Quem controla os dados? Governança e Responsabilidade na Era da Inteligência Artificial
Uma releitura de recomendações, normas e legislações
Por Matheus Carvalho, Karolina Azevedo, Lucas Rocha, Marisa Vasconcelos, Michele Brandão e Wagner Meira
A Governança de Dados consiste no conjunto de políticas, processos e práticas que orientam a coleta, armazenamento, uso, compartilhamento e manutenção dos dados ao longo do tempo, considerando aspectos técnicos, regulatórios e institucionais [OCDE, 2024]. Essa prática está diretamente relacionada ao desenvolvimento e à utilização responsável e confiável da Inteligência Artificial (IA).
Isso ocorre porque a produção de resultados éticos e confiáveis depende, em parte, da qualidade das informações utilizadas pelas ferramentas. Dessa forma, no contexto brasileiro, é fundamental compreender como os dados são geridos ao longo do seu ciclo de vida, bem como as ferramentas de governança e segurança, os agentes e os frameworks regulatórios envolvidos nos processos de tomada de decisão.
Ciclo de Vida dos Dados
O ciclo de vida dos dados geralmente é descrito por meio de diferentes etapas: criação, coleta, armazenamento, utilização, proteção, acesso, compartilhamento e exclusão, conforme mostra a Figura 1. Essa classificação foi apresentada pela Organização para a Cooperação Econômica Europeia (OCDE) em um documento produzido no contexto de governança voltada à justiça (“Towards effective governance of justice data”) [OCDE, 2024]. Porém, as etapas mencionadas podem ser aplicadas a outros contextos que envolvam dados.
Figura 1. Ciclo de vida dos dados no contexto de governança.
A criação e a coleta são as etapas iniciais do ciclo de vida dos dados. Nessa fase, é fundamental reconhecer que os dados são indissociáveis de seus respectivos titulares, visto que se originam dos indivíduos e de suas atividades. Por esse motivo, a multiplicidade de formas e fontes de informação deve ser considerada, inclusive para verificar a legalidade da captura de dados. Nesse ponto, é fundamental garantir que a coleta de informações seja baseada em uma das hipóteses autorizativas previstas na legislação de proteção de dados pessoais. Entre elas estão o consentimento do titular, a execução de políticas públicas, a tutela da saúde, dentre outras bases legais previstas no artigo 7º da LGPD ( Lei Geral de Proteção de Dados) [Brasil, 2014].
Antes de serem armazenados, a qualidade dos dados deve ser avaliada. Nesse momento, as informações são eventualmente submetidas à higienização, a fim de garantir a completude, a consistência e a acurácia do conteúdo coletado. Após essa etapa, os dados são estruturados e eventuais lacunas, vieses ou inconsistências são corrigidos. O armazenamento, então, ocorre por meio da adoção de medidas técnicas de segurança, proteção e versionamento.
Uma vez armazenados e avaliados, os dados podem ser utilizados para gerar valor. Para isso, regras de acesso devem ser claramente definidas, de modo a restringir os indivíduos autorizados a consultar e modificar informações. Essa limitação se justifica já que, quanto menos agentes tiverem contato com os dados, menor a probabilidade de que vazamentos e outros incidentes ocorram.
A utilização de dados deve ser acompanhada de medidas de segurança capazes de protegê-los contra acessos não autorizados, perdas ou alterações indevidas, conforme estabelece o artigo 46 da LGPD. Caso o tratamento seja realizado em desconformidade com a legislação e resulte em danos aos titulares, os agentes de tratamento podem ser responsabilizados, conforme previsto no artigo 42. Nesse contexto, a adoção de medidas de segurança também constitui critério para avaliar a regularidade do tratamento de dados, conforme disposto no artigo 44 [Brasil, 2014].
Nesse mesmo prisma, a integração de dados sensíveis em sistemas de Inteligência Artificial exige etapas ainda mais rigorosas para a garantia da segurança da informação. Para isso, é imprescindível adotar técnicas de minimização e de anonimização, assegurando que a IA tenha acesso somente aos dados estritamente necessários para o seu funcionamento e reduzindo drasticamente a probabilidade de identificação dos indivíduos.
