Novas diretrizes do DOJ sobre inteligência artificial e compliance acendem alerta para empresas brasileiras

A inteligência artificial não é uma promessa ou coisa de outro mundo, ela é presente e ativa nas decisões de negócio, análises de risco e investigações internas das empresas. Mas em meio à corrida por eficiência e automação, surge uma pergunta: quem será responsabilizado quando a IA cometer um erro?

Essa preocupação deixou o campo das discussões teóricas e passou a ser um risco regulatório.

Em setembro de 2024, o Departamento de Justiça dos Estados Unidos (DOJ) atualizou suas Diretrizes para Avaliação de Programas de Compliance (ECCP), incluindo, pela primeira vez, uma seção dedicada à gestão de riscos relacionados ao uso de tecnologias emergentes, como a inteligência artificial.

Empresas que adotam IA sem estruturas de controle, supervisão e transparência podem ser responsabilizadas por seus impactos intencionais ou não.

As diretrizes não só alertam, elas impõem perguntas diretas aos programas de compliance.

Sua empresa sabe onde, como e por que está utilizando IA? Existem mecanismos de governança, auditoria e revisão? Há treinamento interno para prevenir o uso indevido de algoritmos? A tecnologia está alinhada ao código de conduta ou apenas ao resultado esperado?

Para empresas brasileiras, o alerta é duplo. Além de muitas estarem diretamente sujeitas à jurisdição americana via FCPA, há também uma pressão crescente por parte da Controladoria-Geral da União (CGU) e dos debates legislativos, como o PL 2.338/2023, que pretende estabelecer um Marco Regulatório da IA no Brasil.

Neste artigo, você vai entender o que muda com as novas diretrizes do DOJ, por que elas impactam diretamente empresas nacionais e como preparar seu programa de compliance para um futuro onde a inteligência será artificial, mas a responsabilidade continuará sendo humana.

O que dizem as novas diretrizes do DOJ?

Em setembro de 2024 a Evaluation of Corporate Compliance Programs (ECCP), foi atualizada pelo Departamento de Justiça dos EUA (DOJ) que incorporou de forma expressa o uso da tecnologia, especialmente da inteligência artificial, como um componente a ser avaliado no julgamento da efetividade dos programas de compliance corporativos.

O documento traz dez perguntas-chave que os procuradores devem considerar ao investigar se uma empresa adotou diligência suficiente para prevenir infrações criminais em ambientes automatizados. E essas perguntas vão muito além da retórica, elas atingem diretamente o cerne da governança empresarial. Veja quais são elas:

• A empresa possui um processo para identificar e gerenciar riscos internos e externos emergentes que possam afetar sua capacidade de cumprir a lei, incluindo riscos relacionados ao uso de novas tecnologias?
• Como a empresa avalia o potencial impacto de novas tecnologias, como IA, em sua capacidade de cumprir as leis criminais?
• O gerenciamento de riscos relacionados ao uso de IA e outras tecnologias emergentes está integrado às estratégias mais amplas de gestão de riscos corporativos (ERM)?
• Qual é a abordagem da empresa em relação à governança do uso de novas tecnologias, como IA, tanto nos negócios quanto no programa de compliance?
• Como a empresa está coibindo possíveis consequências negativas ou não intencionais do uso dessas tecnologias em suas operações e no programa de conformidade?
• Quais medidas a empresa adota para mitigar o uso indevido, deliberado ou imprudente de tecnologias por seus membros?
• Existem controles para garantir que a tecnologia seja usada apenas para os fins a que se destina?
• Há uma linha de base de tomada de decisão humana utilizada para revisar e avaliar as decisões automatizadas pela IA?
• Como a responsabilidade pelo uso da IA é monitorada, registrada e aplicada dentro da organização?
• Como a empresa treina seus funcionários no uso seguro e ético de tecnologias emergentes, como IA?

O DOJ deixa claro que, no futuro próximo, alegar ignorância sobre o funcionamento ou os efeitos de uma IA pode ser tão grave quanto cometer a irregularidade que ela permitiu.

A diretriz também reforça outro ponto: o uso da tecnologia não isenta a alta liderança de responsabilidade.

Se a IA estiver sendo usada em áreas, como investigação interna, background check, análise de crédito, monitoramento de conduta ou gestão de terceiros, a governança precisa ser transparente, documentada e auditável.

E a responsabilização não se limita às empresas americanas. Basta ter uma operação com ADRs em bolsas dos EUA, subsidiárias em território americano, contratos com órgãos públicos ou relações comerciais que envolvam o sistema financeiro norte-americano para estar sob o alcance do DOJ.

