AITS Framework
AITS — AI Trust Score Framework — 20 critérios de privacidade e governança de IA (ISO / LGPD)
Critérios AITS
20 critérios de privacidade e governança de IA
Esta tabela apresenta os 20 critérios do AITS (AI Trusty Score), sendo 12 de privacidade tradicional e 8 específicos para softwares que utilizam IA.
Todos os critérios são baseados em normas ISO internacionais de privacidade e governança de IA.
AI Data Use
A organização informa claramente por quanto tempo os dados de entrada (inputs, prompts) e saída (outputs, respostas) de sistemas de IA são retidos, e se podem ser excluídos pelo usuário?
ISO/IEC 42001 (8.2) + ISO/IEC 27701 (7.4.6)
AI Data Use
A organização declara claramente se os dados inseridos pelos usuários (inputs, prompts, conteúdo) são utilizados para treinar, melhorar ou desenvolver modelos de IA?
ISO/IEC 42001 (8.2) + ISO/IEC 23894 + EU AI Act
AI Data Use
O usuário pode optar por não ter seus dados utilizados para treinamento de modelos de IA (opt-out)? O processo é claro e acessível?
ISO/IEC 42001 (8.3) + ISO/IEC 29100 + EU AI Act
Transparência Fundamental
O software declara claramente se utiliza inteligência artificial em suas funcionalidades?
ISO/IEC 42001 (7.4)
Governança de IA
A organização declara compromissos com uso ético de IA, incluindo medidas contra viés, discriminação ou danos sociais em seus sistemas automatizados?
ISO/IEC 42001 (6.1) + ISO/IEC TR 24028 + EU AI Act (Art. 9)
Transparência de IA
A política informa claramente quais funcionalidades do software utilizam IA e para quais finalidades?
ISO/IEC 42001 (7.5)
Direitos e Controle do Titular
Para decisões automatizadas por IA que impactem significativamente o usuário, há explicação clara de como a decisão foi tomada?
ISO/IEC TR 24028
Direitos e Controle do Titular
O usuário pode contestar ou solicitar revisão humana de decisões automatizadas por IA?
ISO/IEC 42001 (8.3)
Transparência Fundamental
Escopo e papéis estão claros (controlador/operador) e para quais produtos/serviços?
ISO/IEC 27701 (7.3)
Transparência Fundamental
Identidade e detalhes de contato do controlador são claramente informados?
ISO/IEC 27701 (7.3)
Direitos e Controle do Titular
Há um canal de contato disponível para questões de privacidade ou proteção de dados?
ISO/IEC 27701 (7.3)
Transparência Fundamental
As finalidades do tratamento são listadas para as principais categorias de dados?
ISO/IEC 27701 (7.3)
Transparência Fundamental
A política informa por quanto tempo os dados pessoais são retidos ou os critérios para determinar esse período?
ISO/IEC 27701 (7.4.6)
Transparência Fundamental
Os destinatários (ou categorias) dos dados são identificados?
ISO/IEC 27701 (7.3)
Boas Práticas e Detalhamento
A política informa sobre a transferência internacional de dados?
ISO/IEC 27701 (7.3)
Boas Práticas e Detalhamento
Se há transferência internacional, as salvaguardas são mencionadas?
ISO/IEC 27701 (7.3)
Boas Práticas e Detalhamento
A base legal 'Execução de Contrato' é mencionada para dados essenciais?
ISO/IEC 27701 (7.2.2)
Maturidade e Excelência
Se usa 'Legítimo Interesse', a política explica o interesse e o balanceamento de direitos?
ISO/IEC 27701 (7.2.2)
Boas Práticas e Detalhamento
Tratamento de dados sensíveis é explicitado com salvaguardas adicionais?
ISO/IEC 29100
Boas Práticas e Detalhamento
A política indica disponibilidade de Acordo de Processamento de Dados (DPA) ou termos de processamento para clientes empresariais, conforme LGPD Art. 39 e GDPR Art. 28?
