O DPO será o responsável pela governança de IA?

A discussão sobre quem deve liderar a governança em inteligência artificial dentro das organizações deixou de ser teórica. Na Europa, o EU AI Act já está em vigor e vem sendo aplicado por etapas. No Brasil, o PL 2.338/2023 foi aprovado no Senado em dezembro de 2024 e enviado à Câmara dos Deputados em março de 2025. Em setores específicos, já existem regras concretas, como a Resolução CNJ nº 615/2025, que estabelece diretrizes de desenvolvimento, uso e governança de IA no Poder Judiciário. Paralelamente, a própria ANPD incluiu inteligência artificial e tecnologias emergentes entre os temas prioritários de fiscalização para 2026–2027 e manteve IA na Agenda Regulatória 2025–2026.

Nesse cenário, a pergunta “o DPO será o responsável pela governança de IA?” ganhou relevância prática. E a resposta mais correta é a seguinte: depende do contexto organizacional, mas, em regra, o DPO não deveria ser o único dono da governança de IA, nem automaticamente o seu responsável principal em sentido amplo. Em muitas organizações, o DPO pode e deve ocupar papel central. Mas transformar esse papel em titularidade exclusiva da agenda de IA costuma ser simplificador demais e, em certos casos, juridicamente ou operacionalmente inadequado.

Por que essa dúvida surgiu

A dúvida não é artificial. Ela nasce de uma proximidade real entre as agendas de privacidade e de IA.

O EU AI Act trabalha com lógica de classificação de risco, obrigações de governança, medidas técnicas e organizacionais, supervisão humana, documentação, monitoramento, registro, avaliação de impactos e treinamento adequado das pessoas que operam ou utilizam sistemas de IA. O regulamento também distribui obrigações entre diferentes atores, como providers e deployers, em vez de concentrá-las em uma única função corporativa. Para deployers de sistemas de alto risco, por exemplo, o ato exige medidas técnicas e organizacionais adequadas, supervisão humana por pessoas com competência, treinamento e autoridade, além de monitoramento e retenção de logs sob seu controle.

O texto aprovado no Senado para o PL 2.338/2023 também segue uma arquitetura de governança. Prevê classificação de risco, medidas de governança para sistemas de alto risco, avaliação de impacto algorítmico e um Sistema Nacional de Regulação e Governança de Inteligência Artificial, o SIA, coordenado pela ANPD como autoridade competente. O próprio parecer legislativo indica expressamente a designação da ANPD para coordenar esse sistema, e o texto aprovado atribui à ANPD funções normativas, orientativas, regulatórias e sancionatórias no arranjo institucional proposto.

No Judiciário, a Resolução CNJ nº 615/2025 adota lógica semelhante. Classifica aplicações por risco, exige auditoria e monitoramento contínuos para soluções de alto risco, determina medidas de governança antes da entrada em produção e admite até avaliação de impacto algorítmico, com supervisão humana efetiva ao longo do ciclo de vida das soluções.

A intuição faz sentido. Mas ela tem limites.

O que o DPO realmente faz e por que isso importa para IA

Na LGPD brasileira, o encarregado atua como canal de comunicação entre o controlador, os titulares e a ANPD. A regulamentação da ANPD também reforça que ele deve orientar funcionários e contratados sobre práticas relacionadas à proteção de dados pessoais, receber comunicações da autoridade, acolher demandas dos titulares e atuar com autonomia técnica. Além disso, o agente de tratamento deve prover recursos humanos, técnicos e administrativos, ouvir o encarregado em decisões estratégicas relacionadas ao tratamento de dados e assegurar acesso direto às instâncias decisórias da organização.

Na Europa, o quadro é parecido. O EDPB resume que o DPO deve atuar de forma independente, sem receber instruções quanto ao desempenho de suas funções, e pode acumular outras tarefas apenas quando isso não gerar conflito de interesses. O board europeu também destaca que o DPO não deve ocupar função em que determine as finalidades e os meios do tratamento de dados pessoais.

Esse desenho institucional torna o DPO especialmente valioso em agendas de IA por cinco razões.

