A inteligência artificial deixou de ser apenas assunto de inovação e tecnologia. Com o avanço da agenda regulatória, da proteção de dados e dos modelos de gestão de risco, seu uso passou a exigir governança, documentação, supervisão humana, controles e responsabilização.
Durante muito tempo, a inteligência artificial foi tratada nas organizações como tema predominantemente técnico, vinculado à inovação, à automação e à eficiência operacional. A decisão parecia pertencer quase integralmente à TI, à ciência de dados ou à área de transformação digital. Esse enquadramento já não basta. A inteligência artificial saiu da TI quando deixou de ser apenas ferramenta e passou a produzir efeitos jurídicos, regulatórios e reputacionais.
O ponto decisivo é simples: quando a IA influencia decisões, contratos, dados, controles internos, atendimento, classificação de risco e produção de conteúdo, ela deixa de ser apenas infraestrutura tecnológica e passa a ser objeto de governança corporativa. O verdadeiro problema da IA, hoje, não é tecnológico em primeiro lugar; é institucional. E, justamente por isso, o tema migrou para o campo jurídico-regulatório.
O Deslocamento Institucional: Porque a IA entrou no Jurídico-Regulatório
Esse deslocamento não decorre de modismo, mas de uma mudança concreta no modo como reguladores, organismos internacionais e o próprio mercado passaram a tratar a tecnologia. No Brasil, a Agência Nacional de Proteção de Dados (ANPD) tem assumido papel relevante na agenda regulatória, especialmente na intersecção entre inteligência artificial, proteção de dados pessoais, transparência e gestão de riscos. Paralelamente, o PL nº 2.338/2023, aprovado pelo Senado Federal na forma de substitutivo e remetido à Câmara dos Deputados, permanece em tramitação legislativa, ainda sem constituir lei vigente. Esse cenário revela que a regulação geral da inteligência artificial ainda está em construção, mas que seus efeitos já pressionam empresas e instituições a estruturarem governança, controles, documentação e responsabilização.
A publicação da Agenda Regulatória para o Biênio 2025-2026 evidencia essa prioridade. O documento prevê 16 ações regulatórias, destacando-se a inclusão expressa da "Inteligência Artificial" e do "Tratamento de Dados Pessoais de Alto Risco". Além disso, no Mapa de Temas Prioritários 2026-2027, a Agência definiu como prioridades de fiscalização os direitos dos titulares, a proteção de crianças e adolescentes no ambiente digital, o tratamento de dados pessoais pelo Poder Público e a inteligência artificial e tecnologias emergentes no contexto do tratamento de dados pessoais. A autarquia também publicou o Radar Tecnológico sobre IA Generativa, mapeando riscos e diretrizes para o uso dessas ferramentas.
Ainda no plano interno, a Resolução CNJ nº 615/2025 consolidou um marco normativo setorial relevante ao estabelecer diretrizes para o desenvolvimento, a utilização e a governança de soluções desenvolvidas com recursos de inteligência artificial no Poder Judiciário. Embora sua incidência esteja delimitada ao ambiente judicial, a norma reforça uma tendência institucional mais ampla, fundada em governança, auditoria, monitoramento, uso responsável, transparência, segurança, supervisão humana e conformidade ética e legal. Sua importância, para além do Judiciário, está em evidenciar que a inteligência artificial passou a ser tratada pelo regulador como tema de controle institucional, e não apenas como instrumento tecnológico.
No plano internacional, a Organization for Economic Co-operation and Development (OECD) atualizou em 2024 seus princípios sobre IA , o National Institute of Standards and Technology (NIST) consolidou um framework de gestão de riscos com perfil específico para IA generativa , e a International Organization for Standardization (ISO) publicou a ISO/IEC 42001 como padrão internacional de sistema de gestão para inteligência artificial. A União Europeia, por sua vez, já colocou em marcha o AI Act, com cronograma progressivo de aplicação, deveres de transparência, regras de governança e obrigações específicas para modelos de propósito geral.
A consequência é inequívoca: a questão já não é saber se a empresa usa IA, mas sob quais regras, com quais controles e com que grau de responsabilidade. Toda adoção relevante de IA passou a gerar perguntas que não são mais apenas técnicas. Toda automação relevante cria uma pergunta jurídica correspondente: quem define, quem supervisiona, quem responde?
A Regulação não incide sobre "Máquinas Pensantes", mas sobre Sistemas Sociotécnicos
Uma das correções conceituais mais importantes nesse debate é afastar a ideia de que o Direito estaria tentando disciplinar uma espécie de "agente autônomo" desvinculado de pessoas e organizações. Esse enquadramento é enganoso. A IA não elimina a responsabilidade humana; apenas a torna mais sofisticada, mais difusa e, por isso mesmo, mais exigente.
