A Inteligência Artificial está integrada à operação de empresas em ritmo acima da capacidade das organizações de gerenciar os riscos que ela cria.
Segundo o The State of AI 2025 da McKinsey, 88% das organizações já usam IA regularmente em pelo menos uma função de negócio, mas a maioria ainda está em estágio de experimentação ou piloto, sem escalar a tecnologia de forma ampla. Esse descompasso torna a governança mais urgente, especialmente quando sistemas de IA passam a operar em processos críticos.
Essa lacuna tem consequências reais: vieses que discriminam, modelos que operam sem auditabilidade, dados pessoais tratados sem base legal adequada e decisões automatizadas que ninguém consegue explicar. O problema cresce à medida que a IA se aprofunda em processos críticos — crédito, saúde, RH, segurança, atendimento — e os reguladores começam a exigir evidências de controle.
Este artigo explica o que é governança de IA, por que ela se tornou urgente, o que o cenário regulatório brasileiro e os frameworks internacionais exigem e como estruturar um programa de governança que funcione na prática.
O que é governança de IA?
Governança de IA é o conjunto de políticas, processos, responsabilidades e controles que uma organização estabelece para garantir que seus sistemas de Inteligência Artificial operem de forma segura, transparente, ética e alinhada aos objetivos de negócio e às obrigações regulatórias.
Na prática, governança de IA responde a perguntas que muitas organizações ainda não conseguem responder com clareza:
- Quais sistemas de IA estão em operação e quem é responsável por cada um?
- Como as decisões automatizadas são tomadas e como podem ser explicadas?
- Os dados que alimentam esses sistemas estão sendo tratados com base legal adequada?
- Como a organização identifica e corrige vieses nos modelos?
- Há mecanismos de monitoramento e auditoria em operação contínua?
A governança de IA é a estrutura que torna possível escalar IA com controle, e que, cada vez mais, é também o que reguladores e parceiros de negócio passam a exigir como evidência de maturidade.
Por que a governança de IA se tornou urgente para empresas
A urgência da governança de IA tem duas origens simultâneas: o aumento do risco operacional à medida que os sistemas se tornam mais autônomos e influentes, e o avanço do ambiente regulatório em múltiplas frentes. Ignorar um ou outro cria exposições diferentes, mas igualmente custosas.
Do lado operacional, cinco dimensões concentram os riscos mais relevantes:
Transparência e explicabilidade
Modelos que operam como caixas-pretas tomam decisões que afetam pessoas — concessão de crédito, triagem de currículos, diagnóstico clínico, definição de preços — sem que seja possível explicar os critérios utilizados.
A ausência de explicabilidade cria passivos regulatórios, compromete a confiança de clientes e impede que as próprias equipes identifiquem quando o modelo está operando fora do esperado.
Equidade e controle de vieses
Sistemas de IA aprendem com dados históricos — e dados históricos frequentemente refletem padrões de discriminação que a organização não endossa, mas acaba reproduzindo e amplificando em escala. Vieses em modelos de crédito, contratação ou precificação podem gerar consequências legais e reputacionais significativas, especialmente em setores regulados.
Privacidade e segurança de dados
Sistemas de IA também são intensivos no consumo de dados pessoais para treinamento, operação e ajuste de modelos. Sem controles adequados, essa intensidade cria riscos de vazamento, uso indevido e tratamento sem base legal, com exposição direta à LGPD e ao escrutínio da Autoridade Nacional de Proteção de Dados (ANPD).
Responsabilidade pelas decisões automatizadas
À medida que decisões críticas são delegadas a sistemas automatizados, a pergunta sobre quem responde quando algo dá errado se torna mais urgente. Sem papéis e responsabilidades definidos, a organização opera com uma lacuna de accountability que reguladores, parceiros e usuários afetados passam a questionar com mais frequência.
