IBGIA - Instituto Brasileiro de Governança em Inteligência Artificial
PB-2026-003

Governança de IA para PMEs Brasileiras: Um Guia Prático

André NakamuraMarço 2026IBGIA Working Paper Series

Governança de IA para PMEs Brasileiras: Um Guia Prático

Série: IBGIA Policy Briefs Número: PB-2026-003 ISSN: Em processo de registro Data: Março de 2026

Autor: André Nakamura — Coordenador Técnico e de Avaliação, IBGIA Contato: [email protected] | ibgia.org

Sumário Executivo

A governança de Inteligência Artificial não é prerrogativa exclusiva de grandes corporações. Pequenas e médias empresas (PMEs) brasileiras que utilizam, desenvolvem ou comercializam sistemas de IA também precisam — e serão obrigadas, com a aprovação do Marco Legal da IA (PL 2338/2023) — a adotar práticas de governança responsável.

Este policy brief oferece orientação prática para PMEs brasileiras sobre como iniciar sua jornada de governança de IA de forma eficiente, proporcional ao porte da organização e sem necessidade de grandes investimentos iniciais. O documento está organizado em quatro eixos: (1) entendimento do contexto regulatório, (2) diagnóstico rápido de maturidade, (3) medidas prioritárias de baixo custo, e (4) roteiro de implementação progressiva.

Principais recomendações:

  1. Comece por um inventário dos sistemas de IA em uso na sua empresa
  2. Identifique quais sistemas se enquadram como "alto risco" nos termos do PL 2338/2023
  3. Implemente um processo básico de avaliação de impacto algorítmico para esses sistemas
  4. Designe um responsável por governança de IA — mesmo que seja uma função acumulada
  5. Documente suas políticas de uso de IA — isso reduz risco legal e aumenta a confiança dos clientes

1. Por Que PMEs Devem Se Preocupar com Governança de IA

1.1 O Marco Legal está chegando

Com a aprovação do PL 2338/2023 pelo Senado Federal e sua tramitação na Câmara dos Deputados, o Brasil terá, provavelmente ainda em 2026, um marco regulatório específico para IA. As obrigações se aplicarão a qualquer organização que desenvolva, distribua ou utilize sistemas de IA no território brasileiro — independentemente de porte.

O PL prevê obrigações proporcionais ao risco: sistemas classificados como "alto risco" terão requisitos mais exigentes; sistemas de risco limitado ou mínimo terão obrigações mais leves. Mas mesmo para sistemas de risco mínimo, haverá obrigações básicas de transparência.

1.2 Riscos práticos para PMEs que não se prepararem

Risco regulatório: Multas de até R$ 50 milhões ou 2% do faturamento anual previstas no PL.

Risco de mercado: Grandes corporações e o setor público exigirão cada vez mais que seus fornecedores e parceiros demonstrem práticas de governança de IA. Quem não tiver, ficará fora de licitações e contratos.

Risco reputacional: Um incidente com IA mal governada — decisão discriminatória, vazamento de dados, resultado impreciso em área crítica — pode ser devastador para a reputação de uma empresa pequena.

Risco legal: A responsabilidade civil por danos causados por sistemas de IA será cada vez mais atribuída ao operador, mesmo que ele use sistemas desenvolvidos por terceiros.

1.3 A oportunidade

PMEs que adotarem governança de IA proativamente terão vantagem competitiva: diferenciação de mercado, acesso a clientes que exigem conformidade, redução de riscos operacionais e maior atratividade para investidores e parceiros.

2. Diagnóstico Rápido: Onde Sua Empresa Está?

Antes de iniciar qualquer programa de governança, é fundamental entender onde a empresa está. Este diagnóstico simples pode ser feito em menos de 2 horas:

Pergunta 1: Quais sistemas de IA sua empresa usa?

Faça um inventário. Inclua:

  • Sistemas desenvolvidos internamente
  • Ferramentas de terceiros com componentes de IA (CRM preditivo, chatbots, sistemas de scoring, reconhecimento de imagem, etc.)
  • Modelos de linguagem (ChatGPT, Gemini, Claude, etc.) usados em processos de negócio

Pergunta 2: Em quais decisões esses sistemas influenciam?

Para cada sistema, identifique:

  • Qual decisão ele auxilia ou automatiza?
  • Quem é afetado pela decisão?
  • Qual o impacto potencial de um erro?

Pergunta 3: Qual o nível de risco de cada sistema?

Use esta tabela de triagem rápida:

| Critério | Alto Risco | Risco Limitado | Risco Mínimo | |----------|-----------|----------------|--------------| | Afeta direitos fundamentais? | Sim | Talvez | Não | | Impacta acesso a serviços essenciais? | Sim | Talvez | Não | | Decisões sobre pessoas (emprego, crédito, saúde)? | Sim | Talvez | Não | | Consequências de erro são graves/irreversíveis? | Sim | Talvez | Não | | Há supervisão humana efetiva? | Não | Parcial | Sim |

Se a maioria das respostas for "Sim", o sistema provavelmente será classificado como alto risco pelo Marco Legal da IA.