Em termos jurídicos e regulatórios, o foco adequado não é a ficção de uma máquina sujeita a deveres, mas a disciplina de sistemas sociotécnicos que operam com dados, critérios, parâmetros, objetivos e contextos definidos por seres humanos, dentro de estruturas organizacionais concretas. A regulação não incide sobre máquinas por serem inteligentes; ela incide sobre sistemas porque produzem efeitos concretos sobre pessoas, mercados e organizações. Por isso, o ponto central não é controlar "máquinas pensantes", mas disciplinar decisões automatizadas inseridas em estruturas humanas de poder e responsabilidade.
Dito de forma ainda mais direta: a IA não é sujeito autônomo de deveres; a responsabilidade permanece humana. Toda decisão automatizada é, juridicamente, uma decisão humana mediada por tecnologia. Por isso, o foco regulatório correto não é "controlar máquinas pensantes", mas disciplinar sistemas sociotécnicos que operam com dados, objetivos definidos por humanos e efeitos concretos sobre pessoas, organizações e mercados. Essa mudança de perspectiva é essencial, porque reposiciona a discussão no seu lugar correto: governança, accountability, transparência, explicabilidade e controle.
Esse deslocamento também repercute no campo da responsabilidade civil. A chamada responsabilização algorítmica não depende da atribuição de personalidade ou autonomia jurídica ao sistema de IA. Ao contrário, ela se constrói a partir da identificação dos agentes humanos e organizacionais envolvidos na concepção, contratação, parametrização, disponibilização, operação e supervisão da tecnologia. Em relações de consumo, podem incidir as regras do Código de Defesa do Consumidor sobre defeitos de produto ou falhas na prestação de serviço, especialmente quando houver informações insuficientes ou inadequadas sobre funcionamento, riscos ou efeitos do sistema. Quando houver tratamento de dados pessoais, a LGPD também fornece base expressa de responsabilização, ao prever o dever de reparação por danos patrimoniais, morais, individuais ou coletivos causados em violação à legislação de proteção de dados.
A Intersecção com a LGPD e o Problema de Compliance
A resposta para a entrada da IA no compliance está na natureza dos riscos envolvidos. O tema entrou no compliance porque a IA já opera no coração de atividades que exigem controle, rastreabilidade e accountability. Não se trata apenas de risco técnico. A IA pode gerar risco regulatório, risco de proteção de dados, risco reputacional, risco contratual, risco informacional e risco decisório ao mesmo tempo.
A governança de IA está intrinsecamente ligada ao cumprimento da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018). O Artigo 20 da LGPD é o dispositivo central nessa intersecção, ao garantir aos titulares o direito à revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses. A redação legal dispõe:
"Art.20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade."
O parágrafo 1º do referido artigo complementa a garantia, exigindo que o controlador forneça "informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial". Essa exigência legal impõe às organizações o desafio da explicabilidade (explainability) dos algoritmos. Para ilustrar: se um sistema de IA utilizado por uma instituição financeira nega crédito a um cliente, ou se um algoritmo de RH descarta automaticamente um currículo, a empresa precisa ser capaz de explicar os critérios que levaram a essa decisão, caso questionada.
A própria atuação da ANPD demonstra que essa preocupação já não é teórica. A autarquia já determinou medidas preventivas e suspensões cautelares envolvendo o tratamento de dados pessoais para treinamento de IA por grandes plataformas de tecnologia. No caso Meta, por exemplo, a ANPD determinou a suspensão cautelar do tratamento de dados pessoais para treinamento de sistemas de inteligência artificial, em contexto marcado por discussões sobre base legal, transparência, direitos dos titulares e riscos relacionados a crianças e adolescentes.
Esses exemplos revelam algo central: o risco da IA não está apenas no erro técnico, mas na confiança excessiva em processos que a própria organização não compreende integralmente. Quando não há clareza sobre base legal, finalidade, qualidade dos dados, transparência, supervisão humana, critérios de uso e mecanismos de correção, a adoção da tecnologia se converte em vetor de exposição institucional. Daí por que sem governança, a adoção de IA pode até acelerar processos, mas também acelera exposição jurídica e institucional. E, em termos de gestão, a conclusão é ainda mais incisiva: em matéria de IA, eficiência sem governança não é avanço; é vulnerabilidade com aparência de modernização.
