BAIVECTOR - AdobeStock
Governança de IA sem lei: o risco de compliance que o CIO brasileiro não pode adiar
O Brasil lidera o uso corporativo de IA no mundo, mas 74% das organizações brasileiras ainda operam sem políticas formais de governança — e o Marco Legal continua parado na Câmara. E quando a auditoria bater na porta, quem assina embaixo?
Sete em cada dez profissionais brasileiros já utilizaram ao menos uma ferramenta de IA nos últimos 12 meses. Outros 26% fazem isso diariamente. Só que três em cada quatro empresas brasileiras não têm política alguma de governança para decidir como esses sistemas operam, o que registram e por quais critérios tomam decisões.
Nesse intervalo — entre a adoção acelerada e a governança inexistente — está o maior passivo regulatório do CIO brasileiro em 2026.
Vale lembrar que esse risco não é teórico. É o tipo de exposição que aparece numa investigação regulatória, num incidente de viés algorítmico ou numa disputa contratual envolvendo decisões geradas por máquina — e sem lei específica em vigor, a responsabilidade recai integralmente sobre quem opera o sistema.
O paradoxo que os dados revelam
O Brasil não apenas adota IA — ele a normaliza. Sete em cada dez profissionais brasileiros já utilizaram ao menos uma ferramenta de inteligência artificial nos últimos doze meses, segundo a PwC, que ouviu quase 50 mil trabalhadores em 48 países para o seu levantamento Global Hopes and Fears 2025 (janeiro de 2026). A média global chega a apenas 54%. E um em cada quatro brasileiros já faz isso todos os dias — número que dobra a média mundial. Os ganhos de produtividade são relatados por 79% dos profissionais que já adotaram a tecnologia.
A Logicalis foi buscar o outro lado dessa estatística. Ouviu 129 executivos de TI de médias e grandes empresas brasileiras e encontrou três em cada quatro organizações operando sem nenhuma política específica de governança para IA (Logicalis/Stratica, IT Trends Snapshot 2025, novembro de 2025). O paradoxo se aprofunda: 87% desses mesmos executivos reconhece que o impacto real da IA depende mais da cultura organizacional do que da tecnologia — mas essa cultura ainda não se traduziu em nenhuma estrutura formal de controle. Parte do problema é invisível: uma parcela significativa do uso acontece sem que a área de TI saiba, com colaboradores conectando ferramentas externas por conta própria — o chamado Shadow AI.
O Brasil adota em ritmo de líder, mas governa em ritmo de estreante.
O vácuo que a lei ainda não preencheu
Desde março de 2025, o PL 2.338/2023 aguarda parecer na Comissão Especial da Câmara. São mais de 12 meses de vácuo regulatório — e contando. O que o Senado aprovou em dezembro de 2024 não é pouco: o texto estabelece que quem usa um sistema automatizado para tomar decisões sobre pessoas responde legalmente pelos efeitos — mesmo que a ferramenta tenha sido contratada de um fornecedor externo. A lei ainda não chegou, mas o princípio da corresponsabilidade já está escrito.
Enquanto isso, avança em separado o PL 2.688/2025, centrado em auditabilidade e responsabilidade de sistemas de IA — cuja Comissão de Comunicação emitiu parecer em 13 de março de 2026, mas o texto ainda percorre outras instâncias antes de ter força de lei. O que governa hoje o uso corporativo de IA no Brasil é uma mistura de LGPD, normas setoriais dispersas e, na maioria dos casos, critérios internos que ninguém escreveu em documento nenhum. Para o CIO, isso significa atuar num território normativo indefinido em que as obrigações de compliance são, por ora, interpretativas.
Investimento crescente, controle decrescente
O dinheiro já está em movimento. A IDC calcula que os investimentos brasileiros em IA — somando software, serviços e infraestrutura — vão ultrapassar US$ 3,4 bilhões em 2026, o que representa um salto de mais de 30% em relação ao ano anterior (IDC, Predictions 2026, via G&P, fevereiro de 2026 ). Luciano Ramos, country manager da IDC no Brasil, foi direto durante a conferência IDC Predictions 2026: "Os times de TI precisam evoluir em controles, governança e observabilidade para garantir segurança e confiabilidade das soluções de IA embarcadas."
O Gartner chegou a uma conclusão parecida depois de ouvir mais de 2.500 executivos de TI: governança digital é hoje um dos três eixos que concentram a agenda dos líderes de tecnologia em 2026, ao lado da adoção de IA e da modernização de arquitetura (Gartner, CIO and Technology Executive Agenda 2026, via Instituto Information Management, dezembro de 2025 ). O problema é que a maioria ainda não chegou lá: apenas 22% das empresas brasileiras se declara totalmente preparada em governança de IA, segundo o levantamento do TEC.Institute com a Peers Consulting — e entre as demais, a maior parte nem começou (TEC.Institute/Peers Consulting, IA Generativa no Brasil, setembro de 2025 ).
