Ninguém deve descer uma ribanceira ao seguir o Waze ou Google Maps. Tampouco se deve alegar que entrou em uma área perigosa por conta dos sistemas de navegação. Os motoristas, como seres humanos, têm o domínio sobre o automóvel e, portanto, não devem seguir cegamente os APPs, que servem como auxiliares, mas recebem orientação e precisam ser supervisionados. Com a IA, a lógica é a mesma.
Entre questões legais e de operação, a governança sobre essa tecnologia é condição sine qua non e as condições para aplicá-las precisam ser bem estabelecidas, tanto para governos quanto para empresas.
Nesta entrevista ao Próximo Nível, o advogado, consultor em Proteção de Dados da FecomercioSP e Diretor da FIESP, Rony Vainzof, indica que tanto governos quanto empresas devem buscar ampliação da governança de IA, em prol das boas práticas éticas e mercadológicas no Brasil e no mundo. Nesse sentido, se um Marco Regulatório de IA (em discussão no Parlamento Brasileiro) for sancionado, ele pode ser precipitado para o momento. “Nós precisamos estressar e usar melhor o que já temos antes de criar novas estruturas legais que podem acabar travando o avanço tecnológico, sem necessariamente proteger mais direitos”, defende Rony. E mais: é preciso pensar na IA de forma mais ampla, considerando tanto a capacidade de desenvolvimento quanto a segurança jurídica e operacional.
Nesse sentido, as legislações presentes no país já são bastante abrangentes e o Plano Brasileiro de Inteligência Artificial dá nortes interessantes para o desenvolvimento. Veja mais detalhes da entrevista a seguir.
Em que fase você considera que está a regulação de inteligência artificial no Brasil?
Tem uma questão estratégica que permeia a governança corporativa e os anseios do país. Não existe mais transformação digital sem um tripé que eu acredito ser cada vez mais fundamental: cibersegurança, governança ética e responsável e proteção de dados pessoais. De forma geral, esses temas já estão no nível estratégico, ao menos nas grandes empresas que lidam com tecnologia e dados, e isso tem tudo a ver com competitividade. Por que eu digo isso? Porque cada vez mais entendo que governança ética e responsável é um fator de vantagem competitiva, de credibilidade institucional, de confiança do mercado e dos clientes. Hoje em dia, nós, como consumidores, não confiamos mais nossos dados a empresas que não os tratem de forma ética e responsável, ou que usem inteligência artificial sem gerar confiança. E eu falo isso porque essa pauta vai muito além da mitigação de riscos regulatórios.
Você mencionou que governança ética e responsável é um fator de vantagem competitiva. Como essa percepção tem influenciado a forma como empresas e consumidores lidam com a inteligência artificial no Brasil?
A regulação da IA no Brasil está em debate, mas muitas questões já são cobertas por legislações existentes, como o Código de Defesa do Consumidor, a Lei Geral de Proteção de Dados e a própria Constituição Federal. Casos práticos mostram que é possível aplicar normas atuais conforme o uso da tecnologia. O PL 2338, inspirado na regulação europeia, foi aprovado no Senado e está sendo aprimorado na Câmara, mas ainda há dúvidas sobre a urgência normativa.
No Canadá, em uma companhia aérea, um cliente perguntou, via chatbot, sobre uma passagem com desconto. O chatbot respondeu que sim, que ele tinha direito à passagem com desconto. Depois, a companhia voltou atrás dizendo que o chatbot tinha errado, que não havia desconto algum. O cliente reclamou, e a empresa respondeu: “Você devia ter lido o regulamento, está nesse link aqui”. Ele entrou com um processo. E aí, seja no Canadá ou seja no Brasil, com base no Código de Defesa do Consumidor, não importa se o preposto é um ser humano ou um chatbot: a empresa responde por isso. E quando a gente fala de vieses discriminatórios, por exemplo, no uso de reconhecimento facial para autenticar acessos do cliente – e esse sistema tem menor precisão com pessoas negras do que com pessoas brancas, por exemplo – já tem legislação contra isso, como a LGPD, que traz o princípio da não discriminação. A Constituição Federal também veda esse tipo de prática. Se não for uma relação de consumo, ainda assim há respaldo legal pelo Código Civil. E se a gente estiver falando de proteção ao crédito, tem a Lei do Cadastro Positivo ou a própria LGPD. Ou seja, já existe um arcabouço jurídico que cobre muitos dos riscos oriundos de novas tecnologias, como a IA e a IA Generativa.