O que a Governança de IA Exige na Prática
Uma vez reconhecido que a IA entrou no campo do compliance, o próximo passo é abandonar discursos vagos e traduzir o problema em exigências concretas. Os frameworks acadêmicos e profissionais de compliance indicam que a governança de IA não se resume a uma política interna genérica nem a uma diretriz ética redigida em termos abstratos. Ela exige inventário de usos, classificação por criticidade, definição de papéis, critérios de aprovação, registro de decisões, gestão de riscos ao longo do ciclo de vida, controles de acesso, monitoramento, resposta a incidentes e revisão contínua.
Iniciativas governamentais recentes ilustram essa necessidade prática. No âmbito da administração tributária, a Receita Federal do Brasil publicou sua nova Política de Inteligência Artificial, estabelecendo parâmetros éticos e operacionais rigorosos. A política destaca-se por instituir a exigência de supervisão humana obrigatória, determinando que os sistemas de IA devem atuar exclusivamente como ferramentas de apoio, permanecendo a decisão final e a responsabilidade atribuídas aos servidores públicos. Em paralelo, o Ministério da Justiça e Segurança Pública (MJSP) e a ANPD debatem, em 2026, a criação de um Guia de Uso Ético de IA, reforçando a necessidade de diretrizes claras para o setor público e privado.
Por isso, governança de IA não é freio à inovação; é a condição para que a inovação permaneça defensável. A empresa que deseja usar IA com maturidade precisa mapear seus casos de uso, identificar aplicações de maior impacto, distinguir ferramentas de baixo e de alto risco, definir supervisão humana proporcional, documentar limitações conhecidas, controlar fornecedores, preservar trilhas de auditoria e preparar mecanismos de revisão. O que se exige da empresa não é apenas capacidade de usar IA, mas capacidade de justificar, documentar e controlar o modo como ela a utiliza.
Liderança, Cultura e Responsabilidades
Se a IA passou a exigir controles, critérios e responsabilização, então sua governança não pode ficar confinada a uma área técnica. O uso corporativo da tecnologia afeta estratégia, operação, reputação, contratos, dados e exposição regulatória. Por isso, sua supervisão depende de desenho institucional e de patrocínio da alta administração. A empresa que trata IA apenas como pauta tecnológica corre o risco de descobrir tarde demais que o problema sempre foi de governança.
Aqui está uma das viradas mais importantes do tema. A experiência consolidada em gestão de riscos corporativos demonstra que a inovação tecnológica desacompanhada de mudança cultural tende a gerar passivos ocultos. Jurídico, compliance, proteção de dados e segurança da informação não entram no processo apenas para revisar uma solução tecnológica já escolhida. Eles passam a integrar a própria arquitetura de adoção. Isso ocorre porque a governança de IA exige decisões sobre finalidade, base legal, transparência, segregação de responsabilidades, controles sobre terceiros, critérios de validação, revisão humana e tratamento de incidentes. A maturidade no uso de IA não se mede pela ferramenta adotada, mas pela capacidade de explicar, supervisionar e sustentar seu uso.
Conclusão
A inteligência artificial saiu da TI e entrou no jurídico-regulatório porque deixou de ser apenas suporte técnico e passou a interferir em decisões, dados, contratos, controles e direitos. Em um cenário assim, não basta discutir performance de modelos, escalabilidade ou ganho de eficiência. O centro do debate passa a ser legitimidade, defensabilidade, transparência, supervisão e responsabilidade. A inteligência artificial deixou de ser apenas assunto de tecnologia quando passou a exigir justificativa, supervisão e responsabilidade.
A questão, portanto, já não é apenas tecnológica. Empresas que utilizam IA em seus negócios precisam transformar o uso da tecnologia em um processo governado, documentado e juridicamente defensável. Na prática, isso envolve mapear os casos de uso, classificar riscos, revisar bases legais de tratamento de dados, estabelecer políticas internas, definir responsabilidades, revisar contratos com fornecedores, prever mecanismos de supervisão humana, preservar trilhas de auditoria e estruturar respostas a incidentes. A governança de IA deixa, assim, de ser uma preocupação futura e passa a integrar a agenda concreta de compliance, proteção de dados, contratos e gestão de riscos. Para empresas expostas a decisões automatizadas, dados pessoais, fornecedores tecnológicos e riscos reputacionais, a ausência de governança não é neutralidade regulatória, mas vulnerabilidade institucional.
Referências Bibliográficas
[1] BRASIL. Câmara dos Deputados. Projeto de Lei nº 2.338/2023. Dispõe sobre o desenvolvimento, o fomento e o uso ético e responsável da inteligência artificial com base na centralidade da pessoa humana. Brasília, DF: Câmara dos Deputados. Disponível em: https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposicao=2487262. Acesso em: 1 jun. 2026.
