Leonardo Gomes Ribeiro Gonçalves*
Há uma cena que se repete em escritórios de advocacia, na administração pública, hospitais e corporações: um colaborador abre, na aba discreta de seu navegador, uma ferramenta de inteligência artificial generativa e insere, no campo de texto, informações que jamais deveriam sair do perímetro institucional. Não há política que o autorize. Não há política que o proíba. Há, simplesmente, o vácuo normativo e, nele, a decisão individual de usar uma tecnologia que promete eficiência e entrega, junto com ela, um conjunto de riscos que a organização sequer sabe que está correndo.
Esse fenômeno tem nome: Shadow AI. Derivado do conceito de Shadow IT, o uso de sistemas e aplicativos de tecnologia à margem do conhecimento e controle, a Shadow AI designa a utilização não autorizada e informal de ferramentas de inteligência artificial por membros de uma organização, sem qualquer respaldo em política, protocolo de segurança ou estrutura de responsabilização. É o uso que acontece, muitas vezes, antes mesmo de alguém perceber que regras eram necessárias, derivado de uma escolha individual com consequências jurídicas que se acumulam em silêncio, até que se tornem impossíveis de ignorar.
O presente texto parte da distinção entre três regimes distintos de uso organizacional da inteligência artificial: a Shadow AI, a adoção orientada por manuais de boas práticas e treinamento, e o uso fundado em estruturas formais de governança. O objetivo é examinar os riscos e impactos que cada um deles produz, a médio e longo prazos, sobre as organizações e sobre os direitos dos indivíduos que com elas se relacionam.
Para as organizações públicas, o uso não regulado da IA coloca em xeque princípios constitucionais fundamentais, como a legalidade, a impessoalidade e a isonomia. Não se deve gerir o bem público com instrumentos alheio ao controle institucional. A opacidade tecnológica, nesse contexto, é incompatível com a transparência que a Constituição determina.
Para as organizações privadas, os riscos são igualmente relevantes, ainda que distintos em sua natureza. O uso descontrolado de ferramentas de IA expõe empresas à responsabilidade civil decorrente de vazamentos de dados, violações à Lei Geral de Proteção de Dados Pessoais (LGPD) e lesão aos direitos fundamentais dos titulares, direitos que, no constitucionalismo contemporâneo, irradiam seus efeitos para além das relações com o Estado e alcançam as relações entre particulares por força da eficácia horizontal dos direitos fundamentais. Mas há ainda uma terceira dimensão, frequentemente subestimada pelos proprietários e controladores das empresas: a da eficiência e da competitividade. Organizações que não governam o uso da IA não apenas se expõem a riscos, mas desperdiçam o potencial transformador da tecnologia, ao permitir que seu uso se dê de forma fragmentada, assistemática e sem qualquer retorno mensurável para a estratégia da empresa.
O argumento central deste texto é que a adoção de manuais de boas práticas e programas de treinamento, embora represente um avanço significativo em relação à Shadow AI, é insuficiente para endereçar a complexidade dos riscos envolvidos. Boas práticas orientam comportamentos, enquanto a governança estrutura responsabilidades. É essa diferença, entre orientar e responsabilizar, que separa organizações que usam IA de organizações que governam o uso da IA.
1. Os três modelos de uso organizacional da inteligência artificial: Shadow AI, boas práticas e governança
Compreender os riscos do uso da inteligência artificial nas organizações exige, antes de qualquer análise, uma distinção conceitual. Não é a mesma coisa uma organização em que colaboradores utilizam ferramentas de IA sem qualquer conhecimento institucional, outra em que essa utilização é orientada por diretrizes e capacitações internas, e outra ainda em que o uso da IA está inscrito em uma arquitetura formal de responsabilidades, controles e prestação de contas. Estas três situações descrevem realidades juridicamente distintas, com perfis de risco igualmente distintos.
A distinção de modelos de uso da IA carrega uma dimensão normativa. Cada um desses modos de relação entre a organização e a inteligência artificial implica um conjunto diferente de deveres, responsabilidades e vulnerabilidades. Identificá-los com precisão é o primeiro passo para avaliá-los.
Shadow AI: o uso individual e integralmente desregulado
O primeiro modelo é o da Shadow AI. Trata-se do uso de ferramentas de inteligência artificial por membros de uma organização sem qualquer autorização, registro ou ciência institucional. O colaborador age por conta própria, movido pelo autointeresse e pela percepção de que a ferramenta entrega resultados com menos esforço, sem que a organização saiba que ele a utiliza, sem que haja qualquer protocolo definindo o que pode ou não deve ser inserido nela, e sem que exista, portanto, qualquer mecanismo de controle sobre o que ocorre com as informações processadas.
