Você pode estar usando inteligência artificial de forma tecnicamente impecável e, ainda assim, perder um contrato. Não por preço. Não por qualidade. Nem por falta de capacidade de entrega. Mas por algo “mais difícil” de perceber à primeira vista e, por isso mesmo, mais arriscado. A incapacidade de provar, de forma objetiva, como a sua organização usa IA.
É esse o ponto que muita gente ainda não percebeu. Neste ano, governança de IA deixa de ser assunto de bastidor, restrito ao jurídico, ao compliance ou à segurança da informação. Ela passa a ocupar um espaço muito mais sensível. Vira diligência. Vira critério de compras. Vira filtro na contratação. Vira pergunta em RFP. Vira condição para onboarding, renovação contratual e expansão de escopo.
A era do “confia em mim, usamos IA com responsabilidade” está acabando. O mercado está migrando para uma lógica bem menos tolerante e muito mais objetiva. “Me mostre os controles. Me mostre os registros. Me mostre quem aprova. Me mostre o que acontece quando a IA erra.”
Parece uma mudança sutil, mas não é. No momento em que governança de IA entra na linguagem de risco, compras e contratação, ela deixa de ser valor abstrato e passa a compor a própria capacidade competitiva da empresa.
Na Europa, o AI Act entra em sua fase mais concreta de aplicação a partir de 2 de agosto de 2026. E o efeito disso não ficará restrito ao mercado europeu. Nunca fica. Foi assim com privacidade. Foi assim com segurança da informação. E será assim, talvez de maneira ainda mais intensa, com IA.
Quando uma regulação relevante entra em enforcement de verdade, o impacto não para na autoridade reguladora. Ele percorre a cadeia de fornecimento. Multinacionais ajustam padrões internos. Áreas de risco atualizam questionários. Segurança endurece critérios. Compras transforma boas práticas em requisito mínimo. O que ontem era diferencial, amanhã vira obrigação. E o que hoje ainda parece algo desejável passa, sem muito aviso, a funcionar como filtro de exclusão.
É justamente aí que mora um dos riscos mais subestimados deste momento. Muita organização ainda imagina que só será pressionada quando houver uma regulamentação local explícita, fiscalização direta ou sanção concreta. Na prática, a pressão costuma chegar antes, pelo cliente. E o cliente raramente manda um e-mail dizendo que você foi descartado porque sua governança de IA era fraca. Ele simplesmente segue com outro parceiro.
Tenho acompanhado esse tema em conversas fora do Brasil e uma coisa tem me chamado atenção. Em mercados mais maduros, a discussão sobre IA já deixou de girar apenas em torno de adoção, produtividade ou eficiência. A conversa avançou. Hoje, o foco está muito mais em capacidade de demonstrar controle, coerência e governança. A pergunta já não é mais se a organização usa IA, mas se ela consegue sustentar esse uso quando alguém resolve olhar de perto. No Brasil, ainda vejo parte do mercado meio alheia a essa virada, como se governança fosse um detalhe a ser resolvido depois. Não é. Em muitos casos, esse depois já chegou.
O problema é que a governança não acompanhou a velocidade da adoção.
A maioria das organizações avançou no uso antes de amadurecer a disciplina de gestão. Em outras palavras, muita gente já usa IA no dia a dia, mas pouca gente consegue explicar com clareza, consistência e evidência quais ferramentas estão em uso, para quais finalidades, sobre quais dados, sob quais controles, com qual supervisão e com que rastreabilidade.
Esse tipo de lacuna passa despercebido enquanto o tema está no campo da experimentação. Mas fica escancarado quando a conversa sai do entusiasmo tecnológico e chega à mesa de contratação.
E aqui existe uma ironia interessante. Durante muito tempo, parte do mercado vendeu a ideia de que a IA reduziria atrito, eliminaria burocracia e tornaria tudo mais fluido. Em certa medida, isso é verdade. Mas, para que ela possa escalar em ambientes corporativos, ela exige exatamente o contrário do improviso que marcou sua adoção inicial. Exige método. Exige critério. Exige governança operacional. Não aquela governança de PowerPoint. Falo da governança que sobrevive a uma diligência real.
