PORTFÓLIO
Governança algorítmica na prática: por onde começar?
Por Jessica Rocha e Antonielle Freitas
Segundo a pesquisa “The State of AI in Early 2024″[1], da McKinsey, 72% das organizações atuais adotam IA em suas operações. Entretanto, muitas vezes, nota-se a ausência de controles formalizados ou consciência institucional sobre os riscos envolvidos. Diante da iminente aprovação do Marco Legal da Inteligência Artificial no Brasil (PL 2338/2023), e da atuação cada vez mais presente da ANPD em temas relacionados à regulação de tecnologias emergentes[2], além da expectativa de stakeholders por maior responsabilidade no uso de sistemas automatizados, torna-se crucial às organizações estruturar um programa de governança algorítmica com aplicabilidade concreta.
Com base no relatório “Building Accountable AI Programs”[3] publicado pelo Centre for Information Policy Leadership (CIPL) em 2024, um programa eficaz de governança de inteligência artificial deve contemplar uma estrutura composta por diversos elementos essenciais. Entre eles, destacam-se o mapeamento e análise de riscos dos sistemas de IA; a criação de comitês internos multidisciplinares para deliberação ética; a adoção de políticas e procedimentos internos claros; a inclusão de cláusulas específicas em contratos com terceiros; e a implementação de um ciclo de vida contínuo de monitoramento, auditoria e resposta a incidentes.
Diagnóstico e Estruturação: os primeiros passos concretos de um programa de governança algorítmica
Esse processo tem início com uma etapa eminentemente estratégica: o diagnóstico institucional com mapeamento das ferramentas de IA integrados às operações empresariais. Trata-se de identificar os sistemas de IA ou funcionalidades automatizadas em uso, desenvolvimento ou contratação, avaliando suas finalidades, impactos sobre direitos fundamentais e grau de exposição jurídica. Essa primeira análise deve ser conduzida com base em critérios funcionais e jurídicos claros, evitando tanto o tecnicismo excessivo quanto classificações genéricas que dificultem a ação prática.
A partir desse mapeamento, recomenda-se classificar os sistemas de IA conforme seu nível de risco e complexidade, com base em modelos como o do AI Act europeu (sistemas proibidos, de alto risco, risco limitado ou mínimo), adaptando essas categorias à realidade normativa brasileira. A proposta de classificação do PL 2338/2023, por exemplo, fornece parâmetros úteis para essa priorização, alinhando-se à abordagem baseada em riscos adotada pelo AI Act europeu. A partir da definição de critérios como grau de autonomia do sistema, interferência sobre decisões que afetam pessoas e sensibilidade dos dados tratados, é possível estabelecer uma matriz de risco regulatório que oriente as ações subsequentes de governança.
Concluído o mapeamento e a classificação, a análise deve avançar para a identificação de lacunas regulatórias e de governança. Muitos sistemas são implementados sem avaliação prévia de impacto, sem parecer jurídico, sem logs mínimos de auditabilidade ou sem qualquer tipo de política interna que estabeleça critérios de desenvolvimento, contratação ou uso. Essa análise crítica permite identificar riscos e oportunidades, mas também dimensionar o escopo do programa de governança de forma realista, focada em sistemas com efetiva relevância jurídica, institucional ou reputacional.
É nesse ponto que se define também o papel da organização em relação aos sistemas de IA, uma vez que as obrigações legais e estratégias de mitigação dependem significativamente da posição que a instituição ocupa na cadeia de valor do sistema. A definição clara destes enquadramentos é essencial para nortear cláusulas contratuais, obrigações de avaliação prévia, testes de robustez, planos de resposta a incidentes e mecanismos de prestação de contas.
Por fim, uma avaliação preliminar de conformidade (inclusive com o arcabouço normativo preexistente como a LGPD, o Código de Defesa do Consumidor e marcos regulatórios setoriais) deve ser conduzida antes da implantação formal do sistema. Esse exercício é de suma importância para o alinhamento com os princípios da responsabilização e da prevenção, previstos tanto na legislação brasileira quanto nas diretrizes internacionais, e permite o planejamento criterioso de medidas corretivas, avaliações obrigatórias e documentos de suporte jurídico.
Da política à prática: como criar estruturas eficazes de governança interna
Diagnóstico e mapeamento devem estar acompanhados de uma estrutura institucional capaz de sustentar decisões, operacionalizar controles e assegurar alinhamento organizacional em torno do uso responsável de inteligência artificial. A efetividade de um programa de governança algorítmica depende, em grande medida, da existência de políticas claras, instâncias de deliberação com autoridade técnica e jurídica, e mecanismos internos que garantam a implementação das diretrizes institucionalizadas.
