Governança da IA vira o novo campo de batalha jurídico: quem controla os algoritmos que já decidem parte da vida real?

A inteligência artificial deixou de ser promessa de laboratório e virou infraestrutura silenciosa da vida cotidiana. Ela recomenda conteúdo, filtra currículos, detecta fraudes, resume contratos, escreve relatórios, ajuda médicos, automatiza atendimento, analisa risco financeiro, monitora redes, cria imagens, gera código e começa a operar como agente em sistemas corporativos. A pergunta que antes parecia técnica, “como a IA funciona?”, agora ganhou uma camada jurídica mais urgente: quem responde quando ela erra?

O debate sobre inteligência artificial entrou em uma fase menos encantada e mais dura. O deslumbramento com ferramentas generativas deu lugar a um vocabulário de risco: governança, transparência, explicabilidade, auditoria, responsabilidade civil, proteção de dados, viés, segurança, rastreabilidade, direitos autorais e supervisão humana.

É nesse território que surge a governança da IA, um conjunto de regras, processos, instituições, práticas técnicas e princípios éticos para orientar o desenvolvimento e o uso de sistemas inteligentes. O livro The Governance of Artificial Intelligence, de Tshilidzi Marwala, enviado como base para esta matéria, define governança de IA como algo maior que regulação: ela envolve ética, política, tecnologia, sustentabilidade, dados, algoritmos e infraestrutura computacional. A obra organiza o tema em quatro eixos centrais: valores da IA, governança de dados, governança algorítmica e governança da computação que sustenta esses sistemas.

Essa visão amplia o debate. Regular IA não é apenas escrever uma lei dizendo o que pode ou não pode. É criar uma arquitetura de confiança para uma tecnologia que aprende com dados, opera em escala, influencia decisões humanas e, muitas vezes, produz resultados difíceis de explicar.

A inteligência artificial colocou o direito diante de uma máquina que não cabe bem nas categorias tradicionais. Ela é produto, serviço, infraestrutura, ferramenta, sistema estatístico, interface, banco de dados, assistente e, em alguns casos, quase operador autônomo. O problema jurídico nasce exatamente dessa mistura.

A lei corre atrás de uma tecnologia que não espera

A União Europeia foi o bloco que mais avançou em uma regulação ampla da IA. O AI Act entrou em vigor em 1º de agosto de 2024 e será plenamente aplicável em 2 de agosto de 2026, com exceções e prazos específicos para algumas obrigações. A lei europeia usa uma lógica baseada em risco: sistemas com baixo risco recebem exigências menores, enquanto usos de alto risco, como saúde, educação, emprego, infraestrutura crítica e aplicação da lei, passam a ter obrigações mais pesadas. (Digital Strategy)

No Brasil, o principal texto em discussão é o PL 2338/2023, aprovado no Senado e enviado à Câmara dos Deputados em março de 2025. A proposta trata do desenvolvimento, fomento e uso ético e responsável da inteligência artificial com base na centralidade da pessoa humana. Na Câmara, a proposição aparece como aguardando parecer em comissão especial. (Portal da Câmara dos Deputados)

Esse intervalo entre inovação e regulação é um dos grandes problemas da era da IA. A tecnologia avança por versões, atualizações, modelos e integrações. A lei avança por consultas, relatórios, comissões, votações e disputas políticas. O tempo da máquina é rápido. O tempo institucional é lento.

Marwala chama esse fenômeno de “regulatory lag”, ou atraso regulatório: a IA progride tão rapidamente que normas podem chegar tarde demais, depois que sistemas já foram implantados em ambientes sub-regulados.

Esse atraso não é apenas burocrático. Ele afeta pessoas. Uma IA de recrutamento pode excluir candidatos antes que exista auditoria. Um sistema de crédito pode discriminar consumidores antes que haja transparência. Um chatbot médico pode orientar mal antes que a responsabilidade esteja clara. Um agente autônomo pode acessar dados internos antes que a empresa saiba como limitar suas ações.

A governança surge para preencher esse vazio antes que ele vire dano.

A nova fronteira: regular dados, algoritmos e computação

O debate público costuma falar de IA como se ela fosse uma coisa só. Mas, por trás de um sistema inteligente, há pelo menos três camadas fundamentais: dados, algoritmos e infraestrutura computacional.

