Voltar para Biblioteca
Playbook·11 min·Jul 2026

Como Lançar Funcionalidades de IA em Setores Regulados na América Latina

Como lançar IA em setores regulados na América Latina sem ser barrado. Um playbook de LGPD, supervisão humana, trilha de auditoria e o PL 2338.

Lançar IA em setores regulados se resume a uma disciplina. Você precisa provar, depois do fato, exatamente como qualquer decisão consequente foi tomada. Em um setor regulado da América Latina o fiscal tem nome, prazo legal e multa, então a construção muda antes de você escrever a primeira linha de código de produto.

Este é um playbook de construção, não mais um argumento de que a regulação é um moat. A Avante Ventures é um venture studio que constrói empresas AI-native no Brasil e na América Latina, e suas ventures operam em verticais onde um regulador ou um tribunal pode tirar um produto do ar em uma tarde. Os movimentos que evitam isso são concretos. Classifique o caso de uso por risco, mantenha um humano em toda decisão consequente, registre cada entrada e saída do modelo e projete para os direitos do titular desde o esquema do banco de dados.

O que setores regulados realmente mudam na construção

A regulação não decide se você lança IA. Ela decide o que você tem que conseguir provar depois de lançar. Em um app não regulado, uma saída errada é um bug que você corrige na sexta. Em uma vertical regulada, a mesma saída é um passivo com um fiscal de nome próprio, a ANPD, esperando do outro lado.

Quatro coisas mudam no momento em que a vertical é regulada.

  • Explicabilidade. Você precisa declarar, em linguagem clara, os critérios e o procedimento por trás de qualquer decisão automatizada. O artigo 20 da LGPD dá ao titular o direito de pedir revisão de uma decisão tomada unicamente por tratamento automatizado, e o controlador tem que fornecer informações claras sobre os critérios usados.
  • Responsabilidade humana. Uma decisão consequente precisa de um humano com nome que possa anular o modelo e responder pelo resultado. Essa é a linha entre um copilot que recomenda e um sistema que decide sozinho.
  • Trilha de auditoria. Cada entrada, saída, versão de prompt e ação humana precisa ser registrada e reconstruível meses depois. Um regulador não aceita a resposta de que o modelo disse.
  • Tratamento de dados. Dados pessoais usados para treinar ou alimentar o modelo caem sob a LGPD. Base legal, limites de retenção e direitos do titular são restrições de construção desde o dia um, não recursos que você acopla antes do lançamento.

As sanções administrativas da LGPD chegam a multa simples de até 2% do faturamento da empresa no Brasil no último exercício, limitada a R$50 milhões por infração, aplicada pela ANPD. Esse é o custo de não conseguir explicar uma saída.

— Artigo 52 da LGPD, aplicado pela ANPD

Lance IA em um setor regulado em seis passos

Aqui está a sequência que um operador pode começar esta semana. Cada passo se prende a um gancho legal brasileiro específico, não a uma boa prática genérica de slide de fornecedor.

  • Classifique o caso de uso por risco antes de escrever código de produto. O PL 2338/2023, o projeto de lei de IA do Brasil, usa uma classificação de risco no estilo do EU AI Act. O artigo 14 trata sistemas em recrutamento, educação, concessão de crédito e serviço público como de alto risco. Se sua funcionalidade cair ali, construa para o regime de alto risco agora, não depois da auditoria.
  • Mantenha um humano no circuito em qualquer decisão consequente. O modelo redige, pontua ou recomenda. Um humano qualificado confirma ou anula antes de a decisão chegar à pessoa, e essa ação é registrada como evento de primeira classe.
  • Registre cada entrada e saída do modelo. Prompt, versão do modelo, dados de entrada, saída, confiança, o revisor e a decisão final, tudo com carimbo de data e consultável. Esse é o registro que você entrega a um regulador.
  • Projete para os direitos do titular desde o esquema. Acesso, correção, exclusão e revisão de decisão automatizada pertencem ao modelo de dados antes do lançamento. Encaixar isso em um produto já no ar é onde os times queimam trimestres.
  • Restrinja o modelo com guardrails. Validação de entrada, filtros de saída, recusa de prompts fora de escopo e uma fila de revisão para saídas de baixa confiança ou de alto risco. O modelo trabalha dentro de uma cerca, não em campo aberto.
  • Rode uma avaliação de impacto algorítmico e a mantenha atual. O PL 2338 obriga operadores de alto risco a avaliar, documentar e monitorar continuamente. Amarre a avaliação a cada versão do modelo e trate-a como documento vivo.

Se você construir um controle primeiro, coloque um humano com nome em toda decisão consequente e registre a anulação. É a coisa mais barata de lançar e a primeira que um regulador pede para ver.

