Nova Lei da Califórnia Exige Avaliações de Risco de IA até o Final de 2027
Enquanto as empresas se apressavam para adotar a inteligência artificial ao longo de 2025, muitas podem ter negligenciado um problema crítico. A IA não apenas criou novos riscos, mas também expôs fraquezas de infraestrutura que muitas organizações carregam desde o final da década de 1990, segundo especialistas jurídicos.
Um escritório de advocacia está agora instando as empresas a agir imediatamente nas avaliações de risco de IA, alertando que conselhos e reguladores esperam progresso visível na governança da IA. O escritório aponta para pressões crescentes: engenheiros implantando modelos mais rapidamente do que as equipes jurídicas podem revisá-los, contratos de fornecedores que não abordam quem possui os dados de treinamento, e reguladores que estão prestando atenção de perto.
A nova estrutura de risco da Califórnia
De acordo com a nova estrutura de risco obrigatória da Califórnia, as empresas devem incluir avaliações de risco de IA como parte de sua avaliação de risco empresarial até 31 de dezembro de 2027. A recente ordem executiva que estabelece uma estrutura de políticas nacionais de IA sinaliza que a aplicação regulatória federal pode se intensificar, mesmo enquanto estados e o governo federal entram em conflito sobre jurisdição.
O escritório recomenda que as organizações adotem a Estratégia de Gestão de Risco de IA do Instituto Nacional de Padrões e Tecnologia (NIST) como base. Essa estrutura neutra em relação ao setor está se tornando o padrão da indústria e fornece ferramentas práticas de implementação que ajudam as equipes jurídica, de risco e de engenharia a trabalharem juntas de forma eficaz.
Riscos e implicações
O escritório de advocacia alerta: “Queremos que sua equipe evite um cenário como o de descobrir que sua IA de atendimento ao cliente estava tomando decisões de elegibilidade que não estava autorizada a fazer.” Isso destaca a importância do mapeamento da infraestrutura. As empresas precisam saber quem possui as saídas da IA quando os dados dos clientes são treinados pela engenharia, implantados pelas equipes de produto e usados para decisões pelas quais os departamentos jurídicos são responsáveis.
As organizações devem identificar quem tem autoridade para pausar ou substituir sistemas quando surgem riscos.
Abordagem em fases
O escritório delineia uma abordagem em três fases. Nos primeiros três meses, as empresas devem mapear o uso da IA, designar proprietários para riscos e conformidade de IA, e criar um sistema de registro para todos os sistemas de IA em uso. Nos próximos três a nove meses, o foco deve ser na ampliação dos protocolos de teste, revisão de contratos para obrigações específicas de IA e implementação de controles técnicos. A fase final, de nove a dezoito meses e além, envolve monitoramento contínuo por meio de alertas, painéis e detecção de desvios.
Os reguladores compreendem que a perfeição não é imediatamente alcançável. Eles esperam ver progresso visível e uma narrativa de melhoria credível. As empresas devem ter prontos agora: um inventário de sistemas de IA com níveis de risco e propriedade, planos de resposta a incidentes atualizados para riscos específicos de IA e um estatuto para um comitê de governança de IA.
Conclusão
À medida que a IA continua a se desenvolver rapidamente, a mensagem dos especialistas jurídicos é clara: o momento de construir estruturas robustas de governança é agora, não quando os reguladores começarem a fazer perguntas.
