Governança de IA: como sua organização deve se preparar antes que vire obrigação regulatória

O momento de estruturar a governança de IA é agora, não quando a lei exigir

Após anos trabalhando com organizações brasileiras em projetos de compliance e gestão de riscos, o que vejo com frequência é um padrão que se repete: a corrida para adequação quando o prazo regulatório já está batendo na porta. Aconteceu com a Lei Geral de Proteção de Dados, aconteceu com programas anticorrupção, e está prestes a acontecer com a governança de Inteligência Artificial. A diferença é que, desta vez, as organizações têm a chance de se antecipar. O cenário regulatório global já sinaliza claramente para onde estamos indo, e quem estruturar sua governança de IA agora terá vantagem competitiva, menor exposição a riscos e processos mais maduros quando a regulação chegar.

A Inteligência Artificial deixou de ser tema de laboratório para se tornar ferramenta de negócio. Sistemas de recomendação, análise de crédito automatizada, triagem de currículos, detecção de fraudes, atendimento por chatbots e dezenas de outras aplicações já fazem parte do cotidiano corporativo brasileiro. O problema é que muitas dessas implementações ocorreram sem governança adequada, sem documentação de riscos e sem clareza sobre responsabilidades. Isso cria uma bomba-relógio jurídica e reputacional que pode explodir a qualquer momento.

O que o EU AI Act estabelece e por que isso importa para o Brasil

O AI Act da União Europeia entrou em vigor em agosto de 2024 e representa o primeiro marco regulatório abrangente sobre Inteligência Artificial no mundo. Assim como aconteceu com o Regulamento Geral de Proteção de Dados europeu, que inspirou a LGPD brasileira, o AI Act está moldando a discussão regulatória global. Organizações brasileiras que exportam serviços, atendem clientes europeus ou utilizam tecnologias de fornecedores internacionais já estão, direta ou indiretamente, sob influência dessa regulação.

O modelo europeu classifica sistemas de IA em categorias de risco. Sistemas de risco inaceitável são proibidos, como aqueles que manipulam comportamento humano de forma subliminar ou exploram vulnerabilidades de grupos específicos. Sistemas de alto risco, que incluem aplicações em recursos humanos, crédito, educação e serviços essenciais, precisam cumprir requisitos rigorosos de transparência, documentação, supervisão humana e gestão de riscos. Sistemas de risco limitado têm obrigações de transparência, e sistemas de risco mínimo ficam praticamente livres de regulação específica.

O que chama atenção no AI Act é a exigência de documentação detalhada do ciclo de vida dos sistemas de IA de alto risco. Isso inclui dados de treinamento, métricas de desempenho, avaliações de impacto e registros de decisões. Para organizações que implementaram IA de forma improvisada, atender a esses requisitos retroativamente será um pesadelo operacional. Por isso defendo que a preparação comece agora, antes que requisitos similares se tornem obrigatórios no Brasil.

O cenário regulatório brasileiro e o que está por vir

O Brasil não está parado. O Projeto de Lei 2338/2023, que dispõe sobre o uso de Inteligência Artificial, avança no Congresso Nacional e estabelece princípios, direitos e deveres para o desenvolvimento e aplicação de IA no país. O texto já passou por discussões relevantes e, embora ainda possa sofrer alterações, os contornos gerais da futura regulação brasileira já são visíveis.

O projeto brasileiro adota uma abordagem baseada em riscos, similar ao modelo europeu, e prevê a criação de uma autoridade competente para supervisão e fiscalização. Entre os pontos centrais estão a transparência nas decisões automatizadas, o direito à explicação quando uma decisão de IA afeta direitos individuais, a supervisão humana em contextos de alto risco e a responsabilização por danos causados por sistemas de IA. Para organizações que já utilizam IA em decisões que afetam pessoas, como análise de crédito, precificação dinâmica ou triagem de processos seletivos, esses requisitos exigirão adaptações significativas.

