IA na Indústria — Sistemas Críticos, ISO 27001 e NR-12

Na indústria, o risco regulatório da IA é diferente do setor financeiro: não é tanto sobre compliance com reguladores setoriais, mas sobre segurança operacional, responsabilidade civil por falhas e auditabilidade de sistemas críticos. Manufatura, mineração, energia e agro têm características comuns: IA embarcada em sistemas que operam equipamentos físicos, onde falhas têm consequências reais.

NR-12 — IA em máquinas e equipamentos

A NR-12 (Segurança no Trabalho em Máquinas e Equipamentos) não menciona IA explicitamente — mas o princípio de que sistemas de controle de máquinas devem ser seguros, auditáveis e com falha segura (fail-safe) se aplica plenamente a sistemas de IA que controlam ou supervisionam equipamentos industriais.

Para sistemas de IA que tomam decisões sobre operação de máquinas (parada de emergência autônoma, controle de velocidade, supervisão de processos), os inspetores do MTE já começam a questionar a documentação de validação e os testes de falha.

ISO 27001 — Segurança da informação e IA industrial

Indústrias certificadas ISO 27001 precisam incluir sistemas de IA no escopo do SGSI (Sistema de Gestão de Segurança da Informação). Os pontos críticos:

• Controle de acesso ao modelo: quem pode alterar, retreinar ou substituir o modelo em produção?
• Gestão de vulnerabilidades: ataques adversariais a modelos de IA (adversarial examples, model inversion) devem constar na análise de risco
• Logs de auditoria: as decisões do modelo e as alterações em seus parâmetros devem ser registradas
• Gestão de fornecedores: modelos de IA de terceiros precisam de cláusulas de segurança e auditorias periódicas

PL 2338 — Sistemas críticos de infraestrutura

O texto do PL 2338 aprovado no Senado classifica explicitamente como alto risco sistemas de IA usados em infraestrutura crítica: energia, água, transporte e comunicações. Para empresas industriais nesses segmentos, as obrigações de AIA, supervisão humana e registro serão aplicáveis após aprovação.

LGPD na indústria

O fluxo de LGPD em indústrias costuma ser subestimado. IA que processa dados biométricos de acesso (facial recognition, impressão digital), dados de saúde de trabalhadores em programas de bem-estar, ou dados de geolocalização de frotas envolve dados pessoais sensíveis com base legal restrita.

Casos de alto risco na indústria

• IA em manutenção preditiva autônoma: se o sistema determina parada de equipamento sem intervenção humana, precisa de documentação de validação e fail-safe testado.
• Reconhecimento facial no acesso: dado biométrico = dado sensível LGPD. Base legal e RIPD obrigatórios.
• IA em controle de qualidade que descarta lotes: decisões automatizadas com impacto econômico relevante — quem aprova, quem pode reverter, há log?
• Copilots de IA para operadores de SCADA: se a IA sugere ações para sistemas SCADA, a fronteira entre sugestão e decisão autônoma precisa ser claramente definida e documentada.