Mapa de Referência · Risco Regulatório de IA · ALC

Qual Regulação de IA se Aplica à Sua Empresa?

Guia prático para identificar exposição regulatória ao uso de IA: LGPD, SOX, BACEN, CVM e ISO 42001 — por setor, porte e tipo de uso. Com matriz setor × regulação e perfil de risco por tipo de empresa.

LGPD SOX / ITGC BACEN 4.557 CVM 179 ISO 42001 ANPD

Anderson Chipak Auditor de sistemas críticos · ALC
chipak.com.br · ferramentas.guardrail.ia.br

Calculadora interativa:
ferramentas.guardrail.ia.br/risco/

Panorama

Por que reguladores se importam com IA agora

Até 2022, o uso de IA em empresas era invisível para reguladores. A partir de 2023, a combinação de LGPD em vigor + regulamentações setoriais atualizadas (BACEN, CVM, ANS) + ISO 42001 publicada criou um novo campo de exposição regulatória que a maioria das empresas ainda não mapeou.

O risco não está no uso de IA em si — está em não ter evidência documentada de que o uso é controlado. Um auditor que pergunte "como vocês garantem que a IA não processa dados pessoais sem base legal?" precisa de resposta documentada, não oral.

Este guia mapeia quais regulações se aplicam a cada perfil de empresa e o que elas exigem especificamente em relação ao uso de IA.

Matriz de exposição

Setor × Regulação — o que se aplica a quem

Setor	LGPD	BACEN/CVM	SOX/ITGC	ISO 42001	ANPD Setorial
Financeiro (banco, fintech, seguradora)
Capital aberto (B3)
Saúde (hospital, healthtech, plano)
Indústria / Energia / Mineração
Educação / EdTech
Varejo / E-commerce
Tecnologia / SaaS

Aplicável (obrigatório) Recomendado / risco elevado sem Não aplicável no cenário típico

Detalhamento

O que cada regulação exige sobre IA

LGPD UNIVERSAL

Aplica-se a todas as empresas que tratam dados pessoais

Base legal para uso de dados em treinamento/inferência
Anonimização antes de passar dados à IA
Registro de atividades de tratamento com IA
RIPD para decisões automatizadas sobre titulares
Direito de revisão humana para decisões de IA

ISO 42001 RECOMENDADO

Sistema de gestão de IA — diferencial em due diligence

Política de uso responsável de IA documentada
Avaliação de impacto de sistemas de IA
Controles de qualidade de dados para IA
Rastreabilidade de decisões e outputs de IA
Gestão de fornecedores de IA (APIs, modelos)

BACEN 4.557 FINANCEIRO

Risco operacional — para bancos, fintechs e seguradoras

Gestão de risco de modelos (model risk)
Validação independente de modelos de IA
Controles de concentração em fornecedores de IA
Relatório de risco operacional incluindo IA

SOX / ITGC CAPITAL ABERTO

Controles gerais de TI — para empresas com ADRs ou auditoria Big Four

Change management para sistemas com IA
Acesso e identidade em ferramentas de IA
Evidência de revisão humana para outputs críticos
Documentação de controles compensatórios

Perfis de risco

Como o risco varia por perfil de empresa

Perfil A — PME Industrial · Médio porte · IA no produto · Auditoria anual

Exposição regulatóriaMédia — 1 regulação primária (LGPD)

Rastreabilidade de IALacuna Alta — evidências parciais

Risco em próxima auditoriaRessalva provável sem audit log estruturado

Ação prioritária: Implementar audit log de IA imutável + mapeamento LGPD das atividades de tratamento com IA antes da próxima auditoria.

Perfil B — Fintech · Capital aberto · IA em decisões automatizadas

Exposição regulatóriaAlta — 4 regulações (LGPD + BACEN + SOX + CVM)

Rastreabilidade de IACrítica — RIPD obrigatório para decisões automatizadas

Risco em próxima auditoriaNão conformidade confirmada sem gestão formal de modelos

Ação prioritária: Programa formal de model risk management + RIPD + controles BACEN 4.557 para modelos de crédito/triagem.

Perfil C — SaaS / Tech · Uso interno de IA · Sem auditoria externa

Exposição regulatóriaBaixa — apenas LGPD básica

Rastreabilidade de IAOportunidade — ISO 42001 como diferencial competitivo

Risco em próxima auditoriaBaixo — mas cresce se escalar uso para clientes

Ação prioritária: Política interna de uso de IA + registro básico de atividades para LGPD. ISO 42001 se planeja oferecer IA como serviço.

Identifique o perfil de risco da sua empresa em 5 minutos

8 perguntas sobre setor, porte, tipo de uso de IA e rastreabilidade. Resultado imediato com as regulações aplicáveis e a ação prioritária para o seu perfil.

ferramentas.guardrail.ia.br/risco/

Análise aprofundada: contato@alc.srv.br · (41) 98485-1515 · Anderson Chipak