Monitoramento e auditabilidade dos modelos
Modelos de IA não são estáticos. Seu desempenho deriva ao longo do tempo à medida que os dados de entrada mudam e o ambiente operacional evolui. Sem monitoramento contínuo e mecanismos de auditoria, a organização pode não perceber quando um modelo passou a operar fora dos parâmetros originais, acumulando decisões incorretas de forma silenciosa.
O cenário regulatório brasileiro
O Brasil ainda não tem uma lei geral de Inteligência Artificial em vigor, mas o ambiente regulatório já impõe obrigações reais às organizações que usam IA, e o marco regulatório específico está em tramitação avançada.
O que a LGPD já exige das organizações que usam IA
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) já cria obrigações relevantes para qualquer uso de IA que envolva dados pessoais. O art. 20 é o mais diretamente aplicável: ele assegura ao titular o direito de solicitar a revisão de decisões tomadas exclusivamente com base em tratamento automatizado que afetem seus interesses, incluindo decisões de crédito, triagem de pessoal e definição de perfis pessoais, profissionais e de consumo. O controlador deve, sempre que solicitado, fornecer informações claras sobre os critérios e procedimentos utilizados para a decisão automatizada.
Os arts. 37 e 38 reforçam a necessidade de registros das operações de tratamento e a possibilidade de elaboração de Relatório de Impacto à Proteção de Dados Pessoais (RIPD), especialmente quando solicitado pela ANPD ou recomendado em operações de alto risco.
A ANPD incluiu Inteligência Artificial entre seus eixos prioritários de fiscalização para 2026-2027 e conduziu, entre novembro de 2024 e janeiro de 2025, uma Tomada de Subsídios específica sobre IA e revisão de decisões automatizadas. O risco regulatório associado ao uso de IA sem governança já existe — o marco legal específico é apenas o próximo capítulo.
O que muda com o PL 2338/23
O Projeto de Lei 2338/2023, aprovado pelo Senado Federal em dezembro de 2024, está em tramitação na Câmara dos Deputados, onde aguarda parecer do relator na Comissão Especial sobre Inteligência Artificial. O texto adota uma abordagem baseada em risco, semelhante à do EU AI Act, e introduz obrigações que vão além da LGPD.
Entre os pontos mais relevantes para organizações que já usam IA:
- Classificação por nível de risco: sistemas são classificados conforme o risco que representam para direitos fundamentais, com obrigações proporcionais ao nível de risco identificado;
- Avaliação de Impacto Algorítmico (AIA): processo iterativo e contínuo ao longo de todo o ciclo de vida do sistema de IA, com análise de riscos conhecidos e previsíveis;
- Direito de contestação e intervenção humana: garantia de que decisões automatizadas possam ser contestadas e revisadas por pessoas;
- Obrigações de transparência: informação adequada sobre como o sistema opera e como as decisões são tomadas;
- Criação do Sistema Nacional de Regulação e Governança de IA (SIA): com a ANPD como coordenadora e autoridades setoriais com competência normativa em suas áreas.
Organizações que construírem sua estrutura de governança antes da aprovação final do PL chegam ao novo marco regulatório com menos exposição e menos retrabalho.
Frameworks internacionais de referência
O cenário regulatório global de IA evoluiu rapidamente nos últimos anos, e três frameworks se consolidaram como referências principais para organizações que buscam estruturar sua governança com base em boas práticas reconhecidas internacionalmente.
Comparativo dos principais frameworks de governança de IA
| Framework | Foco principal | Como ajuda empresas |
| NIST AI RMF | Gestão de riscos de IA | Ajuda a mapear, medir e gerenciar riscos ao longo do ciclo de vida dos sistemas |
| Princípios OCDE | Valores éticos e políticos | Alinha a governança a princípios internacionais de IA responsável |
| EU AI Act | Regulação baseada em risco | Serve de referência para obrigações por nível de risco — especialmente para quem opera na Europa |
| PL 2338/23 | Marco brasileiro em tramitação | Permite antecipar obrigações futuras no Brasil, incluindo avaliação de impacto algorítmico |
NIST AI Risk Management Framework
Publicado em janeiro de 2023 pelo National Institute of Standards and Technology dos Estados Unidos, o NIST AI RMF 1.0 é um dos frameworks voluntários mais adotados globalmente para gestão de riscos de IA. Em julho de 2024, o NIST publicou um perfil complementar específico para IA generativa.
