Compliance sempre foi sobre processo.
Você mapeava o fluxo, identificava o ponto de controle, documentava, auditava. O risco tinha endereço conhecido.
Com IA, o risco não tem endereço fixo. Ele entra por qualquer janela aberta.
Um funcionário cola um contrato de cliente no ChatGPT para resumir. Um analista usa o Copilot para redigir parecer com base em dados internos. Um gestor configura um bot de atendimento sem passar pelo jurídico.
Nenhum desses é um processo formal. Nenhum tem dono de controle. Todos geram exposição real.
O escopo do Compliance Officer aumentou — e a maioria ainda está trabalhando com o mapa antigo.
Como a IA mudou o escopo do compliance (o risco entra por prompt)
O modelo clássico de compliance cobre: normas internas, regulatórios setoriais, terceiros, contratos, conflito de interesses, treinamento.
IA não cabe em nenhuma dessas categorias de forma limpa.
Não é um terceiro — é uma ferramenta que o funcionário acessa diretamente.
Não é um processo formalizado — pode ser usado de forma ad hoc, sem aprovação prévia.
Não é um dado — mas manipula, gera e transmite dados com implicações legais.
O risco de compliance com IA tem três características novas:
É difuso. Não fica em um departamento. Qualquer área pode gerar exposição.
É imediato. Um prompt errado envia dados de cliente para servidor de terceiro fora da UE. Sem log, sem alerta, sem reversão.
É cumulativo. Individualmente, cada uso parece inofensivo. Em conjunto, a empresa tem padrão de processamento de dados pessoais sem base legal documentada — o que é, na prática, violação contínua da LGPD.
O Compliance Officer que não cobre IA já está trabalhando com escopo incompleto.
As três camadas de risco que o compliance precisa cobrir
Camada 1: Uso interno de ferramentas de IA
O que os funcionários usam. Com quais dados. Sob quais condições.
O risco aqui é vazamento de dados confidenciais — clientes, funcionários, financeiro — para modelos de IA externos sem cláusula de processamento adequada.
A cobertura exige: política de uso aceitável, inventário de ferramentas permitidas, treinamento documentado.
Camada 2: Sistemas de IA em processos de negócio
Modelos que a empresa usa para tomar ou recomendar decisões. RH, crédito, atendimento, precificação, fraud detection.
O risco aqui é decisão automatizada sem transparência, sem possibilidade de contestação, sem base legal clara.
A cobertura exige: registro de sistemas, avaliação de impacto, documentação de lógica de decisão para fins de Art. 20 da LGPD.
Camada 3: IA em terceiros que processam dados da empresa
Fornecedores, prestadores de serviço, plataformas SaaS que usam IA com dados que a empresa transfere.
O risco aqui é que a empresa responde pelo processamento feito pelo terceiro se não houver cláusula contratual adequada e evidência de due diligence.
A cobertura exige: revisão dos contratos de processamento de dados, adendo específico sobre uso de IA, processo de avaliação de novos fornecedores.
Sua empresa tem esse controle hoje?
Faça o checklist em 5 minutos — gratuito.
Baixar checklist gratuitoLGPD Art. 20 como vetor principal
O Art. 20 da LGPD diz que o titular tem direito de solicitar revisão de decisões tomadas unicamente por meios automatizados.
Não é futuro. Já está em vigor.
O problema concreto: a maioria das empresas que usa IA em crédito, triagem de RH ou precificação não sabe responder à pergunta "como esse sistema chegou a essa decisão para esse titular?".
Não porque não querem. Porque nunca documentaram.
Quando a ANPD expande o escopo de fiscalização — e está expandindo — a primeira pergunta será exatamente essa. E a segunda será: você tem evidência de que o modelo não produz resultado diferente por raça, gênero ou localização?
Compliance sem resposta para essas perguntas não está preparado.
O Art. 20 não é item de lista de conformidade. É o ponto de entrada de auditoria e de ação civil.
Uma empresa que nega crédito por modelo automatizado sem saber explicar o critério está exposta. Não teoricamente. Juridicamente.
O que os auditores estão incluindo no escopo padrão agora
Em 2023, auditoria de privacidade raramente incluía IA.
Em 2025, qualquer auditor de privacidade competente inclui pelo menos quatro itens no escopo quando a empresa usa IA:
- Inventário de sistemas de IA com acesso a dados pessoais
- Base legal para processamento automatizado
- Existência de mecanismo de contestação (Art. 20)
- Cláusulas de processamento com fornecedores de IA
Alguns auditores já incluem também: avaliação de viés documentada, registro de incidentes com IA, e evidência de treinamento interno.
O compliance que não cobre esses pontos não vai reprovar auditoria interna. Vai reprovar auditoria externa do cliente ou do regulador.
Checklist de 5 itens para começar
Esses cinco itens respondem às perguntas mais frequentes de auditores e clientes em 2026:
1. Inventário de sistemas de IA com dados pessoais
Liste todos os sistemas. Nome, finalidade, dados acessados, responsável interno.
2. Política de uso aceitável de IA
Documento aprovado e comunicado. Define o que pode, o que não pode, e quem autoriza exceções.
3. Base legal documentada para decisão automatizada
Para cada sistema de risco alto: qual é a base legal do Art. 20? Consentimento, legítimo interesse, execução de contrato? Documentado, não apenas inferido.
4. Mecanismo de contestação operacional
O canal existe. Alguém responde. O prazo é definido. Isso é auditável.
5. Cláusulas de IA nos contratos de fornecedores
Revisão dos DPAs existentes. Adendo específico para fornecedores que usam IA com dados da empresa.
Esses cinco itens não fecham todo o escopo. Mas cobrem 80% da exposição imediata.
O compliance que começa por aqui já está à frente da maioria.
Para saber se esses 5 itens estão cobertos na sua empresa: risco.ia.br/checklist.
Quem já tem o básico e quer medir a exposição real em 8 dimensões: alc.ia.br/score-risco.
Quem precisa do template de política e dos controles documentados: alc.ia.br/kit.
E quem quer um diagnóstico completo com plano de ação: alc.ia.br/diagnostico.