No Brasil, o movimento ancorado na Lei Geral de Proteção de Dados (LGPD) e nos debates sobre um marco regulatório para IA, como o Projeto de Lei nº 2.338/2023, além da influência de normas internacionais como o Ato de IA da UE e recomendações da OCDE, marca uma virada. As empresas deixam de praticar “IA primeiro” sem controles e passam a adotar uma abordagem baseada em riscos, exigida por propostas legislativas, setores e provisões econômicas. Estudos de mercado ressaltam tanto o potencial quanto os riscos: consultorias como a McKinsey estimam que a IA poderá aumentar o PIB mundial em trilhões nas próximas décadas, o que estimula a adoção acelerada e exige regulação para mitigar ameaças corporativas.

Referida mudança resulta de três vetores principais:

1) Regulação e abordagem baseada em risco

Requisitos de responsabilidade, padrões de segurança e avaliação de riscos (de privacidade, segurança, falhas sistêmicas e vieses, por exemplo) são exigidos pelos reguladores. Tais requisitos obrigarão as empresas a mapear modelos, dados e fluxos de tomada de decisão, bem como a manter registros e relatórios para fins de auditoria. O trabalho do Compliance aumenta e se torna mais complexo, dadas as regulações locais e as normas internacionais, que pressionam pela compatibilização dos requisitos entre empresas presentes em múltiplas jurisdições.

2) Governança multidisciplinar

Equipe com sinergia, composta por integrantes de tecnologia, jurídico, Compliance, segurança da informação e, principalmente, pela liderança executiva, garante uma governança mais eficaz e robusta. Esse time contribuirá de forma muito mais assertiva para os normativos internos, comitês e papéis de responsabilidade claros, o que é uma prática recomendada. No mais, o diálogo com reguladores, auditores independentes e partes interessadas (clientes, parceiros, sociedade civil) contribui para legitimar a governança e mitigar riscos reputacionais.

3) Inovação com IA para reforçar Compliance

Muito se fala dos riscos da IA, mas, na mesma proporção, ela também é uma ferramenta para minimização de ameaças. As soluções de monitoramento contínuo de legislações aplicáveis aos negócios, auditorias automatizadas, gestão de risco em tempo real, detecção tempestiva de anomalias, realização de due diligence e treinamentos dedicados são exemplos de como a IA pode contribuir para a área de Compliance.

Nessa linha, o estudo “Securing the AI-Powered Enterprise”, da TrendAI, identificou a importância de consolidar plataformas de segurança integradas, estabelecer uma governança clara e obter visibilidade sobre o uso da IA, o que pode, indiretamente, contribuir para uma melhor preparação e melhores respostas nas auditorias.

Os principais pontos críticos que precisam ser endereçados envolvem, em primeiro lugar, o uso de dados sensíveis, já que proteção e minimização de dados, anonimização e governança de consentimento são imperativos. Nesse contexto, as empresas já contam com certificações ISO que podem contribuir para a estruturação de um sistema de gestão adequado. 

Além disso, há riscos relacionados a vieses algorítmicos e ao uso não controlado dessas tecnologias, uma vez que esses vieses podem gerar discriminação sistêmica, informações desatualizadas e testes ineficazes para o negócio, o que, por sua vez, pode demandar revisões humanas. Por fim, a gestão de fornecedores também se apresenta como um ponto de atenção, especialmente porque modelos terceirizados exigem due diligence de integridade e cláusulas contratuais claras, estabelecendo responsabilidades, prevendo possibilidades de rescisão por justa causa e definindo regras alinhadas às expectativas da contratante.

Com isso, o Compliance inclina-se a deixar de ser apenas uma função de controle reativo e passa a assumir um papel estratégico nas empresas de tecnologia, com a validação de decisões de negócio, a viabilização da escalabilidade segura de produtos de IA e a criação de confiança no mercado. As empresas maduras usarão estruturas de gestão de riscos, normativos internos, automação de Compliance e governança multidisciplinar para transformar exigências regulatórias em vantagem competitiva, possibilitando a adoção ética, sustentável e escalável da inteligência artificial.