O avanço acelerado da Inteligência Artificial (IA) está transformando profundamente todos os setores da sociedade, desde a medicina à justiça, da segurança à educação. No entanto, esse progresso vem acompanhado de riscos significativos que não podem ser ignorados. Viés algorítmico, falta de transparência, impactos sobre os direitos humanos, proteção e privacidade de dados e segurança são apenas alguns dos exemplos de desafios emergentes.
Dada a relevância que tem tomado o assunto da IA, é fundamental também levarmos a sério os riscos que essa nova tecnologia traz. E nada melhor do que seguir frameworks reconhecidos, como as normas ISO, para auxiliar no levantamento e na gestão dos riscos relacionados à IA.
Diante desse cenário, organizações públicas e privadas são convocadas a adotar uma abordagem estruturada para identificar, avaliar e mitigar riscos relacionados à IA. É exatamente com esse propósito que foi publicada a ABNT NBR ISO/IEC 23894:2023, norma internacional que fornece orientações específicas para a gestão de riscos em sistemas que utilizam inteligência artificial. Publicada pela Associação Brasileira de Normas Técnicas (ABNT) como adoção idêntica à norma internacional ISO/IEC 23894:2023, essa diretriz complementa a norma ABNT NBR ISO 31000:2018 (gestão de riscos), fornecendo orientações específicas para IA.
A norma tem como finalidade auxiliar organizações que desenvolvem, implantam ou utilizam produtos, sistemas ou serviços baseados em IA ajudando-as a:
• Identificar e tratar os riscos específicos da IA;
• Integrar a gestão de riscos aos processos organizacionais;
• Considerar aspectos éticos, legais e sociais envolvidos nas soluções de IA.
A seguir, apresento uma breve explicação sobre três partes fundamentais da Norma, para nortear o entendimento dos leitores:
1. Princípios da Gestão de Riscos (Seção 4) – Reforça que a gestão de riscos em IA deve considerar, por exemplo:
• Transparência e explicabilidade dos modelos;
• Inclusão das partes interessadas no processo;
• Dinamismo e evolução contínua dos riscos;
• Fatores culturais e humanos.
2. Estrutura de Governança (Seção 5) – Orienta sobre como integrar a gestão de riscos à governança organizacional, desde o comprometimento da alta direção até a definição de papéis, alocação de recursos e comunicação com stakeholders.
3. Processo de Gestão de Riscos (Seção 6) – Adapta as etapas da ISO 31000 ao contexto da IA, detalhando atividades como:
• Identificação de riscos (incluindo riscos de viés, falhas técnicas, segurança cibernética, privacidade);
• Análise de riscos em função dos impactos esperados (organizacional, social, ambiental, legal);
• Seleção e implementação de tratamentos apropriados;
• Monitoramento contínuo do ciclo de vida do sistema de IA.
Além dessas seções, a ISO/IEC 23894:2023 apresenta alguns anexos, tão relevantes quanto, quais sejam:
• Anexo A: Define objetivos relevantes à IA, como justiça, privacidade, segurança, explicabilidade e robustez.
• Anexo B: Lista fontes de riscos comuns, como falta de transparência, vieses algorítmicos, complexidade do ambiente e problemas no aprendizado de máquina.
• Anexo C: Relaciona os processos de gestão de riscos com as fases do ciclo de vida de sistemas de IA.
Concluindo, devemos ter consciência de que o uso de IA sem uma estrutura de gestão de riscos adequada pode trazer consequências graves, desde falhas operacionais até violações de direitos fundamentais. A fim de evitar tais consequências, a norma ISO/IEC 23894 surge como um guia indispensável para desenvolver e utilizar a IA de forma ética, transparente, segura e alinhada aos objetivos da organização e da sociedade.
Sendo assim, implementar uma abordagem baseada nessa norma é mais do que uma medida de conformidade e responsabilidade, mas também um passo estratégico rumo à inovação responsável e sustentável, buscando blindar a imagem das organizações que optam por utilizar esse tipo de tecnologia.