3. Medidas Prioritárias de Baixo Custo

Medida 1 — Inventário e Classificação (Custo: 0)

Documente em uma planilha simples todos os sistemas de IA em uso:

  • Nome e fornecedor
  • Finalidade
  • Dados utilizados (especialmente se pessoais)
  • Decisões que auxilia/automatiza
  • Usuários afetados
  • Classificação de risco preliminar

Medida 2 — Política de Uso Responsável de IA (Custo: Horas de trabalho)

Crie um documento de 1-2 páginas que defina:

  • Quais usos de IA são permitidos na empresa
  • Quais são proibidos (ex.: avaliação de candidatos com base só em score algorítmico)
  • Quem é responsável pela supervisão de cada sistema
  • Como reportar incidentes ou resultados suspeitos

Medida 3 — Avaliação de Impacto Básica para Sistemas de Alto Risco (Custo: Horas de trabalho)

Para cada sistema de alto risco identificado, documente:

  1. Qual o objetivo do sistema?
  2. Que dados ele usa? São dados pessoais? De grupos vulneráveis?
  3. Como foi treinado? Com quais dados históricos?
  4. Quais vieses potenciais foram identificados?
  5. Como são monitorados os resultados? Com que frequência?
  6. Qual o mecanismo para contestar uma decisão do sistema?

Medida 4 — Cláusulas Contratuais com Fornecedores de IA (Custo: Revisão jurídica)

Ao contratar fornecedores de sistemas de IA, inclua cláusulas que prevejam:

  • Obrigação de transparência sobre metodologia e dados do sistema
  • Direito de auditoria em caso de incidente
  • Alocação de responsabilidade em caso de danos
  • Atualização do sistema quando houver mudanças regulatórias

4. Roteiro de Implementação Progressiva

Fase 1 — Fundação (Meses 1-2)

  • [ ] Realizar inventário de sistemas de IA
  • [ ] Classificar sistemas por nível de risco
  • [ ] Publicar política interna de uso responsável de IA
  • [ ] Designar responsável por governança de IA

Fase 2 — Avaliação (Meses 3-4)

  • [ ] Completar avaliação de impacto para sistemas de alto risco
  • [ ] Revisar contratos com fornecedores de IA
  • [ ] Realizar treinamento básico de equipe sobre IA responsável
  • [ ] Estabelecer processo de monitoramento de sistemas críticos

Fase 3 — Maturidade (Meses 5-12)

  • [ ] Formalizar programa de governança de IA
  • [ ] Implementar processo de revisão anual
  • [ ] Considerar certificação voluntária (ISO/IEC 42001 ou framework IBGIA)
  • [ ] Participar de fóruns setoriais sobre governança de IA

5. Recursos de Apoio

Publicações IBGIA

  • WP-2026-001: Análise comparativa do PL 2338/2023 (referência regulatória)
  • WP-2026-002: Framework de Avaliação de Maturidade em Governança de IA
  • PB-2026-001: Guia para Gestores Públicos (adaptável ao setor privado)

Frameworks e Normas de Referência

  • ISO/IEC 42001:2023: Sistema de gestão de IA — primeira norma internacional para governança
  • NIST AI RMF 1.0: Framework de gestão de risco de IA (gratuito, bem documentado)
  • OECD AI Principles: Princípios de referência global (em português disponível no site da OECD)

Ferramentas Gratuitas

  • Algorithmic Impact Assessment Tool (Governo do Canadá): ferramenta gratuita para avaliação de impacto
  • AI Fairness 360 (IBM): biblioteca open-source para detecção e mitigação de vieses
  • Responsible AI Tracker (Accenture): ferramenta de autoavaliação gratuita

Conclusão

Governança de IA não é burocracia — é gestão de risco inteligente. PMEs brasileiras que começarem agora têm a vantagem de construir práticas antes que se tornem obrigação legal, e de fazê-lo de forma progressiva e proporcional ao seu porte.

O IBGIA oferece suporte a PMEs por meio de suas publicações, programas de capacitação e serviços de consultoria. Entre em contato: [email protected].

Referências

BRASIL. Senado Federal. Projeto de Lei nº 2.338/2023. Marco Legal da IA.

EUROPEAN UNION. Regulation (EU) 2024/1689 (EU AI Act). Official Journal, 2024.

IBGIA. WP-2026-001, WP-2026-002, PB-2026-001. São Paulo: IBGIA, 2026.

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 42001:2023 — AI Management System. Geneva: ISO, 2023.

NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. AI RMF 1.0. Gaithersburg: NIST, 2023.

OECD. Recommendation of the Council on Artificial Intelligence. OECD/LEGAL/0449. Paris: OECD, 2019/2024.

IBGIA Policy Briefs — ISSN em processo de registro Licença: Creative Commons BY-NC-SA 4.0

Como citar: NAKAMURA, A. Governança de IA para PMEs Brasileiras: Um Guia Prático. IBGIA Policy Briefs, PB-2026-003, março 2026.

CompartilharLinkedInWhatsApp

Leia Tambem

ArtigosO Futuro da Regulação de IA na América LatinaUma análise comparativa dos marcos regulatórios de Inteligência Artificial em desenvolvimento no Brasil, México, Chile, ...Ler artigoArtigosIA Generativa e Governança Corporativa: Desafios e OportunidadesA adoção acelerada de ferramentas de IA generativa nas organizações traz benefícios significativos de produtividade, mas...Ler artigoRelatóriosPanorama 2026: tendências em governança de IA no mundoUm mapeamento das principais tendências globais em governança de IA para 2026: regulação, padrões técnicos, governança c...Ler artigo
Veja nas NotíciasAcompanhe lançamentos de publicações e novidades do IBGIA
Voltar para Working Papers