Risco invisível, consequência tangível
Quase sete em cada dez líderes empresariais brasileiros colocaram a gestão de risco cibernético entre suas prioridades de investimento para 2026 — seis pontos acima da média global, segundo a PwC Brasil (PwC Brasil, Global Digital Trust Insights 2026, março de 2026, base: 125 respondentes no Brasil). A mesma pesquisa revela o contraponto: a IA agêntica — sistemas capazes de encadear decisões sem esperar instrução humana a cada passo, executando ações diretas em ambientes corporativos — é exatamente o tipo de recurso que mais estão priorizando para este ano.
É uma combinação que merece atenção. Quanto maior a autonomia do sistema, mais difícil rastrear a origem de um erro e mais complicado identificar quem responde por ele. O levantamento do TEC.Institute e da Peers Consulting quantifica o problema: apenas 33,8% das empresas brasileiras pratica monitoramento contínuo de vieses e segurança em sistemas de IA, e 43,9% admite abertamente que está exposta a riscos legais, reputacionais e operacionais pelo uso da tecnologia (TEC.Institute/Peers Consulting, IA Generativa no Brasil, setembro de 2025). As empresas estão acelerando na pista enquanto o sistema de freios ainda está em revisão.
A janela que ainda está aberta
O vácuo regulatório não equivale à ausência de obrigação. Significa que a responsabilidade de construir a governança recai hoje integralmente sobre as organizações — com o CIO como protagonista incontornável desse processo. O setor financeiro já entendeu isso: instituições reguladas pelo Banco Central avançam em frameworks próprios de governança de IA pressionadas pela Resolução CMN 4.557, que exige estrutura formal de gerenciamento de riscos operacionais e tecnológicos. Para os demais setores, a janela ainda está aberta — mas não por muito tempo.
Três movimentos são urgentes. O ponto de partida é o inventário: mapear todos os sistemas de IA em produção, classificar os de alto risco — aqueles que tomam decisões sobre pessoas, contratos ou recursos financeiros — e documentar os critérios de cada decisão automatizada. A partir daí vem a estrutura: definir papéis internos de responsabilidade, criar trilhas de auditoria e estabelecer ciclos de revisão periódica. Tem ainda um terceiro movimento com prazo definido: o período de contribuições ao PL 2.338/2023 vai até 9 de maio de 2026, o que significa que as organizações têm cerca de sete semanas para, via associações setoriais como ABES, Febraban ou ABFintechs, influenciar o texto da lei antes que as obrigações sejam fixadas sem a voz do mercado.
O cenário global já precifica governança de IA como ativo estratégico. No Brasil, enquanto a lei ainda tramita nos corredores da Câmara, quem constrói os alicerces agora chega ao primeiro ciclo de fiscalização da ANPD com a casa em ordem — e com menos risco de tropeçar quando o regulador finalmente aparecer.
Definições técnicas
IA agêntica (Agentic AI): Sistemas de inteligência artificial capazes de executar sequências de tarefas de forma autônoma, encadear decisões intermediárias e interagir com outros sistemas sem intervenção humana a cada etapa. Diferem dos modelos generativos tradicionais por combinar raciocínio, planejamento e execução em ciclos contínuos, chegando a operar ferramentas externas e tomar ações diretas em ambientes corporativos.
Shadow AI: Uso de ferramentas de inteligência artificial por colaboradores sem o conhecimento ou aprovação formal da área de TI. Representa um vetor crítico de risco de conformidade quando dados corporativos sensíveis ou informações pessoais identificáveis são processados em modelos públicos sem controle ou registro pela organização.
GRC (Governance, Risk and Compliance): Conjunto integrado de processos, políticas e ferramentas que as organizações utilizam para alinhar estratégia, gerenciar riscos e garantir conformidade regulatória. No contexto de IA, os frameworks tradicionais precisam ser adaptados para cobrir riscos específicos como viés algorítmico, opacidade decisória e rastreabilidade de dados.
Governança de IA vs. governança de dados: Conceitos relacionados, mas distintos. A governança de dados trata de como as informações são coletadas, armazenadas e utilizadas. A governança de IA vai além: abrange os critérios pelos quais os modelos tomam decisões, os mecanismos de supervisão humana, a rastreabilidade dos resultados e a responsabilização em caso de erro ou dano.
Marco Legal de IA: Denominação informal para o conjunto normativo que regulamentará o desenvolvimento, a implantação e o uso de sistemas de inteligência artificial no Brasil. O principal instrumento em tramitação é o PL 2.338/2023, aprovado pelo Senado em dezembro de 2024 e em análise na Comissão Especial da Câmara dos Deputados, com prazo de contribuições aberto até 9 de maio de 2026.
ANPD (Autoridade Nacional de Proteção de Dados): Órgão regulador brasileiro criado como agência independente pela Lei 15.352, sancionada em 25 de fevereiro de 2026, com autonomia funcional, técnica, decisória, administrativa e financeira. A ANPD tem previsão de atuação como autoridade residual na governança de IA até a aprovação do Marco Legal específico.
Viés algorítmico: Distorção sistemática nos resultados de um sistema de IA, geralmente herdada de dados de treinamento desequilibrados. Pode gerar decisões injustas em concessão de crédito, seleção de pessoal ou precificação de serviços — e, sob o texto do PL 2.338/2023, pode gerar corresponsabilidade civil para a organização que utiliza o sistema.
