Elohia
Ilustração tecnológica abstrata em violeta: rede de nós luminosos fluindo para um escudo geométrico de cristal, metáfora visual de governança e proteção de IA.
IA
IA

Governança de agente de IA na empresa: como se preparar para o marco regulatório no Brasil

Como organizar governança de IA antes da ANPD bater na porta: o que documentar, quem decide e o que muda quando o agente passa a decidir.

Rafael BragaFounder, Elohia8 min de leitura

Governança de agente de IA na empresa é decidir, por escrito, quem pode ligar um agente, em que processo, com que dado, e quem assina embaixo quando o agente decide. Sem isso, o agente até funciona — só que sem ninguém defendendo a empresa quando aparecer a primeira fiscalização ou o primeiro erro caro.

O que muda quando o agente de IA passa a decidir sozinho?

O chatbot do passado seguia roteiro. Para cada ramo da árvore, alguém revisava a frase. O agente de IA é diferente: ele puxa contexto do CRM, monta a resposta, executa a ação. A decisão acontece ali, sem revisor humano olhando caso a caso.

Isso muda a régua de governança. O que antes era escolha tomada por humano — que pode ser ouvido, treinado, responsabilizado — passa a ser escolha tomada por um sistema que ninguém entende sem documentação. Quem ainda trata o agente como se fosse o chatbot antigo está deixando uma camada inteira de responsabilidade em aberto. Vale lembrar a diferença prática neste artigo sobre chatbot vs agente de IA.

O marco regulatório brasileiro de IA já está valendo?

Ainda não tem uma lei consolidada. Tem o PL 2688/2025 caminhando na Câmara, o PL 6237/2025 propondo um Sistema Nacional de Regulação e Governança de IA, e a ANPD colocou IA entre as prioridades de fiscalização para 2026-2027. Na prática: a fiscalização vai chegar antes da lei sair pronta.

A ANPD pode usar a LGPD para cobrar transparência sobre decisão automatizada, explicabilidade e mitigação de viés agora mesmo, sem esperar marco específico. Quem espera a lei sair para organizar a casa vai correr depois, com auditor já no e-mail.

Para empresa de setor regulado (saúde, financeiro, educação, jurídico), o problema é dobrado: além da ANPD, o regulador setorial — CFM, ANS, BACEN, OAB, MEC — vai cobrar regras próprias sobre uso de IA. E o regulador setorial costuma cobrar antes de uma lei geral entrar em vigor.

Por onde começar a governança de IA na sua empresa?

Não precisa de comitê de IA, política de trinta páginas nem consultoria cara para dar o primeiro passo. Precisa responder cinco perguntas com clareza, por escrito, antes de ligar o primeiro agente em produção.

  1. Qual processo o agente vai executar — e até onde ele decide sozinho (sugere, escreve, envia, fecha contrato).
  2. Que dado ele lê e que dado ele escreve — e quem aprovou esses escopos.
  3. Quem é o dono operacional do agente quando ele errar — não a TI, alguém da área de negócio com nome e crachá.
  4. Como o agente é desligado se aparecer um problema sério — botão de pânico, não migração de servidor.
  5. Que registro fica salvo de cada decisão — input recebido, saída entregue, identidade do usuário, hora.

Cinco respostas. Uma folha. Antes do agente entrar em produção. Quando aparecer o primeiro auditor — interno, externo, ANPD, regulador setorial — essa folha é a defesa. Sem ela, a defesa é 'eu confio no fornecedor', que não é defesa.

O que documentar para sobreviver a uma fiscalização?

Não precisa documentar como o modelo de linguagem funciona por dentro — quase ninguém sabe e a ANPD aceita esse limite, dentro do estado da arte. Precisa documentar a decisão da empresa: o que escolheu fazer com o agente, o que escolheu não fazer e por quê.

