Governança e Compliance de IA

Governança de IA é o conjunto de regras, processos e papéis que organizam o uso institucional da inteligência artificial. Define quem decide o quê, em que processo, sob que critérios, com que registro. Não é cartilha de proibições; é infraestrutura que permite usar a tecnologia com responsabilidade.

A governança opera em cinco pilares: política institucional escrita, matriz de classificação de riscos, biblioteca de fluxos padronizados, sistema de audit trail e ciclo de revisão e melhoria. Sem qualquer um, o conjunto fica frágil.

Para o setor jurídico, governança tem peso especial: o profissional opera sob dever de zelo, dever de sigilo, e responsabilidade técnica. Sem governança documentada, fica difícil sustentar diligência razoável quando há questionamento.

Porque mesmo organização que não desenvolve IA, usa IA. Profissionais já operam com ChatGPT, Claude, Gemini cotidianamente. Sem política, cada um decide intuitivamente, e a instituição responde por inconsistências que nunca discutiu.

A política institucional protege em três frentes: reputacional (incidentes têm tratamento estruturado), regulatória (conformidade com LGPD, marcos setoriais), e operacional (padronização entre profissionais). Vale para escritório de 5 pessoas e para empresa de 5 mil.

A versão mínima funcional tem 5-15 páginas. Não engessa; organiza. A diferença entre organizações com e sem política aparece com clareza no primeiro incidente.

A matriz organiza os usos de IA por nível de risco, com tratamento específico para cada nível. Modelo em quatro camadas:

Verde: uso sem dados pessoais, sem produto final (exploração, estudo). Livre.

Amarelo: uso com dados anonimizados, com produto que vai para cliente/aluno. Revisão humana obrigatória.

Laranja: uso com dados anonimizados em tarefa sensível. Revisão sênior + registro.

Vermelho: uso com dados pessoais identificáveis ou em decisão crítica. Autorização explícita + registro + revisão dupla.

Critérios para classificar: impacto sobre direitos, reversibilidade, sensibilidade de dados, exigência de revisão humana. A matriz é construída em uma sessão de 4-6 horas, com representação institucional adequada.

Audit trail é o registro institucional do uso de IA: que fluxo foi executado, por quem, em que cliente/caso, com que data, com checksum (impressão digital) da saída.

Importa por três razões. Primeira: memória institucional. Em caso de questionamento (interno, de cliente, regulatório, judicial), o audit trail responde "neste caso, em tal data, fulano executou tal fluxo; a saída foi revisada por sicrana; eis o registro técnico".

Segunda: ferramenta de melhoria. Indicadores extraídos do audit trail mostram padrões de uso, gargalos, oportunidades.

Terceira: proteção institucional. Em ambiente regulatório que evolui (Marco Legal da IA, LGPD), audit trail demonstra diligência razoável.

Em sistemas como NeuralLex Fluxo, o audit trail é embutido. Em uso de IA pública sem plataforma própria, precisa ser implementado manualmente (planilha, registro institucional).

Em organizações pequenas, geralmente sócio gestor ou diretor jurídico. Em organizações maiores, comitê (3-5 pessoas) com membros de diferentes áreas (jurídico, TI, operação).

Características desejáveis: conhecimento técnico básico de IA, sensibilidade institucional, autoridade interna para decidir, disponibilidade para acompanhamento contínuo (não apenas eventual).

Em alguns casos, faz sentido figura externa (consultor) que apoia internamente em fase inicial e transfere maturidade ao interno.

O responsável dialoga com DPO, com compliance officer, com TI, com a liderança máxima. Não opera isoladamente.

Procedimento típico em sete passos:

1. Identificação. Reconhecer que houve incidente.
2. Comunicação imediata ao responsável institucional.
3. Contenção. Ações para limitar dano (parar uso, comunicar afetados).
4. Investigação. Apuração do que aconteceu.
5. Correção. Ajustes no processo, na política, no treinamento.
6. Registro. Documentação completa.
7. Comunicação à ANPD (se houver vazamento de dado pessoal), aos afetados, à corregedoria interna.

Cultura institucional importa. Tratamento punitivo desproporcional empurra à clandestinidade; tratamento aprendente melhora a operação.

Em organizações maduras, os incidentes são compartilhados internamente (sem expor pessoa) como caso de aprendizagem coletiva.

Como regra, a política é documento interno. Mas há partes que costumam ter comunicação pública: princípios gerais, garantias a cliente sobre uso de IA na prestação de serviços, transparência ativa em órgãos públicos.

Para escritórios sofisticados, ter comunicação pública sobre o tema (mesmo sem divulgar a política completa) é diferencial competitivo. Sinal de maturidade institucional.

Para órgãos públicos, a transparência ativa é dever sob a Lei de Acesso à Informação. Parâmetros de sistemas relevantes devem ser publicizados.

São complementares. Compliance LGPD foca proteção de dados pessoais; compliance de IA foca uso responsável da tecnologia em todas as suas dimensões (não apenas dados).