1. A primeira é que boa parte das aplicações de IA, especialmente as corporativas, envolve tratamento de dados pessoais, frequentemente em escala, com potencial impacto relevante sobre pessoas.
2. A segunda é que a agenda de IA responsável compartilha com a privacidade a lógica de foco em direitos, mitigação de riscos e prestação de contas.
3. A terceira é que o DPO já costuma atuar como ponto de tensão saudável entre inovação e proteção de pessoas.
4. A quarta é que o DPO frequentemente já conhece o mapa de dados, os fluxos internos, fornecedores, incidentes, direitos dos titulares e avaliações de impacto.
5. A quinta é que o texto do PL 2.338/2023 aproxima ainda mais as agendas ao prever que, quando houver também RIPD nos termos da LGPD, a avaliação de impacto algorítmico poderá ser realizada em conjunto com esse documento.

Esse ponto é importante. Ele mostra que, do ponto de vista regulatório, há sobreposição parcial entre privacidade e IA. Mas sobreposição parcial não é o mesmo que identidade plena.

O erro mais comum: confundir governança de IA com governança de dados na IA

O DPO costuma ser figura natural para liderar ou coconduzir a governança de proteção de dados relacionada à IA. Isso inclui, por exemplo, avaliação de base legal quando houver tratamento de dados pessoais, análise de finalidade, necessidade e minimização, revisão de transparência e avisos, apoio em RIPD e avaliações correlatas, interface com direitos das pessoas afetadas, revisão de compartilhamentos e transferências e governança de incidentes quando a IA processa dados pessoais.

Mas a governança de IA é mais ampla do que isso.

Ela pode envolver segurança de modelo, documentação técnica, robustez, acurácia, supervisão humana operacional, testes, monitoramento pós implantação, validação de dados de entrada, logs, governança de fornecedores, classificação regulatória por risco, explicabilidade proporcional, treinamento dos usuários, compliance setorial, temas trabalhistas, consumeristas, concorrenciais, direitos autorais, propriedade intelectual, gestão de produto e responsabilidade civil. O próprio EU AI Act distribui obrigações entre diferentes agentes e exige competências técnicas e organizacionais para a supervisão humana dos sistemas, não apenas sensibilidade jurídica ou de privacidade.

Então o DPO pode ser o responsável?

Pode, mas não automaticamente, e não em qualquer desenho.

Em organizações menores, com baixa complexidade tecnológica, poucos casos de uso e forte centralização das funções de governança, o DPO pode ser um bom candidato para liderar a implementação inicial da agenda de IA responsável, desde que receba apoio técnico, recursos, participação das áreas de negócio e delimitação clara de escopo. Nesses ambientes, a velocidade de implantação e o reaproveitamento de estruturas já existentes de LGPD podem ser vantagens reais. O próprio regime do encarregado no Brasil admite acumulação de funções, desde que não exista conflito de interesse e seja possível o pleno atendimento das atribuições.

Mas há um ponto regulatório importante. Nem na LGPD nem na regulamentação da ANPD o encarregado é o responsável legal pela governança do controlador. A Resolução CD/ANPD nº 18/2024 é expressa ao dizer que o agente de tratamento é o responsável pela conformidade do tratamento de dados pessoais e que o desempenho das atividades do encarregado não lhe confere a responsabilidade, perante a ANPD, pela conformidade do tratamento realizado pelo controlador.

Essa lógica ajuda a responder a pergunta sobre IA. Mesmo quando o DPO lidera, assessora ou coordena parte importante do programa, a responsabilidade organizacional não se transfere para ele como pessoa ou função isolada. Em termos de boa governança, o mais adequado é pensar a governança de IA como responsabilidade institucional distribuída, com patrocínio da alta administração e papéis claramente definidos entre jurídico, privacidade, segurança, tecnologia, produto, compliance, risco, auditoria e negócio.

As vantagens de colocar o DPO no centro da agenda de IA

Ainda assim, há bons argumentos para colocar o DPO em posição central, especialmente nas fases iniciais.