ISO/IEC 27701 (8.2) + LGPD Art. 39 + GDPR Art. 28
| ID | Grupo | Descrição | Norma ISO (LGPD, GDPR, CCPA e NIST) | Peso | IA |
|---|---|---|---|---|---|
| 1 | AI Data Use | A organização informa claramente por quanto tempo os dados de entrada (inputs, prompts) e saída (outputs, respostas) de sistemas de IA são retidos, e se podem ser excluídos pelo usuário? | ISO/IEC 42001 (8.2) + ISO/IEC 27701 (7.4.6) | 3 | |
| 2 | AI Data Use | A organização declara claramente se os dados inseridos pelos usuários (inputs, prompts, conteúdo) são utilizados para treinar, melhorar ou desenvolver modelos de IA? | ISO/IEC 42001 (8.2) + ISO/IEC 23894 + EU AI Act | 3 | |
| 3 | AI Data Use | O usuário pode optar por não ter seus dados utilizados para treinamento de modelos de IA (opt-out)? O processo é claro e acessível? | ISO/IEC 42001 (8.3) + ISO/IEC 29100 + EU AI Act | 3 | |
| 4 | Transparência Fundamental | O software declara claramente se utiliza inteligência artificial em suas funcionalidades? | ISO/IEC 42001 (7.4) | 3 | |
| 5 | Governança de IA | A organização declara compromissos com uso ético de IA, incluindo medidas contra viés, discriminação ou danos sociais em seus sistemas automatizados? | ISO/IEC 42001 (6.1) + ISO/IEC TR 24028 + EU AI Act (Art. 9) | 3 | |
| 6 | Transparência de IA | A política informa claramente quais funcionalidades do software utilizam IA e para quais finalidades? | ISO/IEC 42001 (7.5) | 3 | |
| 7 | Direitos e Controle do Titular | Para decisões automatizadas por IA que impactem significativamente o usuário, há explicação clara de como a decisão foi tomada? | ISO/IEC TR 24028 | 3 | |
| 8 | Direitos e Controle do Titular | O usuário pode contestar ou solicitar revisão humana de decisões automatizadas por IA? | ISO/IEC 42001 (8.3) | 3 | |
| 9 | Transparência Fundamental | Escopo e papéis estão claros (controlador/operador) e para quais produtos/serviços? | ISO/IEC 27701 (7.3) | 3 | |
| 10 | Transparência Fundamental | Identidade e detalhes de contato do controlador são claramente informados? | ISO/IEC 27701 (7.3) | 3 | |
| 11 | Direitos e Controle do Titular | Há um canal de contato disponível para questões de privacidade ou proteção de dados? | ISO/IEC 27701 (7.3) | 3 | |
| 12 | Transparência Fundamental | As finalidades do tratamento são listadas para as principais categorias de dados? | ISO/IEC 27701 (7.3) | 3 | |
| 13 | Transparência Fundamental | A política informa por quanto tempo os dados pessoais são retidos ou os critérios para determinar esse período? | ISO/IEC 27701 (7.4.6) | 3 | |
| 14 | Transparência Fundamental | Os destinatários (ou categorias) dos dados são identificados? | ISO/IEC 27701 (7.3) | 3 | |
| 15 | Boas Práticas e Detalhamento | A política informa sobre a transferência internacional de dados? | ISO/IEC 27701 (7.3) | 3 | |
| 16 | Boas Práticas e Detalhamento | Se há transferência internacional, as salvaguardas são mencionadas? | ISO/IEC 27701 (7.3) | 3 | |
| 17 | Boas Práticas e Detalhamento | A base legal 'Execução de Contrato' é mencionada para dados essenciais? | ISO/IEC 27701 (7.2.2) | 3 | |
| 18 | Maturidade e Excelência | Se usa 'Legítimo Interesse', a política explica o interesse e o balanceamento de direitos? | ISO/IEC 27701 (7.2.2) | 3 | |
| 19 | Boas Práticas e Detalhamento | Tratamento de dados sensíveis é explicitado com salvaguardas adicionais? | ISO/IEC 29100 | 3 | |
| 20 | Boas Práticas e Detalhamento | A política indica disponibilidade de Acordo de Processamento de Dados (DPA) ou termos de processamento para clientes empresariais, conforme LGPD Art. 39 e GDPR Art. 28? | ISO/IEC 27701 (8.2) + LGPD Art. 39 + GDPR Art. 28 | 3 |