A governança de dados pergunta: de onde vêm as informações usadas para treinar e operar a IA? Há consentimento? Há dados pessoais? Há dados sensíveis? Há qualidade? Há viés? Há segurança? Há fluxo internacional?

A governança algorítmica pergunta: qual modelo foi escolhido? Como foi treinado? Foi validado? Foi testado? Ele pode ser explicado? Quem monitora erros? Quem corrige distorções?

A governança da computação pergunta: quem controla a infraestrutura? Onde os modelos rodam? Qual o custo energético? Quem tem acesso aos chips, nuvens e centros de dados? Como lidar com concentração de poder tecnológico?

O livro de Marwala destaca justamente essa arquitetura. Ele trata a IA como um sistema que depende de dados confiáveis, algoritmos auditáveis e capacidade computacional governada de forma ética, sustentável e inclusiva.

Essa abordagem muda o papel do jurídico nas empresas. O departamento legal não pode olhar apenas para termos de uso ou contratos com fornecedores. Precisa entender o ciclo inteiro: coleta de dados, treinamento, validação, implantação, monitoramento, atualização e desativação do sistema.

A pergunta deixa de ser “podemos usar IA?”. Passa a ser: “podemos provar que usamos IA de forma responsável?”.

Transparência virou obrigação de sobrevivência

Um dos maiores desafios jurídicos da IA é a opacidade. Sistemas complexos, especialmente modelos de aprendizado profundo, podem produzir respostas sem que usuários, gestores ou até desenvolvedores consigam explicar com facilidade o caminho exato da decisão.

Isso é aceitável quando a IA recomenda uma música. Torna-se perigoso quando ela influencia crédito, diagnóstico, seleção de emprego, policiamento, seguro, educação ou benefícios públicos.

O NIST, órgão norte-americano de padrões e tecnologia, desenvolveu o AI Risk Management Framework para ajudar organizações a gerenciar riscos da IA para indivíduos, empresas e sociedade. O framework é voluntário, mas se tornou uma referência importante para estruturar governança e avaliação de riscos. (NIST)

A transparência não significa despejar código-fonte sobre o usuário comum. Significa oferecer informação compreensível e proporcional ao risco. Um consumidor precisa saber quando está interagindo com IA, que tipo de dado pode ser usado e como contestar uma decisão. Um regulador precisa de documentação técnica. Um auditor precisa de logs. Um tribunal precisa de evidências.

O AI Act europeu também prevê obrigações específicas para provedores de modelos de IA de propósito geral, e a Comissão Europeia informa que seus poderes de fiscalização sobre essas obrigações entram em aplicação em 2 de agosto de 2026. (Digital Strategy)

Essa virada é importante porque modelos de propósito geral, como grandes modelos de linguagem, podem ser usados em milhares de aplicações diferentes. A mesma tecnologia que resume e-mails pode ser integrada a jurídico, saúde, RH, atendimento, programação, finanças e segurança. Governar apenas o aplicativo final pode não bastar. É preciso olhar também para o modelo-base.

A IA é probabilística, mas o direito quer responsabilidade

Um dos pontos mais incômodos para o direito é que a IA moderna não funciona como uma calculadora tradicional. Ela opera com probabilidades, padrões e aproximações. Pode acertar muito e ainda assim errar de forma surpreendente. Pode produzir uma resposta plausível e falsa. Pode mudar o resultado conforme o prompt, o contexto ou a versão do modelo.

Marwala dedica parte de sua obra à ideia de que a IA é uma tecnologia de precisão limitada. Ela organiza informação existente, trabalha com aproximações e deve comunicar incerteza, especialmente em decisões relevantes.

Isso cria uma tensão: o direito busca atribuir responsabilidade; a IA trabalha com incerteza. Uma decisão jurídica, médica ou financeira não pode se esconder atrás de “o modelo achou provável”. Alguém escolheu usar o sistema. Alguém definiu o fornecedor. Alguém aprovou o caso de uso. Alguém decidiu confiar no resultado.

A responsabilidade legal da IA não deve cair sobre a máquina, mas sobre a cadeia humana e empresarial que a colocou em operação. Desenvolvedores, fornecedores, integradores, empresas usuárias e gestores podem ter deveres diferentes conforme o contexto.

A frase “foi o algoritmo” tende a perder força como desculpa. O novo padrão será: prove sua governança.