Como você avalia o modelo regulatório que o Brasil está seguindo em relação à inteligência artificial?
Eu acho que a grande pergunta que a gente tem de se fazer é: qual modelo o Brasil quer seguir? Porque existe hoje uma discussão regulatória global sobre modelos regulatórios de IA. A União Europeia, como sempre fez ao longo da sua história, escolheu um modelo mais prescritivo, mais rígido — que é o AI Act. Mas a UE está refletindo se errou e buscando simplificação regulatória, conforme a proposta Digital Omnibus. E o Brasil, com o PL 2338, vem seguindo esse parâmetro europeu. O projeto já melhorou bastante, ficou mais enxuto, menos restritivo, mas ainda assim segue essa linha.
Como assim?
O bloco encomendou um relatório de competitividade, feito pelo Mario Draghi, ex-primeiro-ministro da Itália, que basicamente aponta que a Europa está perdendo competitividade por culpa da carga regulatória. Enquanto China e Estados Unidos estão virando grandes desenvolvedores de tecnologia, a Europa corre o risco de virar apenas um grande legislador, e não necessariamente protegendo mais direitos por isso. Esse relatório motivou a criação do Digital Omnibus, que é uma proposta de simplificação regulatória. E aí a gente vê outros países com abordagens mais modernas. O Reino Unido, por exemplo, tem uma regulação mais geral e flexível. Os Estados Unidos têm uma atuação mais setorial via Federal Trade Commission e FDA, entre outros. Japão e Singapura também adotaram modelos mais abertos à inovação. Então, volto à pergunta: o que o Brasil quer? Porque a gente já tem um arcabouço legal que cobre muita coisa, como eu disse anteriormente, mas, talvez, ele não esteja sendo “estressado” o suficiente. A gente precisa mesmo de uma nova lei? Qual é a urgência normativa? Qual é o risco real que não está coberto?
E sobre o Projeto de Lei 2338, como você vê sua evolução e os pontos que ainda precisam ser ajustados?
A pauta começou com o PL 21/20, que era mais principiológico e chegou a ser aprovado na Câmara em 2021. Foi para o Senado, teve a comissão de juristas, virou o 2338, passou por melhorias e foi aprovado no Senado no fim do ano passado. Agora está na Câmara, com nova comissão, presidida pela deputada Luísa Canziani e sob relatoria do deputado Aguinaldo Ribeiro. O texto está sendo melhorado de novo. Vamos ver o relatório, que deve sair em breve. Mas ainda vejo pontos críticos, como a questão do treinamento de IA e direitos autorais. A versão atual do PL está muito restritiva nesse ponto. Eu defendo um modelo que permita o treinamento, desde que com transparência e possibilidade de optout pelos detentores de direitos autorais. Ou seja, que se saiba quais sites estão sendo usados e com a possibilidade de proteger (opt-out) para quem não quiser ter seu conteúdo utilizado no treinamento. Esse é o tipo de equilíbrio que a gente precisa buscar.
Poderíamos dizer que o Brasil está em uma fase de entender até que ponto vamos ser permissivos ou impeditivos em relação ao avanço tecnológico?
A definição do momento ideal para regular tecnologias emergentes, antes ou depois de seus efeitos aparecerem, está no coração do trade-off entre inovação e proteção de direitos.
No modelo em que a regulação vem depois, as regras só surgem após a tecnologia demonstrar, na prática, seus impactos sociais e de mercado. Isso reduz o risco de frear inovações ainda pouco compreendidas e garante que as regras sejam baseadas em evidências reais. O ponto crítico é que a intervenção tardia pode cristalizar monopólios e danos relevantes a direitos fundamentais. Já no modelo em que a regulação é definida antes, salvaguardas são definidas e prescritas desde o início no próprio desenho ou uso das tecnologias, com grande risco de engessar investimentos e impor custos prematuros, além de criar normas rapidamente superadas pela velocidade da evolução tecnológica (obsolescência regulatória).