Ainda no contexto da utilização dos dados, é possível que operações de compartilhamento sejam realizadas. Tal situação decorre do fato de que o desenvolvimento e a implementação de aplicações podem demandar o intercâmbio de informações entre diferentes agentes, submetidos a regimes jurídicos específicos ou até mesmo situados em território estrangeiro. Dessa forma, a depender do perfil das entidades envolvidas, podem incidir diferentes regras e vedações previstas na legislação de proteção de dados pessoais.
No caso do Poder Público, por exemplo, exige-se que as informações sejam mantidas “em formato interoperável e estruturado para o uso compartilhado”, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso às informações pelo público em geral. Além disso, o “uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas”, conforme estabelecem os artigos 25 e 26 da LGPD. Quanto à transferência internacional de dados, devem ser observados as hipóteses autorizativas e os requisitos previstos nos artigos 33 a 35 da referida lei.
Por fim, o ciclo de vida dos dados se encerra com a exclusão das informações. Via de regra, os dados devem ser eliminados após o término do tratamento, nos termos dos artigos 15 e 16 da LGPD. Considera-se finalizado o tratamento quando a finalidade das operações é atingida, quando os dados deixam de ser necessários ao objetivo estabelecido, quando o período definido para o tratamento é cumprido, quando o titular dos dados comunica a revogação do consentimento ou quando houver determinação da Autoridade Nacional de Proteção de Dados (ANPD) em razão de violação à legislação.
Finalmente, é importante destacar que não é uma tarefa trivial fazer com que os modelos de inteligência artificial desaprendam os dados com os quais foram treinados. Assim, quando um usuário revoga a permissão de acesso aos seus dados pessoais, diversas estratégias de aprendizado automático falham ao tentar garantir a privacidade do usuário [Chourasia & Shah, 2023]. Esse desafio está relacionado ao conceito de Machine Unlearning, que se refere à capacidade de remover a influência de dados específicos do modelo. Existem duas abordagens principais: o unlearning exato, que busca restaurar o modelo a um estado equivalente ao que teria sem o uso desses dados, geralmente exigindo retreinamento completo; e o unlearning aproximado, que apenas reduz a influência, sem garantir remoção total. Entre os principais desafios estão a dificuldade de identificar onde a informação está armazenada no modelo, o alto custo computacional do retreinamento, a ausência de garantias formais de remoção e o possível impacto no desempenho do sistema. Nesse contexto, torna-se fundamental adotar estratégias preventivas de governança de dados, controlando sua coleta, uso e aplicação no treinamento dos modelos [Li et al., 2025].
Agentes e Ferramentas de Governança de Dados
Ao longo do ciclo de vida descrito, os dados são significados e transformados em conhecimento, que, por sua vez, fundamenta a tomada de decisão por diferentes agentes [OCDE, 2024]. Contudo, os processos que envolvem dados não podem estar dissociados da governança, visto que as informações devem ser regidas por políticas, regras institucionais e regulamentações que as garantam quanto à qualidade e adequação. Um exemplo de regulamentação envolvendo o processo de tratamento de dados segundo a LGPD pode ser observado na Tabela 1, na qual cada agente possui direito de acesso a diferentes partes dos dados. Em um cenário hospitalar, por exemplo, o paciente é o titular dos dados e, ao fornecer suas informações pessoais ao médico, o hospital passa a ser a instituição responsável por esses dados e pelos possíveis tratamentos que venham a ser realizados. Entretanto, quem geralmente executa esses tratamentos são empresas de tecnologia da informação ou profissionais da área, que devem cumprir a legislação vigente ao lidar com essas informações. É nesse contexto que as ferramentas de governança ganham destaque.
Tabela 1. Descrição dos agentes e respectivas funções sobre os dados considerando um cenário hospitalar.
|
Agente |
Descrição |
Função |
Exemplo |
|
Titular |
A quem os dados pessoais se referem |
Titular dos direitos sobre os dados |
Paciente |
|
Controlador |
Instituição responsável pelas decisões sobre o tratamento. |
Decide finalidades e meios do tratamento |
Hospital |
|
Operador |
Profissional ou empresa que realiza o tratamento em nome do controlador |
Realiza o tratamento dos dados pessoais |
Empresa de TI |
A Ethical Impact Assessment (EIA), ou Avaliação de Impacto Ético, é uma ferramenta que permite identificar, avaliar e mitigar riscos éticos decorrentes do uso de sistemas de IA. Por meio da EIA, diferentes agentes envolvidos na cadeia de valor da inteligência artificial, desde entidades governamentais até organizações e desenvolvedores, podem aprofundar a compreensão dos efeitos positivos e negativos ao longo das diferentes fases do ciclo de vida dos sistemas. Além disso, essa ferramenta demonstra o comprometimento ético dos agentes de IA, o que implica maior confiabilidade perante a sociedade.
