Governança em IA para Empresas: O Guia Jurídico Completo de 2026

Governança em IA não é compliance, é arquitetura jurídica. PL 2338, EU AI Act, ANPD: o que sua empresa de tecnologia precisa fazer em 2026.

Sumário

Entre o PL 2338, o EU AI Act e a ANPD, sua empresa de tecnologia já tem três frentes regulatórias para gerenciar. Este guia explica por que governança em IA não é compliance, quais são os riscos jurídicos reais hoje e como estruturar tudo sem travar produto.

O que você vai aprender neste guia

  • A diferença prática entre governança em IA e compliance e por que confundir os dois custa caro;
  • Os quatro riscos jurídicos reais que sua empresa já corre em 2026, independentes da nova legislação;
  • O que diz o PL 2338/2023, o EU AI Act e os posicionamentos da ANPD e qual deles afeta sua operação primeiro;
  • Um framework de quatro passos para implementar governança em IA sem travar produto;
  • Quando faz sentido contratar consultoria jurídica especializada em IA;

O que é governança em IA e por que ela não é compliance?

Governança em IA é o conjunto de decisões estruturais que uma empresa toma sobre como a inteligência artificial entra, opera e sai dos seus processos. Quem decide o que o modelo pode fazer, com que dados ele é alimentado, como o output é validado, e quem responde quando algo dá errado. É decisão de produto e decisão jurídica ao mesmo tempo, é arquitetura, não checklist.

Compliance é diferente. Compliance é cumprir o que a lei já decidiu depois que a norma existe, depois que o regulador publicou as regras, depois que o caminho está claro. Governança em IA vem antes: define como sua empresa quer operar quando a regra ainda não está consolidada, com base em risco, contrato e princípio jurídico.

Isso vale para qualquer empresa que use ou ofereça inteligência artificial, de startup de SaaS com IA embarcada até scale-up que automatiza decisão crítica.

Os 4 pilares concretos da governança em IA

Uma estrutura de governança em IA bem desenhada cobre quatro frentes que se alimentam mutuamente:

  • Contratos com fornecedores de IA e com clientes que recebem produto com IA embarcada: quem responde pelo quê, qual o regime de uso dos dados, qual o nível de transparência exigido;
  • Tratamento de dados que alimentam ou passam pelos modelos: base legal LGPD, retenção, segregação e transferência internacional;
  • Transparência com o usuário final: quando ele precisa saber que está interagindo com IA, quando ele precisa de direito de revisão, como a decisão automatizada é comunicada;
  • Responsabilidade pelo output: quem é responsável quando o modelo erra, recomenda mal, discrimina ou causa dano.
Os 4 pilares da governança em IA: contratos, tratamento de dados, transparência e responsabilidade

Empresas que estão esperando o Marco Legal da IA brasileiro entrar em vigor para começar a estruturar isso estão jogando estratégia perdedora. O risco real em 2026 não vem da lei que ainda não existe, vem do contrato com cliente B2B que já está sendo assinado, do dado pessoal que já está sendo enviado para um modelo de terceiro sem base legal válida e da decisão automatizada que já está produzindo efeito jurídico no usuário final. É exatamente onde mora o jurídico inteligente: usar o direito como infraestrutura de produto, não como freio que espera a lei chegar.

Quais são os riscos jurídicos reais de IA hoje e por que não dependem da nova lei?

Esta é a leitura que separa governança em IA do discurso regulatório genérico. Lei brasileira específica sobre IA ainda não está em vigor. Mas o risco já está. Quatro vetores concretos, todos materializáveis em 2026, todos independentes do PL 2338:

1. Cliente B2B exigindo política de IA do fornecedor

Empresas grandes, bancos, seguradoras, healthtechs, governo, começaram a incluir em due diligence de fornecedor cláusulas específicas sobre uso de inteligência artificial. Política interna escrita, classificação de risco do modelo, segregação de dados, supervisão humana. Quem não tem isso documentado entra na negociação em posição fraca e, na maioria das vezes, perde o contrato. Não é teoria, é prática observada em vários ciclos de venda complexa desde 2024.

