Política de Gestão de Risco IA

Organização: [Nome da organização]

Documento: POL-RISCO-IA-001

Versão: [1.0]

Data: [DD/MM/AAAA]

Elaborado por	[Nome e cargo do autor]
Revisto por	[Nome e cargo do revisor]
Aprovado por	[Nome e cargo do aprovador]
Data de aprovação	[DD/MM/AAAA]
Próxima revisão	[DD/MM/AAAA]
Classificação	[Confidencial / Interno / Público]

1. Objetivo e Âmbito

1.1 Objetivo

A presente política estabelece o enquadramento, os princípios e os procedimentos para a gestão de riscos associados ao desenvolvimento, implementação e utilização de sistemas de inteligência artificial (IA) por parte de [Nome da organização].

Esta política visa assegurar a conformidade com o Regulamento (UE) 2024/1689 (AI Act), nomeadamente o Artigo 9.º relativo ao sistema de gestão de riscos, e com as melhores práticas internacionais de gestão de risco.

1.2 Âmbito de aplicação

Esta política aplica-se a:

Todos os sistemas de IA desenvolvidos, implementados ou utilizados por [Nome da organização]
Todos os colaboradores, contratados e parceiros envolvidos no ciclo de vida de sistemas de IA
Todas as unidades de negócio e departamentos que utilizam ou interagem com sistemas de IA

Nota: Nos termos do Art. 9.º do AI Act, o sistema de gestão de riscos deve consistir num processo iterativo contínuo, executado ao longo de todo o ciclo de vida de um sistema de IA de alto risco, devendo ser sujeito a revisões e atualizações regulares e sistemáticas.

2. Referências Normativas

Referência	Descrição
Regulamento (UE) 2024/1689	AI Act - Regulamento Europeu relativo à Inteligência Artificial, em particular o Art. 9.º (Sistema de gestão de riscos)
ISO/IEC 23894:2023	Tecnologias de informação - Inteligência Artificial - Orientações para a gestão de riscos
ISO 31000:2018	Gestão de riscos - Princípios e diretrizes
ISO/IEC 42001:2023	Tecnologias de informação - Inteligência Artificial - Sistema de gestão
RGPD (Regulamento (UE) 2016/679)	Regulamento Geral sobre a Proteção de Dados
[Outras referências aplicáveis]	[Descrição]

3. Definições-Chave

Termo	Definição
Sistema de IA	Sistema baseado em máquina, concebido para funcionar com diferentes níveis de autonomia, e que pode apresentar capacidade de adaptação após a implantação e que, para objetivos explícitos ou implícitos, infere, a partir dos dados de entrada que recebe, a forma de gerar saídas (Art. 3.º, n.º 1)
Risco	A combinação da probabilidade de ocorrência de um dano e a gravidade desse dano (conforme ISO 31000)
Sistema de alto risco	Sistema de IA classificado como sendo de alto risco nos termos do Art. 6.º e do Anexo III do AI Act
Fornecedor	Pessoa singular ou coletiva que desenvolve ou manda desenvolver um sistema de IA e o coloca no mercado (Art. 3.º, n.º 3)
Responsável pela implantação	Pessoa singular ou coletiva que utiliza um sistema de IA sob a sua autoridade (Art. 3.º, n.º 4)
Apetite ao risco	Nível e tipo de risco que a organização está disposta a aceitar na prossecução dos seus objetivos
Tolerância ao risco	Nível de variação aceitável em relação ao apetite ao risco da organização

4. Governança de Risco IA

4.1 Estrutura de governança

Identifique os papéis e responsabilidades dentro da organização para a gestão de risco de IA.

Papel	Responsável	Responsabilidades
Direção Executiva	[Nome]	Aprovação da política de risco IA; definição do apetite ao risco; alocação de recursos; supervisão estratégica
Responsável pela IA (AI Officer)	[Nome]	Coordenação da gestão de risco IA; reporte à direção; supervisão da implementação; ligação com a ANACOM
CISO (Chief Information Security Officer)	[Nome]	Riscos de cibersegurança dos sistemas de IA; integração com a gestão de segurança da informação; avaliação de vulnerabilidades
DPO (Encarregado de Proteção de Dados)	[Nome]	Riscos relativos à proteção de dados pessoais; avaliações de impacto sobre a proteção de dados (AIPD); conformidade com o RGPD
Comité de Risco IA	[Membros]	Revisão periódica dos riscos; validação das avaliações de risco; aprovação de planos de tratamento; monitorização de KPIs de risco
Proprietários de Sistemas de IA	[Conforme sistema]	Identificação de riscos específicos do sistema; implementação de medidas de mitigação; reporte de incidentes
Equipas de Desenvolvimento	[Conforme projeto]	Implementação técnica de medidas de mitigação; testes; documentação técnica

