top of page

Governança de IA

Nesta página:

  • Marco regulatório para a IA

  • Autoregulação da IA pelas big techs em modelos de fronteira 

  • Framework para classificação de sistemas de IA

  • Framework regulatório proposto pela Comissão Européia

  • Padrões do IEEE para o design ético de aplicações de IA

  • Grupo de Pesquisa sobre IA Ética e Responsável

Regulamentação para a IA

Em vários países do mundo estão sendo discutidos marcos regulatórios para o uso da inteligência artificial.  Nesta seção são compartilhadas algumas referências. Antes disso, porém, há três pontos para reflexão:

  • Não será fácil legislar sobre a IA (embora a maioria dos legisladores ainda não saiba disso, pois ainda não entenderam o problema).

  • Não será bom legislar em excesso sobre a IA. 

  • Confiar apenas na auto-regulação pelas empresas que produzem sistemas de IA não parece uma boa ideia, de modo que algum nível de regulamentação externa pelos governos ou organismos internacionais será necessária.

1. A REGULAMENTAÇÃO PODE SER DIFÍCIL

Por enquanto, ainda estamos em busca da construção dos marcos regulatórios, mas uma vez que estes estejam disponíveis, outros desafios vão permanecer. É preciso levar em conta que algumas big techs atualmente têm imenso poder econômico e tecnológico. Regulamentar as grandes empresas que oferecem serviços de IA e mídias sociais pode ser bastante difícil dependendo de onde elas são baseadas e de sua disposição em cooperar, como ficou demonstrado em inúmeros incidentes: 

 

  • Durante a crise da Covid-19, autoridades da Alemanha tiveram enorme dificuldade em obter colaboração do Telegram (na época sediado em Dubai) para remoção de desinformação sobre a doença, além de discursos de ódio. O Telegram simplesmente ignorou as solicitações das autoridades alemãs por várias semanas.

  • Em março de 2023, aqui no Brasil, o Telegram demonstrou novamente sua má vontade em cooperar com a justiça, e foi alvo de decisão do STF emitida pelo Ministro Alexandre de Moraes, após enviar propositalmente mensagem de desinformação para usuários brasileiros relacionada a Projeto de Lei (PL) 2630/2020 ("Fake News"), que trata da regulação dos provedores de redes sociais e de serviços de mensageria privada. 

  • Em maio de 2024, o bilionário Elon Musk (dono da rede social X, o antigo Twitter) criou uma polêmica com o Ministro Alexandre de Moraes, em reação à determinações judiciais envolvendo perfis de extremistas brasileiros de direita na plataforma X. Para Musk (e para os extremistas) tais ações seriam "censura". A liberdade de expressão é garantida no Brasil - mas deve haver responsabilização sobre o exercício deste direito, tanto na Internet quanto fora dela. Você pode dizer o que quiser - mas deve responder pelo que diz.

  • Em 2025, o governo Trump impôs sanções contra o MInistro Alexandre de Moraes "por graves violações de Direitos Humanos" (o que é completamente absurdo) como a Lei Magnitsky. O próprio Bill Browder, que teve papel fundamental na aprovação da Lei Magnitsky, ficou indignado com a aplicação da Lei contra o Ministro Moaes, alegando que "a legislação não foi criada para resolver vinganças políticas". Por trás destas ingerências ridículas do governo Trump há uma pauta de alinhamento ideológico da extrema direita ("a defesa de Bolsonaro" por Trump está neste viés), e também forte pressão (ou melhor, tentativa de vingança) de big techs americanas criadoras de plataformas de redes sociais, que não gostaram de ter sido enquadradas e sancionadas pelo Ministro por violações contra leis brasileiras.

Se um episódio inédito de ingerência de um governo estrangeiro no judiciário brasileiro, uma verdadeira afronta à soberania nacional - motivado por questões ideológicas e interesses comerciais de big techs não revela que "a regulamentação da IA pode ser difícil", nada mais o fará.

Apesar das dificuldades neste agenda, as plataformas de redes sociais de fato precisam de regulamentação, pois estão sendo sistematicamente utilizadas em diversos países para ações criminosas, desde destruir reputações de adversários políticos até interferir em eleições ou no sistema judiciário de outros países democráticos. O uso de redes sociais como forma de manipulação social inclui "teorias da conspiração" ridículas, como "o ex Presidente Obama faz parte de um culto satânico" - Fake News impusionada a partir de uma fotografia manipulada, mas muita gente acredita nestas tolices.

 

Da mesma forma, a propagação proposital de desinformação e os discursos de ódio são táticas já conhecidas da extrema direita em todo o mundo, bem como o ataque à pessoas e instituições. Este lamentável componente ideológico que varia desde "a Terra é plana" até "Obama é um satanista" ou "Alexandre de Moares é um violador de direitos humanos" obviamente não contribui em nada para ajudar na regulamentação da inteligência artificial, dado que a IA é usada propositalmente por certos grupos para impulsionar estas mentiras, com o olhar complacente das big techs que faturam milhões de dólares com este tipo de tráfego.

2. O EXCESSO DE REGULAMENTAÇÃO É RUIM

Na busca por marcos regulatórios para a IA, é preciso encontrar um delicado balanço entre o que é necessário requerer das organizações que desenvolvem tais sistemas para proteger direitos da sociedade (como a não-discriminação e a transparência) e reduzir riscos, sem por outro lado incorrer em excessos normativos que possam atrapalhar a inovação e reduzir o incentivo para o desenvolvimento de soluções por parte das empresas. Outro problema é a harmonização das diferentes legislações que venham a ser adotadas para a IA em todo o mundo. Muitas empresas competem globalmente ofertando seus serviços pela Internet, e a falta de equilíbrio no rigor regulatório (requisitos, restrições, sanções etc.) entre legislações locais (de cada país) para a IA poderá causar sérias desvantagens competitivas para algumas organizações. Por isso, é desejável buscar "estar alinhado com os grandes blocos". Por exemplo, o que for proposto para a União Européia como marco regulatório para a IA provavelmente poderá servir de base (com as devidas adaptações) para a criação de marcos regulatórios nacionais, como ocorreu no bem sucedido exemplo da utilização da GDPR como uma referência para a LGPD no Brasil e em vários outros casos.

