ISO 42001
ISO 42001 Glossário

Glossário ISO 42001

Termos e definições usados na norma ISO/IEC 42001 e no ecossistema de governança de IA. Definições baseadas na norma, com contexto prático para implementação.

Glossário ISO 42001: AIMS, AI Owner, drift, SoA e termos essenciais em português
ABCDEFGHILMOPRSTV

A

AIIAAI Impact Assessment / Avaliação de Impacto de IA
Processo formal para identificar, avaliar e mitigar os impactos potenciais de um sistema de IA sobre pessoas, grupos, sociedade e meio ambiente antes de sua implantação. Exigido pela Cláusula 6.1.2 da ISO 42001. Mais amplo que o RIPD da LGPD — cobre impactos não relacionados a dados pessoais, como viés sistêmico e dano físico.
→ Ver: Cláusula 6, ISO 42001 e LGPD
AlucinaçãoHallucination
Fenômeno em modelos de linguagem (LLMs) onde o modelo gera informações plausíveis mas factualmente incorretas ou inventadas, apresentando-as com confiança. Representa risco operacional em aplicações que dependem de informação factual precisa.
Anonimização
Processo técnico de remover ou transformar dados pessoais de forma que o titular não possa ser identificado por nenhum meio razoável. Dados genuinamente anonimizados saem do escopo da LGPD. Diferente de pseudonimização. Em IA, requer avaliação do risco de re-identificação via o próprio modelo treinado.
Ataque adversarialAdversarial attack
Técnica de manipulação de inputs para enganar um modelo de IA — por exemplo, alterações imperceptíveis para humanos em imagens que fazem um sistema de visão computacional classificar incorretamente. Coberto pelos Controles A.10.2 e A.10.3 da ISO 42001.
Auditoria interna do SGAI
Auditoria conduzida pela própria organização (ou terceiro contratado para esse fim) para verificar se o Sistema de Gestão de IA está em conformidade com a ISO 42001 e sendo mantido eficazmente. Exigida pela Cláusula 9.2. Distinta da auditoria de certificação (feita por organismo externo acreditado).
→ Ver: Guia de Auditoria Interna

B

Backtesting
Técnica de validação de modelos preditivos usando dados históricos conhecidos — avaliar como o modelo teria se saído em situações passadas cujos resultados já são conhecidos. Amplamente exigido pelo BACEN para modelos quantitativos e de IA no setor financeiro.
Bias / ViésBias
Tendência sistemática de um modelo de IA a produzir resultados injustos para determinados grupos ou situações. Pode originar de dados de treino não representativos, proxy discrimination (uso de variáveis correlacionadas com características protegidas) ou do processo de treino em si. Avaliado pelos Controles A.11 da ISO 42001.

C

Certificação ISO 42001
Reconhecimento formal, emitido por organismo de certificação acreditado, de que o Sistema de Gestão de IA de uma organização está em conformidade com a norma ISO/IEC 42001. Válida por 3 anos, com auditorias anuais de manutenção. Voluntária, mas estratégica para conformidade regulatória.
→ Ver: Como se Certificar
Ciclo de vida de IAAI lifecycle
As fases pelas quais um sistema de IA passa: (1) Concepção / definição do problema, (2) Coleta e preparação de dados, (3) Desenvolvimento e treino do modelo, (4) Validação e teste, (5) Implantação em produção, (6) Monitoramento e manutenção, (7) Descomissionamento. A ISO 42001 (especialmente Cláusula 8) cobre todas as fases.
Conformidade de IAAI compliance
Estado de alinhamento de sistemas e práticas de IA com requisitos legais (LGPD, PL 2338, EU AI Act), normativos (ISO 42001) e éticos aplicáveis. Não é um estado estático — requer monitoramento contínuo à medida que a regulação e os sistemas evoluem.

D

Data poisoningEnvenenamento de dados
Ataque que introduz dados maliciosos no conjunto de treino para manipular o comportamento do modelo — fazendo-o aprender padrões indesejados ou criar backdoors. Risco de segurança coberto pelos Controles A.10.2 e A.4.6 da ISO 42001.
Declaração de Aplicabilidade (SoA)Statement of Applicability
Documento que lista todos os 39 controles do Anexo A da ISO 42001, indicando quais são aplicáveis, quais foram excluídos e a justificativa para cada exclusão. Documento obrigatório para certificação (Cláusula 6.1.3). Deve refletir a realidade da implementação, não apenas intenções.
→ Ver: 39 Controles do Anexo A
Drift de dadosData drift
Mudança na distribuição estatística dos dados de entrada (features) ao longo do tempo, em relação à distribuição dos dados de treino. Pode degradar silenciosamente o desempenho do modelo sem que haja erro aparente. Monitorado pelo Controle A.6.3.
Drift de conceitoConcept drift
Mudança na relação entre os dados de entrada e o que o modelo tenta prever — o "conceito" que o modelo aprendeu se torna desatualizado. Mais insidioso que o drift de dados porque pode não ser detectado apenas monitorando distribuições de features.

