Log in
Sign up
AI governance framework concentric rings diagram: OECD principles, NIST AI RMF, ISO 42001, EU AI Act

Sections

Estrutura de governança da IA: o guia completo

Cada organização que implementa IA enfrenta o mesmo problema: o panorama regulatório e normativo fragmentou-se em quatro estruturas sobrepostas, cada uma com um âmbito, peso jurídico e lógica operacional diferentes. Adotar apenas uma gera lacunas. Implementar as quatro sem uma estrutura clara duplica o trabalho.

Este guia mapeia as quatro principais estruturas de governança da IA, explica as suas relações e fornece um plano de sequenciamento prático para organizações que constroem um programa de conformidade multi-estrutura.

O que é uma estrutura de governança da IA?

Uma estrutura de governança da IA é um conjunto estruturado de políticas, processos, papéis e controlos que rege a forma como uma organização desenvolve, implementa e monitoriza os seus sistemas de IA. Responde a três perguntas: quem é responsável pelas decisões de IA, como são identificados e geridos os riscos, e que evidências demonstram que os controlos funcionam.

A distinção entre política e estrutura é fundamental. Uma política establece o que deve acontecer. Uma estrutura define como organizar tudo o que deve acontecer, quem detém cada componente e como os componentes se interligam. Sem estrutura, a conformidade torna-se uma lista de ações isoladas sem um responsável geral pelo programa.

Três pilares aparecem em todas as principais estruturas: responsabilidade, transparência e gestão de riscos.

O calendário regulatório já não é teórico

Em Portugal e em toda a União Europeia, o Regulamento IA (Regulamento (UE) 2024/1689) impõe prazos concretos. As proibições sobre práticas de risco inaceitável estão em vigor desde fevereiro de 2025. As obrigações para fornecedores de modelos de IA de uso geral aplicam-se desde agosto de 2025. Os requisitos completos para sistemas de IA de alto risco entrarão em vigor em agosto de 2026.

A CNPD (Comissão Nacional de Proteção de Dados) tem acompanhado de perto a implementação do Regulamento IA em articulação com o RGPD, publicando orientações sobre a interação entre conformidade em matéria de dados e obrigações de governança da IA. A adoção da norma ISO 42001 acelera-se: segundo um inquérito Sprinto de 2025, 76% das organizações preveem obter a certificação durante o ano.

As quatro estruturas que todo responsável de governança IA deve conhecer

NIST AI Risk Management Framework (AI RMF)

O NIST publicou o AI RMF 1.0 em janeiro de 2023. O enquadramento organiza-se em quatro funções:

  • GOVERN: estruturas de responsabilidade, políticas e mecanismos de supervisão
  • MAP: identificação de riscos antes do deployment
  • MEASURE: quantificação e teste de riscos de IA
  • MANAGE: tratamento e monitorização de riscos identificados

O NIST AI RMF é voluntário, flexível e adaptável a organizações de qualquer dimensão e setor.

ISO/IEC 42001:2023: a norma certificável para a gestão da IA

A ISO 42001 é a primeira norma internacional certificável por terceiros para a governança da IA. Segue a estrutura Annex SL da ISO 27001 e da ISO 9001, facilitando a integração com sistemas de gestão existentes.

As cláusulas 4 a 10 são auditáveis. O Anexo A define 38 controlos em nove domínios. A certificação tem duração trienal com auditorias de vigilância anuais. A ISO/IEC 42006:2025 define os requisitos de competência para auditores.

O Regulamento IA europeu: a primeira regulamentação vinculativa do mundo

O Regulamento (UE) 2024/1689 classifica os sistemas de IA em quatro níveis de risco:

  • Inaceitável: proibido desde fevereiro de 2025
  • Alto risco: obrigações estritas a partir de agosto de 2026 (avaliação de conformidade, gestão de riscos, documentação técnica, registo na base de dados UE)
  • Limitado: apenas obrigações de transparência
  • Mínimo: sem obrigações

As sanções por infrações mais graves atingem 35 milhões de euros ou 7% do volume de negócios mundial. O regulamento tem âmbito extraterritorial.

Princípios da OCDE sobre IA: a referência global

Os Princípios da OCDE sobre IA (OECD/LEGAL/0449), adotados em 2019 e atualizados em 2024, identificam cinco princípios fundamentais: crescimento inclusivo, valores humanos e equidade, transparência e explicabilidade, robustez e segurança, e responsabilidade. Adotados por 47 jurisdições, são não vinculativos mas constituem uma referência de facto para os reguladores globais.

