Voltar ao blog

AI Act e inventário de IA: por que o jurídico precisa saber onde a tecnologia está sendo usada

A consulta europeia sobre IA de alto risco mostra uma lição prática para qualquer jurídico: sem inventário, não há governança real.

Introdução

Muitas empresas discutem governança de IA antes de responder à pergunta mais básica: onde a IA está sendo usada?

Pode haver IA no atendimento, no jurídico, no marketing, na análise de crédito, em RH, em compliance, em saúde ocupacional, na segurança, no antifraude, em contratos, em produtos, em relatórios, em fornecedores e em ferramentas contratadas por áreas de negócio sem revisão central.

Sem inventário, o jurídico trabalha às cegas.

Em maio de 2026, a Comissão Europeia abriu consulta pública sobre diretrizes para classificar sistemas de IA de alto risco no âmbito do AI Act. A consulta, aberta até 23 de junho de 2026 segundo cobertura especializada, busca orientar provedores, implantadores e outros atores sobre quando um sistema deve ser tratado como alto risco, seja por integrar produtos regulados, seja por poder afetar saúde, segurança ou direitos fundamentais em áreas específicas.

Para empresas brasileiras, o ponto não é presumir que o AI Act se aplica automaticamente a todos os casos. A aplicabilidade depende de operação, mercado, usuários, fornecedores, produtos e fluxo internacional. O ponto prático é outro: a lógica de classificação de risco mostra que IA precisa ser mapeada.

Esse é um trabalho jurídico-documental. E é exatamente onde IA jurídica responsável pode ajudar: organizar informações, contratos, políticas, fornecedores, fluxos, dados, finalidades e evidências de revisão.

Por que inventário vem antes da política

Uma política de IA sem inventário é genérica.

Ela pode dizer que a empresa usa IA com responsabilidade, mas não consegue responder:

  • quais sistemas existem;
  • quem contratou;
  • qual finalidade;
  • quais dados são usados;
  • quem é fornecedor;
  • há dados pessoais ou sensíveis;
  • há decisão automatizada;
  • há impacto em pessoas;
  • há intervenção humana;
  • há documentação técnica;
  • há contrato e DPA;
  • há logs e auditoria;
  • quem responde internamente.

Sem essas respostas, a empresa não consegue classificar risco, revisar contratos, definir controles ou responder a incidente.

O inventário transforma governança em realidade operacional.

O que a classificação de alto risco ensina

O AI Act usa uma lógica regulatória baseada em risco. Alguns usos são proibidos, outros são classificados como alto risco, outros exigem transparência e muitos ficam em risco menor.

No debate sobre alto risco, a pergunta central é: o sistema pode afetar saúde, segurança ou direitos fundamentais?

Isso muda a forma como o jurídico deve olhar para IA. Não basta perguntar se a ferramenta é "boa" ou "produtiva". É preciso perguntar:

  • quem pode ser afetado?
  • qual decisão a ferramenta influencia?
  • há impacto em emprego, crédito, saúde, educação, acesso a serviço ou direito?
  • há perfilamento de pessoas?
  • há risco de discriminação?
  • há possibilidade de contestação?
  • a decisão é revisável?
  • há documentação suficiente?

Mesmo fora da União Europeia, essa lógica é útil para priorizar riscos.

O papel dos contratos com fornecedores

Boa parte da IA empresarial vem de fornecedores.

Ferramentas SaaS, CRMs, sistemas de RH, plataformas de marketing, softwares jurídicos, mecanismos antifraude, assistentes de atendimento e soluções de produtividade podem incluir IA de forma visível ou invisível.

O contrato precisa responder:

  • a solução usa IA?
  • qual modelo ou tipo de sistema?
  • quais dados do cliente são processados?
  • os dados são usados para treinamento?
  • há subprocessadores?
  • onde os dados são armazenados?
  • há transferência internacional?
  • quais logs existem?
  • quais limitações são informadas?
  • há documentação técnica?
  • há suporte para auditoria?
  • há mecanismo de desativação ou intervenção humana?
  • quem responde por erro, incidente ou violação contratual?

Sem essas cláusulas, o inventário fica incompleto.

Como montar um inventário jurídico de IA

Um inventário útil não precisa começar sofisticado. Pode começar como tabela controlada e evoluir.

Campos básicos:

  1. Nome da ferramenta.
  2. Área usuária.
  3. Fornecedor.
  4. Finalidade.
  5. Tipo de IA.
  6. Dados tratados.
  7. Dados pessoais ou sensíveis.
  8. Decisão ou tarefa apoiada.
  9. Pessoas afetadas.
  10. Grau de intervenção humana.
  11. Risco preliminar.
  12. Contrato revisado.
  13. Documentação técnica disponível.
  14. Logs e auditoria.
  15. Responsável interno.
  16. Status de aprovação.
  17. Data da última revisão.

Esse inventário permite separar usos simples, como apoio à redação interna, de usos críticos, como triagem de candidatos, análise de crédito, saúde, segurança ou decisões que afetam acesso a serviços.

O que escritórios podem oferecer aos clientes

Escritórios podem transformar esse movimento regulatório em serviço jurídico concreto.

