Governança do uso de IA no Brasil

A governança de IA no Brasil apoia-se em leis gerais existentes (LGPD, Marco Civil, CDC, CPC art.77, Lei do Gov. Digital) e diretrizes setoriais. Faltam, porém, normas horizontais específicas. Hoje, empresas e autoridades setoriais devem preencher lacunas internamente, adotando padrões internacionais de diligência e auditoria, conforme recomendados. Gestores precisam agir preventivamente - estruturando inventário de IA, controles de viés e programas de compliance - antes de sanções legais se tornarem rotina. Mesmo sem uma lei específica de IA aprovada no Brasil, exigências jurídicas vigentes já impõem deveres de transparência, diligência, segurança, não discriminação e prestação de contas sobre sistemas automatizados.

O grande desafio no Brasil, é que faltam padrões obrigatórios como: classificação de risco de IA, avaliação de impacto do algoritmo, registro de incidentes, além de coordenação efetiva entre ANPD, judiciário, órgãos de controle e setor privado. Por essa razão, o melhor diagnóstico é que a governança de IA já existe, mas está dispersa e precisa ser unificada.

Leis como a LGPD (Lei 13.709/2018) impõem bases legais, transparência e segurança nos dados usados pela IA. O Marco Civil (Lei 12.965/2014) assegura privacidade on-line, e o CDC (Lei 8.078/1990) exige informação clara em ofertas de IA. O CPC determina veracidade em peças processuais (art.77). A ANPD já disciplina sanções de dados (Res. 01/2023) e investiga projetos de IA (ex: reconhecimento facial suspenso). O PNI e cartilhas da CGU/TCU reforçam governança no setor público. Setoriais: o CNJ (Res. 615/2025) exige governança de IA nos tribunais; o TSE proibiu deepfakes em campanhas (Res. 23.732/2024); BCB/SUSEP impuseram políticas de segurança cibernética e sandboxes financeiros (Res. CMN 4.893/2021, Circ. SUSEP 638/2021); a Anvisa regula IA em saúde (RDC 657/2022). Ainda não há lei única de IA, nem obrigação de avaliação de impacto algorítmico ou cadastro nacional de incidentes. Tais lacunas exigem governança interna e empresas devem, por exemplo, revisar políticas de segurança de dados e definir comitês de IA, até que o país consolide um marco integrado.

O governo lançou o Plano Brasileiro de IA (PBIA) com R$23 bi para P&D e sandboxes; FINEP/BNDES financiam pilotos públicos. A ENAP e Serpro publicaram guias de IA no serviço público, e CGU/TCU usam IA em auditoria e transparência. Órgãos de controle criaram laboratórios de inovação (CVM LEAP, BCB LIFT, SUSEP sandbox) para testar abordagens regulatórias. No setor privado, associações (IBGC, Brasscom, Febraban) já incluem IA em orientações de governança e eventos de compliance. Em resumo, há grande capacitação e autorregulação setorial, mas falta norma geral obrigatória: o mercado avança baseado em convenções e padrões voluntários internacionais (OCDE, ISO, NIST).

Para empresas, a principal lacuna é a ausência de padrão obrigatório. Não existe hoje um marco nacional que classifique IA por risco, imponha avaliação de impacto ou crie um canal unificado de registro de incidentes de IA (além da obrigação genérica de comunicar incidentes de dados pela LGPD). Não há ainda lei obrigando relatórios de governança de IA às CVM/B3. Tampouco há um órgão único de supervisão de IA no setor privado. Em termos de conteúdo, há debate pendente sobre responsabilidade civil por outputs de IA (por exemplo, se a geradora de texto pode ser responsabilizada) e sobre até que ponto terceirizados de IA são responsáveis. Esses gaps significam que empresas diligentes precisam antecipar auto-regras, baseando-se em padrões internacionais, enquanto o país amadurece sua estrutura legal.

A UE aprovou o AI Act em 2024, um regulamento ex ante, classificando IA por risco e impondo restrições e certificações obrigatórias nos casos mais críticos. Os EUA não têm lei geral; adotam diretrizes federais (OMB 2022) para uso governamental e aplicam leis existentes (privacy, antitruste, consumer protection) contra abusos de IA. O Reino Unido segue um modelo similar (princípios flexíveis e exigência de transparência em algoritmos do setor público). Em nível global, OCDE e UNESCO publicaram princípios éticos universais para IA, enquanto organismos técnicos (ISO, NIST) lançam frameworks e normas (ISO/IEC 42001:2023, 23894; NIST AI RMF 1.0) que servem de referência para empresas.

