Um levantamento da Microsoft, o relatório Cyber Pulse, revela que agentes de inteligência artificial já são usados por 80% das empresas listadas na Fortune 500 — e o avanço acelerado da automação sem supervisão adequada está transformando a governança corporativa em prioridade estratégica.
Com a rápida adoção da IA por grandes empresas, cresce também a preocupação com riscos relacionados à privacidade, à segurança da informação e à conformidade com leis. Esse cenário expõe um novo desafio: preparar equipes para usar a tecnologia dentro das regras e legislações.
Assim, treinamentos de compliance e práticas de governança corporativa ganham importância para garantir o uso responsável da tecnologia, incluindo princípios, regras e processos que determinam como uma organização é dirigida, controlada e monitorada.
Os riscos da IA atuando de forma autônoma
Quando a IA age de forma autônoma, o risco deixa de ser apenas técnico e passa a ser de governança. Muitos agentes usados no dia a dia das empresas são criados pelos próprios colaboradores por meio de ferramentas low-code e no-code. “Isso significa que decisões com impactos reais sobre processos, dados e pessoas estão sendo tomadas fora do radar das áreas de compliance e jurídico”, destaca o CEO do clickCompliance, Marcelo Erthal.
Segundo ele, o chamado Shadow AI adiciona novas camadas de risco e acontece quando os agentes herdam permissões e, assim, podem acessar informações sensíveis e gerar resultados em escala, muitas vezes sem a visibilidade da equipe de TI e segurança.
“No contexto brasileiro, isso é ainda mais preocupante porque a expectativa de aprovação e sanção do Marco Regulatório da IA é em um curto ou médio prazo, e as empresas que não estruturarem a governança agora chegarão à vigência da lei sem os processos mínimos de rastreabilidade e controle que a regulação vai exigir”, pondera.
No Brasil, o Projeto de Lei n.º 6.237/2025 tem como objetivo criar o Sistema Nacional para Desenvolvimento, Regulação e Governança de Inteligência Artificial (SIA). A proposta está anexada ao Marco Legal da Inteligência Artificial (PL 2338/2023), responsável por fixar diretrizes políticas e estratégicas, estabelecendo a Agência Nacional de Proteção de Dados (ANPD) no papel de reguladora residual para os setores que não possuem órgãos fiscalizadores específicos.
Dessa forma, o projeto busca mitigar conflitos de competência institucional e garantir segurança jurídica, harmonizando a inovação e o avanço econômico com a proteção aos direitos fundamentais e a soberania digital do Brasil.
Compliance atua na prevenção de falhas
O compliance pode ser estratégico para a prevenção de falhas relacionadas ao uso da IA, indo além de elaborar uma política de uso e arquivá-la. O trabalho começa com a visibilidade, ou seja, é impossível governar o que não se enxerga.
Segundo o Gartner, apenas 13% das empresas possuem governança robusta de agentes de IA, e esse percentual revela que a maioria das organizações não sabe quais ferramentas seus colaboradores estão usando, com quais dados e para quais finalidades.
Os dados mostram, ainda, que 29% dos profissionais já utilizaram agentes de IA não autorizados no ambiente de trabalho, o que significa que o risco não está só na tecnologia, mas no comportamento humano. “Um programa de compliance efetivo para IA precisa mapear esse inventário, definir quem pode criar e usar agentes, estabelecer trilhas de auditoria e, principalmente, treinar as pessoas”, ressalta Erthal.
Segundo ele, treinamentos de compliance direcionados ao uso responsável de IA criam a consciência de que cada interação com um agente pode gerar obrigações legais, expor dados de terceiros ou violar políticas internas. “É esse entendimento que transforma uma adoção acelerada em uma adoção segura.”
Para o diretor de experiência de aprendizagem na Learning Pool, Jack Quantrill, “o conteúdo gerado por IA carece do rigor jurídico, instrucional e ético exigido pelo treinamento de compliance.”
As políticas de governança recomendadas para empresas que utilizam IA envolvem quatro pilares. O primeiro é o inventário e a classificação de todos os sistemas de IA em uso, incluindo os que foram criados pelos próprios colaboradores. O segundo pilar é a definição de critérios de risco, separando aplicações de baixo impacto daquelas que afetam decisões sobre pessoas ou movimentam dados sensíveis.
O terceiro é a criação de canais internos de reporte e responsabilização clara por cada agente em operação. O quarto pilar é formado por programas contínuos de treinamento que alinham o time às políticas internas e à legislação vigente.