• O primeiro é a familiaridade com governança orientada a pessoas. A IA regulada, no EU AI Act, no PL 2.338/2023 e na Resolução 615 do CNJ, não é tratada apenas como tema de eficiência, mas como tema de riscos a direitos fundamentais, justiça, privacidade, não discriminação e supervisão humana. O DPO já opera com essa gramática.
• O segundo é a cultura de accountability. O DPO já costuma trabalhar com inventário, processos, registros, controles, bases legais, incidentes, respostas a titulares, rastreabilidade e prestação de contas. Isso cria uma base útil para estruturar políticas de IA, critérios de uso, workflows de revisão e avaliação de riscos.
• O terceiro é a proximidade com o impacto em pessoas. O EU AI Act exige, em certas hipóteses, fundamental rights impact assessment para deployers de sistemas de alto risco. O PL 2.338/2023 fala em avaliação de impacto algorítmico e admite integração com RIPD. A convergência conceitual é evidente.
• O quarto é a independência relativa. Tanto no regime europeu quanto na regulamentação brasileira do encarregado existe a preocupação com autonomia técnica, acesso à alta administração e prevenção de conflitos de interesse. Isso pode ser útil para questionar projetos de IA de alto impacto sem ficar subordinado à pressão puramente comercial ou de entrega.
• O quinto é pragmático. Em empresas que já alcançaram alguma maturidade em LGPD, a estrutura existente pode ser expandida com mais rapidez para cobrir IA, ao menos em sua camada de governança, política, inventário e risco.

As desvantagens e por que elas são sérias

Os riscos de centralizar tudo no DPO também são reais.

• O primeiro é a sobrecarga. O DPO já costuma concentrar demandas de titulares, incidentes, contratos, treinamentos, consultas internas, revisões de produtos, fornecedores, transferências internacionais e interlocução regulatória. Acrescentar a ele a agenda inteira de IA pode produzir cobertura superficial justamente onde a organização mais precisaria de profundidade.
• O segundo é a lacuna técnica. A governança de IA exige compreender arquitetura, treinamento, testes, deriva de modelo, performance, limitações, supervisão humana operacional, documentação técnica e riscos específicos do caso de uso. Nenhum marco regulatório sério supõe que isso possa ser resolvido apenas por uma função jurídica ou de privacidade. O EU AI Act, por exemplo, fala expressamente em pessoas com competência, treinamento e autoridade para realizar a supervisão humana.
• O terceiro é o conflito de interesses. A ANPD define conflito de interesse como situação capaz de comprometer a objetividade e o julgamento técnico do encarregado. A norma ainda diz que o conflito pode surgir quando ele acumula atividades que envolvam tomada de decisões estratégicas sobre o tratamento de dados pessoais. O EDPB vai na mesma direção ao indicar que o DPO não deve ocupar cargo que determine finalidades e meios do tratamento.

Aplicando essa lógica à IA, há um risco evidente. Se o DPO passa a ser também o dono do produto de IA, ou o decisor final sobre sua implantação, orçamento, estratégia comercial ou desenho funcional, pode sair da posição de controle, aconselhamento e challenge para assumir uma posição de decisão operacional que enfraquece sua independência. Isso não significa que o DPO não possa participar da governança de IA. Significa apenas que há limites para não transformar a função revisora em função executora.

• O quarto é o escopo regulatório mais amplo da IA. Mesmo quando não há dados pessoais, ainda pode haver riscos regulatórios ou éticos relevantes em IA. Direitos autorais, discriminação não baseada em dados pessoais identificáveis, segurança do sistema, integridade da informação, consumo, relações de trabalho e compliance setorial podem extrapolar o mandato típico do DPO.
• O quinto é a dependência excessiva de uma pessoa. Programas maduros não podem depender do heroísmo individual do encarregado. Precisam de estrutura, comitê, papéis, trilhas de decisão e processos repetíveis.

O modelo mais sólido: DPO como pilar, não como dono solitário

Na maior parte das organizações, o desenho mais robusto tende a ser este: o DPO é uma peça central da governança de IA, mas não o único responsável por ela.

