 2018/1725, e emitiram parecer em 18 de junho de 2021.

1.

d)

Regras de transparência harmonizadas para sistemas de IA concebidos para interagir com pessoas singulares, sistemas de reconhecimento de emoções e sistemas de categorização biométrica, bem como para sistemas de IA usados para gerar ou manipular conteúdos de imagem, áudio ou vídeo;

d)

Regras de transparência harmonizadas para determinados sistemas de IA;

e)

Regras relativas à fiscalização e vigilância do mercado.

e)

Regras relativas à fiscalização do mercado, à vigilância do mercado , à governação e à execução;

e-A)

Medidas de apoio à inovação, com destaque especial para as PME e as empresas em fase de arranque, incluindo a criação de ambientes de testagem da regulamentação e de medidas específicas destinadas a reduzir a carga regulamentar para as PME e as empresas em fase de arranque;

e-B)

Regras para a criação e funcionamento do Serviço da União para a Inteligência Artificial (Serviço IA).

b)

Utilizadores de sistemas de IA localizados na União;

b)

Responsáveis pela implantação de sistemas de IA que tenham o seu local de estabelecimento ou que estejam localizados na União;

c)

Fornecedores e  utilizadores de sistemas de IA localizados num país terceiro, se o resultado produzido pelo sistema for utilizado na União.

c)

Fornecedores e  responsáveis pela implantação de sistemas de IA que tenham o seu local de estabelecimento ou estejam localizados num país terceiro, caso a legislação dos Estados-Membros seja aplicável por força de direito internacional público ou se o resultado produzido pelo sistema se destine a ser utilizado na União;

c-A)

Fornecedores que coloquem no mercado ou coloquem em serviço os sistemas de IA, a que se refere o artigo 5.o, fora do território da União, se o fornecedor ou distribuidor desses sistemas estiver localizado na União;

c-B)

Importadores e distribuidores de sistemas de IA, bem como representantes autorizados de fornecedores de sistemas de IA, caso esses importadores, distribuidores ou representantes autorizados tenham o seu estabelecimento ou estejam localizados na União;

c-C)

Pessoas afetadas, na aceção do artigo 3.o, n.o 8-A, que estejam localizadas na União e cuja saúde, segurança ou direitos fundamentais sejam afetados negativamente pela utilização de um sistema de IA colocado no mercado ou colocado em serviço na União.

a)

Regulamento (CE) n.o 300/2008;

b)

Regulamento (UE) n.o 167/2013;

c)

Regulamento (UE) n.o 168/2013;

d)

Diretiva 2014/90/UE;

e)

Diretiva (UE) 2016/797;

f)

Regulamento (UE) 2018/858;

g)

Regulamento (UE) 2018/1139;

h)