A Autoridade Nacional de Proteção de Dados também tem se posicionado sobre o tema, reconhecendo a intersecção entre proteção de dados pessoais e uso de IA. Decisões automatizadas que utilizam dados pessoais já estão, em alguma medida, sujeitas à LGPD, especialmente no que diz respeito ao direito de revisão de decisões automatizadas previsto no artigo 20 da lei. O que vejo em muitas organizações é desconhecimento sobre essa obrigação já existente, o que demonstra a fragilidade da governança atual.

Inventário de sistemas de IA como primeiro passo fundamental

Não é possível governar o que não se conhece. O primeiro passo para qualquer organização que queira estruturar governança de IA é realizar um inventário completo dos sistemas que utilizam técnicas de Inteligência Artificial, aprendizado de máquina ou decisões automatizadas. Na minha experiência, esse exercício costuma revelar surpresas. Muitas áreas de negócio implementaram soluções com componentes de IA sem que a liderança executiva ou a área de compliance tivessem conhecimento.

O inventário deve mapear onde cada sistema está implementado, qual sua finalidade, quais dados utiliza, quem é responsável por sua manutenção, qual o nível de automação das decisões e se existe supervisão humana no processo. É fundamental identificar também a origem da tecnologia. Sistemas desenvolvidos internamente, adquiridos de terceiros ou utilizados como serviço na nuvem apresentam perfis de risco diferentes e exigem abordagens de governança distintas.

Classificar os sistemas identificados por nível de risco é etapa essencial. Sugiro utilizar critérios como impacto nas pessoas afetadas pela decisão, volume de decisões tomadas, reversibilidade das consequências e sensibilidade dos dados utilizados. Um sistema que recomenda produtos em um e-commerce tem perfil de risco muito diferente de um sistema que aprova ou nega crédito. Essa classificação orientará a priorização dos esforços de governança e a alocação de recursos para documentação, monitoramento e controles.

O inventário não é um exercício pontual, mas um processo contínuo. Novos sistemas são implementados, fornecedores são substituídos, funcionalidades são expandidas. A governança de IA precisa incorporar mecanismos para manter o inventário atualizado, idealmente integrados aos processos de gestão de mudanças e aquisição de tecnologia já existentes na organização.

Viés algorítmico como risco jurídico e reputacional concreto

Viés algorítmico não é conceito abstrato ou preocupação teórica de acadêmicos. É um risco jurídico real que já gerou condenações judiciais, multas regulatórias e crises reputacionais em organizações ao redor do mundo. No contexto brasileiro, onde a legislação trabalhista e consumerista oferece forte proteção a grupos vulneráveis, o risco é ainda mais pronunciado.

O viés algorítmico ocorre quando um sistema de IA produz resultados sistematicamente desfavoráveis para determinados grupos, geralmente definidos por características como gênero, raça, idade ou localização geográfica. Isso pode acontecer por diversos motivos: dados de treinamento que refletem discriminações históricas, variáveis proxy que capturam indiretamente características protegidas, ou simplesmente falta de representatividade nos conjuntos de dados utilizados. Um sistema de triagem de currículos treinado com dados históricos de uma empresa que contratou predominantemente homens aprenderá a priorizar candidatos homens, perpetuando a discriminação existente.

O risco jurídico é evidente. Decisões discriminatórias tomadas por sistemas de IA podem configurar violações trabalhistas, consumeristas ou mesmo constitucionais. A organização não pode se escudar no argumento de que a decisão foi tomada por um algoritmo. A responsabilidade pela adoção e supervisão do sistema permanece com a organização. Casos de discriminação algorítmica em processos seletivos, concessão de crédito e precificação de seguros já chegaram aos tribunais em diversas jurisdições.

Mitigar o risco de viés algorítmico exige ações em múltiplas frentes. Auditorias periódicas dos resultados dos sistemas, com análise segmentada por grupos demográficos, são essenciais. Documentação dos dados de treinamento e das decisões de modelagem permite identificar fontes potenciais de viés. Supervisão humana em decisões de alto impacto funciona como salvaguarda adicional. E a criação de canais para que pessoas afetadas contestem decisões automatizadas atende tanto a requisitos legais quanto a princípios éticos básicos.

