Resumo-chave: a soberania de IA deixa de ser discussão acadêmica e vira gestão de risco estratégico para empresas. Vazamentos alimentados por IA já são relevantes, com custos elevados, e o desafio não está apenas na tecnologia, mas na forma como a IA é operada, regulada e controlada.
Um em cada cinco vazamentos de dados em 2025 teve a inteligência artificial como vetor, segundo o IBM Cost of a Data Breach Report 2025, com custo médio de US$ 670 mil por incidente. Junto disso, 97% das organizações com incidentes envolvendo IA careciam de controles de acesso adequados, e 63% não possuíam política formal de governança. Além disso, 18% dos funcionários copy/pastam conteúdo para IA generativa, e mais da metade desses episódios envolve informação corporativa. Quase 17% das exposições ocorrem por meio de contas pessoais gratuitas, invisíveis para o time de TI.
O cerne do problema não é a IA em si, mas a topologia operacional. Modelos genéricos hospedados fora da jurisdição local processam dados e aprendem com prompts captados. Integrações de 2025 entre ChatGPT, Google Drive, OneDrive e plataformas de transcrição ampliaram o risco para além de um único prompt. Em junho de 2025, a vulnerabilidade ShadowLeak mostrou que agentes autônomos podiam extrair dados sem interação visível do usuário; a OpenAI corrigiu em setembro, mas o vetor continua ativo.
Para setores regulados, onde o dado roda importa tanto quanto o dado em si, a localização do processamento faz diferença. A LGPD regula dados pessoais no Brasil, porém o processamento em infraestrutura no exterior pode ficar sujeito a leis estrangeiras de acesso. O CLOUD Act americano facilita o acesso a dados por autoridades dos EUA, mesmo que armazenados fora. Bancos, hospitais e escritórios de advocacia que utilizam modelos terceirizados enfrentam um quadro regulatório complexo, sem regras claras de não-treinamento.
Golpe regulatório no front europeu e global tornou-se real. França investe em um cloud confiável com certificado SecNumCloud; a Europa atrai investidores com centros próprios — a Mistral AI captou €830 milhões, com um data center próprio na região e milhares de GPUs NVIDIA. O Reino Unido criou, em 2025, a Sovereign AI Unit, com aporte inicial de £500 milhões. A NVIDIA já aponta para a soberania de IA: produzir IA com infraestrutura, dados e força de trabalho próprios, sob controle nacional ou institucional.
No Brasil, o andamento é mais lento: o PL 2338/2023, marco regulatório da IA aprovado pelo Senado em 2024, permanece travado na Câmara. Enquanto isso, o setor privado opera com contratos de IA pública, dados em nuvem estrangeira e prontuários eletrônicos de uso misto, criando custos de gestão de risco sem amparo regulatório estável.
A prática em quatro camadas — infraestrutura, modelos, framework de orquestração e as aplicações que conversam com o cliente — define como a IA funciona, sob que jurisdição responde e por quanto tempo permanece estável. Quem controla essas camadas determina a governança, a explicabilidade e a continuidade do serviço; quem não manda, opera em posição de dependência.
Conexão com o dia a dia corporativo a grande questão não é se IA já está no coração da operação, mas quem segura o botão. Quando decisões automatizadas impactam benefícios, triagens médicas ou pagamentos, é preciso saber onde rodam os dados, quem treina o modelo, quem audita as decisões e o que acontece se o fornecedor mudar de política ou desligar o serviço.
E você, como tem lidado com governança de IA na sua organização? Compartilhe nos comentários suas experiências, dúvidas e estratégias para manter operações seguras, transparentes e em conformidade com a legislação vigente.