Novos padrões estão surgindo constantemente. Todos os anos, surgem algumas novas normas sobre uma infinidade de assuntos que precisam ser definidos e delimitados. No catálogo da Organização Internacional de Normas (ISO) existem mais de 25.000 normas internacionais publicadas. E era de se esperar que uma relacionada à inteligência artificial chegasse em breve, após a explosão de popularidade e adoção da tecnologia em 2023.
Foi exatamente durante esse ano que surgiu a norma que se refere especificamente ao gerenciamento de sistemas de inteligência artificial. É a ISO/IEC 42001:2023, desenvolvida para enfrentar o desafio da IA nos próximos anos. É uma forma de limitar os riscos e assegurar que os atores que implantam esse tipo de serviço o façam com garantias.
O objetivo dessa certificação é servir de referência para as empresas que desenvolvem ou implantam sistemas de IA, para que o façam adequadamente. A seguir, analisaremos o que é a ISO/IEC 42001:2023 e para que ela serve.
Por que a ISO/IEC 42001:2023 é importante?
Antes de entrar no assunto, a primeira coisa a saber é para que serve essa norma. O pesquisador líder do National Physical Laboratory do Reino Unido, Mark Leven, aponta para as incertezas que a IA levanta para explicar a importância da norma.
Atualmente, o aprendizado de máquina e o aprendizado profundo, os dois ramos mais avançados da IA, apresentam lacunas em termos de transparência e explicabilidade. A aprendizagem profunda em particular - devido à complexidade da tecnologia de rede neural envolvida - opera com um modelo de caixa preta. Os dados de entrada e saída são conhecidos, mas não os mecanismos que os geraram.
Nesse aspecto, eles diferem da programação tradicional, que tem um caráter previsível. Um sistema de IA pode mudar seu comportamento durante a execução de sua tarefa e produzir resultados diferentes dos esperados. Se acrescentarmos a isso o fato de que certos sistemas baseados em IA terão um alto grau de autonomia - por exemplo, um carro autônomo - são necessárias garantias de bom desempenho.
O que é a ISO/IEC 42001:2023?
A certificação visa garantir que qualquer sistema de IA - certificado - que seja introduzido no mercado funcione adequadamente. Isso é feito por meio do desenvolvimento de uma estrutura multifacetada: ética, segurança, transparência, design, desenvolvimento e implementação da tecnologia. As empresas devem atender a uma série de requisitos nessas áreas e, ao mesmo tempo, o padrão serve para orientar seus processos.
A ISO/IEC 42001:2023 também serve para garantir a incorporação de sistemas de IA nos processos de entidades comerciais, a fim de assegurar a conformidade com os regulamentos, bem como com determinados critérios éticos.
Para ser certificada, qualquer entidade deve desenvolver, implementar, manter e garantir a melhoria contínua de seus sistemas de IA. Organismos de certificação credenciados, previamente autorizados pelos órgãos competentes de cada país, realizarão a auditoria correspondente e emitirão o certificado.
O que a certificação implica?
Os requisitos da ISO/IEC 42001:2023 consistem em várias fases: planejamento, execução, verificação e otimização. De antemão, as entidades certificadas devem definir o escopo de seu sistema de AI, em que espaço ele será aplicado e até onde irá. Nesse ponto, é necessária uma declaração de implementação, que deve incluir as fórmulas de controle necessárias.
De acordo com a empresa de consultoria KPMG, na fase de implementação, a entidade certificada deve desenvolver seu sistema de AI e, ao mesmo tempo, manter altos padrões de ética, transparência e segurança. Ela também precisará monitorar o desempenho do sistema e otimizá-lo. Isso está ligado a um terceiro estágio: a implementação de melhorias e ações corretivas com base nas observações feitas.
Sete elementos essenciais da ISO/IEC 42001:2023
A norma é extensa e tenta cobrir em detalhes todos os aspectos necessários para obter garantias do funcionamento adequado de um sistema de IA. Mas podemos resumir os elementos essenciais em 7 pontos:
-Gerenciamento de riscos: as empresas ou entidades devem implementar processos para identificar, analisar, avaliar e monitorar os riscos durante todo o ciclo de vida do sistema de IA.
-<Avaliação do impacto da IA: outra consideração importante é definir um processo para avaliar as possíveis consequências para os usuários do sistema de IA. Há muitas maneiras pelas quais essa tecnologia pode ter um impacto, mas as entidades devem analisar, entre outros fatores, como ela pode afetar o contexto social em que é implantada.
-<Governança da informação: são necessárias políticas claras para gerenciar as informações que alimentam o sistema de IA. Os textos devem estar alinhados com os objetivos estratégicos das empresas e ser comunicados de forma eficaz. Além disso, as empresas precisam definir uma estrutura de governança que descreva as funções e responsabilidades.
-<Proteção e segurança de dados: o respeito às regras de privacidade é essencial no manuseio de dados. Mas as empresas também devem manter seus sistemas livres de possíveis ameaças.
-<Gerenciamento do ciclo de vida: as organizações ou empresas precisam controlar toda a jornada do sistema de IA, desde o planejamento até os testes e possíveis melhorias.
-Otimização do desempenho: esse requisito está vinculado ao anterior, mas o deixamos de lado devido à sua importância. As entidades terão que melhorar continuamente a eficácia de seu sistema de IA. É uma tarefa constante e interminável.
-<Gestão de fornecedores: a norma exige até mesmo que as entidades olhem além de seus próprios processos internos. Elas devem estender suas medidas de controle aos fornecedores envolvidos no desenvolvimento de seu sistema de IA.