O que a empresa precisa adequar antesdo PL 2338 ser aprovado.
Auditoria de conformidade de IA para identificar a exposição ao PL 2338/2023 antes da aprovação. Inventário de sistemas de IA, classificação de risco, gaps de governança e plano de adequação com priorização.
- →Inventário de Sistemas de IA
- →Classificação de Risco
- →Mapa de Gaps de Governança
- →Análise de Exposição Contratual
- →Plano de Adequação
O que é a Auditoria de Compliance IA.
Auditoria de Compliance IA é o diagnóstico de exposição regulatória da empresa ao PL 2338/2023 (Marco Legal da IA no Brasil). O PL foi aprovado pelo Senado em dezembro de 2024 e tramita na Câmara com votação prevista para 2026. A auditoria mapeia todos os sistemas de IA em uso, classifica cada um por nível de risco conforme o texto do PL, identifica as obrigações aplicáveis (AIA, logs, HITL, política de IA, responsável formal) e entrega o plano de adequação priorizado. Empresas que iniciam a adequação antes da aprovação chegam com a estrutura pronta quando a lei entrar em vigor. Empresas que esperam começam atrasadas com prazo de adequação correndo.
Quando a auditoria faz sentido.
Agentes de IA em produção sem inventário formalizado
A empresa usa IA em múltiplos processos mas não tem um registro de quais sistemas estão ativos, quem é o responsável e qual o nível de risco de cada um.
Decisões automatizadas que afetam clientes ou colaboradores
Agente de crédito, sistema de triagem de RH, atendimento com decisão autônoma. Sistemas de alto risco pelo PL 2338 com obrigações específicas de governança.
LGPD implementada mas IA fora do escopo de privacidade
A empresa tem maturidade em LGPD mas não mapeou como os dados de clientes estão sendo enviados para APIs externas de IA.
Sem política interna de uso de IA
Colaboradores usando ChatGPT, Claude e Gemini com dado de clientes sem nenhuma política interna definindo o que é permitido.
Contratos com clientes sem cláusula de IA
Contratos assinados antes de IA ser operacional não cobrem responsabilidade por decisão automatizada ou transferência de dados para fornecedores de modelo.
Time jurídico sem mapeamento dos termos dos fornecedores de IA
Os Data Processing Terms da OpenAI, da Anthropic e do Google foram aceitos sem análise jurídica das implicações para os dados da empresa.
Entregáveis concretos. Não relatório genérico.
Inventário de Sistemas de IA
Mapeamento de todos os sistemas de IA em uso com responsável, escopo e dados processados.
Classificação de Risco
Cada sistema classificado por nível de risco conforme o PL 2338: alto risco, risco moderado ou uso geral.
Mapa de Gaps de Governança
O que está faltando em cada sistema: AIA, logs, HITL, política, ownership formal.
Análise de Exposição Contratual
Gaps nos contratos com clientes e nos termos com fornecedores de IA.
Plano de Adequação
Recomendações priorizadas com o que implementar antes da aprovação e o que pode ser feito no período de vacatio legis.
Estrutura de Governança Mínima
As obrigações mínimas que a empresa precisa ter antes da lei entrar em vigor.
Do diagnóstico ao plano de ação.
Etapa 01 — Inventário de IA
Mapeamento de todos os sistemas de IA em uso: quem usa, para quê, quais dados processa e quem é o responsável.
Entregável: Inventário completo de sistemas de IA com escopo e responsável.Etapa 02 — Classificação de Risco
Cada sistema classificado pelo critério do PL 2338: afeta decisões sobre crédito, emprego, saúde, educação ou segurança? Qual o nível de autonomia?
Entregável: Mapa de risco por sistema com obrigações aplicáveis.Etapa 03 — Gap Analysis
Comparação entre o estado atual e as obrigações do PL 2338. O que está faltando em cada sistema de alto risco.
Entregável: Lista de gaps com impacto e esforço de resolução estimados.Etapa 04 — Plano de Adequação
Sequência de implementação das obrigações: o que fazer antes da aprovação, o que pode esperar o vacatio legis e o que precisa de terceiro especializado.
Entregável: Plano de adequação com prioridades, responsáveis e prazos.O que muda com a auditoria.
7 sistemas de IA em produção. Nenhum inventariado, nenhum com AIA, 2 processando dado de cliente sem política.
Inventário completo, 3 sistemas classificados como alto risco, plano de AIA e HITL com prioridade definida.
Lei aprovada. Empresa descobre que tem 90 dias para adequar os sistemas de alto risco.
Adequação feita antes da aprovação. Empresa já chega conforme quando a lei entra em vigor.
Resultado: O PL 2338/2023 prevê sanções de até R$50 milhões por infração para sistemas de IA de alto risco. Empresas com maturidade em LGPD têm vantagem real: os processos de mapeamento de dados e gestão de riscos são a base da governança de IA.
Escolha pela profundidade — todos os entregáveis estão inclusos.
Pagamento único. Entrega entre 10 e 30 dias úteis conforme carga horária.
Diagnóstico inicial com até 12h de entrevistas com colaboradores e C-levels.
- Até 12h de entrevistas
- Todos os entregáveis
- Plano de ação priorizado
Mapeamento completo com até 24h de entrevistas.
- Até 24h de entrevistas
- Todos os entregáveis
- Plano de ação priorizado
Auditoria profunda com até 48h de entrevistas.
- Até 48h de entrevistas
- Todos os entregáveis
- Plano de ação priorizado
Auditoria customizada com carga horária e número de entrevistas sob medida.
- Todos os entregáveis
- Escopo sob medida
Perguntas frequentes.
Não. Aprovado pelo Senado em dezembro de 2024, tramita na Câmara com previsão de votação em 2026. Após a aprovação, haverá vacatio legis. A adequação preventiva é a estratégia mais prudente.
O PL 2338 não pergunta se a empresa estava preparada. Só quando foi sancionada.
A Agio mapeia a exposição, classifica os riscos e entrega o plano de adequação antes que a lei exija.