E

Enviesamento de confirmaçãoConfirmation bias
Em IA, tendência de sistemas de recomendação de amplificar crenças existentes do usuário ao mostrar apenas conteúdo que confirma suas visões. Risco relevante em plataformas de informação e redes sociais.
ExplicabilidadeExplainability
Capacidade de um sistema de IA de apresentar suas decisões de forma compreensível para humanos — tanto em nível técnico (para auditores) quanto em nível acessível (para usuários afetados). Exigida pela LGPD Art. 20 e pelo Controle A.9.3 da ISO 42001. Distinta de interpretabilidade.

F

FairnessImparcialidade / Equidade
Propriedade de um sistema de IA de tratar diferentes grupos (definidos por raça, gênero, etnia, faixa etária, etc.) de forma equitativa — sem criar vantagens ou desvantagens injustificadas. Avaliado pelos Controles A.11.2 a A.11.4 da ISO 42001. Importante: existem múltiplas definições matemáticas de fairness que podem ser mutuamente exclusivas.
Falso negativoFalse negative
Caso em que o modelo prediz a ausência de algo que de fato existe (ex: sistema de crédito rejeita um bom pagador; sistema de detecção de fraude não detecta uma fraude real). Em aplicações de alto risco, falsos negativos podem ser mais graves que falsos positivos.
Fine-tuning
Processo de adaptação de um modelo pré-treinado (geralmente de grande escala) para uma tarefa específica usando um conjunto menor de dados. O modelo herda o comportamento e potenciais vieses do modelo base, além de aprender com os dados de fine-tuning.

G

Governança de IAAI governance
Conjunto de políticas, processos, papéis e responsabilidades que garantem que o desenvolvimento e uso de IA em uma organização seja responsável, ético e alinhado com objetivos de negócio e requisitos regulatórios. A ISO 42001 é o principal framework de governança de IA.
GPAIGeneral Purpose AI / IA de uso geral
Modelos de IA que podem executar uma ampla gama de tarefas distintas sem serem projetados especificamente para cada uma — como LLMs (GPT-4, Claude, Gemini). Regulados especificamente pelo EU AI Act com obrigações de transparência e, para os maiores modelos, avaliações de risco sistêmico.

H

HLSHigh Level Structure / Estrutura de Alto Nível
Estrutura comum compartilhada por normas ISO de sistemas de gestão (ISO 9001, ISO 27001, ISO 42001) — com as mesmas cláusulas 4-10. Permite integrar múltiplas normas em um único sistema de gestão, reduzindo duplicação de esforços.

I

Incidente de IAAI incident
Ocorrência onde um sistema de IA produziu saída prejudicial, operou fora dos parâmetros esperados, ou foi usado de forma não prevista com impacto negativo. Deve ser registrado e investigado conforme o Controle A.3.5. Inclui desde falhas de desempenho até danos causados a pessoas.
InferênciaInference
Processo de usar um modelo de IA treinado para fazer predições ou gerar saídas a partir de novos dados de entrada (dados não vistos durante o treino). O modelo "em produção" está executando inferência.
InterpretabilidadeInterpretability
Grau em que um humano pode compreender o mecanismo interno de como um modelo chegou a uma decisão. Modelos mais simples (regressão linear, árvores de decisão) são mais interpretáveis. Redes neurais profundas são menos interpretáveis ("caixa preta"). Distinta de explicabilidade, que pode ser post-hoc.
Inventário de IAAI inventory
Registro documentado de todos os sistemas de IA em uso na organização — finalidade, responsável, dados utilizados, nível de risco e status de conformidade. Exigido pelo Controle A.2.4 e é o ponto de partida de qualquer programa de governança de IA.

L

Linhagem de dadosData lineage
Rastreabilidade da origem e transformação dos dados ao longo de seu ciclo de vida — de onde vieram, como foram processados e para onde foram. Essencial para atender direitos LGPD (acesso, eliminação) e para auditoria de modelos de IA. Exigido pelo Controle A.4.4.
LLMLarge Language Model / Modelo de Linguagem de Grande Escala
Tipo de modelo de IA treinado em enormes quantidades de texto, capaz de compreender e gerar linguagem natural. Exemplos: GPT-4 (OpenAI), Claude (Anthropic), Gemini (Google). Quando embarcados em produtos ou usados internamente, sujeitam a organização às obrigações da ISO 42001.