O risco do viés algorítmico

A IA aprende com dados históricos. E dados históricos carregam desigualdades. Se uma empresa treinou um sistema com decisões passadas contaminadas por discriminação, o modelo pode reproduzir essa lógica com aparência técnica. Se grupos foram sub-representados nos dados, a IA pode performar pior justamente para quem mais precisa de proteção.

O livro enviado coloca equidade, justiça, diversidade e inclusão entre os valores centrais da governança de IA. Ele também defende auditorias, mitigação de vieses e participação de diferentes grupos na construção de políticas de IA.

O problema é que o viés algorítmico nem sempre aparece como discriminação explícita. Uma variável aparentemente neutra pode funcionar como substituta indireta de renda, território, raça, gênero ou origem social. Um CEP pode carregar desigualdade urbana. Um histórico escolar pode refletir acesso desigual à educação. Um padrão de consumo pode reproduzir exclusão econômica.

Por isso, auditoria de IA não pode ser apenas teste técnico. Precisa ser também avaliação social. Um modelo pode funcionar bem em média e ainda prejudicar grupos específicos. Pode ser eficiente e injusto ao mesmo tempo.

No campo legal, esse será um dos temas mais difíceis de provar. A vítima pode nem saber que foi prejudicada por IA. E, sem transparência, a discriminação se torna invisível.

Privacidade: o combustível da IA é também sua zona de risco

A inteligência artificial consome dados em grande escala. Dados treinam modelos, ajustam respostas, personalizam serviços e alimentam decisões. Mas dados pessoais são protegidos por leis, e seu uso exige finalidade, base legal, segurança, minimização e transparência.

A Organização para Cooperação e Desenvolvimento Econômico afirma que seus princípios de IA foram adotados em 2019 e atualizados em 2024, promovendo IA confiável que respeite direitos humanos e valores democráticos. (OECD)

No Brasil, mesmo antes de uma lei específica de IA, a LGPD já se aplica a muitos usos de sistemas inteligentes que envolvam dados pessoais. Isso inclui ferramentas de marketing, crédito, RH, atendimento, saúde, educação, segurança e análise comportamental.

O risco aumentou com a IA generativa. Funcionários podem inserir contratos, dados de clientes, prontuários, estratégias, códigos internos ou informações sigilosas em plataformas externas sem perceber as consequências. Uma empresa pode perder controle sobre dados sensíveis por um simples prompt.

Governança de IA precisa incluir política clara sobre o que pode ou não ser inserido em ferramentas generativas. Precisa definir fornecedores aprovados, regras de retenção, anonimização, segurança, treinamento interno e resposta a incidentes.

Em termos práticos: a IA não elimina obrigações de privacidade. Ela multiplica.

O jurídico entra no produto

Até pouco tempo, muitas empresas chamavam o jurídico no fim do processo, quando o produto já estava pronto e faltava apenas revisar contrato, política de privacidade ou termos de uso. Com IA, esse modelo ficou perigoso.

O jurídico precisa entrar antes. Precisa participar da concepção do caso de uso, classificação de risco, avaliação de dados, escolha do fornecedor, desenho de supervisão humana e definição de controles.

Uma empresa que usa IA para recomendar filmes tem risco diferente de uma empresa que usa IA para negar crédito. Uma escola que usa IA para personalizar estudo tem risco diferente de uma empresa que usa IA para vigiar alunos. Um hospital que usa IA como apoio clínico precisa de governança muito mais rigorosa do que um e-commerce que usa IA para descrever produtos.

A governança por risco exige que cada aplicação seja analisada no contexto. Não existe “IA segura” em abstrato. Existe IA segura para determinado uso, com determinados dados, em determinado ambiente, sob determinados controles.

Essa é a mudança mental que empresas ainda estão absorvendo. A IA não é apenas software. É decisão automatizada com potencial jurídico.

Agentes de IA elevam a temperatura legal

A próxima fase da IA não será apenas responder perguntas. Será executar tarefas. Agentes de IA podem consultar bancos de dados, enviar e-mails, acionar sistemas, preencher formulários, negociar, atualizar cadastros, abrir chamados, escrever código e tomar decisões em várias etapas.

Isso torna a governança mais urgente. Um chatbot que erra uma resposta já pode causar dano. Um agente que erra uma ação pode gerar dano direto: enviar documento confidencial, aprovar operação indevida, cancelar contrato, comprar produto errado, alterar registro, excluir dado, prometer desconto ou executar uma tarefa sem autorização.