Não há um resposta única, ou correta, sobre "qual é o nível ideal de regulamentação para a IA". No estágio atual, o que se pode fazer é ampliar o debate, dando voz para as diversas partes interessadas, incluindo obviamente as organizações que produzem soluções de IA e a sociedade civil, além da academia, especialistas, juristas, legisladores e outros. Utilizar avaliações de riscos para a aplicabilidade dos requisitos legais é uma boa abordagem, e também parece benéfico adotar a "melhoria progressiva" em vez de tentar abarcar todos os complexos contextos de uso ético da IA de uma só vez, em uma primeira versão da legislação, seja ela qual for. Há muito ainda por se pesquisar e muitos problemas ainda não adequadamente compreendidos, e legislar neste contexto é um risco em si mesmo, independentemente da necessidade e da boa intenção dos envolvidos.

3. A AUTO-REGULAÇÃO É NECESSÁRIA, MAS NÃO SUFICIENTE

Além do Poder Público, a pressão da sociedade (ativismo digital) e a cobrança de investidores mais alinhados com valores éticos, sociais e ambientais podem incentivar uma postura mais colaborativa, pois não é possível depender apenas da boa vontade das empresas em praticar a auto-regulamentação, apesar da profusão de "princípios para uma IA ética e responsável" já propostos pela Microsoft, Google, IBM e outras. Alguns filósofos eticistas como Thomas Ferretti defendem que "depois que existir um marco regulatório adequado, as corporações devem respeitar a lei, mas enquanto esta legislação não existe ajudar o governo na sua construção  deve ser uma prioridade ética para os fornecedores de soluções de IA", sendo ainda mais importante do que a auto-regulação, que também é bem-vinda.

Veja a seção 5. Autoregulação nesta página.

1. Regulamentação da IA na Europa - O Ato da IA

O Ato da IA (Artificial Intelligence Act - IA Act)  ou "REGULAMENTO (UE) 2024/1689 DO PARLAMENTO EUROPEU E DO CONSELHO" estabelece um arcabouço jurídico para o desenvolvimento, fornecimento e uso de produtos e serviços de inteligência artificial na UE. A legislação visa um conjunto de objetivos específicos:

 

  • Garantir que os sistemas de IA utilizados na UE sejam seguros e compatíveis com a legislação existente da UE;

  • Garantir a segurança jurídica para facilitar o investimento e a inovação em IA;

  • Melhorar a governança e a aplicação eficaz da legislação da UE sobre direitos humanos fundamentais e requisitos de segurança aplicáveis aos sistemas de IA; e

  • Facilitar o desenvolvimento de um mercado único para aplicações de IA legais, seguras e confiáveis.

A prioridade do Parlamento é garantir que os sistemas de IA utilizados na UE sejam seguros, transparentes, rastreáveis, não discriminatórios e ecologicamente corretos. Os sistemas de IA devem ser supervisionados por pessoas para prevenir resultados prejudiciais.

ato da ia 1.png

O Ato da IA se preocupa em proteger os direitos fundamentais dos cidadãos da UE, a democracia, o estado de direito e a sustentabilidade ambiental, regulamentando os sistemas de IA de alto risco, banindo o uso daqueles de risco inaceitável e ao mesmo tempo estimulando o investimento e a inovação para posicionar a Europa como líder neste campo. A IA deve ser uma tecnologia centrada no ser humano e com o objetivo último de aumentar o bem-estar humano. 

Os legisladores e especialistas que discutiram a proposta tiveram cuidado na harmonização jurídica do Ato da IA com outras leis já em vigor em diferentes países da Europa, evitando contradições ou conflitos. Por exemplo, o Ato da IA deve ser compatível e complementar à GDPR, bem como as leis de proteção de menores e outras normativas. 

 

Com relação ao escopo, o IA Act alcança (Artigo 2˚, [5]) os provedores que colocam sistemas de IA em serviço na União Europeia (EU) ou os colocam no mercado da UE (não é relevante se esses provedores estão baseados na UE ou em um país terceiro), e também os usuários de sistemas de IA na UE.

 

Escopo excluído - O regulamento exclui explicitamente do seu escopo:

  • Sistemas de IA utilizados fora do domínio de aplicação do direito da UE.

  • Sistemas de IA desenvolvidos ou usados exclusivamente para fins militares, defesa ou segurança nacional;

  • Autoridades públicas de um país terceiro e organizações internacionais que utilizam IA no âmbito de acordos internacionais para aplicação da lei e cooperação judicial.

  • Sistemas de IA colocados em serviço exclusivamente para fins de investigação e desenvolvimento científicos.

  • Atividades de investigação, testagem ou desenvolvimento de sistemas de IA antes de serem colocados no mercado (porém, a testagem em condições reais não é abrangida por essa exclusão).

  • Uso do sistema de IA no âmbito de atividades puramente pessoais, de caráter não profissional.

  • Sistemas de IA lançados com licenças gratuitas e de código aberto, a menos que sejam classificados como de risco elevado ou seja uma aplicação proibida (artigo 5) ou que deva anteder a requisitos transparência (artigo 50).

O Ato da IA entrou em vigor em 1º de agosto de 2024, vinte dias após sua publicação no Jornal Oficial da União Europeia. O Ato será totalmente aplicável 24 meses após a entrada em vigor (agosto de 2026), mas algumas partes serão aplicáveis antes, e os sistemas de alto risco terão um pouco mais de tempo para entrar em conformidade.