O framework é construído em torno de quatro funções interconectadas:
- Govern: estabelecer políticas, responsabilidades e cultura organizacional para gestão de riscos de IA;
- Map: identificar os sistemas de IA em operação, seus contextos de uso, os atores envolvidos e os potenciais riscos associados;
- Measure: avaliar e mensurar os riscos identificados com métricas e critérios definidos;
- Manage: implementar respostas aos riscos, monitorar os sistemas e ajustar ao longo do ciclo de vida.
O NIST AI RMF é agnóstico em relação a setores e tecnologias, o que o torna adaptável a diferentes contextos organizacionais — e uma referência útil tanto para empresas que estão iniciando sua jornada de governança quanto para as que buscam estruturar programas mais maduros.
Princípios de IA da OCDE
Adotados em 2019 e atualizados em 2024, os Princípios de IA da OCDE foram referendados por mais de 46 países e servem como base para políticas públicas e regulamentações de IA ao redor do mundo, incluindo o próprio PL 2338/23 brasileiro.
Os cinco princípios estabelecem que sistemas de IA devem:
- Promover crescimento inclusivo, desenvolvimento sustentável e bem-estar;
- Respeitar os valores humanos, a equidade e os direitos fundamentais;
- Garantir transparência e explicabilidade;
- Operar com robustez, segurança e proteção ao longo do ciclo de vida;
- Ter agentes responsáveis (accountable) por seu desenvolvimento e operação.
A adoção dos Princípios da OCDE como referência ajuda organizações a alinhar sua governança interna com o que reguladores e parceiros internacionais esperam, especialmente relevante para empresas que operam em múltiplas jurisdições.
EU AI Act
O Regulamento (UE) 2024/1689, conhecido como EU AI Act, entrou em vigor em agosto de 2024 e é uma das legislações de IA mais abrangentes em vigor no mundo. Ele se aplica a qualquer fornecedor ou operador de sistemas de IA cujos efeitos se produzam no território da União Europeia — o que inclui empresas brasileiras com operações ou clientes europeus.
O EU AI Act adota uma classificação por nível de risco com quatro categorias:
- Risco inaceitável: sistemas proibidos, como manipulação subliminar, scoring social e reconhecimento facial em tempo real em espaços públicos por autoridades, com exceções específicas;
- Alto risco: sistemas com exigências estritas de conformidade, transparência, supervisão humana e auditabilidade — aplicável a IA em infraestrutura crítica, educação, emprego, crédito, justiça e saúde;
- Risco limitado: obrigações de transparência para sistemas que interagem com humanos, como chatbots;
- Risco mínimo: sem obrigações específicas além das já aplicáveis.
Mesmo para organizações sem operações diretas na Europa, o EU AI Act funciona como referência de boas práticas e indica a direção que regulamentações nacionais tendem a seguir.
Como estruturar um programa de governança de IA
Construir um programa de governança de IA é uma capacidade organizacional que precisa ser desenvolvida de forma progressiva e mantida ao longo do tempo. O ponto de partida mais eficaz é o diagnóstico do estado atual, seguido de uma estrutura que avança por etapas com critérios claros.
Mapeamento e classificação dos sistemas de IA em operação
O primeiro passo é ter visibilidade sobre o que já existe. Muitas organizações têm sistemas de IA em produção que não estão formalmente catalogados, desenvolvidos por áreas de negócio sem passagem pelo processo de TI, ou adquiridos como componentes de soluções de terceiros sem análise de risco específica.