A EIA é um instrumento de governança previsto em recomendações internacionais. Na Recomendação sobre a Ética da Inteligência Artificial, a Organização das Nações Unidas para a Educação, a Ciência e a Cultura (UNESCO) reserva uma seção específica ao documento, definindo que frameworks de avaliação de impacto devem ser adotados para apurar benefícios, preocupações e riscos relacionados a sistemas de IA, bem como para definir medidas de prevenção, mitigação e monitoramento [UNESCO, 2021]. Com esse objetivo, a UNESCO desenvolveu uma metodologia para a condução da EIA, visando viabilizar a implementação prática de seus princípios [UNESCO, 2023].
O guia da UNESCO é estruturado em dois grandes grupos: “Perguntas de Escopo” e “Implementação dos Princípios da UNESCO”. O primeiro reúne questões relacionadas à descrição do projeto, à análise de proporcionalidade e de possíveis danos, às definições de governança — especialmente, quanto a papéis e responsabilidades — e ao envolvimento de diferentes setores interessados. O segundo grupo concentra-se na identificação de impactos positivos e negativos do sistema, bem como na avaliação de princípios fundamentais, entre eles: segurança e proteção; justiça, não discriminação e diversidade; sustentabilidade; privacidade e proteção de dados; supervisão e determinação humana; transparência, explicabilidade, responsabilização e prestação de contas; além da promoção da consciência e da alfabetização em IA.
No ordenamento jurídico brasileiro, a EIA poderá ser incorporada sob a denominação de Avaliação de Impacto Algorítmico (AIA). A AIA é definida como a análise do impacto de sistemas de IA sobre direitos fundamentais, acompanhada de medidas preventivas, mitigadoras e de reversão de impactos negativos, bem como de medidas potencializadoras de impactos positivos [PL 2338/2023, 2025]. Em regra, a AIA é obrigatória para agentes que introduzem ou colocam em circulação sistemas de IA de alto risco, devendo ser realizada de forma contínua ao longo do ciclo de vida da tecnologia, com atualizações periódicas [PL 2338/2023, 2025].
Ademais, as conclusões da AIA deverão ser públicas, reforçando o pilar da Transparência na IA Responsável. O Projeto de Lei nº 2.338/23, que versa sobre a regulação do desenvolvimento e do uso de IA no Brasil, prevê a possibilidade de realização conjunta da AIA com o Relatório de Impacto à Proteção de Dados Pessoais (RIPD), instrumento previsto na LGPD, definido como o documento que descreve os processos de tratamento de dados pessoais capazes de gerar riscos a direitos e liberdades fundamentais, bem como as respectivas medidas de mitigação. Trata-se de uma obrigação atribuída ao controlador de dados. A integração entre AIA e RIPD se justifica na medida em que os sistemas de IA são indissociáveis dos dados que os alimentam, exigindo que as ferramentas de governança de IA e de dados operem de forma articulada.
Em síntese, o desenvolvimento e a utilização de sistemas de IA devem ser acompanhados por práticas robustas de Governança, resultantes do esforço conjunto dos diversos agentes da cadeia de valor de dados e de inteligência artificial, em observância às legislações, recomendações e padrões de boas práticas. Dessa forma, os benefícios associados a tecnologias confiáveis, responsáveis e em conformidade com a normativa podem ser amplamente usufruídos pela sociedade.
Frameworks Regulatórios
Para que a Governança e seus benefícios possam ser observados em matéria de proteção de dados pessoais e de sistemas de IA, é necessário reforçar a importância da observância de frameworks regulatórios, o que pode ocorrer de duas formas: por imposição do Poder Público ou por iniciativa voluntária dos agentes privados. Isso porque o conceito de framework regulatório é amplo e abrange desde legislações propriamente ditas até recomendações juridicamente não vinculantes.