O conceito deriva do de Shadow IT, cunhado na literatura de gestão de tecnologia da informação para designar o uso de sistemas, aplicativos e infraestruturas à margem do conhecimento do departamento de TI corporativo. A Shadow AI é uma manifestação contemporânea e agravada desse fenômeno, porque as ferramentas de IA generativa possuem uma capacidade de absorção e processamento de dados que as distingue qualitativamente dos aplicativos convencionais, e porque seus termos de uso frequentemente autorizam o aproveitamento dos dados inseridos para o aprimoramento dos próprios modelos. Isso transforma cada interação não supervisionada em um potencial vazamento irrecuperável.
Do ponto de vista jurídico, a Shadow AI é o regime da irresponsabilidade individual, não no sentido moral do termo, mas no sentido técnico-jurídico. Não há sujeito claramente identificado como responsável, não há cadeia de custódia sobre os dados, não há trilha de auditoria. O risco existe plenamente, mas a organização não a enxerga e, portanto, não pode geri-lo. Ela o assume sem saber, como uma dívida que só aparecerá quando já será tarde demais para evitá-la.
Manuais de boas práticas e treinamento: o uso orientado e fomentado
O segundo modelo é o das boas práticas. Nele, há alguma regulação, a organização reconhece a existência e o uso de ferramentas de IA por seus colaboradores e responde a esse reconhecimento com a produção de diretrizes, manuais, cartilhas, protocolos de uso responsável, acompanhadas de programas de treinamento e capacitação. O uso deixa de ser descontrolado e a organização sabe que ele ocorre e procura orientá-lo e, até mesmo, fomentá-lo.
Este modelo representa um avanço em relação à Shadow AI. Ao reconhecer o uso e oferecer parâmetros de conduta, a organização reduz a probabilidade de comportamentos de risco por desconhecimento, estabelece um referencial ético mínimo e demonstra, perante terceiros e reguladores, algum grau de diligência no trato com a tecnologia. Em contextos de responsabilização civil, a existência de um programa de boas práticas pode ser invocada como elemento de demonstração de boa-fé, de adoção de medidas preventivas razoáveis.
Não obstante, o regime das boas práticas tem um limite jurídico que importa reconhecer: ele orienta comportamentos, mas não define expressamente responsabilidades. Um manual estabelece o que o colaborador pode fazer; não define o que acontece quando ele não o faz. Um treinamento capacita e fomenta, mas não vincula. A adesão às boas práticas depende, em última análise, da disposição individual de cada colaborador em segui-las, e essa disposição é variável, sujeita à pressão por produtividade, à cultura organizacional e à percepção subjetiva de risco por quem está usando a ferramenta.
Em termos jurídicos, o regime das boas práticas produz uma conformidade de superfície, limitando-se a criar a aparência de controle sem necessariamente criar o controle em si. Para organizações sujeitas à LGPD ou a regulações setoriais (advocacia, medicina, entre outras), essa distinção é fundamental. A lei não se contenta com a intenção de proteger dados, mas exige a demonstração de medidas técnicas e administrativas efetivas para assegurar o sigilo e a responsabilidade ética e civil da profissão.
Governança institucional: o uso organizado da IA
O terceiro modelo é o da governança. Diferentemente das boas práticas, a governança não se limita a orientar comportamentos de colaboradores e demais membros da organização. Ela estrutura um sistema de normas internas vinculantes, definição clara de responsabilidades, mecanismos de controle e monitoramento, canais de reporte e prestação de contas, e procedimentos de resposta a incidentes. A governança transforma o uso da IA de uma prática individual em uma função organizacional autorregulada, com titulares identificados, processos definidos e consequências estabelecidas para o descumprimento.
Em uma organização com governança madura do uso da IA, é possível responder, a qualquer momento, às seguintes perguntas: quais ferramentas de IA estão sendo utilizadas? Por quem? Para quais finalidades? Quais dados são processados? Quem é responsável por cada uso? O que acontece quando algo dá errado? Que efeitos negativos e positivos essa ferramenta produz para quem a utiliza? A governança é, dessa forma, a capacidade institucional de responder a essas perguntas com precisão e de agir sobre as respostas.
Do ponto de vista do constitucionalismo digital, a governança é o regime que mais se aproxima das exigências derivadas dos princípios constitucionais aplicáveis às entidades públicas e empresas. Para as organizações públicas, ela é a tradução operacional dos deveres de legalidade, impessoalidade, isonomia, moralidade administrativa e eficiência que a Constituição Federal impõe à administração pública. Para as organizações privadas, ela é a resposta adequada à tríade de exigências que o uso da IA impõe, quais sejam, a responsabilização civil perante titulares de dados e terceiros afetados, o respeito aos direitos fundamentais que irradiam seus efeitos sobre as relações privadas por força da eficácia horizontal de direitos fundamentais e a própria eficiência e competitividade da organização, pois governar o uso da IA é também a condição para extrair dela valor estratégico sustentável, em vez de benefícios fragmentados (para proprietários, controladores e colaboradores) e passivos ocultos para a empresa.