A constituição de um comitê específico para deliberações referentes ao uso e desenvolvimento responsável de IA é uma das medidas mais relevantes nessa etapa. A composição deve refletir a multidisciplinaridade do tema, integrando representantes das áreas jurídica, de proteção de dados, tecnologia da informação, compliance, recursos humanos, negócios e, quando aplicável, de setores especializados como marketing, risco ou segurança da informação. Alternativamente à criação de um novo comitê dedicado, é possível a integração do tema a estruturas já existentes, como comitês de ética, inovação ou governança digital. Nestas instâncias, é crucial haver atribuições claras, canais formais de deliberação e a efetiva autoridade para decidir, registrar e acompanhar medidas de governança algorítmica.
O comitê será responsável, entre outras atribuições, por aprovar políticas internas relacionadas à IA, que devem refletir os princípios de governança definidos pela organização (como não discriminação, robustez técnica, segurança, prestação de contas e respeito aos direitos dos titulares), bem como estabelecer critérios práticos para uso, desenvolvimento e contratação de sistemas de IA. A adoção de uma política geral de uso responsável de IA tem sido adotada como ponto de partida, contendo diretrizes amplas aplicáveis a qualquer setor que deseje ou pretenda utilizar tecnologias baseadas em algoritmos.
A essa política geral somam-se documentos específicos, como uma política para uso de IA generativa, que deve prever determinadas restrições (ex: inserção de dados pessoais ou confidenciais, encaminhamento de respostas ao público externo sem validação humana), exigências de transparência, checagem de fontes e mecanismos de aprovação. Outra frente essencial é a política de desenvolvimento e aquisição de sistemas de IA, que estabelece critérios técnicos e jurídicos mínimos para fornecedores, incluindo requisitos como registro de logs, acesso para auditoria, mitigação de viés, explicabilidade e existência de documentação técnica.
O conjunto dessas normas internas deve ser complementado por um código de conduta que conecte os princípios do programa de governança à cultura organizacional e à responsabilização individual dos profissionais envolvidos. Esse instrumento não apenas orienta comportamentos, como também serve de base para a aplicação de medidas disciplinares em casos de descumprimento (o que o torna especialmente relevante do ponto de vista jurídico e trabalhista).
Além disso, a governança interna da IA também exige atenção cuidadosa aos contratos firmados no contexto do desenvolvimento, aquisição ou oferta de soluções baseadas em algoritmos. É fundamental que esses instrumentos prevejam, de forma clara, as responsabilidades das partes envolvidas, inclusive quanto à supervisão contínua do sistema, à manutenção de registros de operação, à possibilidade de auditoria técnica e jurídica e à revisão de modelos em caso de falhas, desvios ou mudanças de finalidade. Também devem ser contempladas cláusulas sobre mitigação de vieses, explicabilidade, critérios mínimos de segurança e confidencialidade, além de obrigações relacionadas à atualização e documentação técnica.
Por fim, a estruturação interna exige um investimento deliberado em capacitação. As políticas e comitês só ganham efetividade quando acompanhados de treinamentos obrigatórios para áreas-chave, como jurídico, tecnologia, compliance e lideranças operacionais. A criação de uma cultura organizacional sensível aos riscos e obrigações legais associados à IA é, hoje, um dos maiores diferenciais de maturidade em programas de governança algorítmica, e uma das primeiras barreiras identificadas em instituições que não conseguem avançar além da formalidade documental.
Governança contínua, controles técnicos e preparação regulatória: o que sustenta o programa ao longo do tempo
Sistemas de IA evoluem, são atualizados, descontinuados ou reutilizados para novas finalidades. Do ponto de vista jurídico-regulatório, isso significa que a governança precisa ser contínua, estruturada em ciclos de revisão, validação, auditoria e resposta a incidentes. Governar o ciclo de vida da IA envolve, inicialmente, a definição de marcos de controle desde o design do sistema até seu encerramento.
A fase pré-uso inclui, por exemplo, testes de segurança, viés e explicabilidade, bem como avaliações jurídicas e técnicas como a Avaliação de Impacto Algorítmico (AIA), além daquelas inseridas na interseção entre privacidade e IA, como o Relatório de Impacto à Proteção de Dados (RIPD) e o Teste de Balanceamento. Já durante o uso, torna-se essencial a implementação de mecanismos de monitoramento contínuo, com logs de operação, registros de decisões automatizadas, rastreabilidade e alertas sobre desvios de comportamento. Por fim, o pós-uso exige planos de descontinuidade, rollback e descarte seguro de dados, além de reavaliações jurídicas sobre a persistência de riscos residuais.
