1. Os prestadores de sistemas de IA de risco elevado devem criar um sistema de gestão da qualidade que assegure a conformidade com o presente regulamento. Esse sistema deve estar documentado de maneira sistemática e ordenada, sob a forma de políticas, procedimentos e instruções escritos, e incluir, no mínimo, os seguintes aspetos:
|
a) |
Uma estratégia para o cumprimento da regulamentação, incluindo a observância de procedimentos de avaliação da conformidade e de procedimentos de gestão de modificações do sistema de IA de risco elevado; |
|
b) |
Técnicas, procedimentos e ações sistemáticas a utilizar para a conceção, controlo da conceção e verificação da conceção do sistema de IA de risco elevado; |
|
c) |
Técnicas, procedimentos e ações sistemáticas a utilizar para o desenvolvimento, controlo da qualidade e garantia da qualidade do sistema de IA de risco elevado; |
|
d) |
Procedimentos de exame, teste e validação a realizar antes, durante e após o desenvolvimento do sistema de IA de risco elevado e a frequência com a qual têm de ser realizados; |
|
e) |
Especificações técnicas, incluindo normas, a aplicar e, se as normas harmonizadas em causa não forem aplicadas na íntegra, ou não abrangerem todos os requisitos pertinentes estabelecidos na secção 2, os meios a usar para assegurar que o sistema de IA de risco elevado cumpra esses requisitos; |
|
f) |
Sistemas e procedimentos de gestão de dados, incluindo aquisição de dados, recolha de dados, análise de dados, rotulagem de dados, armazenamento de dados, filtragem de dados, prospeção de dados, agregação de dados, conservação de dados e qualquer outra operação relativa aos dados que seja realizada antes e para efeitos da colocação no mercado ou colocação em serviço de sistemas de IA de risco elevado; |
|
g) |
O sistema de gestão de riscos a que se refere o artigo 9.o; |
|
h) |
O estabelecimento, aplicação e manutenção de um sistema de acompanhamento pós-comercialização, nos termos do artigo 72.o; |
|
i) |
Procedimentos de comunicação de um incidente grave em conformidade com o artigo 73.o; |
|
j) |
A gestão da comunicação com autoridades nacionais competentes, outras autoridades pertinentes, incluindo as que disponibilizam ou apoiam o acesso a dados, organismos notificados, outros operadores, clientes ou outras partes interessadas; |
|
k) |
Sistemas e procedimentos de manutenção de registos de toda a documentação e informação pertinente; |
|
l) |
Gestão de recursos, incluindo medidas relacionadas com a segurança do aprovisionamento; |
|
m) |
Um regime que defina as responsabilidades do pessoal com funções de gestão e do restante pessoal no atinente a todos os aspetos elencados no presente número. |
2. A aplicação dos aspetos referidos no n.o 1 deve ser proporcionada à dimensão da organização do prestador. Os prestadores devem, em qualquer caso, respeitar o grau de rigor e o nível de proteção necessários para garantir a conformidade dos seus sistemas de IA de risco elevado com o presente regulamento.
3. Os prestadores de sistemas de IA de risco elevado sujeitos a obrigações relativas aos sistemas de gestão da qualidade ou a uma função equivalente nos termos da legislação setorial aplicável da União podem incluir os aspetos enumerados no n.o 1 como parte dos sistemas de gestão da qualidade estabelecidos nos termos dessa legislação.
4. Para os prestadores que sejam instituições financeiras sujeitas a requisitos em matéria de governação, mecanismos ou processos internos nos termos do direito da União no domínio dos serviços financeiros, considera-se que a obrigação de criar um sistema de gestão da qualidade, com exceção do n.o 1, alíneas g), h) e i) do presente artigo, é satisfeita mediante o cumprimento das regras em matéria de governação, mecanismos ou processos internos nos termos do direito da União aplicável no domínio dos serviços financeiros. Para o efeito, devem ser tidas em conta as eventuais normas harmonizadas a que se refere o artigo 40.o.