Três critérios permitem distinguir os modelos de uso da IA em organizações: a formalidade do uso, isto é, se há ou não reconhecimento e regulação institucional; a responsabilidade, ou seja, se há ou não sujeito claramente identificado como responsável pelo uso e por suas consequências; e a rastreabilidade, identificando há ou não capacidade de reconstruir, ex post, o que foi feito, com quais dados e com quais resultados. Esta distinção tripartite tem consequências jurídicas diretas sobre como cada organização será avaliada por reguladores, por titulares de dados, por parceiros comerciais e, em última instância, pelo Judiciário, quando o uso da IA produzir efeitos lesivos a terceiros.
2. Governança como forma de controle de riscos e maximização de resultados
Governar o uso da inteligência artificial em uma organização não é sinônimo de restringi-lo, mas torná-lo legível para a própria organização, para seus colaboradores, para os titulares dos dados que processa e para os reguladores e o Judiciário que, eventualmente, poderão ser chamados a avaliá-lo. A governança é o instrumento pelo qual o uso da IA deixa de ser um conjunto de práticas individuais dispersas e passa a constituir uma função organizacional autorregulada, com titulares, com procedimentos, com responsabilidades e com mecanismos de avaliação contínua.
A estrutura mínima para uma governança efetiva
Uma estrutura de governança do uso da IA não nasce pronta nem se esgota em um documento. Ela se constrói a partir de um conjunto de elementos que, articulados entre si, formam uma arquitetura capaz de identificar riscos antes que se materializem, de atribuir responsabilidades antes que os danos ocorram, e de responder a incidentes com precisão e agilidade quando eles inevitavelmente surgirem.
O primeiro elemento é o mapeamento dos usos. Uma organização não pode governar o que não conhece. O ponto de partida de qualquer estrutura de governança é, portanto, o inventário das ferramentas de IA que são utilizadas, por quais áreas, para quais finalidades, com quais dados. Esse mapeamento é o ato fundador do reconhecimento sobre uma prática que, na ausência de governança, permanece sem controle. É também a ferramenta que permite à organização migrar, de forma ordenada, da Shadow AI para o uso autorizado e controlado coletivamente.
O segundo elemento é a classificação de riscos por categoria de uso. Nem todo uso de IA apresenta o mesmo perfil de risco. Uma ferramenta utilizada para redigir comunicações internas apresenta vulnerabilidades substancialmente distintas das de um sistema empregado na análise de dados de saúde, da avaliação jurídica de direitos do cliente do escritório de advocacia ou na tomada de decisões sobre concessão de crédito. A governança exige que a organização desenvolva uma taxonomia de usos e riscos que permita calibrar as medidas de controle de acordo com a criticidade de cada aplicação.
O terceiro elemento é a designação formal de responsáveis. A governança exige sujeitos identificados que respondam, institucionalmente, pelo uso da IA em cada área da organização. No campo da proteção de dados, a LGPD já impõe a figura do Encarregado pelo Tratamento de Dados Pessoais (DPO), cuja atuação deve naturalmente se estender ao monitoramento do uso de ferramentas de IA que processem dados pessoais. Mas a complexidade do uso organizacional da IA pode demandar também a criação de uma função específica (AI Officer), responsável por coordenar a política de IA da organização, interagir com reguladores e garantir que os princípios de uso responsável se traduzam em práticas verificáveis.
O quarto elemento, talvez o mais diferenciador em relação ao regime das boas práticas, é a auditoria contínua e o procedimento de resposta a incidentes. A governança pressupõe monitoramento sistemático do funcionamento dos sistemas de IA, de sua conformidade com as políticas internas e com os marcos regulatórios aplicáveis. Quando um incidente ocorre, a organização com governança estruturada sabe o que fazer, pois há um procedimento, há responsáveis, há prazos e há obrigações de notificação. A organização sem governança improvisa. E a diferença entre responder e improvisar pode ser, juridicamente, a diferença entre uma sanção administrativa por um conselho profissional e uma responsabilização civil solidária.