Supervisão humana e a trilha de auditoria

Supervisão humana e a trilha de auditoria são as duas mecânicas que separam um produto de IA regulado defensável de um processo judicial. Supervisão significa que um humano com nome vê a recomendação do modelo e as entradas por trás dela, pode anulá-la e tem essa anulação registrada. A trilha de auditoria significa que qualquer decisão passada pode ser reconstruída depois. Qual versão do modelo, qual prompt, quais dados, qual humano assinou embaixo.

É isso que o PL 2338 formaliza. Operadores de alto risco têm que manter estruturas de governança, rodar avaliações de conformidade e de impacto algorítmico e monitorar sistemas continuamente, com a ANPD prevista para coordenar o sistema nacional de governança de IA sob o projeto.

A falha que isso previne é a que encerra ventures. Um time lança um modelo opaco que faz uma chamada consequente. Um tribunal ou a ANPD pede que ele explique uma única saída. Ele não consegue. Sem registro, sem humano responsável, sem explicação. A construção de supervisão e auditoria é exatamente o que deixa você responder a essa pergunta com um documento em vez de um dar de ombros.

Projetando para a LGPD e os níveis de risco do PL 2338

A LGPD é aplicada hoje. O PL 2338 está a caminho. Construa para os dois agora e você não é pego de surpresa quando a lei de IA passar.

A LGPD governa dados pessoais, e a ANPD é a fiscal. O artigo 20 dá o direito de revisão de decisão automatizada. O artigo 52 fixa as sanções, até 2% do faturamento no Brasil limitado a R$50 milhões por infração. São obrigações vivas, não futuras.

O PL 2338/2023 é o projeto de lei específico de IA. O Senado o aprovou em 10 de dezembro de 2024. Ele então foi para a Câmara dos Deputados, onde uma comissão especial de 33 membros foi criada em 4 de abril de 2025, com o deputado Aguinaldo Ribeiro como relator. Em meados de 2025 ele aguardava o parecer do relator, em regime de prioridade, com audiências públicas em andamento. Verifique o status atual na data de publicação, porque o projeto está em movimento ativo.

A consequência prática é simples. Mapeie sua funcionalidade a um nível de risco e construa os controles que o nível exige. Um assistente de scoring de crédito é de alto risco e precisa de avaliação de impacto, revisão humana e trilha de auditoria completa. Um copilot interno de redação de documentos que não toca dado pessoal e não faz decisão consequente é de baixo risco e pode lançar enxuto. Gastar esforço de alto risco em uma funcionalidade de baixo risco é um tipo de falha por si só.

O uso de IA entre empresas industriais brasileiras com 100 ou mais empregados subiu de 16.9% em 2022 para 41.9% em 2024. Conforme a adoção escala para decisões que afetam pessoas, a superfície de fiscalização da ANPD escala junto.

— IBGE, 2024

Como o trabalho de conformidade vira moat e conjunto de dados

A construção de conformidade não é puro custo. Feita direito, ela vira o mesmo ativo proprietário que aciona o flywheel copilot, dado, capital. Cada decisão registrada, cada anulação humana, cada saída revisada é dado rotulado sobre como especialistas de fato fazem chamadas nesta vertical. Um concorrente generalista raspando dado público não consegue reproduzir isso. Veja como o flywheel copilot, dado, capital transforma esse uso em capital.

O loop roda igual sob regulação. O copilot gera decisões e correções humanas. Essas correções são dado proprietário de treino e de avaliação. Esse dado afia o modelo e constrói um conjunto de avaliação específico do domínio que nenhum concorrente tem, que é o ponto real de como as evals de domínio viram o moat. As evals e o registro pronto para auditoria viram a defensibilidade, e a tração sustenta a captação.

A cicatriz regulatória compõe na mesma direção. Operadores de domínio com mais de 10 anos de cicatriz do mercado brasileiro sabem quais controles um regulador de fato checa, não só o que o estatuto diz. Essa é a diferença entre um produto que passa numa auditoria e um que improvisa durante ela, e é uma vantagem que um generalista não cruza lendo a lei.

Modos de falha: automatizar uma decisão que você precisa defender

O modo de falha principal é automatizar uma decisão consequente que a venture não consegue defender. Um time lança um modelo opaco que aprova, nega, precifica ou pontua uma pessoa, sem humano responsável e sem trilha de auditoria, e depois não consegue explicar uma única saída a um regulador ou a um tribunal. Isso não é um bug. É o evento que tira o produto do ar e emite a multa.

O resto das falhas é mais silencioso e igualmente caro.