O inventário deve registrar, para cada sistema:
- Qual problema de negócio ele resolve e em qual área opera;
- Que dados utiliza, incluindo se processa dados pessoais;
- Que decisões toma ou recomenda, e com qual grau de autonomia;
- Quem são os usuários afetados pelas decisões geradas;
- Qual o nível de risco associado ao seu uso.
Com o inventário completo, a organização consegue priorizar onde os controles de governança precisam ser implementados com mais urgência, começando pelos sistemas de maior risco e maior impacto.
Definição de papéis e responsabilidades entre as áreas
Governança de IA é um problema de coordenação organizacional tanto quanto um problema técnico. Times de dados e engenharia sabem construir modelos; jurídico e compliance entendem as obrigações regulatórias; negócio define os objetivos que os sistemas devem otimizar. Sem uma interface clara entre essas frentes, decisões críticas ficam em lacunas de responsabilidade.
Um programa de governança eficaz define:
- Quem aprova a implantação de novos sistemas de IA em produção;
- Quem monitora o desempenho e os riscos dos sistemas em operação;
- Quem responde por decisões automatizadas contestadas por usuários afetados;
- Quem garante conformidade com LGPD e demais obrigações regulatórias;
- Quem atualiza as políticas internas conforme o ambiente regulatório evolui.
Políticas internas de uso responsável
Políticas formais de uso responsável de IA definem as regras que valem para toda a organização — incluindo o uso de ferramentas de IA generativa por colaboradores, critérios para aprovação de novos casos de uso e requisitos mínimos de documentação e auditabilidade para sistemas em produção.
Uma política eficaz cobre pelo menos:
- Critérios de uso aceitável e casos proibidos ou sujeitos à aprovação especial;
- Requisitos de transparência e explicabilidade por nível de risco do sistema;
- Obrigações de documentação ao longo do ciclo de vida do modelo;
- Mecanismos de contestação para decisões automatizadas que afetam pessoas;
- Regras para uso de dados pessoais no treinamento e operação de modelos.
Monitoramento contínuo e revisão periódica
Modelos de IA derivam ao longo do tempo — seu desempenho muda à medida que os dados de entrada evoluem e o contexto operacional se transforma. Um sistema que opera dentro dos parâmetros esperados no momento do lançamento pode estar produzindo resultados muito diferentes seis meses depois, sem que nenhum alerta tenha sido disparado.
Monitoramento contínuo significa ter métricas definidas de qualidade, equidade e desempenho para cada sistema em produção, com rotinas de revisão periódica e critérios claros de intervenção quando os limites são ultrapassados. Também significa manter trilhas de auditoria que permitam reconstruir, a qualquer momento, como uma decisão específica foi tomada e com quais dados.
O programa de governança fecha o ciclo quando o monitoramento alimenta revisões que atualizam os modelos, as políticas e os controles, transformando a governança em um mecanismo de aprendizado organizacional contínuo.
Governança de IA como base para inovar com segurança
A governança de IA costuma ser apresentada como uma restrição à velocidade de adoção. Na prática, organizações que constroem essa estrutura antes de escalar seus programas de IA avançam com mais consistência, porque chegam às decisões de expansão com visibilidade real sobre riscos, com processos que reduzem retrabalho e com a confiança de reguladores, parceiros e clientes de que os sistemas operam dentro de parâmetros controlados.
O risco de esperar a regulamentação final para começar é perder o tempo mais valioso: o período em que a organização pode construir sua estrutura de governança de forma planejada, sem pressão de prazo, integrando os controles ao ciclo de desenvolvimento. Com o PL 2338/23 aguardando votação na Câmara e a ANPD com IA entre seus eixos prioritários de fiscalização, esse tempo está se estreitando.
