Voltar ao blog

Regulação de IA em mosaico: como o jurídico deve organizar obrigações sem travar a adoção

A disputa nos EUA sobre uma lei federal de IA e a preempção de normas estaduais mostra uma lição prática para escritórios: governança de IA precisa virar matriz rastreável, não coleção de alertas soltos.

Introdução

Em 17 de junho de 2026, a Axios noticiou nova reação política ao rascunho do "Great American Artificial Intelligence Act", proposta bipartidária nos Estados Unidos que buscaria criar uma estrutura federal para regulação de IA. Segundo a cobertura, um dos pontos mais sensíveis é a possibilidade de congelar, por um período, novas regulações estaduais de IA.

Para quem acompanha Direito e tecnologia, a notícia parece distante. Mas o problema é familiar para qualquer jurídico que atende empresas com tecnologia, dados, fornecedores internacionais ou clientes em mais de uma jurisdição: a regulação de IA está virando um mosaico.

União Europeia tem AI Act. Estados norte-americanos avançam com leis próprias. O governo federal dos EUA discute preempção. O Brasil debate o PL 2338/2023. Autoridades de proteção de dados tratam IA como tema regulatório. Frameworks como o NIST AI RMF viram linguagem comum de governança.

O risco para o jurídico não é apenas "descumprir uma lei de IA". O risco é não saber quais obrigações se aplicam a qual uso.

A resposta correta não é travar toda adoção de IA. Também não é liberar ferramentas sem método enquanto a lei não fecha. O caminho profissional é criar uma matriz jurídica de obrigações: um mapa vivo que conecta uso, território, papel, risco, dados, fornecedor, documentação e revisão humana.

É isso que transforma incerteza regulatória em trabalho jurídico organizado.

O que o debate norte-americano sinaliza

O debate nos EUA gira em torno de uma tensão clássica: uniformidade versus autonomia local.

De um lado, empresas e parte dos legisladores defendem uma estrutura federal para evitar um "patchwork" de regras estaduais. A lógica é que tecnologia escala em múltiplos mercados e que obrigações muito diferentes podem dificultar inovação, contratação e conformidade.

De outro, legisladores estaduais, grupos de defesa de consumidores e entidades de direitos civis argumentam que bloquear leis locais pode enfraquecer proteções em temas como privacidade, discriminação, fraudes, deepfakes e direitos de pessoas afetadas por sistemas automatizados.

Para o jurídico empresarial, a lição não está em escolher um lado ideológico. Está em reconhecer que a camada regulatória é instável.

Uma empresa pode estar sujeita a:

  • normas nacionais;
  • leis estaduais ou locais;
  • regras setoriais;
  • contratos com clientes;
  • políticas de fornecedores;
  • obrigações de proteção de dados;
  • deveres profissionais;
  • standards voluntários;
  • expectativas de auditoria e governança.

Esse cenário exige método, não improviso.

Por que "esperar a lei final" é uma estratégia fraca

Muitos escritórios e departamentos jurídicos adiam a governança de IA com uma justificativa compreensível: a legislação ainda está mudando.

O problema é que o uso de IA já está acontecendo.

Equipes usam copilotos. Áreas de negócio contratam ferramentas. Fornecedores embutem IA em produtos. Plataformas de produtividade adicionam recursos generativos. Sistemas de atendimento automatizam interações. Jurídicos testam resumos, pesquisas, triagens e minutas.

Se o jurídico espera a lei final para organizar tudo, quando a lei chega o uso já está disperso.

O trabalho mínimo deve começar antes:

  • inventariar ferramentas;
  • classificar finalidades;
  • mapear dados pessoais e sigilosos;
  • identificar fornecedores;
  • definir papéis internos;
  • criar regras de revisão;
  • documentar usos sensíveis;
  • preservar logs e evidências;
  • revisar contratos.

Isso não é excesso de cautela. É preparação operacional.

A diferença entre norma, framework e política interna

Uma matriz jurídica de IA precisa separar três camadas.

1. Norma obrigatória

É lei, regulamento ou decisão vinculante aplicável ao caso. Exemplos: AI Act europeu para usos dentro de seu escopo, leis estaduais norte-americanas aplicáveis a determinados mercados, LGPD no tratamento de dados pessoais, regras setoriais e futuras normas brasileiras.

Aqui o jurídico precisa responder: há obrigação aplicável? A quem? Em qual data? Para qual sistema? Com qual sanção?

2. Framework de governança

Frameworks como NIST AI RMF, ISO/IEC 42001 e guias institucionais ajudam a organizar controles, ainda que nem sempre sejam obrigatórios. Eles dão linguagem para mapear, medir, gerenciar e governar riscos.

Aqui a pergunta é: quais controles podem ser reutilizados para atender várias exigências?

