O que é consultoria em inteligência artificial?

É um serviço especializado que ajuda empresas a identificar onde a IA pode gerar valor real, desenhar soluções adequadas e implementá-las com governança. Diferente de uma software house, uma consultoria em IA como a Frame8 atua de forma estratégica — começando pelo diagnóstico do negócio, não pela tecnologia.

Como implementar IA na minha empresa?

O primeiro passo é mapear os processos e identificar onde há maior potencial de impacto financeiro. Na Frame8, seguimos a metodologia SMAECIA com 7 etapas: do Scan (mapeamento) ao Amplify (escala e autonomia). O primeiro resultado mensurável é alcançado em até 90 dias.

Quanto tempo leva para ter resultados com IA?

Com a abordagem da Frame8, o primeiro resultado mensurável em produção é alcançado em até 90 dias. Projetos de maior escala seguem um roadmap de 3 ondas: quick wins (30-60 dias), core (90-180 dias) e transformacional (6-12 meses).

O que é a metodologia SMAECIA?

SMAECIA é a metodologia proprietária da Frame8 com 7 etapas: Scan (mapeamento de processos), Measure (quantificação financeira), Architect (arquitetura técnica), Execute (prova de conceito), Calibrate (refinamento com métricas), Integrate (deploy em produção com governança) e Amplify (escala e autonomia).

Quais serviços a Frame8 oferece?

Board Advisory (advisory estratégico para C-Level), AI Factory (implementação completa de agentes de IA), Capacitação Executiva (treinamento em IA para lideranças e equipes técnicas) e Governança & Estrutura (modelo operacional de IA com ética, compliance e LGPD).

Preciso de uma equipe técnica interna para usar IA?

Não necessariamente para começar. A Frame8 executa desde o diagnóstico até a primeira implementação em produção. Para sustentabilidade no longo prazo, ajudamos a formar multiplicadores internos através do programa de Capacitação Executiva.

Qual o custo de uma consultoria em IA?

O investimento varia conforme o escopo e a complexidade. Em todos os casos, apresentamos uma análise financeira com VPL, TIR e payback antes de iniciar — você decide com dados, não com promessas.

Como a Frame8 mede o ROI de projetos de IA?

Utilizamos métricas financeiras acadêmicas: VPL, TIR, Payback, EBA (Economia Bruta Anual), ELA (Economia Líquida Anual) e TCO de 5 anos. Nossos projetos alcançam em média 25% de redução de custos operacionais nas áreas-alvo.

ÉTICA E REGULAÇÃO DE IA NO BRASIL: O QUE SUA EMPRESA PRECISA SABER

Lucas Fogaça30 de março de 202612 min de leitura

éticaregulaçãoLGPDcompliance

O novo cenário regulatório da IA no Brasil exige atenção imediata

A inteligência artificial deixou de ser um tema confinado a laboratórios de pesquisa e startups de tecnologia para se tornar uma questão central de política pública, direito e governança corporativa. Em novembro de 2021, a UNESCO aprovou sua Recomendação sobre Ética da IA com o voto favorável de 193 países, estabelecendo pela primeira vez um consenso global de que sistemas de IA precisam ser desenvolvidos e implantados sob princípios éticos explícitos, com salvaguardas proporcionais ao risco que representam. Esse consenso não é retórico: ele se materializou em legislações concretas ao redor do mundo, e o Brasil não é exceção. Com o PL 2338/2023 em tramitação avançada, com a LGPD já em vigor e com o EU AI Act produzindo efeitos extraterritoriais que alcançam empresas brasileiras que operam com parceiros ou clientes europeus, o momento de entender e se preparar para esse novo cenário regulatório é agora, não quando a regulamentação entrar em vigor.

A experiência que acumulamos na Frame8 em setores regulados, particularmente em farmacêutico e financeiro, nos mostra que empresas que tratam compliance como algo a ser resolvido depois da implementação tecnológica invariavelmente gastam mais, demoram mais e enfrentam riscos que poderiam ter sido evitados com planejamento antecipado. Veremos a seguir os pilares desse novo cenário regulatório e, mais importante, o que sua empresa pode fazer hoje para se posicionar adequadamente.

