Durante muitos anos, quando queríamos chegar a um destino distante e desconhecido, confiávamos em mapas físicos de papel. Eram ferramentas úteis, mas exigiam atenção, interpretação e uma “boa dose” de paciência. Com o tempo, passámos para o GPS, e hoje, com um simples clique, temos rotas e percursos otimizados, alertas de trânsito e alternativas em tempo real. Assim como a passagem dos mapas em papel para o GPS transformou a nossa forma de orientação, o EU AI Act e a ISO/IEC 42001 representam um sistema de “navegação inteligente” para a implementação e gestão da Inteligência Artificial nas organizações.
Contudo, como qualquer estrada nova, este regulamento suscita entusiasmo, mas também incertezas.
O primeiro passo para dissipar essas dúvidas passa por reconhecer que o AI Act é uma oportunidade de posicionamento competitivo e não uma mera exigência legal. A conformidade com este regulamento pode fortalecer a reputação da organização, facilitar o acesso a novos mercados e aumentar a confiança dos clientes/utilizadores. Por outro lado, a utilização descontrolada de IA pode acarretar diversas responsabilidades legais (civil, penal, contraordenacional, disciplinar) e, certamente, danos reputacionais significativos.
Para avançar nesta viagem é necessário identificar se, e de que forma, a organização desenvolve, integra ou utiliza sistemas de IA. Esta identificação deve considerar aplicações internas e externas, fornecedores envolvidos e o tipo de decisões automatizadas que os sistemas suportam. Para além desta identificação, também a classificação de risco não é apenas uma formalidade, já que permite categorizar os sistemas segundo a hierarquia de risco definida no AI Act – risco inaceitável, elevado, limitado ou mínimo.
Mapeado o caminho através da identificação de sistemas de IA, o próximo passo é preparar as pessoas envolvidas. A conformidade começa nas pessoas, e, por isso, promover ações de sensibilização sobre os princípios do AI Act, os riscos éticos e os requisitos de supervisão humana são essenciais. Afinal de contas, o AI Act atribui especial ênfase à supervisão humana, o que significa que a presença de pessoas capazes de intervir, validar ou anular decisões automatizadas é essencial.
Outro pilar deste novo caminho é implementar uma estrutura de governance clara, com a identificação de quem decide, quem valida, quem aprova, quem e como se reage em casos de falhas. A ISO/IEC 42001:2023 ajuda a responder a estas perguntas ao propor um sistema de gestão orientado à IA, que funciona como um painel de controlo: permite monitorizar, ajustar e melhorar continuamente o desempenho dos sistemas de IA, tal como um GPS que redefine o percurso quando deteta trânsito ou obstáculos. Deve, ainda, ser definida uma equipa responsável pela gestão do sistema de IA, com papéis bem definidos, incluindo supervisão ética, proteção de dados, segurança da informação e avaliação de impacto, por exemplo, através da nomeação de um Comité de IA ou de um ponto focal.
Este sistema de gestão é particularmente útil para garantir que o ciclo de vida da IA seja devidamente controlado. A ISO/IEC 42001:2023 não fornece apenas um modelo estruturado para a gestão da IA, como também promove uma abordagem integrada à gestão do risco e da segurança, estabelecendo conexões diretas com outras normas de referência (como a ISO/IEC 27001 e a ISO/IEC 31000).
Na senda do AI Act, a documentação assume uma componente importante. Pode parecer burocrático, mas, tal como num acidente de viação, são os registos que permite reconstruir os factos, apurar responsabilidades e evitar a repetição de erros. O AI Act impõe um conjunto de obrigações documentais, sobretudo para sistemas de risco elevado. Entre elas destacam-se medidas sólidas de governance, avaliação de conformidade, avaliação de impacto, documentação técnica detalhada e mecanismos de monitorização contínua.
Posto isto, a pergunta que se impõe é: depois de seguir todos estes passos, estarão as organizações realmente prontas? Estará o caminho bem traçado, como uma reta, sem obstáculos? A resposta, muito provavelmente, é não. O percurso para a conformidade pode (e deve) começar de forma progressiva, por exemplo, com projetos-piloto centrados em áreas críticas, como recursos humanos ou atendimento ao cliente. Estas iniciativas permitem testar a abordagem e a metodologia, avaliar a maturidade interna e ganhar experiência prática antes de uma implementação mais ampla.
O regulamento consagra também princípios fundamentais como explainability, a transparência, a robustez técnica e a responsabilização, com uma abordagem centrada no utilizador. Também visa garantir a interoperabilidade com outras legislações europeias, alinhando-se com os valores da União Europeia e complementando outros instrumentos normativos como o RGPD. Em particular, os sistemas de IA devem ser concebidos de acordo com os princípios de minimização e proporcionalidade no tratamento de dados.
Por todo o exposto, concluímos que a IA não é um destino, mas sim um percurso exigente. E, neste itinerário, a conformidade não representa um fim em si mesma, mas antes uma bússola ética e operacional, orientada e fortalecida pelo AI Act e pela ISO/IEC 42001:2023. Cabe, assim, a cada organização decidir se vai confiar apenas na intuição e circular livremente sem mapa, ou se pretende investir num sistema de navegação fiável – ético, transparente e seguro.