4.2 Comité de Risco IA

O Comité de Risco IA reúne-se com periodicidade [mensal / trimestral] e é composto por:

[Cargo/Nome] - Presidente do Comité
[Cargo/Nome] - Membro
[Cargo/Nome] - Membro
[Cargo/Nome] - Membro

5. Metodologia de Avaliação de Risco

Base legal (Art. 9.º, n.º 2): O sistema de gestão de riscos deve identificar e analisar os riscos conhecidos e razoavelmente previsíveis que o sistema de IA de alto risco pode representar para a saúde, a segurança ou os direitos fundamentais quando utilizado em conformidade com a sua finalidade prevista.

5.1 Identificação de riscos

Descreva como a organização identifica riscos associados a sistemas de IA.

A identificação de riscos é realizada através de:

Análise da finalidade prevista e das utilizações razoavelmente previsíveis
Análise das condições de utilização indevida razoavelmente previsível
Avaliação dos dados de treino, validação e teste
Análise de impacto nos direitos fundamentais
Consulta a partes interessadas relevantes
Revisão de incidentes históricos e lições aprendidas
Testes adversários e de robustez
Análise de cenários e modelos de ameaças

5.2 Análise de riscos

Cada risco identificado é analisado segundo dois eixos:

Probabilidade de ocorrência: classificada de 1 (Muito Baixa) a 5 (Muito Alta)
Gravidade do impacto: classificada de 1 (Insignificante) a 5 (Catastrófico)

Nível	Probabilidade	Descrição
1	Muito Baixa	Improvável; ocorrência excecionalmente rara
2	Baixa	Pouco provável; pode ocorrer em circunstâncias excecionais
3	Média	Possível; pode ocorrer em determinadas condições
4	Alta	Provável; espera-se que ocorra em algum momento
5	Muito Alta	Quase certa; espera-se que ocorra frequentemente

Nível	Impacto	Descrição
1	Insignificante	Sem impacto material na saúde, segurança ou direitos fundamentais
2	Menor	Impacto limitado; facilmente remediável
3	Moderado	Impacto significativo; requer intervenção para remediar
4	Grave	Impacto substancial na saúde, segurança ou direitos fundamentais
5	Catastrófico	Impacto irreversível ou de grande escala; danos graves

5.3 Avaliação de riscos - Matriz de Risco

A matriz de risco combina a probabilidade e o impacto para determinar o nível de risco global.

Matriz de Risco (Probabilidade x Impacto)		IMPACTO
Matriz de Risco (Probabilidade x Impacto)		1 - Insignificante	2 - Menor	3 - Moderado	4 - Grave	5 - Catastrófico
PROBABILIDADE	5 - Muito Alta	5 - Baixo	10 - Médio	15 - Alto	20 - Muito Alto	25 - Muito Alto
	4 - Alta	4 - Muito Baixo	8 - Baixo	12 - Médio	16 - Alto	20 - Muito Alto
	3 - Média	3 - Muito Baixo	6 - Baixo	9 - Médio	12 - Médio	15 - Alto
	2 - Baixa	2 - Muito Baixo	4 - Muito Baixo	6 - Baixo	8 - Baixo	10 - Médio
	1 - Muito Baixa	1 - Muito Baixo	2 - Muito Baixo	3 - Muito Baixo	4 - Baixo	5 - Baixo

Nível de Risco	Pontuação	Ação Requerida
Muito Baixo	1-4	Aceitar e monitorizar; revisão anual
Baixo	5-8	Monitorizar; medidas de mitigação recomendadas; revisão semestral
Médio	9-12	Medidas de mitigação obrigatórias; plano de tratamento; revisão trimestral
Alto	13-16	Medidas de mitigação urgentes; escalação ao Comité de Risco; revisão mensal
Muito Alto	17-25	Ação imediata; possível suspensão do sistema; escalação à direção executiva

5.4 Tratamento de riscos

As opções de tratamento de risco seguem a hierarquia preferencial:

Eliminação: Remover a fonte de risco ou a funcionalidade que o origina
Redução: Implementar medidas técnicas e organizativas para reduzir a probabilidade ou o impacto
Transferência: Transferir o risco para terceiros (ex.: seguros, subcontratação com cláusulas adequadas)
Aceitação: Aceitar o risco residual, desde que dentro do apetite ao risco definido e devidamente documentado

Art. 9.º, n.º 4: As medidas de gestão de riscos devem ter devidamente em conta os efeitos e a eventual interação decorrentes da aplicação combinada dos requisitos previstos no Capítulo III, Secção 2, a fim de minimizar os riscos de forma mais eficaz, alcançando simultaneamente um equilíbrio adequado na execução das medidas destinadas a cumprir esses requisitos.