A Nava apoia organizações na estruturação da governança de IA a partir de diagnóstico de maturidade, inventário de sistemas, classificação de riscos, definição de políticas, desenho de controles e integração com dados, cloud, cibersegurança e arquitetura. Fale com nossa equipe e entenda como estruturar sua governança de IA com visão técnica, regulatória e de negócio integradas.
Perguntas frequentes sobre governança de IA
Governança de IA é um tema que atravessa áreas técnicas, jurídicas e de negócio e as dúvidas surgem em momentos diferentes da jornada. As perguntas abaixo reúnem os pontos mais frequentes sobre o tema.
O que é governança de IA?
Governança de IA é o conjunto de políticas, processos, responsabilidades e controles que uma organização estabelece para garantir que seus sistemas de Inteligência Artificial operem de forma segura, transparente, ética e alinhada às obrigações regulatórias.
Na prática, ela define quem responde por cada sistema, como as decisões automatizadas são controladas e auditadas, e como os riscos são identificados e gerenciados ao longo do ciclo de vida dos modelos.
Por que empresas precisam de governança de IA?
Porque sistemas de IA tomam decisões que afetam pessoas, processos e negócios — e sem controles adequados, esses sistemas podem produzir vieses, violações de privacidade, decisões inexplicáveis e passivos regulatórios. A governança é o que torna possível escalar IA com controle, especialmente à medida que o ambiente regulatório brasileiro e internacional avança.
Governança de IA é obrigatória no Brasil?
Ainda não existe uma lei geral de IA em vigor no Brasil, mas a LGPD já cria obrigações relevantes, especialmente o art. 20, sobre revisão de decisões automatizadas. O PL 2338/23, aprovado pelo Senado em dezembro de 2024 e em tramitação na Câmara, deve estabelecer obrigações mais amplas quando for sancionado. A ANPD também incluiu IA entre seus eixos prioritários de fiscalização para 2026-2027.
Qual é a relação entre governança de IA e LGPD?
A LGPD já exige base legal para o tratamento de dados pessoais, transparência sobre critérios de decisões automatizadas e mecanismos de revisão pelo titular. Qualquer sistema de IA que processe dados pessoais está sujeito a essas obrigações. A governança de IA é, em parte, o conjunto de controles que permite cumprir a LGPD de forma consistente e demonstrável.
O que o PL 2338/23 muda para empresas?
O PL introduz uma abordagem baseada em risco, com classificação dos sistemas de IA conforme o impacto potencial para direitos fundamentais. Ele prevê a Avaliação de Impacto Algorítmico, o direito de contestação de decisões automatizadas, obrigações de transparência e a criação de um sistema nacional de regulação e governança de IA coordenado pela ANPD. Organizações que já tiverem sua estrutura de governança construída chegarão ao novo marco com menos exposição.
Quais áreas devem participar da governança de IA?
A governança de IA é transversal. Envolve dados e analytics, tecnologia da informação, jurídico e compliance, controles internos, auditoria, áreas de negócio que operam os sistemas e, em casos de maior risco, a alta administração. O desafio de coordenação entre essas frentes é tão relevante quanto os desafios técnicos.
Como começar um programa de governança de IA?
O ponto de partida mais eficaz é o mapeamento dos sistemas de IA em operação, identificando o que existe, onde opera, que dados utiliza e qual o nível de risco associado. Com esse inventário, é possível priorizar onde implementar controles com mais urgência, definir papéis e responsabilidades e estruturar políticas internas de uso responsável.
Qual a diferença entre governança de IA e governança de dados?
Governança de dados trata da gestão de dados como ativo organizacional — qualidade, rastreabilidade, acesso, padronização e ciclo de vida dos dados. Governança de IA trata especificamente dos sistemas que usam esses dados para tomar ou apoiar decisões, com foco em transparência, explicabilidade, equidade, auditabilidade e responsabilidade pelas decisões automatizadas. As duas são complementares: uma boa governança de dados é uma das bases para uma governança de IA eficaz.
