Por que a gestão de riscos no uso de inteligência artificial exige sair do registro do conselho prudencial e entrar no registro da disciplina institucional
A discussão sobre riscos no uso da inteligência artificial em ambientes jurídicos tem se desenvolvido, na maior parte das vezes, em registro reconhecível como conselho prudencial. Sugere-se cautela. Recomenda-se verificar referências. Aconselha-se proteger dados sensíveis. Alerta-se para alucinações. Esse vocabulário, embora bem intencionado e tecnicamente correto, opera em camada que não constrói o que efetivamente reduz riscos. Reduz riscos quem implanta disciplina institucional. Conselho prudencial, mesmo bem articulado, é apenas a etapa introdutória do trabalho.
A distinção entre conselho prudencial e disciplina institucional é fundamental. Conselho prudencial orienta o cuidado individual. Cada profissional, ao ler a recomendação, pode ou não internalizá-la. Pode aplicá-la em alguns casos e esquecê-la em outros. Sua aplicação depende, em larga medida, da disposição pessoal de cada um em momento específico. Disciplina institucional opera em outro registro. Cria processos que tornam o cuidado obrigatório, distribuído, verificável. Não depende da disposição individual. Depende de arquitetura organizacional construída deliberadamente.
A pergunta que esse artigo coloca é por que tantos ambientes jurídicos brasileiros continuam tratando a gestão de riscos no uso da inteligência artificial em registro de conselho prudencial, sem reconhecer que apenas a transição para disciplina institucional efetivamente reduz o risco em escala compatível com o que a operação real exige. E o que distingue a primeira abordagem da segunda.
A percepção intuitiva é insuficiente
A leitura predominante sobre redução de riscos opera com pressuposto que merece exame. Pressupõe-se que profissionais qualificados, devidamente alertados, conseguirão aplicar individualmente os cuidados necessários em sua operação cotidiana. Cada um, ao usar a ferramenta, verificará as referências. Protegerá os dados sensíveis. Manterá ceticismo metodológico. Esse pressuposto é, em parte, verdadeiro. Profissionais qualificados, com tempo adequado e disposição mental disponível, fazem o que sabem que precisa ser feito.
O pressuposto, contudo, ignora algumas realidades operacionais. A primeira é a do tempo. Em ambientes jurídicos profissionais, o tempo é, frequentemente, recurso escasso. Profissionais com agenda apertada, pressionados por prazos, acumulando demandas, encontram-se em situação em que o cuidado adicional cede diante da urgência. Não porque não saibam. Porque, em momento de pressão, o que se sabe nem sempre se aplica.
A segunda é a da repetição. Cuidado individual demanda mobilização cognitiva consciente. Em volume elevado de operações cotidianas, a mobilização consciente cede a hábitos automáticos. Os automatismos não incluem o ceticismo necessário. Profissionais que verificavam referências nos primeiros usos passam, com a fluência aparente das saídas, a verificar com menor rigor.
A terceira é a da uniformidade. Diferentes profissionais aplicam diferentes níveis de cuidado. Alguns são mais rigorosos. Outros, menos. Quando a organização depende exclusivamente do cuidado individual, a operação resultante carrega a fragilidade do elo mais fraco. Não basta que a maioria seja diligente. Basta que alguns não sejam para que incidentes apareçam.
A quarta é a da invisibilidade. Cuidado individual deixa pouca marca documental. Mesmo quando aplicado, é difícil de demonstrar em diligências, em auditorias, em situações de contestação. Disciplina institucional, ao contrário, produz registro. O registro é o que sustenta a posição da organização quando o cuidado é questionado.
Aspectos invisíveis e subestimados
Existe uma dimensão da gestão de riscos em inteligência artificial que escapa às discussões iniciais. Trata-se da diferença entre risco percebido e risco real. Profissionais experientes tendem a perceber riscos que conhecem por experiência prévia em outros temas. Subestimam riscos que são específicos da nova tecnologia. Sistemas conversacionais introduzem categorias de erro que poucos profissionais reconhecem espontaneamente. Sem disciplina institucional que ensine esses riscos específicos, mesmo profissionais qualificados podem operar com lacunas de percepção significativas.
Outra dimensão pouco lembrada é a temporal. Alguns riscos no uso da inteligência artificial não se manifestam imediatamente. Manifestam-se em prazos que excedem o ciclo de atenção operacional dos profissionais envolvidos. Dados submetidos a ferramentas externas podem ressurgir em contexto problemático meses depois. Referências aparentemente verificadas podem ser questionadas por diligências posteriores. Decisões mal documentadas no momento podem comprometer revisões futuras. Conselho prudencial não captura essa temporalidade. Disciplina institucional inclui mecanismos de proteção contra riscos diferidos.
Há também a dimensão da escala. Em ambientes com volume operacional significativo, mesmo baixas probabilidades individuais de incidente produzem incidentes em volume absoluto considerável. Profissionais que aplicam cuidado individual reduzem a probabilidade de incidente em cada caso. Disciplina institucional reduz a probabilidade em todos os casos simultaneamente, com efeito de escala que conselho prudencial isolado não alcança.
Por fim, há a dimensão da aprendizagem institucional. Quando algo dá errado, o incidente individual ensina o profissional envolvido. Disciplina institucional inclui mecanismos pelos quais o incidente ensina a organização inteira. Casos discutidos coletivamente, processos ajustados, procedimentos atualizados. Conselho prudencial, mesmo bem dado, perde-se quando o profissional sai da organização. Disciplina institucional permanece.