  • Inventário curto: qual agente, qual processo, qual sistema lê, qual escreve, qual a base legal LGPD usada (consentimento, execução de contrato, legítimo interesse com teste de proporcionalidade).
  • Avaliação de impacto: o que pode dar errado com esse agente (atendimento ofensivo, decisão enviesada, vazamento de dado pessoal) e como a empresa mitigou cada risco.
  • Trilha de auditoria: log de cada interação que pode ser reaberta depois. Não basta print de conversa, tem que ser registro estruturado e recuperável.
  • Canal humano: como o cliente final pede revisão de uma decisão automatizada — exigência direta da LGPD, artigo 20.
  • Revisão periódica: a cada três ou seis meses alguém compara o que o agente entregou com o que a empresa esperava — e ajusta se desviou.

Quem responde quando o agente de IA erra?

Pergunta que decisor adia e acaba descobrindo na pior hora. A resposta curta: responde quem decidiu colocar o agente em produção, no escopo em que está. O fornecedor da plataforma responde por entregar a plataforma funcionando dentro do contrato. Pela política de uso, pela base legal, pelo conteúdo que o agente está empurrando para o cliente final, responde a empresa que ligou.

Por isso o nome do dono operacional do agente — alguém da área de negócio, não da TI genérica — precisa estar registrado. Se for 'todo mundo é responsável', ninguém é. E quem leva a notificação é o sócio.

Esse é também um dos pontos a olhar na hora de escolher a plataforma de agentes de IA: cláusulas claras sobre limites de responsabilidade, log estruturado entregue como funcionalidade nativa, e canal humano embutido. Quem promete 'a gente assina como Encarregado pela sua empresa' está prometendo algo que não vai cumprir num caso real.

Onde a Elohia se encaixa

A Elohia entrega a plataforma com a parte técnica pronta para sustentar a governança: isolamento de dados por empresa, criptografia em repouso e em trânsito, log estruturado de cada interação, escopo de leitura e escrita configurável por agente, canal humano nativo quando o cliente pede revisão de uma resposta automatizada. Primeiro agente em produção em até uma hora com onboarding assistido.

Honestidade: a documentação de governança — inventário, avaliação de impacto, política interna, papel do dono operacional — é da empresa, sempre. A gente acelera a parte técnica (a trilha de log já vem, o canal humano já vem, o escopo já vem granular), mas não substitui o trabalho de governança que cabe ao cliente. Se você procura fornecedor que assina como Encarregado de Dados pela sua empresa, a Elohia não é.

Se ainda não tem comitê de IA nem política interna, recomendamos passar primeiro pelo escritório jurídico ou pelo DPO — operações jurídicas pequenas conseguem rodar a parte de governança junto com a implantação, como esse caminho que descrevemos para jurídico de PME. Dá para usar a Elohia em escopo de baixo risco (atendimento, triagem, agendamento) enquanto a governança formal está sendo escrita, sem precisar travar a entrega de valor.

Perguntas frequentes

O que é governança de agente de IA na empresa?

É o conjunto de decisões escritas sobre o que o agente pode fazer, com que dado, sob responsabilidade de quem, e que registro fica salvo caso uma decisão automatizada precise ser auditada. Não é tecnologia, é responsabilidade documentada.

O marco regulatório brasileiro de IA já está valendo?

Ainda não há uma lei específica de IA em vigor, mas o PL 2688/2025 avança na Câmara, o PL 6237/2025 propõe um sistema nacional de governança e a ANPD incluiu IA como prioridade de fiscalização para 2026-2027 dentro da LGPD. Quem espera a lei sair para organizar a casa vai apagar incêndio depois.

Qual o primeiro passo para colocar agente de IA em conformidade?

Antes de ligar o agente, responder por escrito cinco perguntas: qual processo, qual dado, quem é o dono operacional, como desligar e que registro fica salvo de cada decisão. Uma folha resolve a parte mais cobrada numa primeira fiscalização.

Quem é responsável quando o agente de IA toma uma decisão errada?

A empresa que ligou o agente em produção. O fornecedor da plataforma responde pela plataforma dentro do contratado; pela política de uso, base legal LGPD e conteúdo entregue ao cliente final, responde quem operou. Por isso o dono operacional precisa ter nome registrado.

#governanca#compliance#lgpd#anpd#agente-ia#regulacao

Continue lendo

Gostou do conteúdo?

Receba nossa curadoria quinzenal sobre IA, multi-agentes e automação.