Entre os instrumentos jurídicos específicos sobre IA, destaca-se o European Union Artificial Intelligence Act (EU AI Act) no âmbito da União Europeia, as normas do Cyberspace Administration of China (CAC) e o já mencionado PL nº 2.338/23, de tal modo que os dois primeiros encontram-se vigentes, enquanto o último ainda encontra-se em processo de tramitação legislativa. No campo da proteção de dados pessoais, figuram, por exemplo, a LGPD e o General Data Protection Regulation (GDPR), que estabelecem princípios, direitos e obrigações relacionados ao tratamento de dados pessoais no Brasil e na União Europeia, respectivamente. Quanto às iniciativas não vinculantes, além das recomendações da OCDE, da UNESCO e da agência governamental norte-americana National Institute of Standards and Technology (NIST), existem outros importantes padrões globais que merecem destaque, entre os quais estão as normas ISO/IEC.
A International Organization for Standardization (ISO) é uma organização internacional responsável pelo desenvolvimento de padrões voltados à uniformização de processos do setor privado. Já a International Electrotechnical Commission (IEC) atua como uma autoridade internacional dedicada à padronização no campo da engenharia elétrica, eletrônica e de tecnologias relacionadas. A combinação dessas entidades resultou na publicação de diversas normas conjuntas sobre diferentes temas, inclusive a IA.
A ISO/IEC 38507 trata das implicações de governança decorrentes do uso de sistemas de inteligência artificial por organizações. Esse padrão é particularmente relevante por abordar os riscos e as responsabilidades associados à adoção de IA, além de orientar as organizações quanto ao uso dessa tecnologia de forma efetiva, eficiente e aceitável [ISO/IEC 38507, 2022].
Por sua vez, a ISO/IEC 22989 estabelece a terminologia relativa à inteligência artificial. Sua importância reside na necessidade de padronizar conceitos fundamentais da área, permitindo que sistemas de IA sejam descritos, comparados e classificados de maneira consistente, considerando aspectos como confiabilidade, robustez, acurácia, segurança e privacidade [ISO/IEC 22989, 2022]. Dessa forma, o padrão contribui para que os diferentes agentes envolvidos avaliem com maior clareza o desenvolvimento e a utilização dessas soluções.
A norma ISO/IEC 23894 surge em resposta ao crescimento do uso de sistemas de inteligência artificial e apresenta uma visão geral das preocupações éticas e sociais associadas a essa tecnologia. O padrão destaca que questões como violações de privacidade e segurança, discriminação algorítmica e falta de explicabilidade dos modelos estão entre os riscos que podem emergir durante o desenvolvimento e a utilização de sistemas de IA [ISO/IEC 23894, 2023].
Além disso, a norma acima ressalta a importância do uso de dados adequadamente estruturados e gerenciados no treinamento de sistemas de IA, como forma de mitigar riscos e promover maior confiabilidade. Há também diretrizes para a gestão de riscos em IA, organizadas com base em princípios e processos que auxiliam as organizações na identificação, avaliação e mitigação desses riscos. Dessa forma, o padrão atua como um guia para apoiar o desempenho organizacional, estimular a inovação e contribuir para o alcance dos objetivos institucionais no uso responsável da IA [ISO/IEC 23894, 2023].
Finalmente, diante da crescente presença de sistemas de IA em diversos setores da sociedade, a ISO/IEC 42001 aborda o gerenciamento desses sistemas. O padrão destaca que cada organização possui necessidades, objetivos, processos e estruturas próprios, fatores que influenciam o estabelecimento e a implementação de sistemas de IA, especialmente quando aspectos de governança são considerados [ISO/IEC 42001, 2023].
Em conjunto, normas regulatórias e padrões internacionais contribuem para estruturar práticas de governança voltadas ao desenvolvimento e à utilização responsável de sistemas de inteligência artificial. Ao estabelecer princípios, terminologias, diretrizes de gestão de riscos e mecanismos de avaliação de impacto, esses frameworks auxiliam organizações públicas e privadas a alinhar inovação tecnológica com requisitos éticos, legais e sociais. Dessa forma, os instrumentos em questão fortalecem a construção de ecossistemas de IA mais confiáveis, transparentes e responsáveis.