Em vez de apenas escrever memorandos sobre IA, podem ajudar clientes a:

  • mapear ferramentas existentes;
  • revisar contratos de fornecedores;
  • criar matriz de risco;
  • identificar lacunas de LGPD;
  • separar usos permitidos, condicionados e proibidos;
  • criar política interna;
  • definir revisão humana;
  • organizar respostas a incidentes;
  • preparar documentação para auditoria;
  • revisar fluxos de RH, crédito, saúde, educação e atendimento.

Esse é um trabalho consultivo com alto valor prático.

Como JuristIA se conecta com esse tema

Inventário de IA é trabalho documental.

Ele envolve contratos, políticas, termos de uso, documentos técnicos, registros de decisão, matrizes de risco, relatórios, evidências de revisão, fluxos internos e histórico de aprovação.

JuristIA pode apoiar a organização desse material, a criação de checklists, a comparação de documentos, a identificação de lacunas e a preservação de rastreabilidade para revisão humana.

O valor não é prometer compliance automático. É permitir que o jurídico trabalhe com mais método, clareza e controle.

Cautelas: o que não afirmar

Não afirmar que toda empresa brasileira está sujeita ao AI Act. A aplicabilidade depende de operação, mercado, usuários, oferta de sistema, fornecedores e outros fatores concretos.

Não afirmar que a consulta europeia já é regra final. Trata-se de consulta sobre diretrizes de classificação de alto risco.

Não afirmar que inventário resolve todos os riscos. Ele é ponto de partida para governança, contratos, controles e revisão.

Não afirmar que todo uso de IA é alto risco. A classificação depende de finalidade, contexto, impacto e legislação aplicável.

Não escrever contra IA. A mensagem correta é: IA pode ser vantagem competitiva quando a empresa sabe onde usa, com quais dados, sob quais controles e com qual revisão.

Checklist prático para começar

Antes de discutir governança avançada, responda:

  1. Quais áreas usam IA?
  2. Quais ferramentas foram contratadas?
  3. Quais foram adotadas informalmente?
  4. Há dados pessoais?
  5. Há dados sensíveis?
  6. Há decisão automatizada ou apoio a decisão?
  7. Pessoas são afetadas?
  8. Há fornecedor externo?
  9. O contrato fala sobre IA?
  10. Há uso de dados para treinamento?
  11. Existe revisão humana?
  12. Há logs e auditoria?
  13. Há responsável interno?
  14. O risco foi classificado?
  15. A revisão será periódica?

Impacto prático para departamentos jurídicos

Departamentos jurídicos precisarão sair do modo reativo.

Se só descobrem o uso de IA depois de incidente, contrato assinado ou questionamento de cliente, a governança já começou tarde. O inventário permite antecipar risco, negociar cláusulas, orientar áreas internas e priorizar controles.

Para escritórios, isso cria nova frente de assessoria: diagnóstico de IA, revisão de fornecedores, matriz de risco, política interna, resposta a incidentes e documentação de conformidade.

Para empresas com exposição internacional, a lógica do AI Act serve como alerta. Mesmo quando a norma europeia não se aplica diretamente, clientes, parceiros e fornecedores podem exigir documentação semelhante.

Perguntas frequentes

O AI Act europeu se aplica a empresas brasileiras?

Depende. Pode haver impacto quando a empresa oferece sistemas ou serviços no mercado europeu, atua com usuários na União Europeia ou integra cadeias contratuais sujeitas à norma. O caso concreto precisa ser avaliado.

O que é IA de alto risco?

No AI Act, a classificação depende do tipo de sistema, finalidade, contexto e potencial impacto sobre saúde, segurança ou direitos fundamentais, entre outros critérios.

Por que fazer inventário de IA?

Porque sem saber onde a IA é usada, com quais dados e por quem, o jurídico não consegue classificar risco, revisar contratos ou definir controles.

Toda IA precisa do mesmo nível de controle?

Não. O controle deve ser proporcional ao uso, aos dados, ao impacto e ao risco. Um uso interno simples não é igual a um sistema que afeta emprego, crédito ou saúde.

Como JuristIA ajuda nesse processo?

JuristIA pode apoiar organização de contratos, políticas, documentos técnicos, checklists e matrizes de risco, com rastreabilidade para revisão humana.

Fontes consultadas

  • ITPro. "European Commission opens public consultation on long-awaited draft for high-risk AI guidelines". Publicado em maio de 2026. https://www.itpro.com/business/policy-and-legislation/european-commission-opens-public-consultation-on-long-awaited-draft-for-high-risk-ai-guidelines
  • Parlamento Europeu e Conselho da União Europeia. Regulamento (UE) 2024/1689, Artificial Intelligence Act. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
  • Comissão Europeia. Página oficial sobre o AI Act. https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
  • Comissão Europeia. AI Office. https://digital-strategy.ec.europa.eu/en/policies/ai-office
  • Comissão Europeia. General-Purpose AI Code of Practice. https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai
  • Senado Federal. Projeto de Lei nº 2338/2023. https://www25.senado.leg.br/web/atividade/materias/-/materia/157233
  • ANPD. "ANPD participa de encontro na Colômbia para atualização de padrões ibero-americanos de proteção de dados". Publicado em 02/06/2026. https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-participa-de-encontro-na-colombia-para-atualizacao-de-padroes-ibero-americanos-de-protecao-de-dados
Conheça a JuristIA para organizar documentos, processos e trabalho jurídico com agentes de IA. Conhecer a JuristIA