 

A Figura extraída desta fonte mostra a abordagem de riscos adotada no Ato da IA. São previstos quatro níveis de risco para classificar os sistemas de IA (Inaceitável, Alto, Limitado e Mínimo). Observar que há critérios (Anexo III, AI Act) na regulamentação que determinam a prori se um Sistema de IA é “Inaceitável” ou de “Risco Elevado”, antes mesmo que seja feita uma avaliação de seus riscos pelo fornecedor. Na medida em que o risco aumenta, regras mais rígidas são aplicáveis.

RISCOS ATO IA.png

Sistemas de IA com Risco Inaceitável 

Sistemas de IA com risco inaceitável são considerados uma ameaça para pessoas e são proibidos na UE. Estes sistemas estão definidos no Artigo 5˚, Práticas de IA proibidas, e incluem por exemplo:

  • Sistemas capazes de fazer manipulação cognitiva ou comportamental de pessoas ou grupos vulneráveis específicos, por exemplo, brinquedos ativados por voz que possam encorajar comportamentos perigosos em ceianças.

  • Sistemas de IA que explorem vulnerabilidades de pessoas específicas ou grupos, devidas à sua idade, incapacidade ou situação socioeconómica específica, visando distorcer seu comportamento de modo que possa causar danos.

  • Sistemas de IA que façam classificação social (social scoring) de pessoas com base em seu comportamento, status socioeconômico ou características pessoais, de modo que tal clasificação conduza a tratamento prejudicial ou desfavorável de certas pessoas ou grupos de pessoas.

  • Sistemas de IA que façam perfis de risco para infração penal, ou a avaliação de riscos de pessoas a fim de prever o risco de uma pessoa cometer uma infração penal com base exclusivamente na definição de perfis pessoais ou na avaliação dos traços de personalidade de uma pessoa. Por exemplo, sistemas de IA para suporte de policiamento preditivo quando baseado apenas no perfil de uma pessoa em função de suas características. 

  • Sistemas de IA que criam ou expandam bases de dados de reconhecimento facial através da recolha aleatória de imagens faciais a partir da Internet ou de imagens de televisão em circuito fechado (CCTV).

  • Sistemas de IA capazes de reconhecer emoções no ambiente de trabalho e em instituições de ensino, exceto por razões médicas ou de segurança. 

  • Sistemas de IA que façam categorização biométrica que classifiquem individualmente as pessoas com base nos seus dados biométricos para deduzir ou inferir a sua raça, opiniões políticas, filiação sindical, convicções religiosas ou filosóficas, vida sexual ou orientação sexual (observar que há casos legais que suportam o uso de biometria).

  • Sistemas de IA que façam reconhecimento facial em massa, ou istemas de identificação biométrica à distância em «tempo real» em espaços públicos, a menos e na medida em que essa utilização seja estritamente necessária para finalidades específicas previstas em lei.


Sistemas de IA com Risco Elevado

Enquanto os sistemas de IA de Risco Inaceitável são simplesmente banidos da UE, os sistemas de Risco Elevado são permitidos, mas devem estar em conformidade com uma série de requisitos. A primeira questão que se coloca é de como classificar um Sistema de IA como sendo de Risco Elevado. Observar que esta classificação deve ser feita pelos próprios fornecedores de sistemas de IA. Basicamente, um Sistema de IA deve ser considerado de Risco Elevado se afetar negativamente a saúde, segurança ou direitos humanos fundamentais, o que inclui vários sistemas que se enquadram nas leis já existentes de segurança de produtos na União Europeia, e também uma variedade de sistemas que se enquadram em domínios específicos (descritos no Anexo III do Ato da IA).

 

Os domínios ou categorias que podem conter sistemas de IA de Risco Elevado - que devem obrigatoriamente ter sua conformidade com o Ato da IA e outras leis aplicáveis - são:

  • DOMÍNIO 1 – Dados Biométricos (quando permitidos, isto é, excluindo sistemas de Risco Inaceitável)

  • DOMÍNIO 2 – Infraestruturas críticas

  • DOMÍNIO 3 – Educação e formação profissional

  • DOMÍNIO 4 – Emprego, gestão de trabalhadores e acesso ao emprego por conta própria

  • DOMÍNIO 5 – Acesso a serviços públicos ou privados essenciais

  • DOMÍNIO 6 – Aplicação da lei

  • DOMÍNIO 7 – Gestão da migração, do asilo e do controle das fronteiras

  • DOMÍNIO 8 – Administração da justiça e processos democráticos
     

​Observar que o fato de um sistema de IA se enquadrar nestes domínios ou categorias não significa que deve ser necessariamente considerado de Risco Elevado – a avaliação do contexto em cada caso é importante. Por exemplo, sistemas de avaliação de crédito (Domínio 5) podem ou não ser classificados de Risco Elevado. Da mesma forma, um sistema de IA que tenha por finalidade apenas prestar apoio puramente administrativo e auxiliar no âmbito da justiça (Domínio 8), como por exemplo, um sistema para anonimização de decisões judiciais, não deve ser considerado de Risco Elevado. 

Registro em Banco de Dados

Os sistemas de IA classificados como de Risco Elevado pelos critérios do Ato da IA da União Europeia devem ser registrados em um banco de dados específico antes de entrarem em operação. Este banco de dados será gerido pela Comissão Europeia e servirá como um repositório centralizado para garantir que tais sistemas sejam monitorados e regulamentados de maneira adequada. A responsabilidade de registrar os sistemas de IA de Risco Elevado recai sobre os provedores desses sistemas, que devem garantir que as informações necessárias estejam disponíveis e atualizadas nesse banco de dados. 

Gestão de Riscos de sistemas de IA com Risco Elevado

Um ponto importante é que a classificação de sistemas de IA como sendo de Risco Elevado deve ser feita antes que estes entrem no mercado. Uma vez classificado como sendo de Risco Elevado o sistema de IA deverá atender diversos requisitos obrigatórios durante todo o seu ciclo de vida.