As quatro estruturas como camadas complementares

  • Camada 1 (valores): Princípios da OCDE
  • Camada 2 (processo de risco): NIST AI RMF
  • Camada 3 (sistema de gestão): ISO 42001
  • Camada 4 (obrigações legais): Regulamento IA europeu

Mapeamento de controlos entre estruturas

A Cláusula 5 da ISO 42001 (Liderança) e a função GOVERN do NIST requerem ambas uma política de IA documentada e um compromisso visível da gestão de topo.

A Cláusula 6 da ISO 42001 (Planeamento) cobre aproximadamente 60% dos requisitos do Artigo 9 do Regulamento IA (sistema de gestão de riscos para sistemas de alto risco), segundo a análise de organismos de certificação.

A Cláusula 9 da ISO 42001 (Avaliação do desempenho) alinha-se diretamente com a função MEASURE do NIST: as evidências geradas para uma alimentam diretamente a outra.

Duas normas europeias em desenvolvimento no CEN-CENELEC, prEN 18228 e prEN 18282, fornecerão especificações técnicas adicionais alinhadas com o Regulamento IA.

Escolher o ponto de partida

Exposição ao mercado UE: Começar pela classificação de riscos segundo o Regulamento IA. Identificar cada sistema, determinar o nível de risco e priorizar os sistemas de alto risco.

Necessidade de certificação: Começar pela ISO 42001, que estrutura o programa de governança de forma a beneficiar simultaneamente a conformidade NIST e o Regulamento IA.

Alinhamento global de políticas: Usar os Princípios da OCDE como base ética, depois selecionar ISO 42001 ou NIST AI RMF como estrutura operacional.

Construir um programa multi-estrutura

Um programa eficaz segue cinco etapas: inventário de sistemas IA, classificação de riscos, seleção de controlos (Anexo A da ISO 42001 como espinha dorsal), recolha de evidências e monitorização contínua.

A AI Sigil integra estas cinco etapas numa plataforma unificada que mapeia os controlos sobre as quatro estruturas simultaneamente e identifica lacunas antes das auditorias externas.

Conclusão

As quatro estruturas de governança IA não são alternativas, são camadas complementares. As organizações que as sobrepõem corretamente constroem programas que satisfazem simultaneamente reguladores, organismos de certificação e equipas de procurement.

Fontes: NIST AI RMF 1.0 (janeiro 2023); ISO/IEC 42001:2023; ISO/IEC 42006:2025; Regulamento (UE) 2024/1689 (Regulamento IA), JO L, 12 de julho de 2024; Princípios da OCDE sobre IA (OECD/LEGAL/0449), atualização maio 2024; Gartner, análise do mercado de plataformas de governança IA, fevereiro de 2026; Sprinto, inquérito sobre adoção de ISO 42001, 2025; prEN 18228 e prEN 18282 (CEN-CENELEC, apenas referência nominal).

Sofia Almeida

O regulamento europeu de inteligência artificial: manual operacional para fornecedores e implementadores

O regulamento europeu de IA, descodificado por papel. Fornecedor, implementador, GPAI: quem faz o quê, até quando, com que artefacto de governação.

Leis sobre inteligência artificial em 2026: o mapa global de conformidade

Fornecedor, responsavel pela implantação ou modelo GPAI? Eis como Regulamento IA europeu, leis dos EUA, NIST AI RMF e ISO 42001 articulam em 2026.

Estrutura de governança da IA: o guia completo

Compare NIST AI RMF, ISO 42001, o Regulamento IA e os princípios OCDE. Descubra qual estrutura se adequa à sua organização e como implementá-las em conjunto.

Human-in-the-Loop vs Human-on-the-Loop: guia de supervisão da IA

Escolher entre human-in-the-loop e human-on-the-loop: 7 eixos de decisão, leitura do artigo 14.º do Regulamento IA e ancoragem na ISO/IEC 42001.

Enquadramentos de governança de IA: NIST AI RMF, ISO 42001, Regulamento da IA e princípios OCDE (2026)

NIST AI RMF, ISO/IEC 42001, Regulamento da IA e princípios OCDE comparados, com mapeamento de controlos e árvore de decisão para escolher o enquadramento certo.

ISO 42001 não cobre o AI Act: a pilha de normas de que realmente precisa

Uma certificação ISO 42001 não garante a sua conformidade com o AI Act. Estas são as normas harmonizadas que contam mesmo e como as pôr em prática.