O que é a ISO 42001: a norma de gestão de inteligência artificial, explicada
Publicada em 2023, a ISO/IEC 42001 é a primeira norma internacional certificável para gestão de inteligência artificial. Enquanto o Brasil discute seu marco legal de IA e a Europa já aplica o AI Act, ela virou a credencial de governança mais procurada do momento — e o Brasil está entre os mercados onde a demanda por especialistas mais cresce.
O que a norma define
A ISO 42001 estabelece os requisitos de um SGSIA (Sistema de Gestão de Inteligência Artificial; em inglês, AIMS): a estrutura organizacional para desenvolver, adquirir e usar sistemas de IA de forma responsável. A arquitetura é a mesma das cláusulas 4–10 da ISO 9001 ou da ISO 27001 — contexto, liderança, planejamento, apoio, operação, avaliação e melhoria — aplicada ao ciclo de vida da IA. Quem conhece qualquer norma de sistema de gestão já domina boa parte do mapa.
As três peças que a tornam diferente
- Avaliação de riscos de IA: além de segurança, entram viés e discriminação algorítmica, opacidade, deriva do modelo, uso indevido e dano a pessoas e grupos.
- AIIA (avaliação de impacto de IA): a análise do impacto de cada sistema sobre indivíduos e sociedade — a peça que conversa diretamente com a LGPD e com o que o marco legal brasileiro desenha.
- Os 38 controles do Anexo A: política de IA, papéis e responsabilidades, inventário de sistemas, qualidade de dados, supervisão humana, transparência, gestão de fornecedores de IA. Selecionados via análise de riscos e documentados em uma Declaração de Aplicabilidade, como na 27001.
Por que isso importa no Brasil, agora
Três razões convergem:
- O PL 2338/2023, o marco legal da IA, avança no Congresso com abordagem baseada em risco — a mesma lógica da ISO 42001. Quem implanta a norma hoje constrói antecipadamente o que a lei vai cobrar.
- A ANPD já atua sobre IA quando há dados pessoais (e quase sempre há): a LGPD se aplica a treinamento, inferência e decisões automatizadas, incluindo o direito à revisão de decisões automatizadas.
- As cadeias globais: empresas brasileiras que fornecem para a Europa e os EUA já recebem questionários de governança de IA. O certificado responde de uma vez o que dezenas de formulários perguntam.
Quem já se certificou (e o que isso sinaliza)
AWS certificou serviços centrais da sua plataforma de IA, a Microsoft transformou seu programa de IA responsável no caso mais documentado do mercado, e a KPMG foi o primeiro Big 4 certificado. O padrão é conhecido de quem viveu a onda da ISO 27001: primeiro os gigantes, depois as cadeias de fornecedores inteiras. A janela para se posicionar como especialista é agora, enquanto a oferta de profissionais é escassa.
Para quem é a formação em ISO 42001
Profissionais de compliance e risco, consultores de sistemas de gestão que querem a próxima especialização, DPOs, e perfis de dados e IA que precisam da camada de governança. Não é preciso programar: a norma trabalha com riscos, controles e documentação — não com código.
Forme-se para implantar você mesmo: no curso ISO/IEC 42001 — Sistema de Gestão de IA 18 módulos criados para o mercado brasileiro, do zero ao nível Lead Auditor, com casos da AWS, Microsoft e KPMG.