[2] BRASIL. Agência Nacional de Proteção de Dados (ANPD). ANPD publica Agenda Regulatória 2025-2026. Brasília,DF: ANPD, 2024. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-agenda-regulatoria-2025-2026. Acesso em: 1 jun. 2026.
[3] BRASIL. Agência Nacional de Proteção de Dados (ANPD). ANPD publica Mapa de Temas Prioritários para o biênio2026-2027 e atualiza Agenda Regulatória 2025-2026. Brasília, DF: ANPD, 2025.Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-mapa-de-temas-prioritarios-para-o-bienio-2026-2027-e-atualiza-agenda-regulatoria-2025-2026. Acesso em: 1 jun. 2026.
[4] BRASIL. Agência Nacional de Proteção de Dados (ANPD). Radar Tecnológico: Inteligência Artificia lGenerativa. Brasília, DF: ANPD, 2024. Disponível em: https://www.gov.br/anpd/pt-br/centrais-de-conteudo/documentos-tecnicos-orientativos/radar_tecnologico_ia_generativa_anpd.pdf. Acesso em: 1 jun. 2026.
[5] BRASIL. Conselho Nacional de Justiça. Resolução CNJ nº 615, de 11 de março de 2025. Estabelece diretrizes para o desenvolvimento, utilização e governança de soluções desenvolvidas com recursos de inteligência artificial no Poder Judiciário. Brasília, DF: CNJ,2025. Disponível em: https://atos.cnj.jus.br/atos/detalhar/6001. Acesso em: 1 jun. 2026.
[6] ORGANISATION FOR ECONOMICCO-OPERATION AND DEVELOPMENT (OECD). AI principles. Paris: OECD, 2024.Disponível em: https://www.oecd.org/en/topics/sub-issues/ai-principles.html. Acesso em: 1 jun. 2026.
[7] NATIONAL INSTITUTE OFSTANDARDS AND TECHNOLOGY (NIST). Artificial Intelligence Risk ManagementFramework: Generative Artificial Intelligence Profile. Gaithersburg, MD: NIST,2024. Disponível em: https://www.nist.gov/publications/artificial-intelligence-risk-management-framework-generative-artificial-intelligence. Acesso em: 1 jun. 2026.
[8] INTERNATIONAL ORGANIZATION FORSTANDARDIZATION (ISO). ISO/IEC 42001:2023: Artificial intelligence management system. Geneva: ISO, 2023. Disponível em: https://www.iso.org/standard/42001. Acesso em: 1 jun. 2026.
[9] EUROPEAN UNION. Regulation(EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024laying down harmonised rules on artificial intelligence. Official Journal of the European Union, 2024. Disponível em: https://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng. Acesso em: 1 jun. 2026.
[10] BRASIL. Lei nº 13.709, de 14de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Diário Oficial da União, Brasília, DF, 15 ago. 2018. Especialmente arts. 20, 42 e 45. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm. Acesso em: 1 jun. 2026.
[11] BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Código de Defesa do Consumidor. Diário Oficial da União, Brasília, DF, 12 set. 1990. Especialmente arts. 12 e 14. Disponível em: https://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm. Acesso em: 1 jun. 2026.
[12] BRASIL. Agência Nacional de Proteção de Dados (ANPD). ANPD determina suspensão cautelar do tratamento dedados pessoais para treinamento da IA da Meta. Brasília, DF: ANPD, 2024.Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-determina-suspensao-cautelar-do-tratamento-de-dados-pessoais-para-treinamento-da-ia-da-meta. Acesso em: 1 jun. 2026.
[13] BRASIL. Receita Federal do Brasil. Portaria RFB nº 647, de 5 de fevereiro de 2026. Dispõe sobre a política de Inteligência Artificial no âmbito da Secretaria Especial da Receita Federal do Brasil. Brasília, DF: Receita Federal do Brasil, 2026. Disponível em: https://www.gov.br/receitafederal/pt-br/assuntos/noticias/2026/fevereiro/receita-federal-publica-politica-de-inteligencia-artificial-com-foco-em-responsabilidade-transparencia-e-supervisao-humana. Acesso em: 1 jun. 2026.
[14] BRASIL. Agência Nacional de Proteção de Dados (ANPD). ANPD debate Guia de Uso Ético de Inteligência Artificial no Palácio da Justiça. Brasília, DF: ANPD, 2026. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-debate-guia-de-uso-etico-de-inteligencia-artificial-no-palacio-da-justica. Acesso em: 1 jun. 2026.
