Cumprir requisitos no papel é fácil. Sustentá-los na prática é outra coisa.
A regulação da inteligência artificial deixou de ser uma promessa distante e começou a tomar forma concreta. Na União Europeia, o AI Act entrou em vigor em agosto de 2024, com obrigações que se aplicam de forma escalonada, alcançando os sistemas de alto risco a partir de agosto de 2026. No Brasil, o Projeto de Lei 2338/2023, aprovado pelo Senado Federal em dezembro de 2024, segue em análise na Câmara dos Deputados. No Judiciário, a Resolução CNJ 615/2025 passou a reger o desenvolvimento e o uso de IA nos tribunais. O movimento regulatório é real e avança. E é justamente diante dele que se forma um equívoco que vale antecipar: o de tratar a regulação como uma questão de adequação formal, de cumprir requisitos no papel, quando ela exige, na verdade, maturidade institucional. Minha tese é que a adequação formal sem implementação real será insuficiente, e que as organizações que confundirem uma com a outra descobrirão a diferença no pior momento.
A diferença entre cumprir no papel e implementar na prática
Há uma distância considerável entre afirmar que se cumpre uma exigência e efetivamente cumpri-la. No papel, uma organização pode declarar que tem política de IA, que faz supervisão humana, que avalia riscos, que documenta seus sistemas. Na prática, essas afirmações podem corresponder a documentos arquivados que ninguém aplica, a uma supervisão que é apenas formal, a avaliações genéricas, a documentação que não reflete a operação real. A adequação formal se contenta com a afirmação. A maturidade institucional exige a prática. E a regulação séria, mais cedo ou mais tarde, cobra a prática, não a afirmação, porque o que ela pretende proteger não se protege com documentos, mas com condutas reais.
Essa distância é o ponto cego das organizações que tratam a regulação como um exercício de conformidade documental. Elas montam o conjunto de documentos que a norma parece exigir, declaram-se adequadas e seguem operando como antes. Quando a regulação é testada, em uma fiscalização, em um incidente, em uma diligência de cliente, a distância entre o que os documentos afirmam e o que a operação faz se revela. E essa revelação é mais grave do que a simples ausência de adequação, porque a organização não apenas estava em desconformidade, estava em desconformidade enquanto afirmava estar adequada, o que agrava a sua posição. A adequação formal sem implementação não é meio caminho andado. É uma posição mais frágil do que a honestidade de reconhecer que ainda não se está pronto.
A regulação da IA cobra postura, não apenas conformidade pontual
O que distingue a regulação da inteligência artificial de uma regulação puramente formal é que ela toca processos vivos, que mudam continuamente. Uma norma que exige supervisão humana significativa não se satisfaz com a declaração de que há supervisão; ela pressupõe que alguém, de fato, entende, revisa, contesta e assume responsabilidade pelas saídas do sistema, de forma contínua. Uma norma que exige avaliação de impacto não se satisfaz com um documento pontual; ela pressupõe uma prática de avaliar riscos ao longo do ciclo de uso da tecnologia. Esse tipo de exigência não se cumpre com um ato isolado de adequação, cumpre-se com uma postura institucional sustentada no tempo.
É por isso que a maturidade institucional, e não a adequação formal, é o que a regulação da IA realmente demanda. Maturidade aqui significa ter incorporado o cuidado com a tecnologia à própria forma de operar: papéis definidos, critérios aplicados, riscos avaliados de forma contínua, documentação que reflete a prática, cultura que sustenta as regras. Uma organização madura cumpre a regulação porque já faz, na sua operação, o que a norma exige. Uma organização que apenas se adequou formalmente cumpre a regulação no papel, mas não na prática, e a diferença aparece quando a prática é examinada. A regulação da IA, por tocar processos vivos, é especialmente eficaz em expor essa diferença.
O risco de tratar a norma estrangeira como modelo a copiar
Há um agravante específico no contexto brasileiro: a tentação de tratar as normas estrangeiras, especialmente o AI Act, como modelos a serem copiados. As referências internacionais são úteis e oferecem parâmetros importantes, mas elas foram pensadas para contextos próprios, com instituições, mercados e arcabouços jurídicos diferentes. Transpor uma norma estrangeira sem adaptá-la à realidade brasileira, à LGPD, ao porte da organização e aos riscos concretos produz uma adequação aparente que não corresponde ao contexto. É a versão regulatória da política copiada: um documento que descreve a conformidade com uma norma de outro lugar, aplicada a uma realidade que ela não conhece.