2. Dados pessoais alimentando modelo de terceiro sem base legal LGPD

A LGPD (Lei nº 13.709/2018) exige base legal específica para qualquer tratamento de dado pessoal. O art. 7º lista as bases possíveis. Jogar dado de cliente, contrato ou registro de operação dentro de ChatGPT, Claude ou outro modelo de terceiro sem ter contratualmente garantido o regime de uso desses dados e sem ter base legal válida é tratamento irregular, com risco de fiscalização da ANPD e ação de titular. Isso atinge inclusive empresas que pensam estar “só usando IA internamente”.

3. Output do modelo causando dano (responsabilidade civil em IA)

Quando o modelo decide automaticamente, aprovar ou negar crédito, recomendar tratamento médico, classificar candidato, moderar conteúdo, o art. 20 da LGPD garante ao titular o direito de revisão por pessoa natural. Esse direito está vigente desde 2020. Empresa que opera decisão automatizada e não tem processo de revisão humana documentado está vulnerável a ação individual e a sanção administrativa, independente de qualquer marco legal de IA específico. Esse é o ponto mais subestimado de toda a discussão sobre regulação de IA no Brasil em 2026.

4. Propriedade intelectual do conteúdo gerado e do dataset de treino

Quem é dono do que a IA produz para a sua empresa? Quem responde se o modelo reproduziu trecho protegido por direito autoral durante o treinamento? Esses pontos são contratualmente endereçáveis, desde que alguém leia o termo do fornecedor antes de assinar e negocie as cláusulas que importam. Termo de uso aceito no botão azul raramente blinda quem precisa de blindagem. E a discussão sobre propriedade intelectual em datasets de treino é uma das frentes onde a jurisprudência internacional está mais ativa em 2026.

Note: nenhum desses quatro vetores depende do Marco Legal da IA brasileiro entrar em vigor. Todos já são exigíveis hoje, sob o regime jurídico atual. A diferença entre a empresa que se estrutura agora e a que espera a lei não é regulatória, é competitiva.

PL 2338, EU AI Act e ANPD: o que importa para a sua operação agora?

Sem essa leitura, é difícil priorizar. Três frentes regulatórias, três pesos diferentes, três respostas diferentes.

Comparativo das três frentes regulatórias

PL 2338/2023 — Marco Legal da IA brasileiro

Em junho de 2026, o PL 2338/2023 segue em tramitação no Congresso Nacional, com versões aprovadas no Senado Federal e em discussão na Câmara dos Deputados. O modelo segue o desenho do AI Act europeu: classificação de sistemas por nível de risco, deveres específicos para sistemas de alto risco, governança institucional via autoridade competente. Quando virar lei, deve trazer vacatio razoável e aplicação faseada por categoria. Para operação atual, isso significa que você tem janela para se preparar e que a estrutura que você montar agora vai naturalmente se encaixar quando a lei chegar.

EU AI Act — Regulamento (UE) 2024/1689

O EU AI Act está vigente desde agosto de 2024, com aplicação faseada até 2027. Aplica-se a qualquer empresa que coloque sistema de IA no mercado europeu ou cujo output seja utilizado na União Europeia — efeito extraterritorial direto. Para empresa de tecnologia brasileira que tenha cliente europeu, atenda usuário europeu ou exporte produto SaaS para a Europa, o AI Act é norma vigente que afeta operação hoje. Sistemas classificados como de alto risco têm exigências específicas de documentação, supervisão humana, qualidade de dados de treino e transparência.

ANPD e LGPD aplicada à inteligência artificial

A ANPD ainda não publicou norma específica sobre IA, mas se posicionou via Tomada de Subsídios sobre IA Generativa (2023–2024) e por meio de manifestações públicas sobre tratamento de dados em modelos. O que importa para operação hoje é o que já é vigente: a LGPD se aplica integralmente a qualquer tratamento de dado pessoal por sistema de IA — coleta para treino, processamento, geração de output que identifica titular, decisão automatizada. O art. 20 (direito à revisão por pessoa natural) é o ponto de maior incidência prática em 2026, especialmente em empresas que automatizam decisões com efeito jurídico no usuário.