PL 2338/2023: a regulação brasileira de IA toma forma

O Projeto de Lei 2338/2023, que dispõe sobre o uso de inteligência artificial no Brasil, adota uma abordagem centrada no ser humano, alinhada às recomendações da UNESCO e aos princípios que orientaram o EU AI Act. O texto não proíbe a IA nem a trata como ameaça; o que ele faz é estabelecer um framework de responsabilidades proporcionais ao risco de cada aplicação, reconhecendo que um chatbot de atendimento geral e um sistema de scoring de crédito que nega financiamento a famílias operam em patamares de risco fundamentalmente distintos.

O PL classifica sistemas de IA em níveis de risco e impõe obrigações crescentes conforme o potencial de dano. Sistemas de alto risco, que incluem aplicações em saúde, crédito, emprego, educação e segurança pública, estarão sujeitos a requisitos de transparência, explicabilidade, supervisão humana e avaliação de impacto. A lógica é clara: quanto maior o impacto potencial de uma decisão automatizada na vida de uma pessoa, maior a obrigação de garantir que essa decisão seja justa, explicável e passível de contestação.

Para empresas que já operam sistemas de IA em produção, o PL 2338/2023 traz uma mensagem inequívoca: documentação, rastreabilidade e capacidade de auditoria não são opcionais. Organizações que implementam IA sem registrar as decisões de design, sem documentar os dados utilizados para treinamento e sem estabelecer processos de monitoramento contínuo estarão em posição vulnerável quando a regulamentação entrar em vigor. O custo de adequação retroativa, como veremos ao examinar os números do EU AI Act, é significativamente maior do que o custo de compliance by design.

A LGPD como fundação regulatória para IA no Brasil

Enquanto o PL 2338/2023 ainda tramita, a LGPD já está em pleno vigor e produz efeitos diretos sobre qualquer sistema de IA que processe dados pessoais, o que inclui a esmagadora maioria das aplicações corporativas. A interseção entre LGPD e IA é mais profunda do que muitas empresas reconhecem, pois a lei não foi escrita pensando em IA, mas seus princípios se aplicam com força total a esse contexto.

O primeiro ponto de atenção é a base legal para processamento. Dados coletados para uma finalidade específica, como relacionamento comercial ou prestação de serviço, não podem ser automaticamente utilizados para treinamento de modelos de IA sem uma base legal adequada. Fine-tuning de modelos com dados de clientes exige consentimento específico ou enquadramento em outra base legal que justifique esse novo tratamento. Empresas que treinam modelos com dados de CRM, histórico de atendimento ou registros transacionais sem essa cautela estão acumulando passivo jurídico que pode se materializar a qualquer momento.

O segundo ponto, talvez o mais desafiador tecnicamente, é o direito à explicação previsto no Art. 20. O titular de dados tem o direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado, incluindo decisões que definam perfil pessoal, profissional, de consumo ou de crédito. Na prática, isso significa que modelos black-box que tomam decisões sobre pessoas precisam ser acompanhados de mecanismos de explicabilidade que permitam responder, caso a caso, por que aquela decisão específica foi tomada para aquele indivíduo específico.

O terceiro ponto diz respeito à transferência internacional de dados. Toda empresa que utiliza APIs de LLMs hospedados no exterior, sejam da OpenAI, Anthropic, Google ou qualquer outro provedor, está realizando transferência internacional de dados pessoais quando esses dados são enviados como input para o modelo. A LGPD exige salvaguardas específicas para essas transferências, incluindo a verificação de que o país de destino oferece nível adequado de proteção ou a adoção de cláusulas contratuais padrão. Ignorar esse requisito não é uma questão de interpretação jurídica: é descumprimento direto da lei.

EU AI Act: por que uma lei europeia importa para empresas brasileiras

O EU AI Act, que entrou em aplicação progressiva a partir de 2025, é a regulamentação mais abrangente do mundo sobre inteligência artificial, e seu impacto transcende as fronteiras da União Europeia. Assim como o GDPR se tornou referência global para proteção de dados e influenciou diretamente a LGPD, o EU AI Act está moldando o padrão regulatório que o resto do mundo tende a seguir. Empresas brasileiras que exportam produtos, prestam serviços ou mantêm parcerias com organizações europeias já estão, na prática, sujeitas a seus requisitos quando seus sistemas de IA afetam cidadãos da UE.