A maturidade institucional, nesse ponto, manifesta-se na capacidade de ler criticamente as referências internacionais e adaptá-las, em vez de copiá-las. Significa compreender o que o AI Act, o PL brasileiro e as normas do CNJ pretendem proteger, e traduzir essa proteção para a realidade específica da organização, em vez de reproduzir mecanicamente requisitos formais. A organização madura usa a regulação como orientação para construir a sua própria estrutura de responsabilidade. A imatura usa a regulação como uma lista de itens a marcar, e marca itens que não correspondem à sua operação. A primeira está preparada para o que a regulação realmente cobra. A segunda tem documentos que não a protegem.
Antecipar é mais inteligente que correr atrás
Diante de um movimento regulatório que avança, a postura madura não é esperar a norma final para então correr atrás da adequação. É começar agora a construir a estrutura de responsabilidade que a regulação cobrará, porque essa estrutura leva tempo para amadurecer e não se monta às pressas no prazo da exigência. As organizações que esperam a norma para começar descobrem que a maturidade institucional não se improvisa, que a cultura de cuidado com a tecnologia não se instala em semanas, e que a adequação de última hora produz justamente o documento sem prática que a regulação acabará expondo. Antecipar não é zelo excessivo, é reconhecer que o que a regulação exige é maturidade, e maturidade é construída, não declarada.
Há, inclusive, uma vantagem em antecipar que vai além de evitar o risco. A organização que constrói maturidade antes da exigência regulatória não apenas estará adequada quando a norma chegar, estará à frente, com uma estrutura que a diferencia em um mercado em que a maturidade no uso da IA se tornou um critério de confiança. A regulação, vista assim, não é apenas um peso a cumprir, é um chamado para construir algo que tem valor independentemente da norma: uma forma responsável e organizada de usar a tecnologia. Quem responde a esse chamado com maturidade, em vez de com adequação formal, transforma a obrigação em diferencial. Quem responde com documentos copiados cumpre a formalidade e perde a oportunidade, além de ficar exposto quando a prática for cobrada.
Conclusão
A regulação da inteligência artificial avança, do AI Act ao PL 2338/2023 e às normas do CNJ, e diante dela se forma um equívoco perigoso: tratar a conformidade como uma questão de adequação formal, de cumprir requisitos no papel. A regulação da IA, porém, toca processos vivos, e por isso cobra maturidade institucional, não apenas documentos. A adequação formal sem implementação real é mais frágil que a ausência de adequação, porque combina a desconformidade com a afirmação de estar adequado. A consequência prática para quem dirige organizações é começar agora a construir a estrutura de responsabilidade que a regulação cobrará, em vez de esperar a norma para improvisar a adequação. Maturidade não se declara, se constrói, e a regulação da IA é especialmente eficaz em distinguir quem a construiu de quem apenas afirmou tê-la. No fim, a norma testará não os documentos, mas a prática, e a prática só estará pronta para quem a tiver desenvolvido antes de ser cobrado.
Jamille Porto é advogada, professora e pesquisadora em Inteligência Artificial aplicada ao Direito e fundadora da NeuralLex, empresa que desenvolve soluções de IA, governança, formação, sistemas e fluxos inteligentes para o setor jurídico e educacional.
Conheça a NeuralLex: soluções de IA, governança e tecnologia para escritórios, instituições de ensino e organizações jurídicas.
Referências
AI Act, European Commission. Disponível em: https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai PL 2338/2023, Senado Federal. Disponível em: https://www25.senado.leg.br/web/atividade/materias/-/materia/157233 Resolução CNJ 615/2025. Disponível em: https://atos.cnj.jus.br/atos/detalhar/6001
Perguntas respondidas neste artigo
A adequação formal basta para a regulação de IA?
Não. O artigo sustenta que a regulação exigirá maturidade institucional, não apenas documentos formais. Cumprir regras de modo superficial pode não resolver riscos reais de governança, transparência, revisão, dados e responsabilidade no uso cotidiano da IA.
O que muda com o AI Act, o PL 2338/2023 e as normas do CNJ?
Essas referências mostram que a discussão saiu do campo abstrato e passou a exigir classificação de riscos, deveres de governança, documentação e controle. O artigo usa esse cenário para defender que organizações precisam se preparar com método, não apenas esperar normas finais.
Por que a regulação exige maturidade institucional?
Porque aplicar regras de IA depende de processos internos, papéis claros, capacidade técnica, registros e cultura de revisão. A instituição precisa saber como usa tecnologia, com quais dados e sob qual responsabilidade. Sem isso, a adequação vira formulário sem prática.
Referências
Jamille Porto
Jamille Porto é advogada, professora e pesquisadora em Inteligência Artificial aplicada ao Direito. É fundadora da NeuralLex, empresa que desenvolve soluções de IA, governança, formação, sistemas e fluxos inteligentes para o setor jurídico e educacional.