Construindo uma política de uso de IA generativa

A explosão de ferramentas de IA generativa nos últimos dois anos criou um desafio urgente para as organizações. Ferramentas como ChatGPT, Claude, Gemini e dezenas de outras estão sendo utilizadas por colaboradores em suas atividades diárias, muitas vezes sem qualquer orientação institucional. Isso cria riscos significativos relacionados a vazamento de informações confidenciais, violação de propriedade intelectual, geração de conteúdo impreciso ou inadequado e falta de rastreabilidade das decisões de negócio.

Uma política de uso de IA generativa deve estabelecer diretrizes claras sobre quais ferramentas são autorizadas, para quais finalidades podem ser utilizadas e quais informações podem ou não ser inseridas nesses sistemas. A questão da confidencialidade é crítica. Informações estratégicas, dados pessoais de clientes, código fonte proprietário e documentos sujeitos a sigilo profissional não devem ser inseridos em ferramentas de IA generativa externas, cujos termos de uso frequentemente permitem que os dados sejam utilizados para treinamento de modelos.

A política deve abordar também a verificação de resultados. IA generativa é conhecida por produzir informações incorretas apresentadas com aparência de autoridade, fenômeno conhecido como alucinação. Colaboradores precisam entender que qualquer output de IA generativa deve ser verificado antes de ser utilizado em decisões de negócio, documentos oficiais ou comunicações externas. A responsabilidade pelo conteúdo final permanece com o profissional que o utiliza, não com a ferramenta.

Aspectos de propriedade intelectual também merecem atenção. Conteúdo gerado por IA pode incorporar elementos de obras protegidas por direitos autorais utilizadas no treinamento do modelo. Utilizar esse conteúdo sem ressalvas pode expor a organização a riscos de violação de propriedade intelectual. A política deve orientar sobre como lidar com essas questões, especialmente em contextos como criação de materiais de marketing, desenvolvimento de software ou produção de conteúdo editorial.

Primeiros passos para um comitê de ética em IA

A criação de um comitê de ética em IA representa um passo de maturidade na governança, mas não precisa ser um projeto complexo ou custoso. O que vejo funcionar bem em organizações de médio porte é começar com uma estrutura enxuta, que possa ser expandida conforme a necessidade. O objetivo inicial é criar um fórum para discussão de questões éticas relacionadas a IA, avaliação de novos projetos e acompanhamento dos sistemas existentes.

A composição do comitê deve incluir representantes de áreas diversas: tecnologia, jurídico, compliance, recursos humanos, negócios e, quando aplicável, atendimento ao cliente. Essa diversidade é fundamental para que as discussões incorporem múltiplas perspectivas e evitem vieses corporativos. Se possível, a inclusão de um membro externo, seja acadêmico ou especialista independente, adiciona credibilidade e traz visões não contaminadas pela cultura interna.

O comitê precisa ter mandato claro e acesso à liderança executiva. Questões éticas em IA frequentemente envolvem trade-offs entre eficiência e proteção de direitos, entre inovação e prudência. Essas decisões precisam ser tomadas ou referendadas por quem tem autoridade para equilibrar interesses conflitantes. Um comitê sem acesso ao board ou à diretoria executiva terá dificuldade para fazer sua voz ser ouvida quando realmente importa.

As atribuições típicas de um comitê de ética em IA incluem revisar novos projetos de implementação de IA antes do go-live, avaliar denúncias ou reclamações relacionadas a decisões automatizadas, monitorar indicadores de viés e discriminação, recomendar atualizações na política de IA e acompanhar evoluções regulatórias. A frequência de reuniões depende do volume de projetos de IA na organização, mas encontros mensais ou bimestrais costumam ser suficientes para a maioria das empresas de médio porte.