Cada uma dessas três frentes exige resposta estratégica diferente. Empresa que vende só no Brasil mira primeiro LGPD + PL 2338 quando vier. Empresa com cliente europeu já precisa de leitura do AI Act agora. Empresa que automatiza decisão com efeito jurídico no usuário precisa atacar o art. 20 da LGPD imediatamente, independente do resto. Governança em IA bem feita é, em primeiro lugar, esse mapeamento estratégico.

Como começar uma governança em IA sem travar produto? O framework de 4 passos

A objeção mais comum dos times de produto: governança vai me atrasar. Não vai, se for bem desenhada. O framework abaixo cabe em empresa de qualquer estágio, startup, scale-up ou empresa madura, e foi testado em operações reais com clientes da Legroski Advogados:

Passo 1 — Mapeamento

  1. Liste todos os pontos em que IA toca o produto e a operação. Inclui modelo de terceiro consumido via API, modelo treinado internamente, ferramenta de IA usada pelo time interno (assistente de código, gerador de copy, automação de atendimento) e qualquer integração de marketing ou suporte. A maioria das empresas se surpreende com a lista quando faz pela primeira vez. O mapeamento é a base de tudo.

Passo 2 — Classificação de risco

  • Para cada ponto mapeado, classifique em baixo, médio ou alto risco. O modelo do EU AI Act é boa referência, mesmo para empresa que não vende na Europa: sistemas que afetam direito do usuário final (saúde, crédito, educação, emprego, justiça) tendem a alto risco. Sistemas de produtividade interna sem efeito em terceiros tendem a baixo. Isso direciona a profundidade da governança em cada ponto e evita gastar energia jurídica onde não precisa.

Passo 3 — Decisões jurídicas por nível de risco

  • Baixo risco geralmente resolve com política interna de uso + cláusula contratual padronizada. Médio risco entra revisão de contrato com fornecedor + base legal LGPD documentada + processo de validação de output. Alto risco exige supervisão humana documentada, retenção de evidência, política externa de transparência, e em alguns casos avaliação de impacto à proteção de dados (RIPD). Cada nível tem seu pacote, não é tudo ou nada.

Passo 4 — Documentação

  • Quem documenta, ganha. Cliente B2B vai pedir. Auditoria vai pedir. ANPD pode pedir. E você mesmo(a) vai precisar consultar quando o time mudar e ninguém lembrar mais por que aquela decisão foi tomada. Documentação não precisa ser corporativa e longa, precisa existir, ser acessível e ser atualizada. Esse é o ponto que mais separa governança eficaz de governança burocrática.

Governança em IA bem desenhada destrava negócio. Empresa que tem política de IA escrita ganha velocidade em venda B2B, fecha contrato com cliente que exige documentação, e protege time de produto pra mexer sem medo. É exatamente o oposto de “travar”.

Quando faz sentido contratar consultoria jurídica em IA?

Quando faz sentido envolver consultoria jurídica especializada em IA de fora? Quatro critérios honestos:

  • A inteligência artificial é central no seu produto, não periférica;
  • Cliente B2B começou a pedir documentação específica em due diligence;
  • Sua operação cruza fronteira, venda na Europa, base de usuário europeia, ou dado pessoal sendo processado em jurisdição estrangeira;
  • Dados sensíveis passando pelo modelo: saúde, financeiro, dados de criança ou adolescente, dado de origem racial, religiosa ou política.

Se sua empresa marcou três ou mais desses critérios, contratar consultoria jurídica especializada em IA é mais barato que aprender errando. Erros em IA tendem a ser caros quando aparecem, em multa da ANPD, em perda de cliente B2B, em ação individual de titular ou em revisão de contrato sob pressão. Estruturar antes custa uma fração.

Principais conclusões

  • Governança em IA é arquitetura jurídica, não checklist de compliance, define como sua empresa opera com inteligência artificial antes da regulação consolidar;
  • Quatro pilares estruturam a governança em IA: contratos, tratamento de dados, transparência com usuário final e responsabilidade pelo output;
  • Os riscos jurídicos reais em 2026 já existem sob a LGPD e sob contrato, não dependem do PL 2338 entrar em vigor;
  • Empresa que vende para a Europa precisa do EU AI Act agora; empresa que automatiza decisão precisa do art. 20 da LGPD agora; todas precisam mapear;
  • Implementar governança em IA em quatro passos (mapeamento, classificação de risco, decisões jurídicas, documentação) destrava venda B2B em vez de travar produto;
  • Consultoria jurídica especializada em IA passa a ser racional quando a IA é central no produto, quando há cliente B2B exigente, quando há fronteira ou dado sensível.