A regulamentação europeia classifica sistemas de IA em quatro categorias de risco: inaceitável, alto, limitado e mínimo. Sistemas de alto risco, que incluem aplicações em setores como farmacêutico e financeiro, devem cumprir requisitos rigorosos de documentação técnica, gestão de dados, transparência, supervisão humana e robustez técnica. Para o setor farmacêutico, isso abrange sistemas de IA utilizados em controle de qualidade, farmacovigilância e decisões clínicas. Para o setor financeiro, inclui scoring de crédito, detecção de fraude e avaliação de risco.

Um dado que merece atenção especial: segundo pesquisa de Mokander e colaboradores, o custo estimado de certificação de conformidade com o EU AI Act é de aproximadamente 20.000 euros por sistema de IA, o que representa cerca de 12% do custo total de desenvolvimento. Esse percentual pode parecer modesto quando planejado desde o início, mas se torna proibitivo quando implica refatorar sistemas já em produção que foram desenvolvidos sem consideração de compliance. A mensagem para líderes brasileiros é clara: incorporar requisitos regulatórios no design de sistemas de IA desde o início é significativamente mais barato do que adequar sistemas legados, e essa lógica se aplica tanto ao EU AI Act quanto ao PL 2338/2023.

Mapa regulatório de IA: PL 2338, LGPD e EU AI Act em perspectiva comparada

Frameworks éticos práticos: do Código de Diretrizes ao modelo Wharton

A regulamentação define o piso mínimo de conformidade, mas empresas que ambicionam liderança em IA responsável precisam ir além do mínimo legal. Dois frameworks merecem destaque pela sua aplicabilidade prática no contexto brasileiro.

O Código de Diretrizes para IA, desenvolvido por Ronaldo Lemos em parceria com a DM9, é o primeiro framework abrangente pensado especificamente para o mercado brasileiro. Organizado em dez capítulos, ele cobre todo o ciclo de vida de projetos de IA: demanda, planejamento, criação, aprovação, monitoramento e governança. Uma contribuição particularmente valiosa é a nomenclatura proposta para classificar outputs que envolvem IA: "Human Only" para conteúdo inteiramente humano, "Hybrid" para criação conjunta, "AI Only" para outputs totalmente gerados por IA e "AI validated by [nome]" para conteúdo gerado por IA com validação humana identificada. Essa taxonomia pode parecer simples, mas resolve um problema real de transparência que muitas organizações enfrentam sem saber como endereçar.

O modelo de governança de IA proposto por pesquisadores de Wharton complementa o framework brasileiro com uma estrutura de quatro componentes aplicável a organizações de qualquer porte: definições claras sobre o que constitui IA na organização e quais sistemas estão em escopo; inventário completo de todos os sistemas de IA em operação, incluindo seus dados, modelos e integrações; políticas específicas para desenvolvimento, implantação e monitoramento; e um framework de responsabilidades que define quem responde por cada decisão ao longo do ciclo de vida. A força desse modelo está na sua simplicidade: ele não exige uma transformação organizacional massiva, mas sim disciplina na documentação e clareza nas responsabilidades.

Na Frame8, percebemos que a combinação desses dois frameworks oferece uma base sólida para empresas brasileiras que desejam implementar governança de IA de forma pragmática. O Código de Diretrizes fornece o vocabulário e os princípios adaptados à realidade local, enquanto o modelo Wharton oferece a estrutura organizacional para operacionalizá-los.

Propriedade intelectual e IA: o território mais incerto

Se a regulamentação de uso de IA avança com alguma previsibilidade, a questão de propriedade intelectual permanece em terreno profundamente instável, e esse é um risco que muitas empresas subestimam. Dois casos emblemáticos ilustram a dimensão do problema.

O caso Volkswagen e o deepfake de Elis Regina, que gerou denúncia no Conar, expôs as fragilidades do arcabouço jurídico brasileiro para lidar com uso de IA em publicidade. A campanha utilizou tecnologia de deepfake para recriar a imagem e a voz da cantora falecida, levantando questões sobre direitos de personalidade post mortem, consentimento dos herdeiros e limites éticos do uso de IA generativa em contexto comercial. Independentemente do desfecho regulatório específico, o caso estabeleceu um precedente de atenção: usar IA para recriar a imagem de pessoas, vivas ou falecidas, é um campo minado jurídico e reputacional.