Essas práticas devem estar ancoradas em controles técnicos e operacionais que assegurem confiabilidade e auditabilidade. A documentação técnica (incluindo descrição de datasets, lógica de funcionamento dos modelos, parâmetros utilizados e resultados de testes) precisa estar formalizada, atualizada e acessível às áreas responsáveis por compliance e auditoria. A rastreabilidade de versões e alterações de modelos, com justificativas para modificações, também é essencial para garantir transparência e accountability, sobretudo em casos de questionamento por autoridades competentes.
Outra dimensão central da governança contínua é a reavaliação periódica da classificação de risco dos sistemas. Mudanças de finalidade, ampliação de escopo ou surgimento de novas interpretações legais podem alterar significativamente o enquadramento jurídico de uma solução tecnológica. É recomendável que comitês de IA tenham competência para realizar essas reclassificações, com base em pareceres técnicos e jurídicos atualizados, integrando essa análise ao ciclo anual ou semestral de auditorias organizacionais, como diversas organizações já possuem.
Por fim, um programa de governança algorítmica sólido deve estar preparado para responder a falhas, incidentes e exigências regulatórias. Isso inclui a definição de protocolos internos de resposta a incidentes envolvendo IA, com fluxos de identificação, contenção, comunicação e remediação. Os procedimentos devem prever mecanismos específicos de notificação a autoridades competentes (como a ANPD, órgãos de defesa do consumidor e, conforme aplicável, entidades reguladoras setoriais), bem como estratégias de comunicação pública e mitigação reputacional.
Conclusão
A construção de um programa de governança algorítmica eficaz no Brasil exige uma abordagem estratégica, progressiva e integrada. O diagnóstico institucional, a estruturação de políticas internas, a criação de instâncias deliberativas e a implementação de controles contínuos formam um ciclo essencial para o uso responsável da inteligência artificial. No contexto brasileiro, essa estruturação deve considerar não apenas as diretrizes a serem consolidadas pelo Marco Legal da Inteligência Artificial, mas também diplomas jurídicos já vigentes, como a LGPD, o Código de Defesa do Consumidor e marcos regulatórios setoriais, que impõem obrigações relacionadas à transparência, prevenção de danos e responsabilização.
A internalização desses requisitos deve ocorrer de forma gradual, favorecendo o preparo regulatório das organizações e permitindo que alcancem maior maturidade institucional. A atuação crescente da ANPD em temas relacionados a tecnologias emergentes reforça a importância de estruturas sólidas, auditáveis e alinhadas a princípios de governança. Adotar boas práticas nesse campo contribui para fortalecer a confiança de autoridades, investidores, consumidores e demais stakeholders, posicionando a organização de forma mais robusta para responder a riscos e oportunidades. Governar algoritmos, nesse sentido, é também governar o futuro da própria organização.
Jéssica Rocha, advogada sênior de Privacidade, Proteção e Tecnologia no Viseu Advogados e Antonielle Freitas, sócia da área de Proteção de Dados e DPO no Viseu Advogados.
NOTAS:
[1] MCKINSEY & COMPANY. The State of AI in Early 2024: Gen AI Adoption Spikes and Starts to Generate Value. 30 maio 2024. Disponível em: https://www.mckinsey.com.br/capabilities/quantumblack/our-insights/the-state-of-ai-2024. Acesso em: 30 jul. 2025.
[2] EXAME. ANPD está se preparando para assumir papel de agência reguladora da IA no Brasil. Inteligência Artificial. Rio de Janeiro: Exame, 17 jul. 2025. Disponível em: https://exame.com/inteligencia-artificial/anpd-esta-se-preparando-para-assumir-papel-de-agencia-reguladora-da-ia-no-brasil/. Acesso em: 31 jul. 2025.
[3] CIPL (Centre for Information Policy Leadership). Building Accountable AI Programs: Mapping Emerging Best Practices to the CIPL Accountability Framework. Fevereiro de 2024. Disponível em: https://www.informationpolicycentre.com/uploads/5/7/1/0/57104281/cipl_building_accountable_ai_programs_23_feb_2024.pdf. Acesso em: 30 jul. 2025.
https://tiinside.com.br/26/09/2025/governanca-algoritmica-na-pratica-por-onde-comecar/