6. Processo de Gestão de Risco

O processo de gestão de risco de IA segue um ciclo contínuo e iterativo, alinhado com o Art. 9.º do AI Act:

Etapa	Descrição	Responsável	Periodicidade
1. Identificar	Identificar e catalogar riscos conhecidos e razoavelmente previsíveis para a saúde, segurança e direitos fundamentais	[Papel]	Contínuo / a cada novo sistema
2. Analisar	Estimar a probabilidade e a gravidade de cada risco, tendo em conta a finalidade prevista e a utilização indevida razoavelmente previsível	[Papel]	A cada avaliação
3. Avaliar	Comparar o nível de risco com os critérios de aceitação; priorizar riscos; classificar na matriz de risco	[Papel]	A cada avaliação
4. Tratar	Selecionar e implementar medidas de tratamento adequadas; documentar as decisões e justificações	[Papel]	Após avaliação
5. Monitorizar	Acompanhar a eficácia das medidas implementadas; identificar novos riscos; atualizar avaliações	[Papel]	Contínuo

Ciclo de Gestão de Risco:

IDENTIFICAR → ANALISAR → AVALIAR → TRATAR → MONITORIZAR
↑ ↓
←←←←←←← REVER E ATUALIZAR ←←←←←←←

7. Monitorização e Revisão

7.1 Monitorização contínua

A organização implementa mecanismos de monitorização contínua que incluem:

Monitorização automatizada de métricas de desempenho dos sistemas de IA
Acompanhamento de indicadores de risco (KRIs - Key Risk Indicators)
Recolha e análise de feedback dos utilizadores
Análise de incidentes e quase-incidentes
Vigilância regulatória e acompanhamento de orientações da ANACOM

7.2 Revisões periódicas

Tipo de Revisão	Periodicidade	Responsável	Âmbito
Revisão operacional	[Mensal]	[Papel]	KRIs, incidentes, eficácia das medidas de mitigação
Revisão estratégica	[Trimestral]	Comité de Risco IA	Registo global de riscos, tendências, adequação da política
Auditoria interna	[Anual]	[Papel]	Conformidade com a política, eficácia do sistema de gestão de risco
Revisão extraordinária	Quando necessário	[Papel]	Após incidentes graves, alterações regulatórias ou alterações significativas nos sistemas

7.3 Testes de gestão de risco (Art. 9.º, n.º 6-8)

Nos termos do Art. 9.º, a organização assegura que:

São realizados testes dos sistemas de IA de alto risco para identificar as medidas de gestão de risco mais adequadas e específicas
Os testes são efetuados em qualquer momento do processo de desenvolvimento e, em qualquer caso, antes da colocação no mercado ou da entrada em serviço
Os procedimentos de teste são adequados à finalidade prevista do sistema de IA e não excedem o necessário
Os riscos residuais são avaliados e considerados aceitáveis

8. Registos e Documentação

A organização mantém os seguintes registos atualizados:

Documento	Descrição	Período de Retenção
Registo de riscos	Inventário completo de todos os riscos identificados, com classificação, proprietário e estado	10 anos após descontinuação do sistema
Avaliações de risco	Relatórios completos de cada avaliação de risco realizada	10 anos
Planos de tratamento	Documentação das medidas de mitigação selecionadas e implementadas	10 anos
Atas do Comité de Risco	Registo das decisões e deliberações do Comité	10 anos
Relatórios de incidentes	Documentação de todos os incidentes e quase-incidentes relacionados com IA	10 anos
Resultados de testes	Relatórios de testes realizados nos termos do Art. 9.º	10 anos

Art. 9.º, n.º 1: O sistema de gestão de riscos deve ser documentado e estar atualizado ao longo de todo o ciclo de vida do sistema de IA de alto risco.

9. Aprovação e Assinaturas

A presente política foi revista e aprovada pelas seguintes pessoas:

Aprovado por (Direção Executiva):

Nome: [Nome completo]

Cargo: [Cargo]

Assinatura

Data: [DD/MM/AAAA]

Responsável pela IA (AI Officer):

Nome: [Nome completo]

Cargo: [Cargo]

Assinatura

Data: [DD/MM/AAAA]

CISO:

Nome: [Nome completo]

Cargo: [Cargo]

Assinatura

Data: [DD/MM/AAAA]

DPO:

Nome: [Nome completo]

Cargo: [Cargo]

Assinatura

Data: [DD/MM/AAAA]