Guia da OCDE traduz ética em estruturas concretas de governança para IA

A influência da tecnologia nas relações econômicas, de trabalho e até na fruição de direitos fundamentais fez com que a questão central mudasse de: o que ela faz para como ela deve ser governada. A OCDE (Organização para a Cooperação e Desenvolvimento Econômico) publicou o Guia de Due Diligence para IA Responsável em fevereiro pensando em traduzir princípios éticos de IA (inteligência artificial) em uma arquitetura operacional de governança.
O documento tem como principal mérito se aproximar do compliance e parte de uma premissa decisiva: a confiança na inteligência artificial não será construída por declarações de princípios muitas vezes abstratos, mas por processos concretos e estruturados de identificação, prevenção e mitigação de riscos.
Ao adaptar o modelo de due diligence empresarial tradicional, a OCDE organizou a atuação das empresas em seis etapas interdependentes: incorporação de princípios em políticas e sistemas internos; identificação e avaliação de riscos; prevenção e mitigação de impactos adversos; monitoramento contínuo; transparência; e remediação.
Outro ponto de sofisticação está na adoção de uma abordagem centrada no risco, e não na tecnologia. A OCDE propõe que cada organização identifique seus próprios riscos a partir do tipo de sistema adotado, contexto de uso, perfil dos usuários, cadeia de valor e ambiente regulatório. Assim, evita a tarefa incompatível de esgotar as categorias de risco e traz o o foco para os impactos que a tecnologia pode causar ou amplificar.
Essa lógica se desdobra em uma visão particularmente relevante: a de responsabilidade distribuída. O Guia identifica diferentes atores ao longo da cadeia de valor da IA, tais como fornecedores, desenvolvedores, operadores e usuários, atribuindo a todos eles deveres de due diligence, ainda que em graus distintos. Esta abordagem parece ser a mais adequada, já que riscos complexos não se resolvem com responsabilidades isoladas.
Aliás, um dos aspectos mais relevantes do documento está justamente na atribuição de deveres também aos aplicadores de sistemas de IA, isto é, às empresas que definem o contexto de uso e aplicam seus outputs na tomada de decisões. Ao reconhecer que os riscos não decorrem apenas do desenvolvimento, mas da aplicação, ele afasta a possibilidade de terceirização da responsabilidade e impõe aos operadores o dever de avaliar a adequação dos sistemas, monitorar seus efeitos e adotar medidas de mitigação ao longo de todo o seu uso.
Na prática, para empresas que contratam soluções de IA, a due diligence significa realizar uma avaliação prévia estruturada dos riscos envolvidos, como potenciais vieses e lacunas de segurança, bem como compreender o grau de transparência e os limites do sistema. Isso evita que a empresa contrate uma solução que, à primeira vista, pareça eficiente, mas que posteriormente gere prejuízos, tais como incidentes de segurança, quebra de confiança, passivos judiciais e sanções regulatórias.

No uso de ferramentas de recrutamento e seleção automatizadas, por exemplo, a ausência de uma avaliação adequada pode levar à exclusão de determinados perfis, com potencial impacto discriminatório. Já em sistemas de análise de crédito, a decisão de concessão ou negativa de financiamento pode ser influenciada por correlações pouco transparentes. É justamente em situações de risco como essas que a due diligence serve para demonstrar que os sistemas de IA foram adotadas com critério, cautela e responsabilidade.
Há, ainda, um avanço importante no tratamento do relacionamento com stakeholders. O Guia desloca a reputação do campo comunicacional para o centro da governança, ao reconhecê-la como um ativo diretamente impactado pelas decisões sobre o uso da IA. A gestão reputacional deixa de ser reativa e passa a ser preventiva, estruturada a partir da identificação e gestão de impactos sobre partes potencialmente afetadas.
O engajamento de stakeholders assume papel estrutural ao longo de todo o ciclo de vida dos sistemas, contribuindo para identificar riscos e calibrar decisões e conferir legitimidade às escolhas organizacionais. Essa prática sugere a disponibilização de canais de comunicação ativos entre desenvolvedores, operadores e terceiros potencialmente afetados. Trata-se de um movimento alinhado às principais tendências regulatórias e que reforça a natureza multidisciplinar da governança em IA.
Embora não tenha caráter vinculante, a OCDE mantém a tradição de produzir instrumentos de soft law com elevada capacidade de difusão normativa. Seus parâmetros tendem a influenciar regulações nacionais, orientar decisões e moldar expectativas em cadeias globais. De modo semelhante, as recomendações da UNESCO (Organização das Nações Unidas para Educação, Ciência e Cultura) sobre a ética da inteligência artificial também indicam a adoção de mecanismos de due diligence em IA voltados à proteção dos direitos humanos e à promoção da inclusão social, revelando a consolidação de um consenso internacional emergente em torno dessa exigência.

