Perguntas Frequentes — ISO 42001
35 perguntas respondidas sobre a norma, implementação, certificação e contexto regulatório brasileiro.
A ISO/IEC 42001:2023 é a primeira norma internacional de sistema de gestão de inteligência artificial. Ela especifica os requisitos para que uma organização estabeleça, implemente, mantenha e melhore continuamente um Sistema de Gestão de IA (SGAI) — garantindo que o desenvolvimento e uso de IA seja responsável, ético e alinhado com seus objetivos e com as expectativas das partes interessadas. Publicada em dezembro de 2023 pela ISO em conjunto com a IEC.
Atualmente não — é voluntária. No entanto, o PL 2338 (Marco Legal da IA), aprovado pelo Senado em dezembro de 2024, prevê que normas como a ISO 42001 sejam usadas como marco de referência para avaliação de conformidade de sistemas de alto risco. Na prática, organizações com sistemas de IA em saúde, crédito, emprego ou infraestrutura crítica precisarão demonstrar conformidade — e a ISO 42001 é o instrumento mais direto para isso.
A ISO 27001 governa a segurança da informação — proteger dados contra acesso não autorizado, garantir integridade e disponibilidade. A ISO 42001 governa sistemas de IA — responsabilidade, fairness, explicabilidade e ciclo de vida de modelos. As duas se complementam: a 27001 cobre os dados; a 42001 cobre o que você faz com eles em IA. Uma empresa com ISO 27001 tem vantagem significativa ao implementar a 42001, pois as estruturas de gestão são compatíveis.
A ambos. A norma é explícita: aplica-se a organizações que "desenvolvem, fornecem ou usam" sistemas de IA. Se sua empresa usa uma API de IA de terceiro para tomar decisões sobre clientes — mesmo sem ter desenvolvido o modelo — vocês estão no escopo. Desenvolvedores têm obrigações adicionais de documentação técnica; usuários têm obrigações de avaliação de risco, monitoramento e governança do uso.
O Anexo A contém 39 controles específicos de IA organizados em 11 categorias — desde políticas de uso responsável e gestão de dados de treino até fairness, segurança adversarial e impacto ambiental. Diferente das Cláusulas 4–10 (obrigatórias), os controles do Anexo A são aplicáveis conforme o contexto e os riscos específicos da organização. A seleção e justificativa dos controles aplicáveis vai para a Declaração de Aplicabilidade (SoA).
Sempre pelo Gap Analysis — uma avaliação da distância entre sua situação atual e os requisitos da norma. Antes de implementar qualquer coisa, você precisa saber o que já existe (inventário de IA, políticas, processos) e o que falta. Nosso checklist gratuito é um ponto de partida. A partir do gap, você define um plano de implementação por prioridade de risco.
Depende da maturidade atual: com ISO 27001 ativa, 4 a 8 meses. Com governança de TI estruturada, 8 a 14 meses. Sem processos formalizados de IA, 18 a 24 meses. O tempo é dominado por três fatores: tamanho do inventário de IA (quantos sistemas precisam ser avaliados), capacidade interna para criar documentação, e disponibilidade dos times para implementar controles técnicos.
É o documento que lista todos os 39 controles do Anexo A e declara quais são aplicáveis à organização, quais foram excluídos e a justificativa para cada decisão. Uma exclusão bem justificada é tão válida quanto uma implementação — o auditor avalia a coerência do raciocínio, não apenas o número de controles implementados. A SoA é um dos documentos centrais da certificação.
Não. A norma aplica-se a quem usa IA, não apenas a quem desenvolve. Se sua empresa usa um chatbot de IA, um sistema de scoring de crédito de terceiro, ou qualquer API de IA que toma ou influencia decisões sobre pessoas — você precisa governar esse uso. O escopo pode ser implementado mesmo usando exclusivamente sistemas de IA de fornecedores externos.
SGAI é o Sistema de Gestão de IA — o conjunto de políticas, processos, responsabilidades, recursos e documentação que garante o uso responsável de IA na organização. É o equivalente ao SGSI da ISO 27001, mas focado em IA. A ISO 42001 define os requisitos mínimos para um SGAI eficaz.