 

Deve haver um processo contínuo de avaliação dos sistemas de Risco Elevado, através de um processo estruturado de Gestão de Riscos que permita a identificação, avaliação e atenuação dos riscos que possam afetar a saúde, a segurança e/ou direitos fundamentais das pessoas.  E não é qualquer sistema de gestão - diz o Ato da IA que "O sistema de gestão de riscos deverá adotar as medidas de gestão dos riscos mais adequadas à luz do estado da arte no domínio da IA. Ao identificar as medidas de gestão dos riscos mais adequadas, o prestador deverá documentar e explicar as escolhas feitas e, se for caso disso, envolver peritos e partes interessadas externas". 

 

Além da Gestão de Riscos, há diversos requisitos para os quais os sistemas de IA de Risco Elevdo devem demonstrar conformidade:

  • Gestão de riscos – Deve existir um sistema de Gestão de Riscos para IA capaz de identificar e mitigar continuamente os riscos durante todo o ciclo de vida do sistema de IA. 

  • Governança de Dados: Devem ser implementadas práticas para governança e gestão de qualidade de dados, para assegurar a qualidade, integridade, relevância e representatividade dos dados utilizados nos sistema de IA. 

  • Documentação técnica e manutenção de registros (logs automáticos) para demonstrar conformidade e facilitar auditorias

  • Transparência

  • Supervisão humana

  • Confiabilidade (solidez, exatidão)

  • Cybersegurança

Relatório FRIA

De acordo com o Ato da IA, antes de implantar um sistema de IA de Alto Risco, especialmente no contexto de serviços públicos, as entidades responsáveis devem realizar uma Avaliação de Impacto sobre os Direitos Fundamentais (Fundamental Rights Impact Assessment - FRIA). Esta avaliação abrange a geração de um conjunto de Relatórios para avaliação do impacto potencial do sistema de IA sobre os direitos fundamentais das pessoas, incluindo privacidade, não discriminação, liberdade de expressão e outros. Esses relatórios são cruciais para garantir que a implantação de sistemas de IA de Risco Elevado em serviços públicos não infrinja os direitos fundamentais dos indivíduos e que haja responsabilidade e transparência ao longo de todo o processo.

Sistemas de IA com Risco Limitado

Sistemas de IA de propósito geral, como os assistentes para IA Generativa como o ChatGPT que servem para tarefas genéricas, não serão classificados por padrão como sendo de Risco Elevado, mas podem ser de Risco Elevado, e terão que cumprir vários requisitos relacionados com a Transparência. Por exemplo, para evitar o risco de DeepFakes tais sistemas deverão notificar os usuários de que certos conteúdos (como áudios, imagens e vídeos) foram gerados por IA e ter proteções adequadas para impedir que o sistema gere como saída conteúdos ilegais. Tais sistmas deverão apresentar instruções de uso claras, e os usuários devem ser informados de que estão interagindo com um sistema de IA (um bot, por exemplo).  Além disso, qualquer incidente mais sério com algum destes sistemas deverá ser obrigatoriamente reportado para a Comissão Européia através de canais apropriados, 

Sistemas de IA com Risco Mínimo

Além dos sistemas de IA de Risco Inaceitável (proibidos na UE) e os sistemas classificados como de Risco Elevado, há naturalmente uma enorme quantidade de sistemas de Risco Mínimo, que apresentam um risco muito baixo para a saúde, segurança ou os direitos fundamentais das pessoas. Esses sistemas estariam isentos de regulamentação rigorosa. Seguem alguns exemplos.

  • Filtros de Spam de E-mail: Sistemas que detectam e desviam automaticamente e-mails de spam ou phishing para uma pasta separada, protegendo os usuários de receberem comunicações indesejadas.

  • Assistentes Virtuais Pessoais: Ferramentas como Alexa, Siri, ou Google Assistant, que respondem a comandos de voz para realizar tarefas simples, como configurar alarmes ou tocar música.

  • Sistemas de Recomendação de Conteúdo: Algoritmos usados por plataformas de streaming ou e-commerce para sugerir músicas, filmes, ou produtos com base no histórico de preferências do usuário.

  • Tradução Automática: Ferramentas que utilizam IA para traduzir textos entre diferentes idiomas, como o Google Tradutor, que têm impacto limitado sobre os direitos fundamentais.

  • Processamento de Texto e Verificação Ortográfica: Sistemas de IA que auxiliam na redação de documentos, sugerindo correções gramaticais ou alternativas de palavras.

  • Aplicativos de Previsão Meteorológica: Sistemas que utilizam IA para prever condições climáticas com base em dados históricos e em tempo real, sem impacto direto sobre a segurança ou os direitos das pessoas.

  • Videogames: Jogos de computador com IA que não ofereçam riscos aos direitos fundamentais e segurança.

  • Esses exemplos mostram aplicações de IA que apresentam um risco muito baixo e, portanto, estariam isentas de regulamentação sob o IA Act. Porém, devem estar em conformidade com outras leis em vigor (por exemplo, a GDPR). 
     

Princípios para uma IA Ética e Responsável

O Ato da IA recomenda que embora não sejam requisitos legais, os 7 princípios para uma IA ética e responsável listados nas Diretrizes de Ética de 2019 para IA Confiável (2019 Ethics Guidelines for Trustworthy AI) devem ser observados.
 

Os sete princípios incluem:

  1. Agência e supervisão humana;

  2. Robustez técnica e segurança;

  3. Privacidade e governança de dados;

  4. Transparência;

  5. Diversidade, não discriminação e equidade;

  6. Bem-estar social e ambiental;

  7. Prestação de contas.

 

Sem prejuízo dos requisitos legalmente vinculativos pelo Ato da IA e de qualquer outra legislação aplicável, essas Diretrizes contribuem para o design de uma Inteligência Artificial coerente, confiável e centrada no ser humano, em linha com os valores sobre os quais a União Europeia foi fundada. 

