Governança de IA: desafios e oportunidades para empresas

A era da inteligência artificial como uma novidade indiscutível, onde a experimentação e a euforia eram as únicas constantes, terminou. A rápida adoção de tecnologias de IA, sobretudo a IA generativa, moveu-a do campo da possibilidade para o centro das operações de negócios, expondo simultaneamente seu imenso potencial e seus riscos significativos.

Nesse contexto, questões cruciais sobre ética, segurança, privacidade e responsabilidade ganham tração crescente. Conforme os benefícios deixam de ser a única coisa percebida imediatamente por aqueles que interagem com a tecnologia, a governança de IA emerge como um pilar indispensável para qualquer empresa que deseje não apenas sobreviver, mas prosperar em uma era digital que demanda cautela.

Afinal, o debate sobre IA está amadurecendo rapidamente. A conversa inicial, focada em princípios éticos abstratos, foi forçada a evoluir por falhas de alto perfil que demonstraram os perigos concretos da tecnologia, como chatbots que aprendem comportamentos tóxicos ou softwares de análise de crédito que perpetuam vieses discriminatórios.

Mas o que exatamente significa governança de IA? Como as principais potências globais estão abordando essa regulamentação? E, mais importante, como sua empresa no Brasil pode se preparar para um futuro onde a conformidade e a ética da IA são tão vitais quanto a própria tecnologia e suas aplicações práticas?

Neste artigo, mergulharemos na temática da governança de IA, explorando as abordagens da União Europeia e dos Estados Unidos, o panorama regulatório brasileiro com o Projeto de Lei nº 2338/2023, e os impactos práticos dessa discussão para o seu negócio.

O mosaico geopolítico da governança de IA

A corrida para regular a IA não é apenas uma questão técnica ou jurídica; é um complexo campo geopolítico onde diferentes visões sobre inovação, direitos e poder estatal competem por influência global. Sendo assim, conhecer e entender os modelos dominantes é o primeiro passo para que as empresas brasileiras possam navegar no cenário internacional e entender as escolhas feitas pelo legislador nacional.

O AI Act europeu e a regulação abrangente

Em primeiro lugar e representando o modelo de governança de maior destaque, a União Europeia adotou uma abordagem compreensiva e horizontal com o seu AI Act, estabelecendo um padrão que busca equilibrar inovação com a proteção de direitos fundamentais e segurança. O modelo europeu é prescritivo e se baseia em uma classificação de risco em quatro níveis:

• Risco Inaceitável: Práticas consideradas uma ameaça clara aos direitos das pessoas são banidas, como sistemas de pontuação social (social scoring) por governos, manipulação comportamental subliminar e exploração de vulnerabilidades.
• Alto Risco: Aplicações em áreas críticas que podem impactar a saúde, segurança ou direitos fundamentais. Isso inclui componentes de IA em infraestruturas críticas, dispositivos médicos, sistemas de recrutamento, avaliação de crédito e administração da justiça.
• Risco Limitado: Sistemas que exigem transparência, como chatbots e deepfakes. Os usuários devem ser informados de que estão interagindo com uma máquina ou visualizando conteúdo gerado artificialmente.
• Risco Mínimo: A maioria das aplicações de IA, como filtros de spam ou videogames, que não estão sujeitas a obrigações adicionais.

Os sistemas de alto risco em específico, posicionados no limite entre o aceitável e o proibido, estão sujeitos a obrigações rigorosas antes de serem colocados no mercado, como avaliação de risco, alta qualidade dos dados de treinamento, supervisão humana, documentação detalhada e cibersegurança robusta.

A regulação europeia no Brasil e no mundo

Uma das mais relevantes implicações desse modelo, no entanto, reside no chamado “Efeito Bruxelas”. Cunhado pela especialista Anu Bradford, tal efeito se refere ao fenômeno da replicação das regulamentações da União Europeia em proporções globais. Dada a completude do AI Act, por exemplo, a tendência é que outros países repliquem os princípios normativos europeus, ou ao menos que empresas de adaptem a ele para operar no valioso mercado da região.

