A maturidade da governança de Inteligência Artificial (IA) ainda é incipiente no mundo corporativo. Segundo o estudo “State of AI Application Strategy 2025”, apenas 2% das empresas analisadas alcançaram um modelo de governança considerado pleno para o uso da IA. Outros 21% foram classificados como pouco preparados, indicando um caminho ainda longo para estruturas organizadas de uso ético, seguro e estratégico dessa tecnologia.

A implementação da LGPD trouxe consigo a figura do Encarregado de Proteção de Dados (DPO), mas isso não significou, necessariamente, o avanço automático da governança de dados nas organizações. Enquanto grandes empresas estruturam internamente suas estratégias com profissionais dedicados, o segmento de pequenas e médias empresas frequentemente recorre a serviços terceirizados de DPO, muitas vezes vinculados a empresas que também atuam com segurança da informação. Esse modelo, embora viável, limita a profundidade e abrangência das ações de governança, principalmente diante das novas exigências trazidas pela IA.

A realidade é que a IA demanda uma abordagem mais ampla e especializada. A estruturação de políticas voltadas exclusivamente aos dados estruturados já não é suficiente. As organizações precisam lidar com fluxos intensos de dados não estruturados, que não apenas alimentam sistemas baseados em IA, mas também são responsáveis por gerar novas camadas de dados. Essa dinâmica exige mecanismos de rotulagem, classificação e descoberta em larga escala, muitas vezes em tempo real, como nas soluções baseadas em RAG (retrieval-augmented generation), que permitem a implementação de políticas de governança diretamente nos fluxos entre modelos de linguagem.

Neste contexto, o papel do Chief Data Officer (CDO) ganha relevância. Esse profissional tem a missão de integrar a gestão de dados às estratégias corporativas, promovendo conselhos de governança multifuncionais e conectando os indicadores de desempenho dos negócios às métricas de conformidade e ética no uso de dados. Contudo, apenas 24% das empresas ouvidas no estudo realizam a rotulagem contínua dos dados utilizados em aplicações de IA – etapa fundamental para uma governança estruturada. As demais operam com transparência reduzida, o que implica riscos tanto de exposição indevida quanto de ataques cibernéticos.

Outro desafio apontado é a adoção da multicloud. Embora seja cada vez mais comum que empresas operem com múltiplas nuvens públicas – com média de quatro ambientes distintos – essa prática amplia a complexidade da gestão de dados e segurança. A multiplicidade de regras, modelos de cobrança e políticas de proteção em cada provedor requer não apenas ferramentas robustas, mas uma estratégia de orquestração unificada. Muitas empresas, ao mesmo tempo que migram aplicações para ambientes privados ou colocation, continuam a contratar novas soluções em nuvens públicas, o que torna a visibilidade e o controle ainda mais desafiadores.

Soluções que centralizam a gestão de segurança distribuída vêm sendo adotadas para mitigar esses riscos. A ideia é aplicar, de um ponto único, regras que se estendam a todas as nuvens envolvidas, com uso de análise comportamental, machine learning e IA. Essa abordagem permite controle granular, independentemente da infraestrutura utilizada.

No aspecto da proteção da IA em si, a segurança vai além da camada tradicional de rede. Os firewalls clássicos perdem efetividade diante da complexidade semântica dos dados manipulados por modelos de linguagem. Soluções mais modernas operam em camadas superiores, como a de aplicações e APIs, e incorporam filtros semânticos, capazes de avaliar o contexto e o conteúdo que transita entre os usuários e as IAs públicas ou privadas. Esses mecanismos são úteis tanto para controlar o que pode ser enviado a um sistema como o ChatGPT, quanto para garantir que as respostas geradas respeitem critérios de privacidade e integridade definidos pelas regras de negócio da própria empresa.

Esse tipo de proteção torna-se essencial em um momento em que as organizações utilizam massivamente IAs públicas, mesmo quando estão desenvolvendo soluções internas. O controle sobre esse fluxo de informações deve ser refinado e contextualizado, evitando que dados confidenciais sejam inadvertidamente compartilhados ou que interações com clientes e investidores violem diretrizes internas.

A governança da IA, portanto, não se resume à conformidade legal. Trata-se de uma camada estratégica de gestão de riscos, ética e performance, que exige profissionais qualificados, processos bem definidos e soluções tecnológicas adaptadas a um ambiente de dados cada vez mais complexo.