Penalidades

As penalidades por descumprimento de requisitos do Ato da IA (definidas nos Artigo 71 e 72a) são pesadas, e em casos mais graves (por exemplo, colocar em produção sistemas de IA de Risco Inaceitável, proibidos na União Europeia) podem alcançar milhões de Euros. Além do impacto financeiro e do dano à reputação, poderá haver impactos importantes nos negócios da organização em caso de não conformidade.

European Commission AI Act

Regulatory framework proposal on artificial intelligence - The AI Act is the first-ever legal framework on AI, which addresses the risks of AI and positions Europe to play a leading role globally.

2. Regulamentação da IA nos Estados Unidos (o Plano de IA de Trump)

O Plano de Ação de IA de Donald Trump (AI Action Plan) divulgado no dia 23 de julho de 2025 pretende manter e ampliar a liderança global dos EUA em IA para (aspas) "promover bem-estar humano, competitividade econômica e segurança nacional". Ele se apoia em três pilares: acelerar a inovação, construir infraestrutura americana de IA e liderar na diplomacia e segurança internacionais. 

A agenda central é acelerar o desenvolvimento e adoção de IA, buscando a liderança dos EUA no setor. Por um lado, o plano surpreende positivamente ao incluir um foco relevante em segurança de IA. Entre as políticas de segurança estão:

  • Avanços em interpretabilidade, controle e robustez;

  • Criação de um ecossistema de avaliações de IA;

  • Reforço da cibersegurança de infraestrutura crítica;

  • Promoção de IA “secure-by-design”;

  • Fortalecimento da resposta federal a incidentes de IA;

  • Fiscalização mais rígida de exportação de capacidade de computação para IA (com verificação de localização);

  • Avaliação de riscos à segurança nacional em modelos de fronteira;

  • Investimento em biossegurança.

O plano também apoia a criação de modelos de pesos abertos, defendendo que o governo federal crie um ambiente favorável a eles, embora a decisão fique a cargo do desenvolvedor. 

Por outro lado, o Plano de Ação de IA de Trump adota uma postura partidária (e enviesada) ao tratar do que entende justamente por “viés ideológico”. Por exemplo, instrui o NIST a revisar seu framework de risco de IA (NIST AI Risk Management Framework) para remover menções a desinformação, diversidade, equidade e inclusão e mudança climática, o que se de fato for feito comprometerá bastante a utilidade do importante framework do NIST. É como instruir a NASA para remover de seus artigos a menção de que "a Terra é redonda". 

Os Democratas no Congresso Americano responderam que apoiam uma neutralidade real na IA baseada em fatos e ciência, criticando a obsessão de Trump com ações “anti-woke”, mas do jeito que as coisas estão caminhando (em escala global) é improvável que qualquer plano vindo de Trump seja "neutro e baseado em ciência".  Ao final do dia, mesmo em seus pontos positivos (como o foco em segurança) a corrida pela dominância da IA reflete muito mais a disputa geopolítica EUA-China do que uma preocupação sincera com os benefícios e uso ético da tecnologia. 

Mais precisamente, o Plano de Ação norte-americano para a regulação da IA, na prática, prioriza a desregulação. Ele desmonta salvaguardas criadas na era Biden, eliminando referências a viés, impacto climático e diversidade, e determina que as agências federais adquiram apenas sistemas “buscadores da verdade” e “ideologicamente neutros” — sendo que esse “neutro” significa, por exemplo, negar as mudanças climáticas. Trata-se de desregulação maquiada de inovação, que privilegia velocidade e escala em detrimento de proteções democráticas ou do uso ético e responsável da IA.

Vale mencionar que há desafios técnicos importantes para que as grandes corporações americanas que desenvolvem modelos de fronteira (como a OpenAI, Google, Meta e Anthropic) consigam cumprir” na prática os elementos centrais do AI Action Plan (aceleração + segurança + “neutralidade ideológica” + modelos de pesos abertos + avaliação de riscos da IA). 

Dentre estes desafios, podemos citar:

  • A dificuldade de garantir interpretabilidade, controle e robustez nos modelos de grande escala, 

  • O incentivo do Plano ao uso de modelos de pesos abertos, que são mais vulneráveis a diferentes tipos de ataques adversariais (jailbreaks, geração de desinformação, deepfakes e outros usos maliciosos), 

  • O respeito ao que Trump entende por "neutralidade ideológica" e o conflito da visão do Governo Federal com as próprias políticas internas já adotadas pelas big techs (por exemplo, a remoção de referências a desinformação e mudança climática do NIST RMF vai criar desalinhamento com o trabalho técnico e de engenharia de justiça algorítmica e detecção de desinformação que Google, Anthropic e outros já integram em seus modelos, 

  • Ainda na linha do uso ético e responsável da IA, será difícil para as big techs conseguirem operar dentro da lei em múltiplas jurisdições com regras diferentes (a União Europeia e o Brasil por exemplo acreditam nas mudanças climáticas, apoiam a DEI (Diversidade/Equidade/Inclusão), e são contra a desinformação amplificada pela IA),  

  • A integração de seus serviços com o serviço de resposta a incidentes em nível federal proposto no Plano, mas ainda por ser implementado, e 

  • A necessidade de controle mais rigoroso sobre a procedência dos chips utilizadas no treinamento da IA (rastreabilidade do supply chain). 

