Governança de IA

Compliance de IA em setores regulados: saúde, financeiro e jurídico

21 de abril de 20269 min

Em setores como saúde, financeiro e jurídico, os riscos de adotar IA sem compliance não são apenas reputacionais — são regulatórios. Cada setor tem obrigações específicas que vão além da LGPD. Veja o que implementar antes de escalar o uso de IA.

Por que setores regulados têm regras diferentes

Empresas em setores regulados não enfrentam apenas a LGPD — enfrentam uma camada adicional de regulamentação setorial que impõe restrições específicas ao uso de dados, automação e tomada de decisão com IA.

Usar IA nesses setores sem considerar o compliance regulatório é, na prática, aceitar risco que pode resultar em sanções, perda de licença ou cassação de autorização para operar — independentemente do tamanho da empresa.

Setor de Saúde

O que torna a saúde diferente

Dados de saúde são dados sensíveis por definição na LGPD (Art. 5º, II). Isso significa que:

  • A base legal de "legítimo interesse" não se aplica — as bases válidas são mais restritas
  • O tratamento exige salvaguardas adicionais e supervisão mais intensa
  • Qualquer incidente com dados de saúde tem prioridade nos processos da ANPD

Regulamentações adicionais relevantes

  • CFM (Conselho Federal de Medicina): resoluções sobre prontuário eletrônico e uso de IA em diagnóstico
  • Resolução CFM 2.228/2019: parâmetros para sistemas de apoio ao diagnóstico por imagem com IA
  • ANVISA: softwares com função de diagnóstico ou prescrição podem exigir registro como dispositivo médico (SaMD)
  • ANS: operadoras de planos de saúde têm obrigações adicionais de segurança de dados de beneficiários

O que as empresas de saúde devem fazer

  1. Mapear todos os pontos de uso de IA com dados clínicos ou de pacientes
  2. Verificar base legal para cada tipo de dado de saúde processado por IA
  3. Garantir DPA com todos os fornecedores de IA que processam dados de pacientes
  4. Documentar o papel da IA nas decisões clínicas (ferramenta de suporte, nunca substituição do profissional)
  5. Criar protocolo de auditoria e revisão humana das recomendações geradas por IA

Risco específico

O uso de IA para triagem de pacientes sem supervisão médica pode configurar exercício irregular da medicina — independentemente do porte da empresa ou do disclamer no produto.

Setor Financeiro

O que torna o financeiro diferente

O setor financeiro é supervisionado pelo Bacen, CVM, SUSEP e PREVIC, cada um com visão sobre automação, uso de dados e terceirização de processos críticos.

Regulamentações relevantes

  • Resolução Bacen 4.893/2021: exige política de segurança cibernética que agora abrange sistemas de IA e modelos de machine learning
  • Resolução CMN 4.658/2018: regula uso de cloud computing e dados — aplicável a provedores de IA hospedados em nuvem
  • PLD-FT: uso de IA no monitoramento de transações deve ter auditabilidade garantida e não pode eliminar o juízo humano nos casos suspeitos
  • Open Finance: dados compartilhados têm restrições específicas de uso que podem conflitar com o processamento por ferramentas de IA genéricas

O que as instituições financeiras devem fazer

  1. Garantir auditabilidade dos modelos de IA usados em decisões de crédito, precificação ou detecção de fraude
  2. Documentar os critérios de decisões automatizadas que afetem clientes (exigência regulatória, não apenas boa prática)
  3. Revisar contratos com provedores de IA para conformidade com exigências de localização de dados e direito de auditoria
  4. Incluir IA no escopo de risco de terceiros (third-party risk management)
  5. Treinar equipes de compliance para incluir IA nos frameworks de controle existentes

Risco específico

Decisões de crédito ou precificação baseadas em IA sem documentação dos critérios utilizados podem configurar discriminação não intencional — com risco de sanção regulatória e ação coletiva.

Setor Jurídico

O que torna o jurídico diferente

O sigilo entre advogado e cliente é protegido tanto pelo Código de Ética da OAB quanto pelo Código de Processo Civil. Informações sobre processos são confidenciais por natureza — não há "nível de esforço" que justifique violação.

Riscos específicos do uso de IA em advocacia

  • Dados de clientes em ferramentas de terceiros: qualquer prompt com nome de cliente, fatos do processo ou estratégia pode violar o sigilo se a ferramenta usar esses dados para treinamento de modelos
  • Alucinações jurídicas: LLMs geram jurisprudência e doutrina plausíveis, mas às vezes inexistentes — o advogado que cita decisão falsa responde perante a OAB e o tribunal
  • Responsabilidade por peças geradas por IA: o advogado é responsável por tudo que assina, independentemente do que gerou o conteúdo inicial

O que escritórios e departamentos jurídicos devem fazer

  1. Proibir o uso de ferramentas de IA genéricas (versões de consumidor) com dados de clientes
  2. Contratar ferramentas jurídicas específicas com DPA e garantia contratual de não-treinamento com dados do cliente
  3. Criar protocolo de revisão para toda peça com assistência de IA — incluindo verificação manual de todas as citações de jurisprudência
  4. Incluir AI disclosure quando relevante (tribunais brasileiros e internacionais estão começando a exigir)
  5. Treinar advogados e estagiários sobre limitações, riscos e como identificar alucinações

O que todos os setores regulados têm em comum

Independentemente do setor, as exigências mínimas são:

Requisito Por quê
DPA com todos os fornecedores de IA Obrigação como controlador de dados pela LGPD
Política formal de uso de IA Evidência de compliance para reguladores setoriais
Inventário de ferramentas ativas Pré-requisito para qualquer auditoria
Registro de incidentes Exigido por quase todos os reguladores setoriais
Treinamento documentado Demonstra due diligence em fiscalizações

Perguntas frequentes

Minha empresa é uma healthtech que atende clínicas. Preciso seguir as mesmas regras de saúde?
Se você processa dados de pacientes dos seus clientes, sim — você é operador de dados sensíveis e precisa das mesmas salvaguardas, incluindo DPA com seus clientes (as clínicas) e com seus fornecedores de IA.

O regulador setorial pode multar além da ANPD?
Sim. Bacen, CVM, ANS, ANVISA e outros podem aplicar sanções independentemente das multas da ANPD. O risco é cumulativo, não alternativo.

Existe certificação de compliance de IA para setores regulados no Brasil?
Ainda não há certificação específica, mas auditorias de terceiros e relatórios de conformidade são cada vez mais exigidos em licitações, RFPs e fiscalizações de reguladores.

Leitura complementar

  • IA Generativa e LGPD: o que sua empresa precisa fazer antes da multa chegar
  • Política de IA que Funciona: modelo prático para empresas
  • Vazamento de dados por IA: os 5 vetores de risco mais comuns

Artigos relacionados

  • Transparência de IA Agora É Lei — O que Seu Chatbot, Conteúdo de Marketing e Ferramentas de Funcionários Devem Exibir até Agosto de 2026
  • Seu Software de Recrutamento Já É Regulado como Alto Risco — O Prazo de Agosto de 2026 que o RH Não Conhece
  • 95% das Empresas Estão Investindo Bilhões em IA e Não Vendo Retorno — O Fracasso Organizacional que Ninguém Discute

Pronto para diagnosticar sua empresa?

A primeira sessão é gratuita e dura 45 minutos.

Solicitar diagnóstico