Comparação de Frameworks

AI Act vs. RGPD vs. ISO 42001 vs. NIST AI RMF vs. ALTAI vs. ISO 23894

Existem vários frameworks e regulamentos que se aplicam à inteligência artificial. Compreenda como se relacionam, complementam e sobrepõem para construir uma estratégia de conformidade integrada.

Tabela comparativa

Framework Âmbito Obrigatório? Abordagem ao risco Requisitos-chave Sobreposição com AI Act
AI Act
Reg. (UE) 2024/1689		 Sistemas de IA no mercado da UE Sim 4 níveis: proibido, alto, limitado, mínimo + GPAI Gestão de riscos, transparência, supervisão humana, documentação técnica, conformidade
RGPD
Reg. (UE) 2016/679		 Dados pessoais na UE Sim Baseada em risco; AIPD para alto risco Base legal, consentimento, direitos dos titulares, DPO, AIPD, notificação de violações Alta. Dados de treino, profiling, decisões automatizadas (Art. 22 RGPD), transparência
ISO 42001
AIMS		 Sistema de gestão de IA Voluntário Gestão de riscos integrada; ciclo PDCA Política de IA, avaliação de riscos, objetivos, competência, monitorização, melhoria contínua Muito alta. Pode servir como base para demonstrar conformidade com requisitos de gestão de qualidade (Art. 17)
NIST AI RMF
AI 100-1		 Gestão de riscos de IA (EUA) Voluntário 4 funções: Govern, Map, Measure, Manage Governança, mapeamento de contexto, medição de riscos, gestão e mitigação Média-alta. Complementar para gestão de riscos (Art. 9); útil para empresas com operações nos EUA
ALTAI
Assessment List		 Autoavaliação ética de IA (UE) Voluntário 7 requisitos éticos; checklist de autoavaliação Supervisão humana, robustez, privacidade, transparência, diversidade, bem-estar social, responsabilização Alta. O AI Act foi inspirado nestes princípios éticos; ALTAI é útil como ferramenta de autoavaliação complementar
ISO 23894
AI Risk Mgmt		 Gestão de riscos específica para IA Voluntário Extensão da ISO 31000 para riscos de IA Identificação, análise, avaliação e tratamento de riscos de IA; monitorização contínua Alta. Diretamente alinhada com os requisitos de gestão de riscos do Art. 9

Como se complementam

AI Act + RGPD

São ambos obrigatórios e complementares. O RGPD regula os dados pessoais utilizados nos sistemas de IA, enquanto o AI Act regula o sistema em si.

Pontos de interseção:

  • Dados de treino (governação de dados, Art. 10 AI Act)
  • Decisões automatizadas (Art. 22 RGPD + supervisão humana AI Act)
  • Transparência e informação ao titular
  • Avaliação de impacto (AIPD + FRIA)
  • DPO e responsável pela conformidade IA

AI Act + ISO 42001

A ISO 42001 fornece um sistema de gestão estruturado que pode facilitar a demonstração de conformidade com o AI Act.

Vantagens da integração:

  • Framework estruturado para o sistema de gestão de qualidade (Art. 17)
  • Processos documentados e auditáveis
  • Melhoria contínua alinhada com monitorização pós-comercialização
  • Pode servir como presunção de conformidade para certas obrigações

AI Act + NIST AI RMF

O NIST AI RMF é especialmente útil para empresas com operações transatlânticas, oferecendo uma abordagem de gestão de riscos reconhecida nos EUA.

Complementaridade:

  • Abordagem prática para gestão de riscos de IA
  • Funções Govern-Map-Measure-Manage alinhadas com Art. 9
  • Perfis de risco adaptáveis ao contexto organizacional
  • Ferramenta de mapeamento NIST-AI Act disponível

AI Act + ALTAI

O ALTAI oferece uma checklist de autoavaliação ética que complementa os requisitos legais do AI Act com considerações éticas mais amplas.

Utilização:

  • Autoavaliação para sistemas de risco mínimo (sem obrigações legais específicas)
  • Complemento ético aos requisitos técnicos do AI Act
  • Ferramenta de consciencialização e formação
  • Base para códigos de conduta voluntários (Art. 95)

AI Act + ISO 23894

A ISO 23894 fornece orientação detalhada para gestão de riscos de IA, diretamente alinhada com as exigências do Art. 9 do AI Act.

Benefícios:

  • Metodologia estruturada para o sistema de gestão de riscos
  • Baseada na ISO 31000 (amplamente conhecida)
  • Tratamento específico de riscos de IA (viés, robustez, explicabilidade)
  • Integração com sistemas de gestão de riscos existentes

Estratégia integrada

A abordagem mais eficaz é uma estratégia integrada que combine os frameworks obrigatórios com os voluntários:

Recomendação:

  1. Base obrigatória: AI Act + RGPD
  2. Sistema de gestão: ISO 42001
  3. Gestão de riscos: ISO 23894 ou NIST AI RMF
  4. Avaliação ética: ALTAI

Esta combinação cobre os requisitos legais, operacionais e éticos da governança de IA.

Ver artigos-chave do AI Act Regulamento completo