ISO 42001
ISO 42001 ISO 42001 vs EU AI Act

ISO 42001 vs EU AI Act: diferenças e como os dois se relacionam

O EU AI Act (Regulamento de Inteligência Artificial da União Europeia) entrou em vigor em agosto de 2024 e tem aplicação extraterritorial — vale para qualquer empresa que coloque sistemas de IA no mercado europeu ou cujos outputs sejam usados na UE. A ISO 42001 é uma norma de gestão. As duas se complementam de forma que a ISO 42001 se torna o principal instrumento técnico de conformidade para o EU AI Act.

ISO 42001 vs EU AI Act: comparação entre norma técnica e regulação obrigatória

A diferença fundamental

EU AI Act
  • — Regulamento legal (obrigatório na UE)
  • — Define O QUE não pode ser feito e O QUE deve ser feito
  • — Baseado em uso e risco do sistema
  • — Penalidades de até €35 milhões ou 7% do faturamento global
  • — Vigência gradual 2024-2027
ISO 42001
  • — Norma técnica voluntária
  • — Define COMO implementar o sistema de gestão
  • — Aplicável a qualquer organização com IA
  • — Sem sanção legal, mas é evidência de conformidade
  • — Vigente desde dezembro de 2023

Comparação detalhada

DimensãoEU AI ActISO 42001
NaturezaRegulamento legal vinculanteNorma técnica voluntária
JurisdiçãoUE + extraterritorial (mercado europeu)Global, qualquer organização
FocoProteção de direitos fundamentaisSistema de gestão responsável de IA
Abordagem de risco4 categorias: inaceitável, alto, limitado, mínimoAvaliação de risco por sistema (contexto específico)
Proibições absolutasSim — 8 práticas proibidas (biometria em tempo real em espaços públicos, manipulação subliminar, etc.)Não — define casos de uso proibidos internamente na organização
CertificaçãoAvaliação de conformidade obrigatória para alto risco (pode incluir organismo notificado)Certificação voluntária por organismo acreditado
DocumentaçãoExige documentação técnica específica por sistemaExige documentação do sistema de gestão (políticas, processos, registros)
Supervisão humanaObrigatória para alto riscoControle A.6.2 — exige supervisão para sistemas de risco elevado
RegistroBase de dados EU obrigatória para sistemas de alto riscoInventário interno de sistemas de IA (Controle A.2.4)
Impacto ambientalMencionado marginalmenteControles A.12.2 e A.12.3 — obrigatório avaliar
Aplicação ao BrasilObrigatório se a empresa exporta para a UE ou tem clientes europeusAplicável independentemente da jurisdição

Categorias de risco: EU AI Act × ISO 42001

A abordagem de categorização de risco é diferente entre os dois frameworks, mas mapeável.

Risco inaceitável (EU AI Act)
Proibido

Manipulação subliminar, exploração de vulnerabilidades de subgrupos, scoring social geral, reconhecimento facial biométrico em tempo real em espaços públicos (com exceções). A ISO 42001 não cobre este nível — práticas proibidas não entram no SGAI.

Alto risco (EU AI Act)

Biometria, infraestrutura crítica, educação, emprego, serviços essenciais, aplicação da lei, justiça. Exige avaliação de conformidade, documentação técnica, registro, supervisão humana, robustez, transparência. A ISO 42001 cobre todos esses requisitos através das Cláusulas 6-8 e Anexo A.

Risco limitado (EU AI Act)

Chatbots, IA que gera conteúdo sintético, sistemas de emoção. Obrigação principal de transparência — o usuário deve saber que interage com IA. ISO 42001 Controle A.8.2 cobre o disclosure ao usuário.

Risco mínimo (EU AI Act)

Filtros de spam, automação de processos, jogos com IA. Sem obrigações específicas do EU AI Act. ISO 42001 ainda é útil para gestão interna.

Aplicação extraterritorial do EU AI Act

O EU AI Act se aplica se:

  • A organização coloca sistemas de IA no mercado da UE (vende ou disponibiliza para usuários europeus)
  • A organização coloca em serviço sistemas de IA na UE
  • Os outputs de IA da organização são usados na UE (mesmo sem presença física)
  • A organização importa ou distribui sistemas de IA na UE
Implicação para empresas brasileiras

Uma empresa brasileira que usa IA para processar dados de clientes europeus, que fornece serviços SaaS para empresas da UE, ou que vende produtos com IA embutida para a Europa pode estar sujeita ao EU AI Act. Se você tem clientes ou parceiros europeus, a análise é necessária.

ISO 42001 como evidência de conformidade EU AI Act

O EU AI Act menciona explicitamente normas harmonizadas como forma de demonstrar conformidade. Embora a ISO 42001 não seja formalmente uma norma harmonizada europeia (isso requer publicação no Jornal Oficial da UE), ela é amplamente reconhecida como o padrão técnico de referência para sistemas de gestão de IA.

Na prática:

  • Organizações com ISO 42001 têm a infraestrutura de documentação e processos que o EU AI Act exige para sistemas de alto risco
  • A certificação ISO 42001 pode ser usada como evidência no processo de avaliação de conformidade do EU AI Act
  • A norma europeia EN ISO/IEC 42001 (versão europeia) já está em processo de reconhecimento como norma harmonizada — quando concluído, a certificação passa a criar presunção de conformidade

Modelos de IA de uso geral (GPAI)

Uma das categorias mais relevantes do EU AI Act são os modelos de IA de uso geral (GPAI) — como GPT-4, Claude, Gemini e outros LLMs de grande escala. Empresas que desenvolvem ou disponibilizam esses modelos na UE têm obrigações específicas:

  • Documentação técnica do modelo
  • Conformidade com direitos autorais (informar dados usados no treino)
  • Resumo do conteúdo de treino publicado
  • Para modelos com risco sistêmico (acima de 10²⁵ FLOPs de treino): avaliações adicionais de modelo, incidentes graves reportados à Comissão Europeia, medidas de cibersegurança

A ISO 42001 cobre os controles de documentação e dados de treino (Controles A.4 e A.5) que os desenvolvedores de GPAI precisam.

Cronograma de vigência do EU AI Act

Ago/2024 EU AI Act entra em vigor (publicação no Jornal Oficial)
Fev/2025 Práticas proibidas: aplicação imediata das proibições absolutas (Capítulo II)
Ago/2025 Modelos GPAI: obrigações para modelos de IA de uso geral em vigor
Ago/2026 Alto risco: todas as obrigações para sistemas de alto risco entram em vigor

Estratégia: implementar os dois ao mesmo tempo

Para organizações que precisam de conformidade tanto com o EU AI Act quanto com o PL 2338 (e eventualmente outros marcos regulatórios globais), a ISO 42001 é o denominador comum que cobre a maior parte dos requisitos técnicos de todos eles.

A estratégia recomendada:

  • Base: implementar ISO 42001 como sistema de gestão — cobre ~80% dos requisitos técnicos de qualquer marco regulatório de IA
  • EU AI Act layer: adicionar os elementos específicos da regulação europeia (registro na base de dados EU, avaliação de conformidade por organismo notificado para alto risco)
  • PL 2338 layer: adicionar os elementos específicos brasileiros quando o Marco Legal estiver regulamentado
  • LGPD layer: integrar RIPD ao AIIA existente na ISO 42001

Uma única infraestrutura de governança de IA servindo múltiplos frameworks regulatórios — sem duplicar esforços.