M

Machine learning (ML)Aprendizado de máquina
Subconjunto de IA onde sistemas aprendem padrões a partir de dados sem serem explicitamente programados para cada tarefa. Inclui aprendizado supervisionado, não supervisionado e por reforço. A maioria dos sistemas de IA em uso corporativo hoje são baseados em ML.
Model cardFicha técnica do modelo
Documento que descreve um modelo de IA — arquitetura, dados de treino, métricas de desempenho, limitações conhecidas, casos de uso recomendados e não recomendados. Exigido pelo Controle A.5.4 da ISO 42001 e pela documentação técnica do EU AI Act.
Model extractionExtração de modelo
Ataque onde um adversário faz muitas consultas a um modelo de IA para reconstruir seus parâmetros ou criar um modelo substituto, roubando propriedade intelectual. Controlado por rate limiting e monitoramento de padrões de consulta (Controle A.10.3).

O

Operador de dados (LGPD)
Pessoa ou empresa que trata dados pessoais em nome do controlador — por exemplo, um provedor de API de IA que processa dados do usuário. A organização que usa APIs de IA externas que processam dados pessoais deve tratar o fornecedor como operador, com contrato adequado.

P

PDCAPlan-Do-Check-Act
Ciclo de melhoria contínua que estrutura a ISO 42001: Planejar (Cláusulas 4-6), Executar (Cláusulas 7-8), Verificar (Cláusula 9), Agir (Cláusula 10). O mesmo ciclo está na ISO 27001, ISO 9001 e todas as normas de sistema de gestão HLS.
Política de IAAI policy
Declaração formal aprovada pela alta direção definindo como a organização usará IA de forma responsável — incluindo princípios, valores e restrições. Deve ser específica para IA (não apenas uma extensão da política de TI) e comunicada a todos os funcionários relevantes. Exigida pela Cláusula 5.2.
Prompt injection
Ataque onde entradas maliciosas são inseridas no prompt de um LLM para modificar seu comportamento, ignorar instruções do sistema, extrair dados confidenciais ou contornar controles de segurança. Risco de segurança específico de IA generativa.

R

RIPDRelatório de Impacto à Proteção de Dados Pessoais (LGPD)
Documento exigido pela LGPD (Art. 38) para tratamentos de alto risco — inclui IA que toma decisões automatizadas sobre pessoas. Avalia riscos à privacidade dos titulares. Pode ser integrado à AIIA da ISO 42001 em um documento unificado.
→ Ver: ISO 42001 e LGPD
RobustezRobustness
Capacidade de um sistema de IA de manter desempenho aceitável frente a inputs ruidosos, corrompidos, fora da distribuição normal ou ataques adversariais. Avaliado pelos Controles A.10.4 (testes de robustez) da ISO 42001.

S

SGAISistema de Gestão de IA / AI Management System (AIMS)
O conjunto de políticas, processos, responsabilidades, recursos e documentação que uma organização implementa para desenvolver e usar IA de forma responsável. A ISO 42001 define os requisitos para o SGAI.
Shadow AIIA sombra
Sistemas ou integrações de IA criados e usados dentro de uma organização sem o conhecimento ou aprovação formal dos times de TI, segurança ou governança. Representam risco significativo de incidentes LGPD e de segurança. Devem ser identificados e formalizados no inventário de IA.
SoAStatement of Applicability / Declaração de Aplicabilidade
Ver: Declaração de Aplicabilidade.
Supervisão humanaHuman oversight
Mecanismo que garante que um humano possa monitorar, corrigir e, se necessário, sobrepor a decisão de um sistema de IA. Exigida pelo EU AI Act para sistemas de alto risco e pelo Controle A.6.2 da ISO 42001. Crítica também como proteção legal — não elimina responsabilidade, mas demonstra diligência.

T

TransparênciaTransparency
Princípio que exige que organizações sejam abertas sobre o uso de IA — informando usuários quando interagem com IA (Controle A.8.2), documentando como os sistemas funcionam e tornando os critérios de decisão acessíveis quando solicitados.
Treino (do modelo)Training
Processo pelo qual um modelo de IA aprende padrões a partir de um conjunto de dados — ajustando seus parâmetros internos para minimizar erros nas predições. A qualidade, representatividade e licenciamento dos dados de treino é fundamental para a governança responsável de IA.

V

Validação de modeloModel validation
Avaliação do desempenho de um modelo em dados não vistos durante o treino (conjunto de validação ou teste) para verificar se o modelo generalizará bem em produção. Deve incluir validação por subgrupos para detectar viés. Exigida pelo Controle A.5.3.
Viés de automaçãoAutomation bias
Tendência humana de confiar excessivamente em sistemas automatizados — mesmo quando há evidências de erro. Em IA de suporte a decisão, operadores podem deixar de questionar saídas do modelo mesmo quando seu julgamento humano apontaria problema. Risco comportamental que deve ser endereçado no treinamento de usuários (Controle A.3.6).