No Brasil, esse movimento ganha contornos próprios… Por aqui, a pressão tende a vir combinando fiscalização, reputação, exigência contratual e responsabilidade profissional. No momento em que inteligência artificial entra na agenda de supervisão regulatória associada ao tratamento de dados pessoais, a discussão deixa de ser conceitual. Passa a ser probatória. Se há uso de IA envolvendo dados, contexto decisório, automação, apoio à análise ou qualquer interação com informação sensível, o centro da discussão já não é apenas afirmar compromisso com a responsabilidade. É demonstrar que existem controles proporcionais, que eles funcionam e que alguém responde por eles.
Na advocacia, isso ganha uma camada adicional de sensibilidade. Não basta adotar IA. É preciso conseguir sustentar, perante clientes, sócios, auditorias e eventual escrutínio futuro, que sua utilização respeita parâmetros de transparência, responsabilidade, supervisão humana e preservação da confidencialidade.
Tenho defendido há algum tempo que IA, dentro das organizações, não pode ser tratada como uma ferramenta isolada. Ela mexe, ao mesmo tempo, com atendimento ao cliente, serviços jurídicos, análise de riscos e gestão do conhecimento. Por isso, governança não pode entrar no fim, como se fosse um ajuste de compliance. Ela precisa nascer junto com a arquitetura. Quando isso não acontece, a adoção escala antes da maturidade. E é exatamente aí que começam os ruídos, os riscos invisíveis e, em muitos casos, as perdas que ninguém percebe de imediato.
Muita gente ainda trata governança de IA como uma camada de proteção jurídica. Eu enxergo de outra forma. Ela já está se tornando ativo comercial.
Porque o cliente não quer apenas ouvir que você leva o tema a sério. Ele quer saber se você consegue evidenciar isso de forma rápida, coerente e auditável. O cliente não está comprando apenas capacidade técnica. Está comprando previsibilidade, confiabilidade e redução de risco de relacionamento.
Por isso, quando eu falo em evidência de governança, não estou falando de discurso institucional ou formulações genéricas. Estou falando de artefatos concretos, reutilizáveis e verificáveis.
Você tem inventário dos casos de uso de IA que já estão em operação ou, no mínimo, em experimentação controlada. Você sabe quais ferramentas estão sendo utilizadas, inclusive fora do ambiente oficialmente homologado. Você classifica o tipo de dado que entra nesses fluxos. Você sabe o que pode, o que não pode e o que depende de aprovação adicional. Você mantém política, trilha de treinamento, definição de responsável e critérios de revisão. Você testa qualidade, acurácia, aderência e limites de uso. Você registra decisões relevantes, mudanças de configuração, versões e aprovações sem comprometer a confidencialidade. Você avalia fornecedor de IA com a seriedade com que avaliaria uma infraestrutura estratégica da sua operação.
Frameworks como o AI RMF do NIST ajudam bastante porque tiram a conversa do “campo moral” e colocam no “campo operacional”. A pergunta deixa de ser “vocês são responsáveis?” e passa a ser outra, bem mais séria. Como vocês governam, mapeiam, medem e administram esse risco. A ISO/IEC 42001 empurra a discussão na mesma direção ao estruturar governança de IA como sistema de gestão.
E o mercado já começou a sinalizar esse novo padrão.
Quando empresas globais passam a destacar auditoria, conformidade, transparência e supervisão em suas ofertas de IA, elas não estão fazendo apenas branding institucional. Estão codificando linguagem de compra. Estão ensinando ao mercado como esse tema será avaliado. Estão, em outras palavras, ajudando a construir o novo checklist de elegibilidade.
Na prática, isso muda a estratégia de escritórios e departamentos jurídicos.