A pergunta jurídica muda: que poderes foram concedidos ao agente? Quem aprovou? Quais sistemas ele acessa? Quais limites possui? Há logs? Há revisão humana? Há trilhas de auditoria? O usuário sabe que está lidando com IA? O agente pode agir fora do escopo?

Na prática, empresas precisarão criar algo parecido com “controle de acesso para máquinas inteligentes”. Não basta controlar usuários humanos. Será preciso controlar agentes digitais, permissões, ações autorizadas, thresholds de risco e mecanismos de parada.

A governança de IA vai se aproximar cada vez mais da cibersegurança.

Segurança e IA: defesa e ameaça no mesmo pacote

A IA pode fortalecer a segurança digital. Pode detectar anomalias, identificar ataques, priorizar vulnerabilidades, classificar phishing e automatizar resposta. Mas também pode ampliar golpes, deepfakes, ataques personalizados, engenharia social e automação maliciosa.

Marwala inclui segurança e privacidade entre os valores fundamentais da governança. Ele também trata infraestrutura computacional, armazenamento, nuvem, chips, energia e água como partes do ecossistema de IA que precisam ser governadas.

Esse detalhe costuma passar despercebido. A IA não vive em nuvem abstrata. Ela depende de data centers, chips, energia, água, redes, semicondutores e fornecedores globais. Governar IA também é governar infraestrutura.

Empresas que adotam IA sem uma política de segurança adequada criam novas superfícies de ataque. Modelos podem ser manipulados, prompts podem ser explorados, dados podem vazar, respostas podem ser contaminadas e integrações podem abrir portas internas.

Compliance de IA, portanto, não é só papelada. É defesa operacional.

Direitos autorais e conteúdo sintético

A IA generativa também abriu um conflito no campo dos direitos autorais. Modelos são treinados em grandes volumes de textos, imagens, códigos, músicas e vídeos. Criadores questionam se suas obras podem ser usadas sem autorização. Empresas de IA defendem usos transformativos, mineração de dados e outras bases jurídicas, conforme a jurisdição.

Além disso, há uma segunda pergunta: quem é o autor de uma obra criada com IA? O usuário? A empresa? O modelo? Ninguém?

Esse tema ainda está em disputa global. Mas já está claro que empresas não podem tratar conteúdo gerado por IA como zona sem dono, sem risco e sem responsabilidade. Campanhas publicitárias, imagens, textos, músicas, personagens, códigos e relatórios gerados por IA podem envolver direitos de terceiros, marcas, imagem, voz, dados pessoais e segredos comerciais.

A governança interna precisa estabelecer regras para uso de IA em criação. Isso inclui revisão humana, checagem de originalidade, controle de fontes, cuidado com imagem de pessoas reais, rotulagem de conteúdo sintético e avaliação de riscos de propriedade intelectual.

A IA tornou barato produzir conteúdo. Mas não tornou barato responder processo.

O Brasil precisa de uma governança com cara brasileira

O debate brasileiro não pode ser apenas cópia da Europa ou dos Estados Unidos. O país tem características próprias: forte desigualdade social, alto uso de plataformas digitais, sistema financeiro sofisticado, Judiciário volumoso, LGPD em consolidação, amplo setor público digitalizado e grande dependência de fornecedores estrangeiros de tecnologia.

Isso significa que a regulação da IA no Brasil precisa olhar para riscos concretos: discriminação algorítmica em crédito, automatização de atendimento essencial, uso de biometria em segurança pública, decisões automatizadas em serviços públicos, vazamento de dados, concentração de mercado e dependência tecnológica.

O PL 2338/2023 pode ser um marco importante, mas sua eficácia dependerá de detalhes: autoridade competente, fiscalização, sanções, interoperabilidade com a LGPD, regras para alto risco, impacto sobre startups, obrigações para fornecedores estrangeiros e capacidade institucional de aplicar a lei. (Portal da Câmara dos Deputados)

Uma lei sem fiscalização vira manifesto. Uma fiscalização sem capacidade técnica vira teatro. O Brasil precisará de gente capaz de entender direito, dados, algoritmos, segurança e impacto social ao mesmo tempo.

Esse profissional híbrido será cada vez mais valioso: o advogado que entende tecnologia, o engenheiro que entende direito, o gestor que entende risco, o regulador que entende inovação.

Compliance de IA: o que empresas precisam fazer agora

A primeira medida é inventariar. Muitas empresas já usam IA sem saber. Sistemas de marketing, RH, atendimento, CRM, segurança, análise financeira, produtividade, redação, jurídico e BI podem ter IA embutida.