O Guia indica uma mudança significativa na forma de se pensar a regulação: abandona-se, gradualmente, uma lógica centrada em princípios amplos, muitas vezes insuficientes para orientar a prática, e avança-se para um modelo de governança mais concreto, estruturado em prevenção, documentação e responsabilização, aqui materializados em mecanismos de due diligence.
Ainda que a vocação do Brasil seja mais para consumo do que para o desenvolvimento de sistemas de IA, as empresas estão inseridas em cadeias globais e submetidas a exigências de governança por parte de clientes e investidores. Além disso, o uso de IA em decisões sensíveis nas áreas de crédito, recursos humanos e segurança já é uma realidade.
Em paralelo, o Projeto de Lei nº 2338/2023, que propõe um marco regulatório brasileiro para a IA, parece caminhar na mesma direção, prevendo obrigações concretas de governança, como a exigência de avaliação prévia de impactos, a implementação de estruturas de gestão de riscos, a adoção de medidas de transparência e explicabilidade, e a manutenção de documentação capaz de demonstrar a conformidade contínua do sistema.
O Guia da OCDE pode funcionar como importante referencial de mercado, orientando a estruturação de programas de governança em IA e antecipando exigências regulatórias. Há, inclusive, convergência com instrumentos já consolidados no país, como os programas de integridade (Decreto nº 11.129/2022) e a lógica de responsabilização da LGPD (Lei nº 13.709/2018). O desafio, como de costume, não será normativo, mas operacional: transformar princípios em processos reais.
A dimensão econômica parece ser o ponto mais pragmático. A OCDE sustenta que práticas de IA responsável não apenas mitigam riscos, mas também criam valor ao facilitar o acesso a mercados, reduzir custos de adaptação regulatória e fortalecer a confiança de investidores e consumidores. Governança, nesse contexto, deixa de ser custo de conformidade para se tornar fator de competitividade.
O Guia não oferece respostas definitivas, e nem poderia, porém mostra um método. Em um ambiente marcado por incerteza tecnológica e fragmentação regulatória, a estruturação de processos de due diligence baseados em risco, engajamento e responsabilidade distribuída pode ser o caminho mais consistente para alinhar inovação e responsabilidade. A inteligência artificial continuará a avançar. Resta saber se a governança será capaz de acompanhar esse movimento.
*Ana Paula Ávila, sócia coordenadora da área de Compliance do Silveiro Advogados, é mestre e doutora em Direito pela UFRGS, Especialista em AI: Law, Policy, and Governance pela London School of Economics, e Coordenadora da COPEC – Comissão Permanente de Ética e Compliance da FEDERASUL.

** Isadora dos Santos Rodrigues é advogada das áreas de Compliance e Direito Digital do Silveiro Advogados e mestranda no European Master in Law, Data and Artificial Intelligence (EMILDAI) na Dublin City University. É bacharel em Direito pela Universidade Federal do Rio Grande do Sul (UFRGS) e possui Certificação Profissional em Compliance Anticorrupção (CPC-A) pela LEC / FGV.