Empresas brasileiras devem adotar práticas consolidadas:

• Inventário e classificação de IA: mapear todos os sistemas de IA (inclusive de terceiros) e os classifique por nível de risco. Por exemplo, ferramentas que decidem crédito, diagnóstico médico ou recrutamento são de risco alto e demandam controles robustos.
• Governança de dados: assegurar bases legais (consentimento, contrato, interesse legítimo) para cada processamento de dados pessoais; segmente e proteja dados sensíveis; mantenha registros de acesso. Isso atende LGPD e normas de cibersegurança (BCB/SUSEP).
• Documentação e transparência: produzir model cards ou relatórios para cada modelo de IA, detalhando finalidade, fonte de dados, métricas de desempenho e vieses conhecidos. Tais documentos apoiam a explicabilidade exigida por padrões internacionais.
• Auditoria e teste: realizar testes periódicos de qualidade, segurança e viés. Para IA crítica, considere auditoria independente. Execute red teaming (ataques simulados) para avaliar robustez. A adoção do padrão ISO/IEC 23894 recomenda avaliações externas de risco nesses casos.
• Supervisão humana: definir responsáveis técnicos e jurídicos para revisar saídas sensíveis de IA. Ex: sócios de escritórios devem revisar petições geradas por IA. Treine equipes em ética de dados e IA; envolva C-level e conselhos na governança.
• Contratos com fornecedores: incluir cláusulas obrigatórias (compliance LGPD, penalidades por vazamento, direito de auditoria). Exija certificações (ISO 27001, SOC 2) e planos de contingência. Documente política de uso de APIs/LLMs e limites contratuais claros.
• KPIs e reporte: monitore indicadores chave de sistemas avaliados, incidentes de IA detectados, tempo médio de resposta, grau de redução de vieses. Relate esses indicadores em comitês de risco ou conselhos trimestralmente para demonstrar diligência.

Riscos jurídicos associados à IA englobam:

• Privacidade: sistemas de IA que tratam dados pessoais sem base legal ou segurança adequadas podem violar a LGPD. Vazamentos ou usos ilícitos (ex: biometria não autorizada) têm multas até 2% do faturamento e danos civis.
• Discriminação: algoritmos viesados (contratação, crédito, saúde) podem violar direitos fundamentais (CF art.5º) e se enquadrar em leis antidiscriminação (Lei 7.716/1989). Afetados podem demandar reparação civil, e reguladores (Justiça, MP) podem punir administrativamente.
• Relações de consumo: se uma IA ofertada ao público causar dano ou for considerada defeituosa, o CDC prevê responsabilidade objetiva e indenização. Promessas infundadas de desempenho (como "detector infalível de doenças") sujeitam a empresa a multas do Procon e de ações judiciais de consumidores.
• Concorrência: práticas algorítmicas de combinação de preços ou uso de dados compartilhados podem configurar cartel ou abuso. O CADE já apura casos de precificação automatizada em combustíveis. Não há diretrizes específicas de IA, mas o uso de algoritmos não isenta empresas da Lei 12.529/2011.
• Administração pública: órgãos podem aplicar sanções independentes sem lei nova. Ex.: em 2025 a ANPD suspendeu projetos de reconhecimento facial por descumprimento da LGPD; o CADE aplicou liminar em 2026 contra uso indevido de IA em concorrência de saúde. Esses exemplos mostram que autoridades aplicam leis vigentes para IA.
• Ilícitos penais: não há crime exclusivo de "uso ilegal de IA", mas atos ilícitos podem ser mediado ou potencializados por IA (fraude por IA deepfake, difamação automatizada, crimes de ódio via bots, vazamento de dados etc.). Em geral, responde-se pelo resultado danoso conforme ordenamento atual.

Exemplos: Em abril de 2026, o TED da OAB/SP decidiu que advogados sócios devem supervisionar ferramentas de IA e revisar suas saídas, baseando-se na Recomendação CFOAB 01/2024 e no CPC. Internacionalmente, agências como a FTC (EUA) multam empresas por propaganda enganosa envolvendo IA, e autoridades europeias aplicam multas multimilionárias por uso ilegal de dados em IA (ex.: OpenAI na Itália, Clearview na Holanda). No Brasil, o TSE restringiu o uso de deepfakes em campanha (Res. 23.732/2024).

O Brasil enfrenta hoje um quadro de governança de IA esparso. As empresas devem assumir a responsabilidade nesse sentindo, implementando controles de riscos proporcionais (baseados em frameworks internacionais), documentando processos e treinando suas equipes. Reguladores públicos seguem criando guias e testando práticas (via sandboxes), mas é essencial que transponham isso em normas claras e integradas. Só assim a inovação em IA poderá prosperar com segurança jurídica.

Marcelo Moreira Maluf Homsi é especialista em Direito Empresarial pela PUC-SP. 

Os artigos e reportagens assinadas não refletem necessariamente a opinião da editora, sendo de responsabilidade exclusiva dos respectivos autores.