Essa é justamente a diferença. A gente tem o Marco Regulatório da IA, que é o que estamos discutindo aqui, e ele existe para estabelecer obrigações e responsabilidades. É para isso que serve um marco regulatório. Claro que também há ali algumas previsões de fomento, de estímulo, inclusive tem uma discussão sobre incluir o tema de data centers, o chamado Redata, dentro desse mesmo debate do Marco de IA. Mas, além do Marco Regulatório, a gente tem o Plano Brasileiro de IA (PBIA), que é outra coisa. Trata-se de uma iniciativa do Ministério da Ciência, Tecnologia e Inovação, baseada em cinco eixos. E a ideia nele é que, antes de termos uma lista do que não fazer, a gente tenha uma lista do que fazer.
Quais são os eixos do PBIA?
Tem eixo de infraestrutura, de desenvolvimento, de formação e capacitação, de como manter talentos aqui no Brasil. O plano também trata de melhorias no serviço público, inovação empresarial e, claro, tem um eixo voltado à questão regulatória. Então, acho importante sempre fazer uma análise de impacto regulatório. A gente precisa entender o quanto o Marco de IA gera convergência, e não divergência. O objetivo tem de ser gerar segurança jurídica e proteger direitos, mas sem travar toda a estratégia brasileira de desenvolvimento em inteligência artificial.
Quais métricas você considera importantes para avaliar se o plano fortalece o ambiente de IA no Brasil?
A principal questão é colocar o PBIA em execução. A gente tem um plano, mas ele ainda está engatinhando. Precisa sair do papel. Quando falamos de métricas, há várias como o quanto estamos acessando e utilizando dados brasileiros? O Brasil tem uma diversidade de dados enorme: dados do Sistema Único de Saúde (SUS), ambientais, etc. E, quanto mais diversos forem esses dados, melhor o é para treinar IAs brasileiras. Outra métrica importante é infraestrutura. O quanto estamos investindo em infraestrutura para viabilizar o uso desses dados? Quando falamos de chips, por exemplo, é difícil competir com quem já está muito avançado. Mas, sem ufanismo, o quanto estamos aproveitando tecnologias abertas para desenvolver nossas próprias soluções?
E a questão energética?
Sim, temos ainda o potencial energético. A IA consome muita energia e o Brasil tem uma matriz energética limpa, com fontes renováveis. O quanto estamos usando isso a nosso favor para impulsionar o desenvolvimento de IA aqui dentro, portanto? Além disso, temos a cadeia das micro e pequenas empresas: o quanto estamos criando condições para que elas também possam desenvolver suas IAs, com custo reduzido e acesso a pólos de inovação? Por fim, e não menos importante, é a capacitação: o quanto estamos formando profissionais em IA? E, mais do que formar, estamos criando oportunidades para que esses profissionais fiquem no Brasil depois? Afinal, não adianta formar gente brilhante se eles forem embora. A gente precisa criar postos de trabalho atrativos para manter esse talento aqui.
Você mencionou o Redata. O que está sendo debatido hoje em relação ao Redata e ao Marco Regulatório de IA?
Já existe uma medida provisória que basicamente cria o Redata, com o objetivo de estimular os data centers e impulsionar a economia digital no Brasil. Mas é uma medida provisória, ela ainda precisa ser convertida em lei. Na minha visão, há um interesse de juntar essas pautas como uma espécie de contrapartida. Vamos estimular os data centers com o Redata, mas também aprovar o Marco Regulatório de IA, que tem como foco a proteção de direitos. Só que, na minha opinião, data center não é só IA. É muito mais amplo. Então eu não vejo isso como algo condicionante. O que justifica o PL de IA é a necessidade de proteger direitos e gerar segurança jurídica. Novamente, eu não vejo urgência regulatória para isso nesse momento
Como o PBIA está posicionando o Brasil no cenário internacional de IA?
Eu considero o plano brasileiro bom. Ele foi lançado há mais de um ano e meio e, em 2025, teve a sua publicação final. O ponto central, no entanto, é que precisamos executá-lo. Falta uma política de Estado que realmente dê vazão a esse plano. Se olharmos os rankings globais de desenvolvimento em IA, vemos Estados Unidos e China na liderança e o Brasil ainda engatinhando. Estamos começando a dar importância ao tema, o que já é um avanço.
Podemos considerar que ainda não há uma definição clara sobre o que o Brasil quer ser em termos de posicionamento tecnológico? Isso pode estar gerando confusão sobre o direcionamento estratégico do país?