Depois, é preciso classificar riscos. A IA afeta direitos de pessoas? Usa dados pessoais? Toma decisão automatizada? Opera em setor regulado? Pode causar dano financeiro, moral, reputacional ou físico? Tem supervisão humana? O fornecedor permite auditoria? Há documentação?

Um programa mínimo de governança de IA deve incluir política interna, inventário de ferramentas, avaliação de impacto, regras de dados, revisão de fornecedores, auditoria de viés, supervisão humana, registro de decisões, resposta a incidentes, treinamento de equipes e atualização periódica.

Isso pode parecer burocracia, mas é uma forma de seguro institucional. Quando o problema chegar, a pergunta não será apenas “o sistema errou?”. Será “a empresa fez o que era razoável para prevenir, detectar e corrigir o erro?”.

A diferença entre erro inevitável e negligência pode estar nos documentos, nos logs e nos processos.

A governança como vantagem competitiva

Muitas empresas ainda veem regulação como freio. Mas, em IA, governança pode virar vantagem competitiva. Clientes, investidores, parceiros e reguladores tendem a confiar mais em organizações que conseguem demonstrar controles.

Em mercados sensíveis, como saúde, finanças, seguros, educação, jurídico e setor público, a adoção de IA sem governança pode travar negócios. Compradores corporativos vão exigir evidências: segurança, privacidade, explicabilidade, certificações, avaliações de impacto e cláusulas de responsabilidade.

A confiança será diferencial. E confiança não se improvisa depois da crise.

A governança da IA será para a próxima década o que a governança de dados foi para a década anterior: primeiro, parece custo; depois, vira requisito de sobrevivência.

Conclusão: a IA precisa de freios, mas também de volante

O debate sobre IA costuma oscilar entre dois extremos. De um lado, o entusiasmo ingênuo: deixar a tecnologia correr porque inovação resolverá tudo. De outro, o medo paralisante: tentar bloquear qualquer avanço porque riscos existem. Nenhum dos dois serve.

A IA precisa de freios, mas também de volante. Freios para impedir abusos, discriminação, vigilância, danos e opacidade. Volante para orientar inovação, produtividade, inclusão, pesquisa, saúde, educação e eficiência pública.

Governança é isso: não é matar a tecnologia, é dar direção.

O livro de Marwala acerta ao tratar governança de IA como fenômeno multidimensional. Não basta regular aplicativos. É preciso governar valores, dados, algoritmos e computação. Não basta exigir ética em discursos. É preciso criar mecanismos de prestação de contas. Não basta falar em transparência. É preciso documentar, auditar e explicar.

A pergunta que definirá os próximos anos não será “a IA vai transformar o mundo?”. Ela já está transformando. A pergunta será: quem terá poder para decidir como essa transformação acontece?

Se a resposta ficar apenas nas mãos das grandes empresas de tecnologia, a sociedade viverá sob termos de uso. Se ficar apenas nas mãos de governos, corre o risco de burocracia e controle excessivo. Se ficar apenas no mercado, direitos podem virar detalhe. Se ficar apenas em princípios abstratos, nada muda.

A governança da IA precisa ser plural: Estado, empresas, academia, sociedade civil, especialistas técnicos, usuários e grupos afetados. A inteligência artificial é poderosa demais para ser governada por uma sala só.

No fim, regular IA é regular poder. Poder de classificar, prever, recomendar, excluir, vigiar, criar, persuadir e decidir. E toda tecnologia que concentra poder precisa de limites.

A IA pode servir à humanidade. Mas só se a humanidade conseguir governá-la antes que seus sistemas se tornem invisíveis demais, rápidos demais e convenientes demais para serem questionados.

Leia também

• IA força CEOs a trocar discurso futurista por gestãoDossiês e Investigações · 20.06.2026 · 16 min de leitura
• COMO A IA GENERATIVA ESTÁ REESCREVENDO AS REGRAS DO DIREITOJustiça e Leis · 19.06.2026 · 17 min de leitura
• INTELIGÊNCIA ARTIFICIAL E O DIREITOJustiça e Leis · 19.06.2026 · 22 min de leitura
• EVIDÊNCIAS FORENSE EM SISTEMAS DE INTELIGÊNCIA ARTIFICIALBlog · 17.06.2026 · 26 min de leitura