Documentação e rastreabilidade como pilares da governança

Reguladores e tribunais querem evidências. Quando uma decisão automatizada é questionada, a organização precisa ser capaz de demonstrar como aquela decisão foi tomada, quais dados foram considerados, qual era a lógica do sistema e se havia supervisão humana adequada. Sem documentação e rastreabilidade, a defesa se torna praticamente impossível.

A documentação de sistemas de IA deve abranger todo o ciclo de vida: concepção, desenvolvimento, testes, implantação, monitoramento e eventual descontinuação. No caso de sistemas adquiridos de terceiros, a documentação deve incluir as informações fornecidas pelo fornecedor, os critérios de seleção utilizados, as configurações aplicadas e as customizações realizadas. Contratos com fornecedores de IA devem incluir cláusulas que garantam acesso a documentação técnica suficiente para atender a requisitos regulatórios.

A rastreabilidade das decisões individuais é especialmente relevante em sistemas de alto risco. Quando um sistema nega crédito a um cliente, reprova um candidato em processo seletivo ou ajusta o preço de um produto de forma dinâmica, deve ser possível recuperar os dados de entrada, os parâmetros do modelo no momento da decisão e o resultado produzido. Isso permite tanto a revisão de casos individuais quanto a auditoria agregada do comportamento do sistema.

Implementar essa rastreabilidade tem custos de armazenamento e engenharia, mas é investimento necessário. Organizações que não conseguem explicar como suas decisões automatizadas são tomadas estarão em posição vulnerável quando questionadas por reguladores, tribunais ou pela opinião pública.

Supervisão humana e o mito da automação total

A automação de decisões por IA oferece ganhos de eficiência inegáveis, mas a ideia de remover completamente a supervisão humana é um erro que organizações maduras evitam. A supervisão humana não é apenas requisito regulatório provável, mas também mecanismo de gestão de riscos que protege a organização de falhas dos sistemas e de situações não previstas pelos algoritmos.

O nível de supervisão humana deve ser proporcional ao risco da decisão. Para recomendações de produtos em e-commerce, a supervisão pode ser mínima, limitada a monitoramento agregado de métricas de desempenho. Para decisões que afetam direitos individuais, como negativa de benefícios ou rescisão de contratos, a supervisão humana deve ser mais intensa, idealmente com revisão individual antes da comunicação ao afetado.

O conceito de human-in-the-loop, que se tornou popular nas discussões sobre IA, não pode ser apenas formalidade. Não basta ter um humano que carimba decisões do sistema sem análise crítica. A supervisão humana efetiva exige que o profissional tenha competência para avaliar a recomendação

A GovSimplix já incorpora a Governança de Inteligência Artificial como um dos domínios do seu modelo metodológico, reconhecendo que o uso responsável de IA é um imperativo de governança, e não apenas uma questão tecnológica. A plataforma permite que organizações inventariem, classifiquem e monitorem seus sistemas de IA dentro de um framework de riscos e conformidade.

Perguntas frequentes

O que é governança de IA e por que importa para minha empresa?
Governança de IA é o conjunto de políticas, processos e controles que garantem o uso responsável e seguro de sistemas de inteligência artificial. Ela importa porque reduz riscos legais, protege dados da empresa, evita decisões enviesadas e prepara sua organização para regulações que virão, assim como aconteceu com a LGPD.

Quais são os principais riscos de não ter governança de IA?
Sem governança de IA, sua empresa corre riscos de violação de dados, decisões discriminatórias que geram processos judiciais, perda de reputação e penalidades regulatórias quando novas leis entrarem em vigor. Esperar pelas obrigações legais deixa você em desvantagem competitiva frente aos concorrentes que já estruturaram o tema.

Quando devo começar a estruturar governança de IA na minha organização?
O ideal é começar agora, antes que regulações obriguem. A experiência com LGPD e Sarbanes-Oxley mostra que empresas que se antecipam têm menos custo de implementação e maior facilidade de compliance quando as regras chegam. Adiar aumenta a complexidade e o risco de multas futuras.