Eu entendo que o Brasil precisa se posicionar e ter planos para todas as camadas da transformação digital e do desenvolvimento tecnológico: infraestrutura, tecnologia, desenvolvimento de IA e Pessoas. Não acho que devemos focar em apenas uma. Claro, é importante termos uma visão clara do que o Brasil é hoje, mas principalmente de onde queremos chegar. O Brasil tem ativos muito potentes, como fontes de energia renovável e uma diversidade enorme de dados, fora a capacidade dos brasileiros em termos de criatividade e paixão por tecnologia. Se já temos isso, por que não estimular também o desenvolvimento de IA, inclusive com o uso de modelos abertos? O que falta, na minha visão, é uma estratégia mais clara e integrada. Acho que agora, com toda a discussão em torno do plano brasileiro de IA, e com a criação do Comitê Interministerial para a Transformação Digital (CITDigital), estamos começando a entender melhor onde queremos chegar.
Você entende que há sobreposição legal que possa trazer insegurança jurídica para o desenvolvimento tecnológico?
Normas pesadas definidas antes podem deslocar inovação para outros mercados. Por isso, ganha força o conceito de Regulação Adaptativa, que ajusta regras à medida que evidências emergem, com foco em gestão de riscos e não em versões rígidas do princípio da precaução. Fora isso, as leis existentes já são suficientes para dar vazão ao que é necessário. Quanto se tem um risco muito grande, por vezes, não precisamos de uma lei geral, mas sim algo contextual, como aconteceu na vedação das deepfakes nas eleições ou na criminalização da violência psicológica contra a mulher quando ele for cometido com o uso de Inteligência Artificial (IA) ou qualquer outra tecnologia que altere a imagem ou a voz da vítima. O que eu tenho receio, por exemplo, no Marco Regulatório de IA – acho que um dos grandes pontos, entre outros, que pode trazer empecilho ao desenvolvimento – é a questão do treinamento com direitos autorais. Acho que esse é um grande ponto que precisa ser revisto, mas isso não cria urgência de aprovar um Marco Regulatório de IA.
PN: E no ambiente corporativo, como você vê o papel das empresas na adoção responsável da inteligência artificial?
Independentemente de tudo isso, as empresas precisam governar bem a IA. E as empresas já estão iniciando essa governança porque tem muita questão de risco corporativo atualmente. Se a IA falhar, se a IA mentir ou promover confiança excessiva pode haver problemas. Quando se fala de IA nos Recursos Humanos, por exemplo, há o risco de definir a carreira de uma pessoa. O mesmo vale para o setor da saúde, que trata dados sensíveis. Por isso, as empresas estão começando a governar IA no sentido de mapear as IAs existentes, seu papel na cadeia de valor da IA, avaliar quais são as finalidades, quais são os riscos existentes e leis aplicáveis. Então, é importante que as empresas, assim como fazem com cibersegurança, proteção de dados pessoais e combate à corrupção, tenham programas de governança de IA para tratar esse assunto seriamente.
Essa governança deve se estender também aos fornecedores e parceiros?
Sim, pois a IA é usada por todos. Imagina uma agência de publicidade que, com uso de IA, viole direitos autorais em uma campanha publicitária para a corporação, por exemplo? Mas as empresas estão começando a desenvolver essa governança, inclusive nomeando pessoas internas responsáveis por governar a IA, muitas vezes no mesmo departamento que cuida de proteção de dados ou no jurídico, para liderar essa frente.
Para finalizarmos, o quanto a governança pode impedir – ou não – a inovação com IA?
Um dos pontos principais da IA é que ela é uma ampliação da capacidade humana, de uma forma geral. Nesse sentido, ela demanda conciliação entre delegar e supervisionar. Acho que esse é o equilíbrio que as empresas têm de ter e que os países têm que ter também. É como usar o Waze ou o Google Maps. Se o navegador nos levar a um lugar perigoso, paramos e pensamos: “Não, espera: aqui sou eu quem controlo e prefiro ir pelo outro caminho”. Em outras palavras, não confiamos cegamente no Waze e o mesmo devemos fazer com a IA, pois nós somos os seres humanos e somos quem deve estar capacitado para saber usar a tecnologia, ao invés de ficar refém dela para todas as situações.