Quais os impactos para empresas brasileiras?

À primeira vista, as novas diretrizes do DOJ podem parecer uma recomendação estrangeira sem aplicação imediata no Brasil.

Atualmente, compliance e inteligência artificial são temas globais, e empresas brasileiras que ignorarem essa convergência estarão vulneráveis tanto jurídica quanto estrategicamente.

Para começar, muitas organizações nacionais já estão sob a jurisdição do DOJ por meio do Foreign Corrupt Practices Act (FCPA).

Ter uma subsidiária nos EUA, negociar ADRs em bolsas americanas ou manter relações contratuais com empresas americanas basta para ser enquadrado, como já demonstraram casos envolvendo gigantes como Odebrecht e Petrobras.

Além disso, há um efeito indireto igualmente relevante: a prática regulatória americana tem histórico de influenciar padrões locais.

O que começa como diretriz externa, logo se torna expectativa do mercado, e, mais cedo ou mais tarde, inspira regulamentações domésticas, como já está acontecendo com o PL 2338/2023, em tramitação no Senado, que visa criar um marco legal para a IA no Brasil.

O impacto, portanto, é sistêmico:

• Empresas que utilizam algoritmos em áreas críticas, como gestão de risco, análise de crédito, compliance fiscal ou background check precisam mapear essas aplicações com urgência;
• A ausência de governança sobre IA pode ser interpretada como omissão da liderança, inclusive em investigações locais;
• A área de compliance passa a ter um desafio: dominar o uso de inteligência artificial na empresa e participar ativamente da definição de limites, protocolos e salvaguardas.

Hoje em dia, não há mais como pensar em compliance sem pensar também em inteligência artificial.

Boas práticas para se preparar

Implementar boas práticas em compliance e inteligência artificial não exige revolução tecnológica. Mas exige consciência e, principalmente, integração entre os setores de tecnologia, jurídico, compliance e gestão de riscos. A seguir, alguns pontos relevantes para se preparar:

1. Mapeie onde a IA já está presente: Muitas empresas utilizam IA sem sequer formalizar essa informação: em softwares de background check, triagem de currículos, análise de crédito, scoring automático de clientes, reconhecimento de padrões em auditorias etc. Se há automação, há risco, e, isso exige controle.

2. Crie ou atualize políticas de governança sobre IA: A ausência de diretrizes internas sobre o uso de tecnologias emergentes já configura falha de compliance. É preciso estabelecer quem é responsável por validar, monitorar e revisar os sistemas de IA, como os dados são tratados, que tipos de decisões estão autorizadas a serem automatizadas e quais não estão.

3. Implemente uma linha de base humana: O DOJ destaca: nenhuma IA pode operar sem supervisão. Isso significa criar processos em que a tomada de decisão automatizada seja revista ou validada por humanos qualificados, principalmente em temas regulatórios, jurídicos ou de integridade.

4. Realize testes de viés e impacto: Todo algoritmo carrega o viés de quem o programou ou dos dados que o alimentam. Testar, medir e corrigir esse viés é essencial para evitar discriminação, injustiças ou decisões que violem o código de conduta da empresa mesmo que indiretamente.

5. Prepare e treine sua equipe: A área de compliance deve estar capacitada para compreender os fundamentos da inteligência artificial aplicada ao negócio. Isso inclui saber fazer as perguntas certas, entender as limitações da tecnologia e participar ativamente da governança de sistemas automatizados.

6. Construa um inventário de uso de IA: Crie e mantenha um mapeamento atualizado dos sistemas de IA utilizados na empresa, com responsáveis, finalidades, riscos associados e políticas de uso. Esse inventário será fundamental em qualquer processo de investigação, auditoria ou revisão interna.

Inteligência artificial e compliance: o fim das zonas neutras

Estamos diante de uma nova era na governança corporativa. As novas diretrizes do DOJ são um sinal de que a responsabilidade por decisões automatizadas já está sendo endereçada à alta liderança.

Para empresas brasileiras, é importante se atentar ao fato de que a convergência entre compliance e inteligência artificial é uma exigência global. Não se trata de acompanhar tendências, mas de evitar omissões que podem custar mais do que multas.

Se a sua empresa ainda não sabe como a IA é usada internamente, se ainda não há políticas, treinamentos ou protocolos claros sobre isso, o momento de agir é agora.

Se você é profissional da área e gostou deste conteúdo, mantenha-se sempre atualizado sobre as tendências do setor. Assine nossa newsletter e acompanhe os conteúdos do blog para estar informado das atualizações, novidades regulatórias e boas práticas que podem transformar seu programa de integridade para melhor.