Governança como exigência constitucional no setor público
Para as organizações públicas, a governança do uso da IA não é uma opção de gestão. Trata-se de uma derivação necessária dos princípios que a Constituição Federal impõe à administração pública. O caput do art. 37 enuncia cinco princípios que funcionam, em conjunto, como um programa constitucional de legitimidade da ação administrativa: legalidade, impessoalidade, moralidade, publicidade e eficiência. Cada um deles tem implicações diretas sobre o uso da IA no setor público, e nenhum deles é compatível com o uso não regulado dessa tecnologia na entidade da administração.
Dito de outro modo, governar o uso da IA no setor público é, em última análise, uma condição de legitimidade democrática. A opacidade tecnológica é incompatível com o Estado de Direito — não porque a lei o diga expressamente, mas porque os princípios que fundam o Estado de Direito assim o exigem.
Governança como condição de eficiência e competitividade no setor privado
Para as organizações privadas, a governança opera simultaneamente em três planos que se reforçam mutuamente. O primeiro é o da responsabilização jurídica. A demonstração de que a organização adotou políticas formais, designou responsáveis, realizou auditorias e possuía procedimentos de resposta a incidentes é o elemento central da prova de diligência.
O segundo plano é o dos direitos fundamentais dos titulares de dados e das demais partes afetadas pelo uso da IA. A eficácia horizontal dos direitos fundamentais, princípio consolidado na jurisprudência do Supremo Tribunal Federal e na doutrina constitucionalista contemporânea, impõe às organizações privadas o dever de respeitar os direitos que a Constituição assegura — incluindo o direito à proteção de dados, o direito à não discriminação algorítmica e o direito à explicabilidade das decisões automatizadas que produzam efeitos sobre a esfera jurídica do indivíduo.
O terceiro plano é o da eficiência e da competitividade. Organizações que governam o uso da inteligência artificial não apenas reduzem riscos, também constroem capacidades. A governança permite identificar quais aplicações de IA geram valor mensurável, escalar essas aplicações de forma sistemática, eliminar usos que introduzem riscos sem benefícios correspondentes e acumular aprendizado institucional sobre como usar a tecnologia de forma cada vez mais eficaz. Em um ambiente competitivo em que a IA é crescentemente um diferencial estratégico, a governança é a diferença entre uma organização que usa IA e uma organização que sabe usar IA.
A governança no contexto dos marcos normativos setoriais aplicáveis
Uma estrutura de governança organizacional do uso da IA se insere em um ecossistema regulatório que, embora ainda em construção no Brasil, já apresenta contornos suficientemente definidos para orientar escolhas concretas. O PL 2.338/2023, em tramitação no Congresso Nacional, estabelece princípios e obrigações para o desenvolvimento e uso de sistemas de IA que convergem, em larga medida, com as exigências de governança aqui descritas. A LGPD e as regulações de profissões regulamentadas, como advocacia e medicina, completam o mosaico normativo com o qual uma estrutura de governança efetiva deve dialogar.
Governança, portanto, não é o oposto da inovação. É a sua condição de sustentabilidade. Uma organização que usa IA sem governá-la corre o risco de inovar de forma que não consegue defender perante reguladores, perante titulares de dados, perante o Judiciário e perante a própria sociedade. Uma organização que governa o uso da IA inova sabendo o que faz, responde pelo que faz e aprende com o que faz.
3. Considerações finais
Há uma pergunta que este artigo não fez explicitamente, mas que atravessa cada uma de suas seções. De modo geral, quem governa a inteligência artificial que já governa, em alguma medida, os processos e a tomada de decisão nas organizações? A resposta, para a maioria, é: ninguém, ou quase ninguém, de forma sistemática. Essa ausência de governo distribui poder e risco de forma assimétrica e, na maior parte das vezes, irreversível.
O percurso argumentativo deste artigo demonstrou que cada um dos modelos de uso da IA produz perfis de risco e de responsabilidade juridicamente distintos, e procurou mostrar que a governança não é apenas a opção mais segura entre as três, mas a única que satisfaz, de forma plena, as exigências que o ordenamento constitucional, infraconstitucional e regulatório, além de potencializar os benefícios e o retorno econômico.
A proposta de reflexão com que este artigo se encerra pode ser sintetizada, portanto, com uma pergunta que deve ser respondida individualmente: sua organização governa a inteligência artificial que usa ou é governada por ela?
Recuperar a autodeterminação sobre as tecnologias que já estão nos processos organizacionais é o desafio central que o uso da IA coloca. Autodeterminação não no sentido de dominação técnica, mas no sentido de autodeterminação informada, ou seja, saber o que se usa, para que se usa, com quais dados, com quais riscos, com quais responsabilidades e com que retorno econômico.
*Doutor em direito constitucional (IPD). Mestre em direito da regulação (FGV Direito Rio). Advogado e Procurador do Estado do Piauí.