Como começar um programa de governança de IA sem grandes investimentos?
Comece mapeando quais sistemas de IA sua empresa já usa ou planeja usar. Depois estabeleça uma política clara sobre responsabilidade, auditoria e transparência desses sistemas. Forme um comitê multidisciplinar com áreas como TI, Compliance e Negócio para guiar as decisões. A estrutura antes da tecnologia é mais econômica do que tentar consertar tudo depois.

Quais áreas da minha empresa devem estar envolvidas em governança de IA?
Governança de IA exige participação de múltiplas áreas: Tecnologia e Dados (implementação), Compliance e Jurídico (regulações), Negócio (definir casos de uso aceitáveis), Recursos Humanos (capacitação) e até Comunicação (transparência externa). Uma estrutura de governança sem essas áreas se torna ineficaz e inconsistente com a estratégia geral.

Como medir se meu programa de governança de IA está funcionando?
Defina indicadores como número de sistemas auditados, tempo de aprovação de novos projetos de IA, incidentes evitados, conformidade com políticas internas e feedback das áreas usuárias. Monitore também métricas de viés em modelos, taxa de explicabilidade de decisões automatizadas e documentação de decisões. Revise esses indicadores trimestralmente com a liderança.

Qual é o custo de implementar governança de IA em uma empresa média?
O custo depende do porte e complexidade de sua operação, mas varia tipicamente entre 50 mil e 500 mil reais na fase inicial para estruturação, treinamento e ferramentas básicas. Esse investimento é significativamente menor do que o custo de enfrentar multas regulatórias, ações judiciais ou recuperação de reputação após crises. O retorno vem principalmente da redução de riscos e ganho de confiança.

Quais regulações de IA já existem ou virão em breve no Brasil?
Atualmente não existe lei específica de IA no Brasil, mas há projetos em discussão no Congresso e a União Europeia já aprovou o AI Act que influenciará padrões globais. Organizações brasileiras com operações internacionais já precisam considerar essas regulações. É fundamental acompanhar desenvolvimentos legislativos e antecipar requisitos de compliance antes que se tornem obrigatórios.

Como garantir que meus modelos de IA não têm viés ou discriminação?
Implemente auditoria contínua dos dados de treinamento para identificar desequilíbrios, teste seus modelos com diferentes grupos demográficos e monitore o desempenho do sistema em produção. Documente as decisões tomadas pela IA e estabeleça um processo de escalação para revisão humana em casos críticos. A governança de IA deve incluir métricas específicas de equidade e transparência.

Qual é a diferença entre governança de IA e conformidade com LGPD?
LGPD foca na proteção e privacidade de dados pessoais, enquanto governança de IA é mais ampla e cobre segurança, viés, explicabilidade e responsabilidade de sistemas inteligentes. A governança de IA inclui as preocupações da LGPD, mas vai além e envolve qualidade das decisões, rastreabilidade e risco operacional. Ambas são complementares e devem estar integradas na estratégia de conformidade da empresa.

Sobre o autor

Julio César
Co-fundador e Arquiteto das Soluções, GovSimplix

Julio César é bacharel em Ciências da Computação pela USTJ e graduado em Análise e Desenvolvimento de Sistemas. É especialista pós-graduado em Cibersegurança e Governança de Dados pela PUC Minas e pós-graduado em Gestão Estratégica de Negócios pela Universidade Presbiteriana Mackenzie.

Possui certificação internacional de Lead Auditor para as normas ISO 27001 (Segurança da Informação), ISO 27701 (Privacidade da Informação) e ISO 42001 (Gestão de Inteligência Artificial), além da certificação Lean Six Sigma Black Belt, voltada para melhoria de processos e redução de variabilidade operacional.

Na GovSimplix, é o responsável pela concepção e evolução da arquitetura metodológica que estrutura os 11 domínios de governança empresarial da plataforma. Combina formação técnica, experiência em auditoria de sistemas de gestão e visão executiva para traduzir a complexidade da governança em estrutura operável para organizações de qualquer porte e setor.