Em mais esta confusão, estou particularmente curioso para ver qual será a reação do conselho consultivo do NIST, que foi formalmente instruído no Plano de Trump a arruinar seu próprio framework de gestão de riscos em IA (AI RMF) eliminando referências a desinformação, Diversidade/Equidade/Inclusão (DEI) e mudança climática. Se isso de fato ocorrer, vai diminuir substancialmente a utilidade do framework em muitos domínios críticos de risco:

  • Eliminar as preocupações do framework do NIST sobre o uso da IA para desinformação é completamente absurdo

  • Sobre DEI, há consenso acadêmico de que vieses em sistemas de IA são reais, mensuráveis e causam danos desproporcionais. Eliminar menções a diversidade, equidade e inclusão tende a fazer com que avaliações de risco da IA deixem de considerar impactos discriminatórios estruturais, reduzindo a abrangência preventiva do framework.

  • Omitir da avaliação de riscos as mudanças climáticas é de um nível de ignorância medieval, e isso obviamente poderá fazer com que riscos críticos relacionados ao uso de IA em contextos ambientais sejam negligenciados.

 

A próxima revisão do AI RMF deve ocorrer antes de 2028. Vamos ver qual será o posicionamento do NIST, ou talvez do próprio Trump até lá. Afinal, como dizem, "TACO".    

3. Regulamentação da IA na China

Comentamos na seção anterior que, em 23 de julho de 2025, o governo Trump lançou seu plano para a IA, o Winning the Race: America’s AI Action Plan. O documento reúne diversas medidas federais para acelerar a inovação, fortalecer a infraestrutura de IA e liderar na segurança internacional. Pelo lado positivo, o plano prevê incentivos para o aumento da segurança em IA. Pelo lado negativo, foi acompanhado por ordens executivas de caráter negacionista sobre “IA Woke”, além de diretrizes relacionadas ao licenciamento de data centers e exportações de tecnologia de IA.

Apenas três dias depois, em 26 de julho de 2025, a China apresentou, na Conferência Mundial de Inteligência Artificial em Xangai, seu Plano de Ação para Governança Global de IA, com uma abordagem declaradamente multilateral. Diferente do foco norte-americano em liderança nacional e competitividade, o plano chinês propõe um roteiro de 13 pontos voltado à cooperação internacional, à criação de padrões globais ancorados na ONU e ao estabelecimento de uma “organização global de cooperação em IA” sediada em Xangai. A proposta busca moldar a governança internacional por meio de infraestrutura compartilhada, colaboração em código aberto e parcerias multilaterais. 

É curioso — e revelador dos tempos complexos (e perigosos) em que vivemos — que a China, não sendo uma democracia, apresente uma visão multilateral e cooperativa para a governança da IA, enquanto os Estados Unidos, que são uma democracia, adotam uma estratégia de dominância e competição.

Contudo, não se deve interpretar que, por ser “multilateralista”, o plano chinês seja mais ético ou responsável que o americano. A China não é uma democracia (e, pelo que temos visto, os Estados Unidos tampouco têm agido como tal nessa e em outras disputas). Ambos os planos parecem concebidos para atender prioritariamente aos interesses corporativos — sejam eles chineses ou americanos — ainda que por mecanismos distintos. As considerações de interesse público, como o uso ético e seguro da IA, acabam relegadas a segundo plano.

Como vimos em uma seção anterior nesta página, a União Europeia já aprovou sua própria regulação de IA (o AI Act), tornando-se pioneira nesse processo. Vale destacar que algumas big techs americanas, como a Meta, têm reagido de forma bastante crítica às exigências da regulamentação europeia, buscando flexibilizações para comercializar suas IAs no continente.

E quanto aos demais países? Conseguirão nações como o Brasil estabelecer padrões próprios e soberanos de governança de IA em meio à disputa entre Estados Unidos e China — marcada por visões tão opostas? Em um cenário onde a dominância tecnológica se sobrepõe a outras considerações, será que ainda é viável acreditar em uma governança global eficaz para mitigar riscos como vigilância em massa, viés algorítmico, desinformação e manipulação social?

 

Além disso, a disputa entre Estados Unidos e China transcende a questão da IA. Ela reflete uma divergência geopolítica muito mais ampla, que inclui a (des)valorização de organismos multilaterais como ONU e OMC, a imposição de tarifas comerciais na era Trump, o enfrentamento ao aquecimento global e outros temas urgentes. O resultado é um cenário em que decisões cruciais para o futuro do planeta ficam presas entre duas visões antagônicas de governança mundial. ​

4. Regulamentação da IA no Brasil

brazil.png

PL 2338/2023

O projeto de Lei PL 2338/2023 de iniciativa do Senador Senador Rodrigo Pacheco (PSD/MG) dispõe sobre o uso da IA no Brasil. O projeto incorpora elementos de outros projetos em tramitação (ver abaixo) que visam a regulamentação da IA ainda em tramitação, além de sugestões encaminhadas por uma comissão de juristas, que analisou ao longo de 2022 outras propostas relacionadas ao tema e também a legislação já existente em outros países - sobretudo o ATO DA IA produzido pelo Parlamento Europeu. 

Como comentado na seção anterior, com a disputa pelo domínio da IA entre os Estados Unidos e a China o Brasil (e o resto do mundo) enfrentará um grande desafio de aprovar uma legislação nacional robusta e alinhada ao interesse público brasileiro, enquando as duas superpotências estão definindo as regras do jogo.

Situação do PL:

Decisão: Aprovada pelo Plenário
Destino: À Câmara dos Deputados
Último local: 26/12/2024 - Secretaria de Expediente
Último estado: 17/03/2025 - REMETIDA À CÂMARA DOS DEPUTADOS

Veja a análise (Nota Técnica) da ANPD sobre o projeto PL 2338.

Matérias relacionadas

5. Autoregulação 

2024-05-21_164319.png

Em paralelo ao esforço regulatório (em nível global) para melhor controle e regulamentação externa do desenvolvimento, comercialização e uso de sistemas de Inteligência Artificial, alguns dos big players (grandes corporações) que produzem modelos e aplicações de IA formam associações com propostas para autoregulação, juntando (pelo menos no discurso) esforços de forma colaborativa para a geração de sistema de IA mais seguros. Não é o lobo tomando conta das galinhas - são lobos concorrentes tomando conta deles próprios.