Grande parte da legislação brasileira sobre tecnologia, inclusive, possui forte alinhamento com o que a UE tem desenvolvido na esfera normativa. A Lei Geral de Proteção de Dados (LGPD) deriva do Regulamento Geral sobre a Proteção de Dados (GDPR) europeu e o PL 2338/2023, que discutiremos posteriormente, também foi fortemente inspirado pelo AI Act.

Inovação de mercado e regulação setorial no âmbito estadunidense

Em contraste direto com a Europa, os Estados Unidos adotaram uma abordagem “pró-inovação” e impulsionada pelo mercado, evitando uma legislação única e abrangente. A filosofia central, especialmente sob a administração atual, é remover barreiras regulatórias para manter a “dominância global em IA”.

Essa estratégia se apoia em reguladores setoriais existentes e em frameworks voluntários, como o AI Risk Management Framework do NIST (National Institute of Standards and Technology), que oferece diretrizes em vez de regras mandatórias.
Essa abordagem reflete uma profunda divisão ideológica. A política atual revogou iniciativas anteriores que eram mais cautelosas, priorizando explicitamente a desregulamentação e a competitividade econômica em detrimento de salvaguardas contra vieses e discriminação.

Essa diferença filosófica é capturada na terminologia: enquanto a UE busca uma “IA Confiável” (Trustworthy AI), baseada em conformidade e direitos, os EUA promovem uma “IA Responsável” (Responsible AI), que depende mais da autorregulação e da ética corporativa.

O resultado é um ambiente regulatório mais flexível, mas também mais fragmentado e potencialmente menos protetivo dos direitos individuais. A confiança vem por meio da transparência, engajamento e prestação de contas voluntária, não de implicações jurídicas obrigatórias e diretas.

O paradigma chinês de ambição tecnológica

A China, com um modelo menos conhecido, mas promissor, implementa uma estratégia de governança de IA liderada pelo Estado, utilizando uma abordagem “vertical” com regulamentações direcionadas para aplicações específicas, como algoritmos de recomendação, síntese profunda (deep synthesis) e IA generativa.

A política chinesa é guiada por um duplo objetivo: tornar-se o líder mundial em IA até 2030 e garantir a estabilidade social e a segurança nacional. Em outras palavras, ela combina ambição tecnológica com supervisão governamental, delineando uma governança de IA mais rígida e de alcance nacional.

As regulamentações chinesas priorizam o controle de conteúdo, o alinhamento com os “valores socialistas centrais” e a realização de avaliações de segurança rigorosas antes da implementação de novos serviços.

Embora a China promova a colaboração internacional em seus próprios termos, sua abordagem é fundamentalmente centrada no controle estatal, criando um ecossistema onde a inovação é direcionada para atender aos objetivos do governo, a fim de estabelecer alguma resistência à hegemonia tecnológica de países ocidentais.

Empresas que operam no país, como Tencent, Alibaba e ByteDance, precisam navegar por um complexo conjunto de regras sobre segurança de dados, moderação de conteúdo e revisões éticas que são intrinsecamente ligadas ao seu sistema político.

A alternativa britânica: flexibilidade pós-Brexit

Por fim, após sua saída da União Europeia, o Reino Unido optou por uma abordagem mais flexível, não estatutária e baseada em princípios, buscando se posicionar como um centro de inovação ágil.

Em vez de criar uma nova lei abrangente, o governo britânico capacitou os reguladores setoriais existentes — como a agência reguladora de medicamentos (MHRA) para a área da saúde — para aplicar cinco princípios centrais: segurança, transparência, justiça, responsabilidade e contestabilidade.

A vantagem pretendida é a flexibilidade. No entanto, essa estratégia cria uma “colcha de retalhos” regulatória que pode ser complexa e carecer da segurança jurídica oferecida pelo modelo da UE. Além disso, a realidade do mercado significa que as empresas britânicas que visam o continente europeu ainda estarão sujeitas às regras do AI Act, limitando o alcance prático de sua divergência regulatória.

Em síntese, o cenário global de governança em IA não é apenas um conjunto de regras díspares, mas uma disputa por influência tecnológica, econômica e ideológica. A escolha de um framework de governança por uma empresa brasileira é, implicitamente, um alinhamento com um desses blocos geopolíticos, com consequências diretas na sua capacidade de atrair capital, talento e acesso a mercados.