Riscos da gestão apenas individual
Quando a gestão de riscos no uso da inteligência artificial é deixada exclusivamente ao cuidado individual, riscos específicos se acumulam. O primeiro é o risco da inconsistência. Diferentes profissionais aplicam diferentes níveis de proteção. Quando incidentes ocorrem, é difícil demonstrar padrão institucional de cuidado. A organização aparece como desorganizada, mesmo quando alguns profissionais individuais eram diligentes.
O segundo é o risco da exposição em diligência. Clientes corporativos sofisticados, autoridades regulatórias e órgãos de controle interno perguntam não apenas se há cuidado, mas como ele é estruturado. Respostas que dependem da diligência individual transmitem fragilidade institucional. Respostas que demonstram disciplina institucional transmitem maturidade.
O terceiro é o risco da defasagem de aprendizagem. Sem mecanismos institucionais para que incidentes individuais sejam absorvidos coletivamente, a organização tropeça nos mesmos problemas reiteradamente. Cada profissional aprende com o próprio erro, mas a organização não amadurece.
O quarto é o risco da reputação afetada por episódio singular. Quando um incidente público acontece, a investigação posterior frequentemente revela ausência de disciplina institucional. A organização, embora competente em outras dimensões, é exposta como tendo deixado o tema ao acaso individual.
Critérios de uma disciplina institucional madura
Algumas características reaparecem em organizações que conseguiram construir disciplina institucional efetiva sobre uso da inteligência artificial. A primeira é a existência de processos definidos para situações específicas. Quando determinados tipos de uso ocorrem, há sequência verificável de etapas que precisam ser cumpridas. Essas etapas estão integradas à própria operação, não como obstáculos adicionais, mas como passos naturais do processo.
A segunda é a presença de registro documental. As decisões sobre uso são documentadas. As verificações realizadas são documentadas. Os incidentes ocorridos são documentados. Esse registro tem função prática, em caso de questionamento posterior, e função formativa, alimentando aprendizagem coletiva.
A terceira é a existência de instâncias institucionais para tratamento de casos. Quando algo dá errado, ou quando algo merece discussão, há lugar institucional onde isso pode ser discutido com sigilo apropriado, com qualificação técnica adequada, com possibilidade de aprendizagem coletiva. Esse lugar é o que distingue disciplina institucional viva de cerimonial formal.
A quarta é a calibragem proporcional. Disciplina institucional madura não é regime burocrático que paralisa a operação. É arquitetura que distribui o cuidado em proporção ao risco real, com leveza nas situações de baixo risco e rigor nas situações de alto risco. Essa calibragem demanda experiência e ajuste contínuo.
A quinta é o investimento sustentado em formação. Disciplina institucional sem formação correspondente envelhece rapidamente. Profissionais que mudam de função, novos integrantes, mudanças tecnológicas exigem formação continuada que mantém viva a competência institucional.
Implicações competitivas e reputacionais
Em médio prazo, organizações que construíram disciplina institucional madura sobre uso da inteligência artificial terão construído ativo de governança difícil de replicar. Esse ativo se manifestará em performance operacional consistente, em capacidade de responder a diligências com substância real, em reputação pública de seriedade institucional, em resiliência diante de mudanças regulatórias.
Em sentido inverso, organizações que permanecem em registro de conselho prudencial descobrirão, em algum momento, que sua exposição é significativamente superior à percebida. Incidentes que poderiam ter sido evitados ocorrem. Diligências sofisticadas expõem fragilidades. A reputação institucional se ajusta para baixo em direção que demoraria a ser recuperada.
Há também a dimensão da contribuição ao repertório nacional. Organizações que construíram disciplina institucional madura tornam-se referência. Sua experiência é estudada, sua estrutura é replicada, sua prática alimenta discussões setoriais. Esse capital simbólico se acumula em ciclos longos e tem valor estratégico significativo.
Reflexão final
Por que a gestão de riscos no uso de inteligência artificial exige sair do registro do conselho prudencial e entrar no registro da disciplina institucional. Porque o cuidado individual é insuficiente diante de operações de volume e velocidade características das organizações jurídicas contemporâneas. Porque a invisibilidade do cuidado individual não sustenta diligências, auditorias, demonstrações de seriedade institucional. Porque a aprendizagem coletiva, que apenas a disciplina institucional sustenta, é o que efetivamente faz a organização amadurecer ao longo do tempo. Porque o tempo de exposição que o conselho prudencial deixa aberto se traduz, em médio prazo, em incidentes que comprometem reputação e operação.
O tempo está construindo uma realidade em que organizações que construíram disciplina institucional verdadeira terão ativo de governança que se manifestará em decisões silenciosas do mercado, em resiliência diante de mudanças regulatórias, em capacidade de sustentar identidade institucional sob pressão. As que permaneceram em conselho prudencial encontrarão-se respondendo sob pressão, com desvantagens que poderiam ter sido evitadas.
A NeuralLex, sob a direção de Jamille Porto, dedica-se a essa fronteira oferecendo a escritórios, departamentos jurídicos, faculdades e instituições brasileiras leitura especializada para que a gestão de riscos no uso da inteligência artificial seja conduzida em registro de disciplina institucional efetiva, capaz de proteger a operação com profundidade proporcional ao que o ambiente regulatório e competitivo passa a exigir.