 

Imaginando que sejam sinceros (e não apenas discursos de marketing), estes esforços de autoregulação são mais direcionados para os chamados "modelos de fronteira" (frontier models), aqueles modelos de alta capacidade (como as aplicações de IA Generativa) que podem representar riscos graves para a segurança públicaDe fato, estes sistemas mais avançados possuem riscos mais difíceis de prever (e controlar) que os sistemas de IA "tradicionais", dado que neles podem surgir funcionalidades perigosas de forma inesperada (que não haviam previstas anteriormente). Além disso é difícil impedir que estes modelos  poderosos sejam utilizados de má fé com intenções prejudiciais, bem como é difícil controlar a proliferação no uso destes modelos uma vez que são divulgados. 

Uma referência importante neste contexto é o Frontier Model Forum que inclui Amazon, Google, Microsoft, Meta, OpenAI e Anthropic - todos pesos pesados na pesquisa e desenvolvimento de modelos de IA.

Seguem algumas referências sobre a questão da autoregulação na IA.

Podemos confiar na autoregulação da IA pelas próprias Big Techs?

Apesar da profusão de "princípios para uma IA ética e responsável" já propostos pela Microsoft, Google, IBM e outras, alguns filósofos eticistas como Thomas Ferretti não é uma boa ideia depender apenas da boa vontade das grandes empresas de tecnologias que desenvolvem sistemas de IA em seguir seus próprios Princípios e praticar a auto-regulamentação,  Muitas grandes empresas de tecnologia estão afastando seus filósofos eticistas e outros profissionais dedicados ao uso ético e responsável da Inteligência Artificial.  Há também cientistas importantes abandonando as Big Techs descontentes com as políticas atualmente em vigor em defesa do uso mais seguro da IA.

Monitores de incidentes 

Monitores de incidentes são ferramentas de governança, pois permitem acompanhar, registrar e aprender com falhas e mau uso da IA, servindo de insumo para políticas, auditorias e regulação. Abaixo são listados alguns exemplos de monitores de incidentes relacionados com a Inteligência Artificial, em ordem de relevância (curadoria do autor). ​Os monitores mais confiáveis utilizam bases de dados estruturadas, com taxonomia e metadados, e são mantidos por instituições acadêmicas ou governamentais.

AI Incident Database (AIID)

Coleta e catalogação colaborativa formando um repositório público de incidentes em que sistemas de IA causaram ou contribuíram para danos no mundo real. Inclui falhas de reconhecimento facial, decisões automatizadas injustas, viés algorítmico, e muito mais. Permite filtrar por tipo de incidente, setor, gravidade, etc. É atualmente o monitor mais utilizado e citado globalmente, como referência acadêmica e também em políticas públicas. Metodologia aberta e auditável.

2025-08-10_090943.png

Crédito da imagem: AI Incident Database

MONITOR DA OECD

Monitoramento de incidentes e riscos de IA com base em notícias internacionais

2025-04-25_150955.png

Crédito das imagens: OECD.AI - AI incidents and hazards monitor 

AI INCIDENT TRACKER (MIT)

Classificação e visualização de incidentes reais com base em risco e tipo de dano. Tem forte credibilidade acadêmica, utiliza uma metodologia sólida e é bastante adotado por pesquisadores e reguladores.

2025-08-10_090237.png

Crédito da imagem: MIT AI Incident Tracker 

Political Deepfakes Incidents Database

Registro de casos de deepfakes de natureza política. Pelo que sei, é o único repositório especializado no tema, e é usado pela imprensa, por tribunais e autoridades eleitorais.  O banco de dados em si pode ser acessado neste link.

2025-08-10_092805.png

Crédito da imagem: Introducing the Political Deepfakes Incidents Database

Benchmarks para avaliação de riscos em LLMs

Além dos monitores de incidentes, outra importante ferramenta de governança da IA são os benchmarks que permitem comparar os riscos de diferentes sistemas de IA. Em particular, existem benchmarks para avaliação de riscos em modelos de linguagem (LLMs) como o HELM Safety e AIR-Bench  (Stanford University)

O HELM Safety (Stanford CRFM) é um coleção padronizada de 5 benchmarks de segurança que cobrem seis categorias de risco, incluindo violência, fraude, discriminação, conteúdo sexual, assédio e engano. A utilização dos benckmarks é documentada nesta página. O HELM avalia modelos de linguagem proeminentes e publica os resultados de forma transparente.  Com a rápida evolução dos LLMs e a acirrada competição entre Open AI, Google, Anthropic e outros a posição dos modelos varia frequentemente no ranking nos 5 benchmarks

O AIR BENCH é o primeiro benchmark de segurança de IA alinhado com regulamentações governamentais e políticas empresariais reais. É baseado na taxonomia AIR 2024, que reúne 314 categorias de risco divididas em quatro domínios. O AIR BENCH utiliza milhares de Prompts especialmente construídos para avaliar a segurança de LLMs, levando em conta as regulamentações mais modernas., e mede a "taxa de recusa" do LLM em executar Prompts que podem gerar riscos importantes, como um indicador de suas proteções internas. Leia a documentação para mais informações. 

air-overview-d2e6c49f.png

Crédito da Imagem: AIR-Bench 2024: A Safety Benchmark Based on Risk Categories from Regulations and Policies

Normas ISO para gestão de riscos da IA

As normas ISO/IEC 23894 (governança e gestão de riscos de IA) e ISO/IEC DIS 38507 (implicações de governança) podem ajudar na gestão de riscos da inteligência artificial, tanto por quem desenvolve quanto por quem usa tais sistemas.

Seguem algumas referências.

