Governança de Dados e Governança de IA: Complementares, não substituíveis. Lições do por que empresas reguladas não podem escolher apenas uma?

Nota do Autor: A confusão entre Inputs e Sistemas é um dos riscos silenciosos que vejo acontecer e pouco se falar, quando temos de um lado o EU AI Act e do outro, a LGPD.

Já escrevi sobre essa diferença, mas como ainda vejo grandes dúvidas nessa distinção, vou tentar esclarecer de uma forma mais direta.

1 - O erro estratégico que aumenta riscos regulatórios

Nos últimos (02)dois anos, tenho observado um padrão preocupante em organizações reguladas (financeiras, de saúde, telecom, varejo e energia): A crença de que uma governança de dados madura automaticamente qualifica a empresa para operar inteligência artificial em larga escala.

Essa premissa é falsa e perigosa. E também, é uma armadilha recorrente tratar governança de dados e governança de IA como sinônimos.

A realidade é que Governança de dados e Governança de IA são pilares com focos distintos e, apesar de interdependentes(uma não funciona sem a outra), não são intercambiáveis(uma não pode substituir ou tomar o lugar da outra), exigindo abordagens diferentes e maduras para mitigar riscos e capturar valor.

Em ambientes sujeitos à LGPD, ao EU AI Act (em vigor progressivo desde 2024), à ISO 42001 e ao PL 2338 (em tramitação no Brasil), confundi-las não é mera falha conceitual, não reconhecer e implementar ambas de forma robusta, expõe organizações a riscos reputacionais, multas milionárias, gera lacunas que auditorias e órgãos reguladores já começam a punir.

2 - O escopo da Governança de Dados: Fundamento nos insumos

A governança de dados concentra-se na gestão integral dos ativos de informação, alinhada à ISO 27001 e LGPD. Seu foco abrange:

• Qualidade e linhagem: Garantir que dados sejam precisos, completos e rastreáveis, evitando viéses ou erros propagados.

• Propriedade e acesso: Definir donos (data owners) e controles granulares de permissão, com auditorias regulares.

• Retenção e privacidade: Cumprir prazos de descarte e anonimização, conforme Art. 15 da LGPD e princípios de minimização de dados.

• Fontes aprovadas: Validar origens externas para prevenir contaminação.

Essa estrutura foca nos Inputs: Os ativos de dados como entidades estáveis. Responde a perguntas clássicas:

• Os dados são confiáveis, íntegros e com linhagem conhecida para qualquer uso downstream?

• Quem é o proprietário? O acesso é controlado?

• A retenção e o descarte seguem a lei?

• Há privacidade desde a coleta?

Sem elas, até a IA mais sofisticada gera outputs imprevisíveis, violando obrigações de accountability. Sem uma base sólida de dados bem governados, qualquer iniciativa de IA estará comprometidda

Exemplo de falha: Dados bem governados, mas usados para treinar um modelo que discrimina indiretamente por CEP.

A ISO 27001, por sua vez, estabelece os padrões para um Sistema de Gestão de Segurança da Informação (SGSI), garantindo a confidencialidade, integridade e disponibilidade dos dados, um prérequisito para a segurança dos dados que alimentam os sistemas de IA.

3 - Governança de IA: Controle do ciclo de vida e riscos sistêmicos

Já a governança de IA, conforme ISO/IEC 42001 e EU AI Act (classificação de sistemas de alto risco), gerencia o ecossistema de IA como um todo, supervisão de como os casos de uso e os sistemas de IA são aprovados, construídos, implantados, monitorados e controladosEla abrange:

• Absorção e classificação de casos de uso: Avaliar riscos via frameworks como o da PL 2338/2023, que exige avaliação prévia de impactos éticos e sociais.

• Validação e explicabilidade: Testes de robustez, bias detection e XAI (Explainable AI) para outputs auditáveis.

• Supervisão humana e monitoramento contínuo: "Human-in-the-loop" obrigatório para IA de alto risco (EU AI Act, Art. 14), com KPIs de drift e incidentes.

• Riscos de terceiros: Due diligence em modelos de API (ex.: OpenAI), integrando cláusulas contratuais à ISO 42001.

Frameworks como esses demandam um AI Governance Committee no board level, com relatórios anuais de conformidade.

Foca no Sistema: O comportamento emergente, as decisões automatizadas e os impactos a jusante. Responde a perguntas novas:

• Esse caso de uso de IA deveria avançar, e estamos preparados para governá-lo de forma responsável?

• Esse deployment de IA é ético, seguro e sustentável sob escrutínio regulatório?

• Este caso de uso de IA é de alto risco (EU AI Act)?