Perguntas frequentes sobre governança em IA

Minha empresa só usa ChatGPT internamente. Preciso de governança em IA?

Sim, se o time está jogando dados de cliente, contrato, código proprietário ou informação estratégica dentro de ferramentas externas. Você tem três riscos abertos: vazamento de informação confidencial, perda de proteção como segredo de negócio, e tratamento de dados pessoais sem base legal LGPD válida. Política interna de uso, mesmo simples, resolve a maior parte dos riscos.

Qual é a diferença entre LGPD e governança em IA?

A LGPD trata especificamente de dados pessoais. Governança em IA é mais ampla: inclui LGPD quando há dados pessoais, mas cobre também propriedade intelectual, responsabilidade civil pelo output do modelo, transparência com usuário final, contratos com fornecedores de IA, e supervisão humana em decisões automatizadas. Uma empresa pode estar 100% adequada à LGPD e não ter governança em IA.

O PL 2338 já vale? Quando vai entrar em vigor?

Não. Em junho de 2026, data de publicação deste artigo, o projeto ainda está em tramitação no Congresso. Quando virar lei, deve ter vacatio (período entre publicação e entrada em vigor) de meses ou anos, com aplicação faseada. Mas isso não muda o quadro: o risco jurídico em IA hoje vem da LGPD, do contrato com cliente B2B e da responsabilidade civil, todos vigentes.

Meu produto usa IA de terceiros (OpenAI, Anthropic, outras). Quem é responsável pelo erro do modelo?

Você. Perante o cliente final e perante a ANPD, a empresa que coloca o produto no mercado é a responsável. O contrato com o fornecedor de IA pode dar direito de regresso, mas isso só funciona se você tiver lido e negociado o contrato. Termo de uso aceito no botão azul raramente blinda quem precisa de blindagem.

Quanto custa implementar governança em IA na empresa?

Depende do estágio. Política interna de uso de IA e revisão de contratos com fornecedores cabem em algumas horas de consultoria jurídica especializada. Estruturação completa, mapeamento, classificação de risco, documentação, política externa, treinamento de time, é projeto de algumas semanas. Comparação útil: o custo de governança bem feita é fração do custo de uma negociação travada com cliente B2B que pediu a documentação que você não tinha.

Governança em IA é só pra empresa grande ou startup também precisa?

Startup precisa mais. Empresa grande costuma ter time jurídico próprio que pode reagir. Startup tem produto que cresce mais rápido que estrutura, quando o problema aparece, o impacto é proporcionalmente maior. Política básica de uso, revisão de contrato com fornecedor de IA e classificação de risco dos pontos onde a IA toca o produto são mínimo viável pra qualquer tamanho de empresa em 2026.

Como começar uma governança em IA hoje, com poucos recursos?

Em três passos imediatos: (1) Liste todos os pontos onde IA aparece no produto e na operação interna. (2) Escreva uma política de uso de IA de uma página, o que pode, o que não pode, quais dados não vão pra ferramenta externa. (3) Identifique os contratos com fornecedor de IA que você tem hoje e marque pra revisão jurídica. Esses três passos resolvem a maior parte do risco inicial e cabem em semanas de esforço focado.

Próximo passo

Se sua empresa está usando inteligência artificial em produto ou em operação interna e ninguém do time jurídico foi consultado ainda, entre em contato conosco que lhe orientaremos da melhor forma acerca da necessidade de estruturar governança em IA já ou se dá para esperar!

Atualizado em junho de 2026 | Por Gabriele Legroski Padilha | Legroski Advogados – Advocacia para Empresas de Tecnologia

@legroski.advogados | comercial@legroski.com

Inscreva-se na Newsletter

Quer receber conteúdo atualizado toda semana?