Brasil em pauta: decodificando o Marco Legal da IA (PL 2338/2023)

O Projeto de Lei 2338/2023 representa a entrada definitiva do Brasil na arena global da regulação de IA. Fruto do trabalho de uma comissão de juristas, o texto é robusto e alinhado com práticas internacionais, buscando um equilíbrio entre a proteção de direitos fundamentais e o fomento à inovação tecnológica.

Após ser aprovado no Senado, o projeto agora tramita em uma Comissão Especial na Câmara dos Deputados, com a expectativa de ser sancionado em um futuro próximo, o que torna sua análise urgente para qualquer empresa que desenvolva ou utilize IA no país.

Estrutura e princípios fundamentais

A lei é construída sobre uma base sólida de princípios que colocam o ser humano no centro. Seus fundamentos incluem o respeito aos direitos humanos e valores democráticos, a não discriminação, a privacidade e a proteção de dados. O objetivo declarado é criar um ambiente de segurança jurídica que, ao mesmo tempo que protege os cidadãos e seus direitos fundamentais, estimula o desenvolvimento científico e tecnológico.

A escala de risco na prática

Inspirado no modelo europeu, o pilar central do PL 2338/2023 é uma abordagem baseada em risco. A lei exige que todo sistema de IA passe por uma avaliação preliminar realizada pelo fornecedor para classificar seu grau de risco, o que determinará o nível de obrigações regulatórias a serem cumpridas.

Risco Excessivo (proibido)

O Artigo 14 veda explicitamente a implementação e o uso de sistemas de IA que apresentem um risco inaceitável à sociedade. Isso inclui:

• Técnicas subliminares: Sistemas que visam induzir pessoas a comportamentos prejudiciais à sua saúde ou segurança;
• Exploração de vulnerabilidades: Sistemas que se aproveitam de vulnerabilidades de grupos específicos (como crianças, idosos ou pessoas com deficiência) para induzi-los a comportamentos nocivos;
• Social scoring pelo poder público: O uso de sistemas pelo Estado para avaliar e classificar cidadãos com base em seu comportamento social para determinar o acesso a bens, serviços ou políticas públicas de forma ilegítima ou desproporcional.

Além disso, o Artigo 15 restringe severamente o uso de sistemas de identificação biométrica à distância e em tempo real em espaços públicos para fins de segurança pública. Tal uso só é permitido com autorização judicial e em casos muito específicos, como a persecução de crimes graves ou a busca por pessoas desaparecidas.

Alto Risco (permitido com obrigações estritas)

O Artigo 17 define uma lista de aplicações consideradas de alto risco, que, embora permitidas, estarão sujeitas a um rigoroso conjunto de regras de governança e supervisão. Essas áreas incluem:

• Infraestruturas críticas: Gestão de trânsito, redes de abastecimento de água e eletricidade.
• Educação e formação profissional: Sistemas que determinam o acesso a instituições de ensino ou avaliam estudantes.
• Emprego e gestão de trabalhadores: Ferramentas para recrutamento, triagem de candidatos, tomada de decisões sobre promoções, demissões e avaliação de desempenho.
• Serviços essenciais: Avaliação de acesso a serviços públicos e privados, como assistência social e seguros.
• Análise de crédito: Sistemas que avaliam a capacidade de endividamento ou estabelecem a classificação de crédito de pessoas.
• Saúde: Aplicações destinadas a auxiliar em diagnósticos e procedimentos médicos.
• Administração da justiça e segurança pública: Sistemas que auxiliam autoridades judiciais ou policiais, incluindo avaliações de risco de reincidência criminal.
• Sistemas de identificação biométrica.

Direitos dos cidadãos e deveres das empresas

A lei estabelece um capítulo dedicado aos direitos das pessoas afetadas por sistemas de IA, que se traduzem diretamente em obrigações para as empresas. Entre os principais direitos garantidos está o de ser informado previamente e de forma clara ao interagir com um sistema de IA.

Além disso, a legislação assegura o direito à explicação, permitindo que o indivíduo receba informações sobre os critérios e procedimentos que levaram a uma decisão, recomendação ou previsão que o afete. A lei também garante o direito de contestar decisões automatizadas com impacto significativo ou jurídico, com a possibilidade de solicitar uma revisão humana.