No âmbito internacional, o caso Getty Images contra Stability AI, envolvendo o uso não autorizado de aproximadamente 12 milhões de imagens para treinamento de modelos generativos, está redefinindo os limites do que constitui uso justo de dados para treinamento de IA. O resultado desse litígio terá implicações diretas para qualquer empresa que utiliza modelos generativos treinados com dados de terceiros, pois pode estabelecer que o uso de material protegido por copyright para treinamento de modelos, mesmo quando o output final não reproduz diretamente o material original, constitui violação de direitos autorais.

Para empresas brasileiras, a implicação prática é dupla: primeiro, cautela extrema no uso de IA generativa para criar conteúdo que possa infringir direitos de terceiros; segundo, documentação rigorosa das fontes de dados utilizadas para treinamento de modelos proprietários, pois a capacidade de demonstrar a licitude dos dados de treinamento pode se tornar um requisito regulatório e contratual no futuro próximo.

Um roteiro prático de compliance para sua empresa

Diante desse cenário regulatório em rápida evolução, a pergunta que líderes empresariais fazem com mais frequência é: "por onde começar?" A resposta, que construímos a partir da experiência com dezenas de implementações em setores regulados, pode ser organizada em seis passos concretos.

O primeiro passo é realizar um inventário completo de todos os sistemas de IA em operação na organização, incluindo aqueles que podem não ser reconhecidos como IA, como modelos de scoring, chatbots, sistemas de recomendação e ferramentas de automação que utilizam machine learning. Não é possível governar o que não se conhece, e muitas organizações descobrem, ao fazer esse levantamento, que têm significativamente mais IA em operação do que imaginavam.

O segundo passo é classificar cada sistema por nível de risco, utilizando como referência os critérios do PL 2338/2023 e do EU AI Act. Sistemas que tomam decisões sobre pessoas, que processam dados pessoais sensíveis ou que operam em setores regulados devem ser priorizados para adequação.

O terceiro passo é mapear as bases legais de processamento de dados pessoais para cada sistema de IA identificado, verificando se o consentimento ou outra base legal utilizada cobre explicitamente o uso para treinamento e inferência de modelos de IA. Esse é frequentemente o ponto onde se descobrem as maiores lacunas.

O quarto passo é implementar mecanismos de explicabilidade proporcionais ao risco de cada sistema, garantindo que decisões automatizadas que afetam indivíduos possam ser explicadas quando solicitado, conforme exige o Art. 20 da LGPD.

O quinto passo é estabelecer processos de monitoramento contínuo que incluam métricas de performance, detecção de drift, auditoria de viés e logging de decisões. Governança de IA não é um projeto com início e fim: é uma capacidade operacional permanente.

O sexto e último passo é designar responsabilidades claras, seja por meio de um comitê de ética em IA, seja por meio de papéis definidos dentro da estrutura existente. A pergunta "quem responde quando o modelo erra?" precisa ter uma resposta inequívoca antes que o erro aconteça, não depois.

Preparação hoje é vantagem competitiva amanhã

Percorremos até agora o cenário regulatório brasileiro e internacional para IA, desde o PL 2338/2023 até o EU AI Act, passando pela LGPD e por frameworks éticos práticos. O quadro que emerge é de complexidade crescente, mas não de incerteza paralisante. As direções estão claras: transparência, explicabilidade, proporcionalidade e responsabilidade são os pilares sobre os quais toda regulamentação de IA está sendo construída, independentemente da jurisdição.

Empresas que se antecipam a esse cenário não estão apenas evitando riscos: estão construindo uma vantagem competitiva real. Em setores regulados, a capacidade de demonstrar compliance com padrões de governança de IA é cada vez mais um critério de seleção de fornecedores e parceiros. Em mercados onde a confiança é moeda corrente, a transparência no uso de IA fortalece a relação com clientes e stakeholders. E do ponto de vista operacional, os processos de documentação, monitoramento e auditoria que a regulamentação exige são os mesmos que melhoram a qualidade e a confiabilidade dos próprios sistemas de IA.

O momento de agir é agora, pois os custos de adequação retroativa são desproporcionalmente maiores do que os custos de compliance by design. Cada sistema de IA implantado sem governança adequada é uma dívida que acumula juros compostos: técnicos, jurídicos e reputacionais. A regulamentação não vai surpreender quem estiver preparado. Vai apenas formalizar o que boas práticas de engenharia e governança já recomendam.

Voltar ao blog