Considerações
Diante das observações apresentadas, é importante destacar que a governança de dados e de sistemas de IA possui caráter multilateral. Diferentes agentes com interesses e responsabilidades distintos participam do tratamento de dados pessoais e do desenvolvimento de sistemas de IA, incluindo desenvolvedores, distribuidores e aplicadores de tecnologia de IA, bem como controladores e operadores de dados. Ao mesmo tempo, órgãos públicos como a ANPD exercem o papel, especificamente no contexto brasileiro, de fiscalizar e garantir o cumprimento da legislação sobre proteção de dados pessoais – e possivelmente de futuras normas voltadas à inteligência artificial.
Mesmo diante da heterogeneidade de atores envolvidos, os benefícios associados à adoção de práticas de governança são amplos e se estendem a toda a cadeia de valor da IA. Nesse contexto, observa-se uma forte convergência entre governança e os princípios da IA Responsável. As regras de governança contribuem para promover o uso ético da IA , por exemplo, por meio da transparência no tratamento de dados e da observância de bases legais previstas na legislação. Da mesma forma, práticas adequadas de coleta e utilização de dados ajudam a reduzir vieses estruturais e a prevenir discriminações ilícitas, em consonância com o princípio da justiça. Como consequência, espera-se que a confiança em tecnologias baseadas em IA seja fortalecida, em alinhamento com os princípios da privacidade e proteção de dados, da responsabilização e da segurança.
Em suma, o desenvolvimento e a utilização de sistemas de IA devem estar necessariamente acompanhados por práticas consistentes de governança. Isso exige o esforço dos diferentes agentes que compõem a cadeia de valor de dados e da inteligência artificial, em observância às legislações, recomendações e padrões de boas práticas existentes ou em desenvolvimento. Dessa forma, possibilita-se promover tecnologias mais robustas, confiáveis e socialmente responsáveis, ampliando os benefícios da inteligência artificial para a sociedade.
Referências
Brasil: Lei n° 13.709. https://www.planalto.gov.br/ccivil 03/ato2015-2018/2018/lei/l13709.htm. Acesso em: 2026-01-11 (2014)
Byrom, N., M. Piccinin-Barbieri and P. Wells (2024), “Towards effective governance of justice data”, OECD Working Papers on Public Governance, No. 74, OECD Publishing, Paris, https://doi.org/10.1787/d2950e02-en. Acesso em: 2026-02-05. https://www.oecd.org/content/dam/oecd/en/publications/reports/2024/10/towards-effective-governance-of-justice-data_fd3039cc/d2950e02-en.pdf
Chourasia, Rishav, and Neil Shah. “Forget unlearning: Towards true data-deletion in machine learning.” International conference on machine learning. PMLR, 2023.
Deputados, C.: PL 2338/2023. https://www.camara.leg.br/proposicoesWeb/prop mostrarintegra?codteor=2868197&filename=PL%202338/2023. Acesso em: 2026-01-11 (2025)
International Organization for Standardization (ISO) and International Electro-technical Commission (IEC): ISO/IEC 38507:2022 – Information technology – Governance of IT – Governance implications of the use of artificial intelligence by organizations. Acesso em: 2026-02-24 (2022). https://www.iso.org/standard/56641.html
International Organization for Standardization (ISO) and International Electro-technical Commission (IEC): ISO/IEC 22989:2022 – Information technology – Artificial intelligence – Artificial intelligence concepts and terminology. Acesso em: 2026-02-24 (2022). https://www.iso.org/standard/74296.html
International Organization for Standardization (ISO) and International Electro-technical Commission (IEC): ISO/IEC tr 24368:2022 – information technology – artificial intelligence – overview of ethical and societal concerns. Technical report (2022). Acesso em: 2026-02-24. https://www.iso.org/standard/78507.html
International Organization for Standardization (ISO) and International Electro-technical Commission (IEC): ISO/IEC 23894:2023 – information technology – artificial intelligence – guidance on risk management. Technical report (2023). Acesso em: 2026-02-24. https://www.iso.org/standard/77304.html
International Organization for Standardization (ISO) and International Electro-technical Commission (IEC): ISO/IEC 42001:2023 – Information technology – Artificial intelligence – Management system. Acesso em: 2026-02-24 (2023). https://www.iso.org/standard/42001.html
Li, Chunxiao, Haipeng Jiang, Jiankang Chen, Yu Zhao, Shuxuan Fu, Fangming Jing, and Yu Guo. “An overview of machine unlearning.” High-Confidence Computing 5.2 (2025): 100254.