Norma ISO/IEC DIS 23894

ISO/IEC DIS 23894 - Information technology — Artificial intelligence — Guidance on risk management. 

Extensão para a norma ISO 31000:2018 (Risk Management - Guidelines), trazendo requisitos específicos para o gerenciamento de riscos de sistemas de AI.

Norma ISO/IEC DIS 38507

ISO/IEC 38507 - Governança de TI — Implicações de Governança do Uso de Inteligência Artificial pelas organizações

Diretrizes para membros de órgãos diretivos, gerentes executivos, especialistas técnicos, legisladores, autoridades públicas e outras partes interessadas no que concerne à governança do uso da IA nas organizações.

Framework do NIST para gestão de riscos da IA

NIST AI-600 1 (NIST Trustworthy and Responsible AI)

O framework NIST AI-600 1 (NIST Trustworthy and Responsible AI) pode ser útil para gerenciar riscos de IA generativa, incluindo a conformidade com regulamentações como o Ato da IA da União Europeia comentado na seção anterior. O NIST (National Institute of Standards and Technology) dos EUA desenvolveu esse framework para fornecer orientações sobre como criar, gerenciar e implementar sistemas de IA de maneira ética e responsável, alinhado a princípios como explicabilidade, segurança e imparcialidade.

Seguem alguns pontos importantes sobre como o NIST AI-600 1 pode ser usado no contexto de IA Generativa:

1. Identificação e Mitigação de Riscos
O framework se concentra na identificação de riscos associados ao uso de IA, fornecendo métodos para avaliar riscos de impacto social, de segurança e privacidade, e possíveis consequências adversas. Isso é essencial para IA generativa, que pode criar conteúdo em larga escala e ser usada para desinformação ou outras práticas indesejadas.

2. Transparência e Explicabilidade
Uma das categorias principais do NIST é a transparência. Isso inclui a necessidade de sistemas de IA generativa informarem aos usuários que estão interagindo com uma IA (o que também é exigido no Ato da IA). O NIST fornece algumas diretrizes para garantir que os sistemas sejam explicáveis e compreensíveis para diferentes tipos de usuários,

3. Gestão de Bias e Não-Discriminação
O NIST AI-600 1 também aborda o risco de vieses discriminatórios, que é uma área sensível para IA Generativa, especialmente se os modelos forem treinados com grandes volumes de dados que podem conter vieses históricos ou sociais. O framework orienta sobre como testar e mitigar esses vieses, ajudando os fabricantes a assegurar que os sistemas não reforcem desigualdades, o que também é um requisito para sistemas de IA classificados como de "risco elevado" no Ato da IA.

4. Segurança e Robustez
A confiabilidade e robustez do sistema são outros focos importantes do NIST, bem como a segurança, o que se aplica diretamente a IA Generativa para evitar que o sistema produza saídas indesejadas ou inseguras. A gestão de vulnerabilidades e a segurança contra ataques adversariais estão incluídas, permitindo que os desenvolvedores implementem medidas preventivas.

5. Governança e Responsabilização (Accountability)
O framework do NIST também destaca a importância de uma governança responsável de IA, que inclui práticas de auditoria e accountability (responsabilização), necessárias para se conformar com regulamentações como o Ato da IA. Para IA Generativa, isso significa estabelecer mecanismos que assegurem que os criadores do sistema possam ser responsabilizados pelo uso ou resultados gerados pela IA.

6. Interoperabilidade com Padrões Europeus
Embora o NIST seja um framework americano, muitos de seus princípios são consistentes com as exigências do Ato da IA da União Europeia. Isso significa que as empresas que seguem o NIST podem ter uma base sólida para adaptar seus processos aos requisitos europeus.

Ao seguir o NIST AI-600 1, os desenvolvedores de IA Generativa podem alinhar seus sistemas com boas práticas de gestão de riscos e responsabilidade, que são críticas tanto para o cumprimento das regulamentações da UE quanto para o desenvolvimento de IA confiável em um contexto mais amplo.

NIST AI RISK MANAGEMENT FRAMEWORK 

O NIST (The National Institute of Standards and Technology) está elaborando um framework para apoiar a gestão de riscos de soluções de AI (The NIST Artificial Intelligence Risk Management Framework). A ideia é ajudar em todas as etapas do ciclo de vida dos sistemas de IA, passando pelo design, desenvolvimento, implementação e avaliação de produtos, serviços e sistemas baseados em IA. 

Outros frameworks e ferramentas

Outros frameworks e ferramentas úteis para goverança e gestão de riscos da IA.

Algorithmic Impact Assessment tool

O Governo do Canadá disponibilizou uma metodologia e ferramenta para avaliação do impacto algorítmico de soluções de AI, como parte do processo de avaliação de riscos de tais sistemas.  

Framework da OECD para classificação de sistemas de AI

A OECD compartilhou um framework (OECD Framework for the Classification of AI systems) para ajudar na classificação de sistemas de AI. Tal classificação pode ser útil na avaliação de riscos destes sistemas. 

Padrões do IEEE para o design ético de aplicações de AI

O IEEEE está elaborando diversos padrões e boas práticas para o design ético de aplicações de AI, tais como padrões para transparência de sistemas autônomos (IEEE P7001) e boas práticas para evitar bias em algoritmos (IEEE P7003).

Núcleo de Referência em uso ético e responsável da IA

Núcleo de Referência em Inteligência Artificial Ética do Estado do Rio de Janeiro

O Núcleo de Referência em Inteligência Artificial Ética e Confiável do Estado do Rio de Janeiro é coordenado pela Prof. Dra. Mariza Ferro e pelo Prof. Gilberto Almeida e reúne um grupo multidisciplinar de especialistas de diferentes áreas de conhecimento.

Website (em construção)

Página no LinkedIn

Artigo divulgação LNCC

Vídeo de apresentação.

2023-06-16_103102.png
bottom of page