3. Política interna

É a regra da organização: quem pode usar IA, em quais tarefas, com quais dados, quais revisões são obrigatórias e quais usos são proibidos.

Aqui a pergunta é: como transformar risco regulatório em comportamento diário da equipe?

Misturar essas três camadas gera confusão. Separá-las permite agir.

Como montar uma matriz jurídica de obrigações de IA

Uma matriz útil não precisa começar complexa. Ela precisa ser clara e revisável.

1. Uso ou caso de uso

O primeiro campo deve descrever a atividade concreta:

  • resumo de contratos;
  • análise de CVs;
  • triagem de clientes;
  • revisão de documentos;
  • atendimento automatizado;
  • pesquisa jurídica;
  • análise de risco de crédito;
  • priorização de chamados;
  • classificação de processos;
  • geração de minutas.

"Uso de IA" é amplo demais. Obrigações nascem do uso específico.

2. Território e pessoas afetadas

O mesmo sistema pode ter riscos diferentes conforme afete usuários no Brasil, na União Europeia, nos Estados Unidos ou em outro mercado.

Também importa identificar se afeta consumidores, empregados, candidatos, pacientes, estudantes, clientes, jurisdicionados ou públicos vulneráveis.

3. Papel da organização

A empresa é desenvolvedora? Implantadora? Fornecedora? Contratante? Usuária interna? Distribuidora? Operadora de dados? Controladora? Prestadora de serviço jurídico?

No AI Act europeu, por exemplo, papéis diferentes geram deveres diferentes. Em contratos privados, a distinção também importa.

4. Categoria de risco

Nem todo uso tem o mesmo peso.

Uma ferramenta que organiza notas internas não equivale a um sistema que influencia contratação, crédito, saúde, seguro, educação, benefício público ou decisão jurídica sensível.

A matriz deve registrar risco baixo, médio, alto ou proibido, conforme critérios definidos pela organização.

5. Dados usados

O jurídico precisa saber se há:

  • dados pessoais;
  • dados sensíveis;
  • dados de crianças ou adolescentes;
  • sigilo profissional;
  • segredo de justiça;
  • informações estratégicas;
  • documentos de clientes;
  • propriedade intelectual;
  • dados de terceiros.

Sem esse campo, a matriz vira controle superficial.

6. Obrigações e evidências

Cada uso deve apontar obrigações e evidências:

  • aviso ao usuário;
  • consentimento ou outra base legal;
  • avaliação de impacto;
  • avaliação de fornecedor;
  • revisão humana;
  • documentação técnica;
  • logs;
  • política de retenção;
  • possibilidade de contestação;
  • relatório de auditoria;
  • cláusula contratual.

Obrigação sem evidência vira boa intenção.

7. Responsável e data de revisão

Toda linha da matriz precisa de dono e prazo de revisão. IA muda rápido. Fornecedores mudam modelos. Leis mudam. Usos internos se expandem.

Matriz sem revisão vira arquivo morto.

Como isso se conecta à IA jurídica

Escritórios e departamentos jurídicos também precisam dessa matriz.

O uso de IA jurídica pode envolver:

  • documentos de clientes;
  • peças processuais;
  • jurisprudência;
  • contratos;
  • dados pessoais;
  • estratégia de litígio;
  • comunicação externa;
  • relatórios para diretoria;
  • automação de triagem;
  • pesquisa com base em fontes oficiais.

Cada tarefa tem risco diferente.

Um resumo interno de jurisprudência com fonte conferível exige controles diferentes de uma minuta enviada ao cliente. Uma triagem de intimações exige controles diferentes de uma análise de dados sensíveis de saúde. Uma ferramenta que usa acervo próprio exige controles diferentes de uma plataforma genérica conectada a múltiplos serviços.

É por isso que IA jurídica responsável precisa de contexto, rastreabilidade e revisão.

O erro comum: transformar regulação em lista de links

Muitos jurídicos começam monitorando notícias:

  • nova lei europeia;
  • projeto no Senado;
  • norma estadual nos EUA;
  • guia de autoridade;
  • framework técnico;
  • sanção em tribunal;
  • alerta de fornecedor.

Monitorar é necessário. Mas não basta.

Se a informação regulatória não entra em um fluxo de decisão, ela vira arquivo de links.

O passo decisivo é transformar notícia em pergunta operacional:

  • isso afeta algum uso atual?
  • afeta algum fornecedor?
  • afeta algum contrato?
  • muda algum aviso?
  • exige nova revisão?
  • exige evidência documental?
  • muda risco de alguma área?
  • precisa entrar na política interna?

Essa conversão é trabalho jurídico de alto valor.

Onde a JuristIA entra nessa conversa

A JuristIA se encaixa nesse problema porque governança de IA não vive apenas em documentos de política. Ela precisa aparecer no fluxo de trabalho.

