Com o crescimento acelerado da adoção de IA – cerca de 82% das empresas já utilizam ou estão explorando soluções baseadas nessa tecnologia, conforme o Relatório Global de Adoção de IA – torna-se essencial que as organizações implementem estruturas regulatórias e práticas de governança responsáveis para garantir que a IA seja usada de forma ética, transparente e segura. Com isso, a ISO/IEC 42001:2023 (ISO 42001) é a primeira norma internacional certificável focada na governança de sistemas de gestão de inteligência artificial (IA), estabelecendo diretrizes para a implementação, monitoramento e aprimoramento contínuo desses sistemas dentro das organizações.
A ISO 42001 oferece um modelo robusto para a criação de um sistema de gestão de IA (Artificial Intelligence Management System – AIMS), estruturado por meio de políticas, controles e procedimentos que permitem a governança adequada de todos os aspectos relacionados à implementação e operação de IA nas empresas. Essa governança é fundamental para garantir que as soluções de IA atendam aos mais elevados padrões de segurança, ética e transparência, contribuindo para a construção de confiança entre as organizações e as partes interessadas, como clientes, investidores, funcionários e reguladores.
A norma é baseada no ciclo PDCA (Planejar-Fazer-Verificar-
Aplicação e escopo da ISO 42001
Adotar a ISO 42001 traz diversos benefícios para as organizações, tanto em termos de governança quanto em mitigação de riscos. Um dos principais deles é a garantia de que as práticas de IA estejam em conformidade com padrões globais, o que fortalece a credibilidade da organização e ajuda a minimizar os riscos associados à não conformidade com regulamentações, como a proteção de dados pessoais, segurança cibernética e riscos de propriedade intelectual.
Além disso, a norma orienta as empresas a implementar controles internos e políticas consistentes, que ajudam a padronizar os processos de IA e aumentam a confiança nas decisões tomadas com base nessa tecnologia. A transparência e a ética são também pilares da ISO 42001.
A ISO 42001 é aplicável a qualquer organização que utilize ou desenvolva sistemas de IA, independentemente do porte ou do setor. No entanto, ela é especialmente relevante para setores como HealthTech, FinTech, InsurTech, e outros que lidam diretamente com dados sensíveis e têm um impacto direto sobre os usuários finais. Nessas indústrias, a implementação de práticas responsáveis e a conformidade com padrões éticos são cruciais para garantir a proteção dos dados e a confiança dos consumidores.
A norma define requisitos claros para a governança de IA, abordando áreas como o desenvolvimento, uso, monitoramento e aprimoramento contínuo dos sistemas. O escopo da ISO 42001 inclui a criação de políticas de controle de segurança, a definição de processos para gestão de riscos, a implementação de medidas de equidade e a promoção da transparência nos algoritmos e modelos de IA utilizados. Dessa forma, ela permite que as organizações conduzam suas operações com confiança, sabendo que estão aderindo às melhores práticas globais e atendendo às demandas regulatórias emergentes.
Embora a adoção da ISO 42001 não seja obrigatória, ela se alinha perfeitamente com regulamentações e iniciativas globais que estão moldando o futuro da governança de IA. Por exemplo, o AI Act da União Europeia, aprovado em 2024, exige que as organizações criem estruturas de governança robustas para lidar com os riscos associados à IA, incluindo a transparência, segurança e a conformidade.
De forma semelhante, o Projeto de Lei 2.338/2023, em tramitação no Brasil, propõe a criação de uma regulamentação de IA que classifique os sistemas em diferentes níveis de risco e estabeleça requisitos claros de transparência e segurança. Sendo assim, a ISO 42001 se apresenta como uma solução estratégica para as empresas que desejam se antecipar a essas regulamentações, uma vez que os princípios da norma estão alinhados com os requisitos do AI Act e do Projeto de Lei 2338/2023.
Em suma, a integração da ISO 42001 com as regulamentações emergentes, como o AI Act e o Projeto de Lei 2338/2023, torna-se uma vantagem competitiva para as organizações que desejam não apenas se adaptar às novas exigências legais, mas também liderar no uso ético e inovador da inteligência artificial. Com a adoção da ISO 42001, as empresas não apenas atendem aos requisitos regulatórios, mas também reforçam sua posição no mercado, promovendo uma IA mais segura, transparente e confiável.
* Lucas Galvão é especialista em cibersegurança, governança corporativa e CEO da Open Cybersecurity. As opiniões expressas neste artigo não refletem necessariamente as visões de TELETIME.