• O modelo é explicável?

• A supervisão humana é efetiva?

• Como monitoramos deriva (drift) e incidentes?

• O fornecedor de IA de terceiros foi validado?

Exemplo de falha: Base de dados pobre (com viés histórico), mas com governança de IA impecável – o sistema continuará gerando saídas injustas.

A ISO 42001 é a primeira norma internacional de Sistema de Gestão para IA, fornecendo uma estrutura para o desenvolvimento e uso responsável da IA, complementando a ISO 27001 ao focar especificamente na Governança de Sistemas de IA

4 - Por que a distinção é estratégica em ambientes regulados?

Empresas reguladas no Brasil (sob BACEN, ANPD e futura ANIA) e UE enfrentam penalidades severas por falhas. Exemplos reais ilustram o risco:

Dados bem gerenciados (inputs) são pré-requisito para IA confiável, mas não bastam. A Governança de IA governa o sistema, decisões e impactos: Incluindo Shadow AI, que contorna controles e amplifica riscos.

A distinção entre Governança de dados e Governança de IA é mais que importante. A Governança de Dados governa os Inputs: A matéria-prima. A Governança de IA governa o sistema, as decisões e o impacto a jusante.

Uma organização pode possuir dados impecavelmente governados e, ainda assim, gerar riscos significativos com a IA se os casos de uso não forem avaliados adequadamente quanto ao risco, as saídas não forem validadas, a supervisão humana for incerta, o monitoramento for deficiente ou os riscos de modelos de terceiros não forem abordados. Inversamente, uma governança de IA robusta não pode compensar uma base de dados fraca.

5 - Riscos de confusão e caminho para a maturidade

Confundir os dois conceitos leva a:

• Exposição regulatória: ANPD já multou por falhas de dados em IA (casos 2024-2025);

• Perdas operacionais: Incidentes como o da Clearview AI (banida na UE por privacidade);

• Oportunidades perdidas: Sem Governança dupla, inovação estagna por medo de compliance.

Para maturidade, adote um modelo integrado:

• Mapeie dados via Data Catalog (alinhado ISO 27001);

• Crie pipeline de IA com risk scoring (EU AI Act tiers);

• Implemente GRC tools para monitoramento unificado;

• Treine boards em ISO 42001 para oversight estratégico.

Conclusão estratégica

Você pode ter os dados mais Governados do mercado: Com certificação ISO 27001, LGPD nível prata, linhagem perfeita, e ainda assim criar Risco de IA significativo se:

• Casos de uso não são avaliados por risco;

• Saídas do modelo não são validadas antes de afetar o usuário;

• O monitoramento pós-implantação é inexistente;

• O modelo de terceiros opera como caixa-preta.

Do mesmo modo, uma Governança de IA robusta não compensa dados sujos, incompletos ou com viés histórico.

Para empresas reguladas, a implementação de uma estratégia abrangente que integre tanto a Governança de dados quanto a Governança de IA não é apenas uma questão de conformidade, mas uma imperativa estratégica para a sustentabilidade e a inovação responsável.

A Governança de dados é o alicerce, garantindo a qualidade e a segurança dos inputs.

A Governança de IA é a estrutura que assegura que os sistemas de IA sejam desenvolvidos e utilizados de maneira ética, transparente e responsável, mitigando riscos e maximizando benefícios.

Nota do Autor: Governança de Dados governa o que entra. Governança de IA governa o que decide, o que impacta e como se responde por isso.

Ao abordar ambas as dimensões de forma coordenada, as organizações podem construir confiança, fomentar a inovação e navegar com segurança no complexo panorama regulatório que existe e que virá sobre Inteligência Artificial.

Empresas reguladas que já investiram pesado em dados precisam agora, urgentemente, construir a segunda perna da cadeira. O EU AI Act, o PL 2338 e as futuras decisões do CD/ANPD vão cobrar exatamente essa distinção.

SOBRE O AUTOR:

Jarison Melo é Board Member na ALGOR Association UK, CAIO, CGO, Cientista de Dados e Head Regional de Governança de IA para o Nordeste. Com mais de duas décadas de experiência transformando estratégias de negócios em vantagem competitiva. Especialista em Governança de IA (ISO/IEC 42001:2024) e regulação de IA (EU AI Act e PL 2338), lidera a implementação de SGIA's em Organizações Públicas e Privadas.

Atua na estruturação de comitês de Governança e mitigação de riscos algorítmicos, garantindo inovação com ética e conformidade. Sua abordagem integra profundidade técnica com visão executiva para gerar eficiência operacional, confiança aos stakeholders e valor institucional.