Por fim, é assegurada a proteção contra vieses discriminatórios, diretos ou indiretos, com o direito à correção desses desvios. A privacidade e proteção de dados, evidentemente, constam como direitos assegurados pelo PL já em seu segundo capítulo, reforçando sua posição como um mediador da segurança sobre as informações manipuladas pelas empresas de tecnologia.

Governança mandatória: as novas regras do jogo

Por fim, o PL 2338/2023 estabelece um regime de governança robusto, com exigências que variam conforme o nível de risco do sistema.

• Governança Geral (Art. 19): Todos os agentes de IA devem estabelecer medidas mínimas de governança, como transparência sobre o uso de IA, gestão de dados para mitigar vieses, e adoção de privacidade desde a concepção (privacy by design).
• Governança para Sistemas de Alto Risco (Art. 20 e 21): Para sistemas de alto risco, as exigências são muito mais rigorosas e incluem:
  • Manutenção de documentação técnica detalhada.
  • Uso de ferramentas para registro automático da operação do sistema (logs).
  • Realização de testes de confiabilidade, incluindo acurácia, precisão e robustez.
  • Medidas de gestão de dados para prevenir vieses, o que inclui a recomendação de equipes de desenvolvimento diversas.
  • Garantia de explicabilidade dos resultados e supervisão humana efetiva.
• Avaliação de Impacto Algorítmico (AIA) (Art. 22-26): Esta é uma das obrigações mais significativas. Fornecedores e operadores de sistemas de alto risco são obrigados a realizar uma Avaliação de Impacto Algorítmico antes de colocar o sistema no mercado. Este relatório deve analisar os riscos do sistema a direitos e liberdades, e as conclusões devem ser tornadas públicas, respeitando segredos comerciais.

Consequências para o mundo corporativo

A introdução de requisitos ex-ante (prévios à comercialização), como a Avaliação de Impacto Algorítmico, representa uma mudança fundamental no ciclo de desenvolvimento de produtos de IA no Brasil. A cultura de “mover-se rápido e quebrar coisas”, comum em startups de tecnologia, torna-se insustentável para aplicações de alto risco.

A nova realidade exigirá um modelo de “documentar, avaliar e mitigar”. Fases como classificação de risco, avaliação de impacto, testes de viés e documentação detalhada precisarão ser integradas aos processos de desenvolvimento, como sprints ágeis.

Ignorar essas etapas não será apenas uma má prática, mas uma violação legal, sujeita a multas que podem chegar a R$ 50 milhões ou 2% do faturamento da empresa, além da possibilidade de suspensão do sistema de IA. governança, portanto, não pode mais ser tratada como uma função de suporte ou um mero diferencial: sua integração ao cotidiano corporativo e aos processos das empresas em breve será uma medida de sobrevivência mercadológica.

Impacto da governança de IA nos negócios

Conforme demonstramos anteriormente, a transição para um ambiente regulado exige que as empresas brasileiras movam a governança de IA do plano teórico para a execução prática. Isso envolve enfrentar desafios complexos e construir um framework interno robusto que seja compatível com a legislação e permita que a inovação empresarial continua fluindo de forma responsável.

Desafios reais da implementação

A implementação de uma governança de IA eficaz enfrenta obstáculos práticos que vão além da simples redação de políticas. Os principais desafios incluem:

• Viés e justiça: Sistemas de IA aprendem a partir de dados, e se esses dados refletem preconceitos históricos, eles serão perpetuados e ampliados pela tecnologia. Isso pode levar a resultados discriminatórios em contratações, concessão de crédito e outras áreas críticas, um risco diretamente abordado pelo PL 2338/2023.
• Privacidade e segurança de dados: Modelos de linguagem e outros sistemas de IA processam volumes massivos de dados, muitas vezes sensíveis, tornando-se alvos valiosos para ataques cibernéticos e criando riscos significativos de violação de privacidade. A lei brasileira reforça a necessidade de alinhar a governança de IA com a Lei Geral de Proteção de Dados (LGPD).
• Transparência e explicabilidade: A natureza de “caixa-preta” de muitos algoritmos complexos dificulta a compreensão de como eles chegam a uma determinada decisão. Essa opacidade mina a confiança e torna quase impossível cumprir com o direito à explicação garantido pela nova lei.
• Responsabilidade e prestação de contas: Quando um sistema de IA falha ou causa dano, determinar quem é o responsável — o desenvolvedor, o operador, o fornecedor dos dados — é um desafio complexo. O PL 2338/2023 estabelece regras claras de responsabilidade civil para preencher essa lacuna.
• Liderança e cultura organizacional: Frequentemente, a maior barreira à governança de IA não é a tecnologia, mas a liderança. Executivos que não direcionam a organização com rapidez e não estabelecem metas claras para a adoção responsável da IA podem deixar suas empresas vulneráveis e para trás na corrida pela inovação segura.

Construindo um framework de governança de IA

Os caminhos para uma boa governança de IA são múltiplos e passam por diversos fatores. Empresas em diferentes níveis de maturidade em IA naturalmente terão que lidar com questões diferentes e adaptar as exigências das legislações emergentes aos seus contextos, mas alguns passos provavelmente serão comuns para todas.

Antes de mais nada, para se preparar para o novo cenário regulatório, as empresas devem começar estabelecendo uma estrutura clara de responsabilidade, com uma equipe multifuncional e papéis bem definidos para supervisionar a implementação de IA.

O passo seguinte é mapear todos os sistemas de IA em uso e classificá-los conforme o framework de risco do PL 2338/2023, conduzindo Avaliações de Impacto Algorítmico para os sistemas de alto risco.

Com os riscos mapeados, a empresa deve formalizar seu compromisso por meio de uma política de IA escrita, inspirada em princípios de mercado já consolidados, como os da Microsoft e do Google. A execução dessa política depende de uma governança de dados robusta, que garanta a qualidade e a privacidade dos dados, e da gestão de todo o ciclo de vida dos modelos, desde a concepção até o monitoramento contínuo.

Finalmente, a governança deve ser um processo vivo, mantido por meio de monitoramento constante para detectar desvios, auditorias regulares e, crucialmente, o fomento de uma cultura de IA responsável por meio de treinamentos e comunicação aberta.

Em outras palavras, um framework de governança de IA verdadeiramente eficaz não pode ser apenas um documento estático arquivado no departamento de compliance. Ele deve ser um sistema vivo, dinâmico e integrado ao ritmo operacional da empresa, que acompanhe o cotidiano e os processos de perto e esteja integrado ao funcionamento do negócio, não sobreposto a ele como um “adicional”.

Conclusão

A era do desenvolvimento de Inteligência Artificial em um ambiente desregulado chegou ao fim. A convergência da pressão regulatória global, exemplificada pelo AI Act da União Europeia, e a iminente aprovação do abrangente Projeto de Lei 2338/2023 no Brasil, consolida a governança de IA como um pilar não negociável dos negócios modernos.

Tentar operar à margem dessa nova realidade não é mais uma opção viável; é uma receita para o risco legal, financeiro e reputacional.

No entanto, enxergar essa transformação apenas pela lente da conformidade é perder de vista a oportunidade estratégica que ela representa. As empresas que abraçarem proativamente a governança de IA não estarão apenas mitigando riscos. Elas estarão construindo produtos mais resilientes, éticos e, em última análise, mais valiosos.

Estarão se posicionando de forma vantajosa para atrair investimentos de fundos que já operam sob rigorosos critérios ESG (Ambiental, Social e de Governança), para acessar mercados internacionais exigentes como o europeu, e para conquistar a lealdade de consumidores cada vez mais conscientes sobre o uso de seus dados e o impacto da tecnologia em suas vidas.

O chamado à ação para os líderes empresariais no Brasil é claro e urgente. A construção de um framework de governança de IA é um processo que demanda investimento, mudança cultural e, acima de tudo, visão estratégica. Esperar a sanção final da lei para começar a agir é adotar uma postura reativa em um campo que premia a antecipação.

Liderar a mudança, integrando a responsabilidade no DNA de suas operações de IA, é a única postura estratégica possível. O momento de transformar a governança de um requisito em uma vantagem competitiva é agora.