Um escritório pode ter uma política bonita e ainda assim falhar se:

  • documentos ficam espalhados;
  • fontes não são preservadas;
  • revisões não ficam registradas;
  • tarefas não têm responsável;
  • versões se perdem;
  • saídas de IA não são conferidas;
  • contratos de fornecedores não são acompanhados;
  • incidentes não são rastreáveis.

O papel maduro da IA jurídica é justamente organizar trabalho: documentos, contexto, revisão, fontes, histórico e responsabilidades.

A JuristIA deve ser vista como infraestrutura para esse tipo de adoção: mais organizada, mais rastreável, mais produtiva e supervisionada por profissionais.

Não é promessa de conformidade automática. É apoio para transformar o trabalho jurídico em processo controlável.

Cautelas: o que não afirmar

Não se deve afirmar que o rascunho norte-americano já é lei. Segundo a cobertura disponível, trata-se de proposta em discussão.

Não se deve afirmar que leis estaduais dos EUA se aplicam automaticamente a empresas brasileiras. A aplicabilidade depende de operação, usuários, contratos, mercado, território e análise jurídica específica.

Não se deve tratar frameworks voluntários como obrigações legais em todos os casos.

Não se deve tratar a ausência de lei brasileira final como autorização para uso desorganizado de IA.

Não se deve prometer que uma matriz de obrigações elimina risco. Ela reduz improviso, melhora governança e facilita prova de diligência.

Conclusão

A regulação de IA está se formando em camadas. Algumas já são obrigatórias. Outras estão em disputa. Outras são referências de governança. Outras nascerão de contratos, auditorias e expectativas de clientes.

Para o jurídico, a resposta não é esperar passivamente nem bloquear toda tecnologia.

A resposta é criar uma matriz viva de obrigações de IA:

  • uso;
  • território;
  • papel;
  • risco;
  • dados;
  • fornecedor;
  • obrigações;
  • evidências;
  • revisão humana;
  • responsável.

Usar IA sem mapa regulatório é arriscado. Usar IA com inventário, matriz, documentação e revisão é vantagem competitiva.

Se o seu escritório quer adotar IA com mais organização, rastreabilidade e controle, vale conversar sobre como a JuristIA pode apoiar fluxos jurídicos mais profissionais e supervisionados.

Perguntas frequentes

O que é regulação de IA em mosaico?

É o cenário em que diferentes países, estados, setores, autoridades e contratos criam obrigações distintas para usos de IA.

Escritórios brasileiros precisam acompanhar leis dos EUA e da União Europeia?

Depende dos clientes, fornecedores, usuários, operações e contratos envolvidos. Mesmo quando a lei estrangeira não se aplica diretamente, ela pode influenciar contratos, auditorias e padrões de mercado.

Uma matriz de obrigações substitui parecer jurídico?

Não. Ela organiza riscos e evidências, mas decisões sensíveis exigem análise jurídica específica por profissionais.

Por onde começar?

Comece pelo inventário de usos de IA, depois classifique risco, dados, fornecedor, território, papel da organização, revisão humana e evidências necessárias.

A JuristIA garante conformidade regulatória?

Não. A JuristIA deve ser usada como infraestrutura de organização, produtividade, rastreabilidade e supervisão jurídica. Conformidade depende de análise, processo e revisão profissional.

Fontes consultadas

  • Axios. "Trahan faces progressive pushback over federal AI regulation plan". Publicado em 17/06/2026. https://www.axios.com/local/boston/2026/06/17/trahan-ai-regulation-plan-progressive-pushback
  • Axios. "What's inside the House draft bill to regulate AI". Publicado em 04/06/2026. https://www.axios.com/2026/06/04/house-draft-bill-regulate-ai
  • Colorado General Assembly. "SB24-205 Consumer Protections for Artificial Intelligence". https://leg.colorado.gov/bills/sb24-205
  • EUR-Lex. "Regulation (EU) 2024/1689 Artificial Intelligence Act". https://eur-lex.europa.eu/eli/reg/2024/1689/oj
  • Senado Federal. "Projeto de Lei n° 2338, de 2023". https://www25.senado.leg.br/web/atividade/materias/-/materia/157233
  • NIST. "AI Risk Management Framework". https://www.nist.gov/itl/ai-risk-management-framework
  • JuristIA. "Radar JuristIA — Diligência tecnológica na IA jurídica". Nota interna gerada em 14/06/2026.
  • JuristIA. "Radar JuristIA — Pressão de mercado, explicabilidade e revisão significativa em IA jurídica". Nota interna gerada em 15/06/2026.
Conheça a JuristIA para organizar documentos, processos e trabalho jurídico com agentes de IA. Conhecer a JuristIA