A pergunta já não é mais “qual ferramenta vamos adquirir?”. Essa pergunta continua importante, claro, mas deixou de ser a primeira. A pergunta anterior é outra. “Qual é o nosso sistema mínimo de gestão para IA”.
Sem essa resposta, a organização fica refém de 3 fragilidades bastante conhecidas, são elas:
- A IA vai se espalhando por times, rotinas e entregas, mas ninguém tem visão consolidada do uso real, dos dados envolvidos e do nível de exposição.
- O time quer avançar, mas as áreas de risco, segurança, compliance ou liderança travam. E travam com razão. Ninguém deveria escalar algo que não consegue explicar.
- Talvez a mais perversa de todas. A empresa só descobre que governança era critério de decisão depois que a oportunidade já foi embora.
Esse ponto merece atenção especial porque ainda é pouco discutido. O mercado adora falar sobre o risco jurídico de usar IA sem governança. Mas o risco comercial, em muitos casos, é maior e mais imediato. Você pode até não sofrer uma sanção amanhã. Mas pode ser descartado hoje por um cliente mais maduro, mais exposto ou simplesmente mais exigente.
Essa é a realidade que muita gente ainda prefere evitar. Em diversos setores, a governança de IA não será exigida primeiro pelo regulador. Será exigida pelo cliente que não quer correr o risco de contratar um fornecedor que transformou improviso tecnológico em estratégia.
E não, isso não significa burocratizar tudo.
Ao contrário. O erro está justamente em imaginar que a única resposta possível é criar uma máquina pesada, lenta e incompatível com inovação. Não é isso. O caminho mais inteligente é construir uma governança mínima viável. Simples o suficiente para não matar velocidade. Robusta o suficiente para sustentar escala, diligência e confiança.
Eu resumiria essa lógica em 3 princípios:
- Antes de discutir marca, interface ou promessa comercial, é preciso entender caso de uso, contexto decisório, tipo de dado e criticidade do processo.
- Só deve escalar aquilo que a organização consegue registrar, testar, supervisionar e explicar sem constrangimento.
- O motor inicial dessa agenda não é apenas evitar litígio futuro. É fortalecer posição competitiva AGORA. Transparência, registro, supervisão e controle não são apenas mecanismos de proteção. São ativos de venda.
Existe, inclusive, um detalhe que pouca gente ainda não percebeu. Em muitos mercados, a empresa não precisará ter a governança mais sofisticada do setor para vencer. Em um primeiro momento, basta ser a que consegue responder melhor. Basta ser a que tem o material organizado. Basta ser a que envia um pacote coerente em 48 horas, enquanto os concorrentes ainda estão tentando descobrir quem aprova o quê.
É aí que a governança começa a gerar vantagem real. Não porque seja glamourosa. Convenhamos, não é. Mas porque reduz atrito, acelera confiança e profissionaliza a narrativa. E, no ambiente atual, profissionalizar a narrativa importa muito.
No fim do dia, essa discussão não é apenas sobre tecnologia. É sobre maturidade organizacional.
Organizações maduras não são as que adotam a ferramenta mais nova primeiro. São as que conseguem absorver tecnologia nova sem perder controle, sem aumentar opacidade e sem transferir risco para o cliente.
Essa visão de arquitetura integrada parte de uma premissa simples. IA só gera valor de forma sustentável quando governança, dados, segurança, supervisão humana e decisão caminham juntos. Fora disso, o que parece avanço, muitas vezes, é apenas desorganização com interface bonita.
Por isso, para quem quer estar de fato preparado, eu vejo 3 movimentos necessários. Criar um inventário de IA. Estruturar um pacote de evidências. E transformar governança em argumento comercial, não como marketing vazio, mas como demonstração concreta de capacidade.
Porque, no próximo ciclo, muita organização ainda vai descobrir tarde demais que governança de IA não era um apêndice do jurídico. Era parte da proposta de valor.
E o mercado, como quase sempre, não vai avisar quando mudar a régua. Ele apenas vai começar a valorizar quem entendeu isso antes.