Em termos práticos, isso costuma significar que a alta administração atua como patrocinadora e responsável institucional, que exista uma instância formal de governança, comitê ou fórum de IA, que tecnologia e produto sejam responsáveis pela arquitetura, testes, monitoramento e controles operacionais, que jurídico e compliance apoiem interpretação normativa, contratos, responsabilidade e governança corporativa, que segurança da informação avalie riscos técnicos, incidentes, acessos e resiliência, que risco e auditoria contribuam com metodologia e verificação, e que o DPO lidere ou coconduza a camada de proteção de dados, direitos das pessoas, impacto, accountability e interface regulatória quando houver tratamento de dados pessoais.

Esse desenho conversa melhor com a realidade normativa atual. O EU AI Act não cria um AI DPO. Ele distribui obrigações por papéis e exige governança concreta do operador e do fornecedor. O PL 2.338/2023 também não transforma o DPO em responsável universal pela IA. Ele estrutura um sistema regulatório e impõe deveres a agentes de IA conforme risco e função. A Resolução CNJ 615/2025 também fala em mecanismos de governança, pessoas ou comitês internos responsáveis, auditoria, monitoramento e avaliação de impacto, e não em delegação integral a uma função única.

Quando faz sentido o DPO liderar

Há situações em que faz sentido colocar o DPO como líder executivo da agenda de IA responsável, ao menos temporariamente.

Isso ocorre quando a organização ainda não possui estrutura de compliance digital mais ampla, quando os casos de uso de IA são poucos e fortemente baseados em dados pessoais, quando a IA está sendo adotada mais como ferramenta interna do que como produto central, quando o DPO tem boa senioridade, visão transversal e acesso efetivo à alta gestão, e quando existe apoio técnico real das áreas de tecnologia, produto, segurança e negócio.

Nesses casos, o DPO pode ser o catalisador da implantação, incluindo política de uso, inventário de sistemas, classificação de risco, questionários, gatilhos de avaliação de impacto, trilha de aprovação, critérios de uso de IA generativa, revisão de contratos e estruturação de comitê.

Mas mesmo nesse cenário, o melhor desenho continua sendo liderança coordenadora, e não apropriação exclusiva da agenda.

Quando não faz sentido

Há cenários em que não é recomendável que o DPO seja o responsável principal.

Isso acontece em empresas com muitos modelos e produtos baseados em IA, em ambientes em que a IA é parte central da estratégia comercial, em organizações com forte regulação setorial, em contextos de alto risco, inclusive biometria, emprego, crédito, saúde, educação ou decisões com efeitos relevantes, em estruturas em que o DPO já atua no limite da capacidade, e em ambientes em que a função acabaria acumulando poder decisório incompatível com sua independência.

Nesses casos, o ideal é uma governança própria de IA, com owner executivo específico, comitê multidisciplinar e participação formal do DPO como guardião da dimensão de dados e impacto em pessoas.

Qual é a melhor resposta, então?

A melhor resposta é esta: o DPO não deve ser presumido como responsável único pela governança de IA, mas pode ser um dos principais líderes dessa agenda, especialmente naquilo que toca direitos das pessoas, governança, accountability e proteção de dados.

Em empresas pequenas ou em fase inicial de maturidade, ele pode até assumir papel de coordenação mais amplo, desde que haja apoio técnico e ausência de conflito de interesses. Em organizações maiores ou com IA mais estratégica, a solução mais madura tende a ser um modelo distribuído, com governança multidisciplinar, ownership claro e participação forte do DPO sem reduzir toda a governança de IA à governança em proteção de dados.

Conclusão

A pergunta “o DPO será o responsável pela governança de IA?” é relevante justamente porque a IA regulada se parece, em vários pontos, com a agenda de proteção de dados: foco em pessoas, inventário, risco, impacto, governança, transparência, controles e demonstrabilidade. O EU AI Act, o PL 2.338/2023 e a Resolução CNJ nº 615/2025 confirmam essa aproximação, enquanto a própria ANPD já coloca IA entre seus temas prioritários de fiscalização.

Mas a resposta madura não é transferir toda a agenda de IA para o DPO. É reconhecer que o DPO tem papel central, muitas vezes indispensável, sem ignorar que a governança de IA é mais ampla do que privacidade e exige competências técnicas, organizacionais e setoriais distribuídas.