Depende dos seus objetivos. A implementação sem certificação já traz benefícios práticos de governança. A certificação agrega: evidência verificável por terceiros (clientes, reguladores, auditores externos), diferencial em licitações públicas com IA, e preparação documentada para fiscalizações do PL 2338 e lgpd.com.br/artigos/como-anpd-calcula-multa/" style="color:#1a365d;text-decoration:underline;font-weight:500;">ANPD. Para empresas que vendem para clientes enterprise ou governo, a certificação tende a se tornar requisito em 2-3 anos.
Os principais organismos com presença no Brasil são Bureau Veritas, BSI Group, SGS, DNV, TÜV Rheinland e LRQA. Verifique no site do INMETRO se o organismo de sua escolha está acreditado especificamente para o escopo de ABNT NBR ISO/IEC 42001, pois a acreditação específica é recente.
3 anos. Durante esse período, auditorias de manutenção anuais verificam a continuidade e melhoria do SGAI. No final de 3 anos, uma recertificação completa é necessária. Mudanças significativas no escopo (novo sistema de IA de alto risco, incidente grave) devem ser comunicadas ao organismo certificador.
Sim, de forma significativa. A LGPD Art. 20 exige que decisões automatizadas sobre pessoas sejam explicáveis e revisáveis. A ISO 42001 (especialmente Controles A.8.4 e A.9.3) fornece exatamente o sistema de gestão que viabiliza cumprir esse artigo com evidências auditáveis. As duas normas também se alinham em avaliação de impacto (RIPD vs AIIA) e gestão de dados de treino.
Se você tem clientes ou usuários europeus, ou se seus serviços SaaS são usados na UE, sim. O EU AI Act tem aplicação extraterritorial — vale para qualquer empresa que coloque IA no mercado europeu ou cujos outputs sejam usados na UE. A ISO 42001 cobre ~80% dos requisitos técnicos do EU AI Act para sistemas de alto risco.
Se seus sistemas de IA se enquadram como "alto risco" (saúde, crédito, emprego, educação, infraestrutura crítica), haverá obrigações de avaliação de conformidade antes da implantação, documentação técnica obrigatória, supervisão humana e transparência. Penalidades de até R$ 50 milhões por infração para descumprimento. O Marco Legal ainda está em tramitação na Câmara, com previsão de regulamentação completa em 2026-2027.
Drift é a degradação gradual do desempenho de um modelo de IA ao longo do tempo — causada por mudanças nos dados (drift de dados) ou na relação entre inputs e outputs (drift de conceito). Um modelo de crédito treinado antes de uma crise econômica pode ter desempenho drasticamente diferente depois dela. O Controle A.6.3 da ISO 42001 exige monitoramento contínuo de drift com alertas configurados.
Model card é um documento que descreve um modelo de IA — arquitetura, dados de treino, métricas de desempenho por subgrupo, limitações conhecidas e casos de uso não recomendados. O Controle A.5.4 da ISO 42001 exige essa documentação técnica. Ela é também o que o auditor vai pedir primeiro quando examinar um sistema de IA específico.
Pelos Controles A.7 da ISO 42001 — gestão de fornecedores de IA. Inclui: due diligence antes de contratar (A.7.2), cláusulas contratuais específicas de governança (A.7.3), e monitoramento contínuo de mudanças nos modelos do fornecedor (A.7.4). Para APIs de IA que processam dados pessoais de seus clientes, o fornecedor deve ter contrato de operador LGPD além das obrigações de governança de IA.
Sim. Shadow AI — sistemas de IA usados internamente sem aprovação formal — são parte do escopo da norma. O inventário de IA (Controle A.2.4) deve identificá-los. Funcionários que criam integrações de IA não aprovadas usando dados de clientes podem estar gerando incidentes LGPD silenciosos. A política de IA (Cláusula 5.2) deve incluir regras claras sobre uso de IA pessoal e de terceiros em contexto profissional.
Não encontrou sua pergunta? O Gap Analysis interativo responde perguntas específicas do seu contexto.
Fazer Gap Analysis Gratuito →