UNESCO: Recomendação sobre a Ética da Inteligência Artificial. https://unesdoc.unesco.org/ark:/48223/pf0000381137. Acesso em: 2026-01-11 (2021)
United Nations Educational, Scientific and Cultural Organization (UNESCO): Ethical impact assessment: A tool of the recommendation on the ethics of artificial intelligence. Technical report, UNESCO Publishing, Paris (2023). Acesso em: 2026-02-11. https://unesdoc.unesco.org/ark:/48223/pf0000386276.
Agradecimentos
Este trabalho foi parcialmente financiado pelo CNPq, pela CAPES, pela FAPEMIG e por projetos CIIA-Saúde, NIAR-Saúde e IAIA-INCT em IA.
Autoria
Matheus A. P. Carvalho – Graduando em Sistemas de Informação (UFMG). Atua como pesquisador na área de Inteligência Artificial Responsável no Projeto NIAR-Saúde (UFMG/Ministério da Saúde). Bacharel em Direito (UFMG). Atuou como extensionista no Projeto Gestão Legal (UFMG), no qual foram desenvolvidos sistemas de informação e soluções em gestão de procedimentos voltados à Divisão de Assistência Judiciária Professor Paulo Edson de Sousa – DAJ (UFMG). Além disso, integrou grupos de estudo com foco em tecnologia, sociedade e Direito.
Karolina I. Azevedo – Mestranda em Ciência da Computação (UFMG) e Desenvolvedora Full-Stack. Sua pesquisa investiga a interseção entre saúde e tecnologia, com foco em mitigar a assimetria informacional sobre a menopausa entre pacientes e profissionais da saúde. Com graduação em Sistemas de Informação pela UFVJM, atua também na área de Inteligência Artificial Responsável no Projeto NIAR (UFMG/Ministério da Saúde). Além disso, tem histórico de engajamento social em projetos dedicados a atrair e incentivar mulheres na área de tecnologia.
Lucas M. Rocha – Graduando em Engenharia de Controle e Automação pela UFMG. Atua na área de Inteligência Artificial Responsável no Projeto NIAR (UFMG/Ministério da Saúde) e exerce o cargo de Diretor de Aquisição de Dados na equipe Fórmula Tesla UFMG, onde coordena e desenvolve tecnologias embarcadas de telemetria e sensoriamento para veículos elétricos.
Marisa Vasconcelos – Pesquisadora em IA e computação social, com doutorado em Ciência da Computação (UFMG). Sua pesquisa investiga a interseção entre tecnologia e sociedade, utilizando aprendizado de máquina e análise de dados para analisar o comportamento humano em plataformas digitais e enfrentar desafios como desinformação, discurso de ódio e representação cultural. Ex-pesquisadora da IBM Research, onde pesquisou temas de IA responsável, incluindo avaliação de IA, agentes conversacionais e auditoria de vieses.
Michele A. Brandão – Professora do DCC/UFMG e pesquisadora nas áreas de engenharia de dados, aprendizado de máquina e ciência de dados aplicada. Possui doutorado em Ciência da Computação pela UFMG e experiência em projetos voltados à análise e gestão de grandes volumes de dados, com foco em aplicações práticas e interdisciplinares.
Wagner Meira Jr. – Professor do DCC/UFMG e pesquisador nas áreas de mineração de dados, aprendizado de máquina e sua aplicação em diversos cenários. Possui PhD em Ciência da Computação pela University of Rochester (EUA) e experiência em projetos de pesquisa, desenvolvimento e inovação, muitos dos quais foi coordenador.
Como citar essa matéria:
CARVALHO, Matheus; AZEVEDO, Karolina; ROCHA, Lucas; VASCONCELOS, Marisa; BRANDÃO, Michele; MEIRA, Wagner. Quem controla os dados? Governança e Responsabilidade na Era da Inteligência Artificial. SBC Horizontes. ISSN 2175-9235. abril de 2026.