  • Encaixar os direitos da LGPD depois do lançamento. Acesso, exclusão e revisão de decisão automatizada são empurrados para um sprint futuro. Aí chega um pedido de titular ou uma consulta da ANPD e não há fluxo para atender.
  • Medir a coisa errada. O time otimiza a acurácia do modelo em um benchmark genérico e nunca constrói a eval de domínio que reflete como um regulador julga uma decisão. Acurácia não é defensibilidade.
  • Dependência de fornecedor e de modelo. Um único modelo fechado sem registro de prompts e versões significa que uma mudança upstream altera decisões em silêncio, e não há registro do comportamento antigo.
  • Automação excessiva por si mesma. Tirar o humano de uma decisão para cortar custo, em uma vertical onde o humano é justamente o que torna a decisão defensável.
  • Tratar o modelo como o moat, que é a armadilha do wrapper de IA. O modelo é alugável por qualquer um. O moat é o dado proprietário de decisão, as evals de domínio e o fluxo pronto para auditoria que a construção de conformidade cria.

Como a Avante constrói em domínios jurídico e de seguros

A Avante Ventures é um venture studio que constrói empresas AI-native no Brasil e na América Latina, e o portfólio mostra este playbook rodando em verticais reguladas, descrito por domínio. Em valuation de ativo judicial, uma plataforma AI-native pontua e avalia créditos judiciais, um domínio onde cada chamada consequente tem que suportar escrutínio legal e o registro documentado é o produto. Em scoring de risco de seguro, uma API assíncrona de precificação e risco opera onde reguladores, padrões atuariais e a lei de proteção de dados pesam todos sobre uma única saída.

Nos dois, a restrição é idêntica. O modelo recomenda, um humano qualificado é responsável, cada decisão é registrada, e o conhecimento regulatório de mais de 10 anos de cicatriz do mercado brasileiro é a parte que um generalista não copia. Isso é complexidade regulatória virada em vantagem, somada a um playbook de Vale do Silício e capital de primeiro cheque montados no dia um. A Avante lança 3-4 ventures por ano pelo seu sistema de seis etapas de Research, Partner, Build, Traction, Revenue, Compound, alocando $500K-1.5M por venture, então o encanamento de conformidade e dado é resolvido uma vez e reusado. Isso roteia cerca de $300K-500K de capital efetivo por venture para produto em vez de overhead. Leia a tese em /why-avante.

A lição vale para toda construção regulada. Os times que perdem são os que automatizam a decisão e torcem para ninguém perguntar. Os times que vencem conseguem entregar o registro, nomear o humano que assinou e explicar a saída. Em uma vertical regulada, conseguir responder a essa pergunta é o produto.

Perguntas frequentes

O que muda ao lançar IA em setores regulados?
Lançar IA em setores regulados muda o que você precisa conseguir provar, não se você pode lançar. Você precisa de explicabilidade, um humano com nome responsável por qualquer decisão consequente, uma trilha de auditoria de cada entrada e saída do modelo e tratamento de dados conforme a LGPD desde o dia um. A construção carrega essas restrições antes da primeira linha de código.
A LGPD se aplica a funcionalidades de IA no Brasil?
Sim. A LGPD governa qualquer funcionalidade de IA que trata dados pessoais no Brasil, e a ANPD a aplica. O artigo 20 dá às pessoas o direito de pedir revisão de uma decisão tomada unicamente por tratamento automatizado, e o artigo 52 fixa multas de até 2% do faturamento no Brasil, limitadas a R$50 milhões por infração.
Como o PL 2338/2023 afeta lançar IA em setores regulados?
O PL 2338/2023 é o projeto de lei de IA do Brasil, aprovado pelo Senado em dezembro de 2024 e agora na Câmara dos Deputados. Ele usa uma classificação de risco no estilo do EU AI Act que proíbe sistemas de risco excessivo e impõe avaliações de impacto, supervisão humana e monitoramento contínuo a sistemas de alto risco como crédito, recrutamento, educação e serviço público. Verifique o status atual na data de publicação, já que o projeto está em movimento ativo.
Como manter um humano no circuito de uma decisão de IA?
Faça o modelo recomendar ou pontuar, e então exija que um humano qualificado com nome confirme ou anule antes de a decisão afetar uma pessoa, registrando essa ação como evento de primeira classe. Esse é o único controle que um regulador checa primeiro e o mais barato de construir. É também o que transforma uma chamada automatizada opaca em uma defensável.
Como o trabalho de conformidade vira um moat competitivo?
Cada decisão registrada e anulação humana é dado proprietário e rotulado sobre como especialistas fazem chamadas em uma vertical regulada, o que aciona o flywheel copilot, dado, capital. Um generalista raspando dado público não consegue reproduzir isso. As evals de domínio e o registro pronto para auditoria que ele gera viram defensibilidade que nenhum modelo de prateleira tem.
— Time Fundador da Avante
São Paulo + Vale do Silício · escrito de dentro do studio

Quer mais? Receba um ensaio por semana sobre venture building, negócios AI-native e a oportunidade Brasil.

Ver Biblioteca completa →