O desafio não está mais na norma — está na capacidade de provar o controle
Os tempos da responsabilidade declaratória e da inefetividade operacional das políticas acabaram.
Instituições financeiras, fintechs, empresas de ativos virtuais, plataformas de apostas e organizações intensivas em dados passaram a operar sob um novo paradigma regulatório: não basta possuir políticas, processos e controles declaratórios. É necessário produzir evidências contínuas de governança.
A convergência regulatória observada nos últimos anos deixa isso cada vez mais claro.
Normas como a Resolução CMN nº 4.658/2018, a Resolução CMN nº 4.893/2021, a Resolução CMN nº 5.037/2022, os normativos do Open Finance, as exigências relacionadas ao Pix, a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), a Lei nº 14.478/2022 para ativos virtuais e até os debates internacionais sobre governança de inteligência artificial apontam para uma mesma direção: capacidade contínua de demonstrar controle, rastreabilidade e supervisão operacional.
Da conformidade documental para o compliance observável
Durante muitos anos, compliance foi interpretado como um exercício predominantemente documental. Políticas corporativas, matrizes de risco, fluxos de aprovação e auditorias periódicas eram considerados suficientes para demonstrar aderência regulatória, mas esse frágil modelo começa rapidamente a se tornar insuficiente.
Essa mudança já era algo esperado, pois grande parte desse sistema foi construído baseado em responsabilidade declaratória, com informações que dificilmente eram verificáveis.
Nesse novo momento, o regulador deixou de perguntar apenas se existe uma política. E por política entenda “documento formal onde se declara fazer algo”.
Agora o regulador vai além, ele quer saber:
- quem acessou determinado dado;
- quando esse acesso ocorreu;
- se aquele comportamento era compatível com a função exercida;
- quais informações foram compartilhadas;
- se houve movimentação anômala;
- e se a organização consegue reconstruir tudo isso de forma auditável.
LGPD: privacidade deixou de ser apenas tema jurídico
O mesmo acontece com o tema Privacidade de Dados. A LGPD vem acelerando ainda mais essa transformação com seu art. 6º que estabelece princípios como prestação de contas e responsabilização. O art. 37 exigindo registro das operações de tratamento, o art. 46 determinando a adoção de medidas técnicas e administrativas aptas a proteger dados pessoais, e o art. 48 reforçando obrigações relacionadas à comunicação de incidentes de segurança.
Isso significa que não basta mais apenas afirmar que existe proteção adequada, é necessário demonstrar visibilidade, rastreabilidade, gestão de acessos, monitoramento e capacidade contínua de supervisão.
Data-Centric Compliance: a nova estrutura do compliance moderno
A maturidade regulatória começa a migrar para um modelo cada vez mais orientado a dados, mesclando as áreas de Compliance, Privacidade e Cybersegurança.
Nesse contexto, surge uma abordagem que pode ser chamada de Data-Centric Compliance. Um modelo em que compliance depende diretamente da capacidade de observar, governar e proteger informações críticas em tempo real.
Essa nova tendência impulsiona o mercado para buscar soluções que atuam na camada que se tornou central para reguladores: o dado. A tecnologia deixa de ser apenas suporte passa a integrar diretamente a capacidade regulatória das organizações, exigindo uma integração ímpar entre Compliance a área de tecnologia.
Um desafio urgente: governança de IA
Falar de dados em 2026 é impossível sem mencionar inteligência artificial, que criou uma nova categoria de risco invisível e um desafio de governança: Como provisionar o uso seguro das IAs?
Discussões regulatórias relacionadas ao Projeto de Lei nº 2.338/2023, ao EU AI Act europeu, à ISO/IEC 42001 e ao NIST AI Risk Management Framework demonstram que governança de IA cada vez mais tende a se tornar uma das próximas grandes agendas regulatórias globais.
Muitas organizações já possuem políticas relacionadas ao uso de IA generativa, mas poucas possuem governança efetiva sobre o que mais importa:
- quais ferramentas estão sendo utilizadas;
- quais dados estão sendo compartilhados com modelos generativos;
- quais usuários utilizam IA corporativa;
- quais prompts expõem informações críticas;
- quais riscos operacionais surgem desse novo ambiente;
- e, como demonstrar evidências de uso seguro de IA.
Podemos esperar grandes problemas para organizações que não estão se preocupar em usar IA com segurança e governança.
Por fim, podemos concluir que, atualmente, confiança não se declara se evidencia.
O Compliance que historicamente foi construído sobre documentos, processos e declarações formais, agora caminha com clara tendência de exigir que a maturidade regulatória seja medida pela capacidade de produzir evidências contínuas de governança.
Porque, no fim, o desafio já não está apenas na norma, mas na capacidade evidenciar o controle imposto por ela. Os tempos da responsabilidade declaratória e da inefetividade operacional das políticas acabaram.
Conheça o Curso de Governança de Inteligência Artificial e Proteção de Dados