Os dois se cruzam fortemente: cada uso de IA com dados pessoais é tratamento sob LGPD. Mas o compliance de IA tem perímetro mais amplo: riscos de alucinação, vieses, dependência, transparência sobre decisões automatizadas, governança setorial.

Em organizações maduras, há diálogo permanente entre DPO (LGPD) e responsável por IA. Em organizações pequenas, frequentemente é a mesma pessoa.

Em 2026, em tramitação avançada no Congresso, com versões diversas em discussão. A expectativa é aprovação iminente. Acompanhe pelos sites da Câmara e do Senado.

O projeto-base estabelece classificação de risco, avaliação de impacto algorítmico, direito à explicação, responsabilidade do fornecedor, e regras setoriais. Provavelmente convivirá com a LGPD e com regulações setoriais já existentes.

Organizações que estruturarem governança agora chegarão à entrada em vigor em conformidade. As que esperarem podem ter dificuldades de adaptação rápida.

Due diligence em oito frentes:

1. Quem é o fornecedor (sede, jurisdição, acionistas relevantes)
2. Modelo de IA é próprio ou terceirizado
3. Onde os dados são armazenados e processados
4. Há cláusula de não-treinamento sobre dados do cliente
5. Certificações de segurança (SOC 2, ISO 27001, ISO 27701)
6. Conformidade LGPD (DPA disponível, representante no Brasil)
7. Cláusulas contratuais críticas (responsabilidade, indenização, foro)
8. Mecanismo de notificação de incidentes

A due diligence documentada protege a organização. Em caso de incidente, demonstra diligência razoável na escolha.

Pode, mas com limites claros. Em planos gratuitos, os dados podem ser usados para treinamento. Para uso esporádico em tarefas sem dados sensíveis (estudo, exploração, brainstorm conceitual), é admissível.

Para uso profissional regular, especialmente com dados de cliente ou material institucional, plano corporativo (Team/Enterprise) com cláusula de não-treinamento é o caminho. Custo entre R$ 100 e R$ 220 por usuário/mês — investimento que se paga em algumas horas de trabalho otimizado.

A política institucional define o que é admissível em cada categoria de uso. Em escritórios sofisticados, a regra é: para trabalho com cliente, sempre plano pago corporativo.

Cadência típica em organização madura:

• Mensal: revisão informal de incidentes ocorridos, ajustes operacionais.
• Trimestral: revisão da matriz de classificação, biblioteca de fluxos, lista de ferramentas autorizadas.
• Semestral: revisão de versão da política (com possibilidade de versionamento formal).
• Anual: reavaliação estratégica completa.

Em ambientes de alta mudança regulatória, ciclo mais curto. Quando há novo marco normativo (Marco Legal da IA, resolução setorial), revisão imediata.

Não revisar é receita para defasagem. Revisar excessivamente é desgaste institucional. O equilíbrio é o que sustenta a operação.

Quantitativos:

• % de ferramentas em uso que passaram por due diligence formal
• % de fluxos com classificação de risco documentada
• Taxa de adesão da equipe à política
• Número de incidentes/mês (deve decrescer)
• Tempo médio de resposta a incidente

Qualitativos:

• Política conhecida e respeitada pela equipe
• Lideranças engajadas com o programa
• Cultura de transparência sobre incidentes
• Reputação externa como organização responsável

Programa maduro tem ambos: números bons e cultura saudável. Indicadores isolados podem enganar; o quadro completo orienta.

DPIA (Data Protection Impact Assessment) ou RIPD (Relatório de Impacto à Proteção de Dados) é obrigatório, sob a LGPD, em tratamentos de alto risco. Quando se adota IA para usos sensíveis (decisões automatizadas, perfilamento, dados de menores, dados sensíveis), a melhor prática é fazer DPIA antes da adoção.

O documento típico inclui: descrição do tratamento e finalidade, avaliação dos riscos aos titulares, medidas de mitigação, mecanismos de monitoramento contínuo, decisão fundamentada de prosseguir.

A DPIA documentada protege a organização em duas frentes: demonstra diligência razoável à ANPD, e força reflexão estruturada antes da adoção, reduzindo incidentes.

Para usos de IA de menor risco (uso interno sem dados pessoais, brainstorm conceitual), DPIA formal não é exigido; avaliação simples basta.

Aplica-se quando há operações internacionais ou exposição a clientes europeus. O EU AI Act tem aplicação extraterritorial em diversos cenários: organizações que ofereçam serviços de IA na UE, organizações cujas decisões com IA afetem pessoas na UE, organizações que tratem dados de europeus.

Mesmo organização brasileira sem operação direta na Europa pode ser afetada se atende a clientes europeus, se opera com partners europeus, se publica conteúdo direcionado à Europa.

A recomendação é mapear exposição. Se houver, ajustar governança para conformidade com o Act — em especial para sistemas classificados como "alto risco" sob a categorização europeia.