Governança de IA: EU AI Act + FDA framework
EU AI Act em vigor desde 2024, FDA com framework GMLP e draft de Good Machine Learning Practice. O que muda pra farma que usa IA — e o que implementar agora.
2025-2026 consolidou o framework regulatório de IA em saúde. EU AI Act virou exigência legal. FDA finalizou o draft de Good Machine Learning Practice. ISO/IEC 42001 (sistema de gestão de IA) e NIST AI RMF complementam. Pra farma que usa IA em algum ponto da operação, governança não é mais opcional.
Esse artigo destila os 4 frameworks principais e o que precisa estar no sistema de qualidade até o fim de 2026.
EU AI Act (Regulamento UE 2024/1689)
Em vigor desde: agosto de 2024 (com vigência escalonada até 2027).
Estrutura: classifica sistemas IA em 4 níveis de risco:
- Risco inaceitável: proibido (social scoring, manipulação subliminar)
- Alto risco: sujeito a exigências rigorosas — inclui IA em saúde, dispositivos médicos, recrutamento
- Risco limitado: transparência obrigatória (chatbots, deepfakes)
- Risco mínimo: sem exigências regulatórias adicionais
Pra farma: a maior parte da IA em GxP cai em "alto risco". Exigências principais:
- Sistema de gestão de risco documentado
- Documentação técnica completa
- Registro de uso (logs)
- Transparência ao usuário
- Supervisão humana
- Robustez, acurácia, cibersegurança
- Avaliação de conformidade
Empresa que exporta pra UE ou tem operação europeia: aplicabilidade direta.
FDA Good Machine Learning Practice (GMLP)
Em vigor: draft principles publicado em 2021, framework expandido em 2024-2025.
10 princípios principais:
- Múltiplos engineering disciplines no design
- Good software engineering practices
- Dados representativos da população
- Independência entre dados de treino e teste
- Modelos transparentes sobre limitações
- Performance avaliada em condições reais
- Monitoramento contínuo do desempenho
- Comunicação clara ao usuário
- Feedback loops integrados
- Atualização baseada em evidência
Pra farma: aplica especialmente em SaMD (Software as a Medical Device) e em IA usada em pesquisa clínica. Pra IA em eQMS, é referência boa pra modelo de monitoramento contínuo.
ISO/IEC 42001:2023 — Sistema de Gestão de IA
Norma ISO específica pra sistema de gestão de IA. Análoga ao ISO 9001 (qualidade) ou ISO 27001 (segurança), mas focada em IA.
Cobre:
- Política de IA da organização
- Análise de impacto (AI Impact Assessment)
- Gestão de riscos específicos de IA
- Ciclo de vida de IA documentado
- Treinamento de pessoal envolvido
- Auditoria interna do sistema de IA
Certificação ISO 42001 vira diferencial competitivo em 2026.
NIST AI Risk Management Framework
Framework americano voluntário, mas crescentemente referenciado por reguladores. Estrutura em 4 funções:
- Govern: políticas e governança organizacional
- Map: mapeamento de contexto e impacto
- Measure: medição de risco e desempenho
- Manage: gestão e mitigação contínua
Como esses frameworks se conectam pra farma
Eles não se contradizem — se complementam. Pra empresa farma que usa IA:
| Frente | Framework primário |
|---|---|
| Conformidade legal UE | EU AI Act |
| SaMD / IA em produto regulado | FDA GMLP + EU AI Act |
| Sistema de gestão | ISO 42001 |
| Gestão de risco operacional | NIST AI RMF |
O que implementar agora (2026)
Mínimo viável (até Q3 2026)
- AI Impact Assessment formal pra cada caso de uso de IA
- Política de IA da organização aprovada por diretoria
- Inventário de sistemas IA em uso (interno + fornecedores)
- Audit trail nativo de toda invocação
- Kill switch operacional
- Human-in-the-loop documentado pra decisões reguladas
Avançado (até 2027)
- Sistema de gestão alinhado ISO 42001
- Avaliação de conformidade EU AI Act pros casos alto risco
- Monitoramento contínuo de degradação de modelo
- Re-validação periódica integrada ao change control
A pegadinha pro fornecedor brasileiro
Mesmo empresa farma-cosmético BR que não exporta pra UE: investidores europeus e americanos vão pedir conformidade IA. Sem framework implementado, M&A e captação ficam mais difíceis. É exigência prática, não só regulatória.
Como o NOAH se posiciona
NOAH OS implementa o framework no próprio sistema:
- AI Gateway próprio (camada "Inteligência")
- Tabela
ai_invocationcom hash-chain - Kill switch global / per-tenant / per-feature
- Painel admin com KPIs de uso, custo, alerta
- Documentação de governança alinhada a EU AI Act + FDA GMLP + ISO 42001
- Pacote validado Cat 5 do gateway + Cat 4 dos prompts versionados
Pra empresa farma BR de médio porte, é a maneira mais rápida de chegar conforme sem reinventar a roda.
EU AI Act + FDA GMLP + ISO 42001 + NIST AI RMF convergem: governança de IA é obrigatória pra farma em 2026. O mínimo até Q3/2026: AI Impact Assessment + política IA + inventário + audit trail + kill switch + human-in-the-loop. NOAH entrega o pacote integrado.
Pacote IA do NOAH
Em 30 min mostramos como NOAH cobre o framework completo (EU AI Act + FDA + ISO 42001) com governança nativa. Pacote Inteligência (Tier 3 sob consulta).
Conversar