Logotipo Calaza Doreto
Proteção de Dados
Inteligência artificial

Política de IA da Receita Federal eleva o padrão de governança para empresas que usam dados e automação

A política é interna à Receita, mas o recado para o mercado é externo

A publicação da política de inteligência artificial da Receita Federal merece atenção para além do setor público. Em fevereiro de 2026, a Receita divulgou a Portaria RFB nº 647, estruturando princípios, diretrizes e salvaguardas para o uso de sistemas de IA no órgão. A comunicação oficial destacou, entre outros pontos, supervisão humana obrigatória, respeito a dados pessoais e sigilosos, transparência, auditabilidade e prevenção de vieses. Em março, a Receita aprofundou essa agenda ao apresentar publicamente a política como um marco de uso ético e seguro da IA, com ênfase em soberania de dados, responsabilidade individual e limites materiais claros para certos usos da tecnologia. 

Esse movimento não cria, por si só, novas obrigações diretas para empresas privadas. O que ele faz é algo talvez mais relevante. Ele altera o ambiente institucional em que organizações passam a operar. Quando a autoridade fiscal incorpora IA com maior sofisticação, capacidade analítica e integração informacional, o custo da inconsistência sobe. Erros operacionais, desalinhamentos entre bases, fragilidades de documentação e usos pouco governados de automação tornam-se mais expostos.

Por isso, a pergunta empresarial correta não é apenas se a Receita utilizará IA em suas rotinas. A pergunta decisiva é outra. A empresa consegue sustentar, com coerência jurídica e operacional, a forma como coleta, trata, cruza, utiliza e explica dados em processos cada vez mais automatizados?

 

O que a política da Receita efetivamente sinaliza

A comunicação oficial da Receita Federal evita uma leitura simplista de automação decisória. O órgão afirma que decisões administrativas e atos legais continuam sendo de competência exclusiva de agentes públicos, vedando o uso de IA para decisões autônomas. A tecnologia deve apoiar análises, triagens e processos internos, sem substituir o juízo humano responsável. Ao mesmo tempo, a política exige sistemas explicáveis, auditáveis e transparentes, com atenção a vieses e direitos individuais. 

Na apresentação pública de março de 2026, a Receita destacou ainda elementos que tornam essa agenda particularmente relevante. Entre eles, a vedação expressa a usos de IA para manipulação subliminar, pontuação social e vigilância em massa, além da proibição de que fornecedores ou terceiros utilizem dados tributários de cidadãos brasileiros para treinar, calibrar ou aprimorar modelos comerciais. O órgão também informou uma estrutura de gestão de riscos em múltiplas camadas e a criação de uma função específica de curadoria para IA generativa.

Lido em conjunto, esse material revela um ponto central. A Receita não está apenas adotando tecnologia. Está construindo uma gramática institucional para o uso defensável da IA. E, quando o Estado eleva seu próprio padrão de governança algorítmica, tende a aumentar também sua sensibilidade para fragilidades de governança do lado privado.

 

Por que isso importa para empresas que usam inteligência artificial

O impacto para o setor privado não decorre de uma transposição automática da política da Receita às empresas. Decorre da combinação de três fatores.

O primeiro é o aumento da capacidade estatal de detectar padrões, anomalias, desvios e inconsistências a partir do cruzamento de múltiplas bases de dados. A Receita já vinha anunciando e desenvolvendo soluções tecnológicas para ampliar detecção de fraudes tributárias e aduaneiras, e a nova política reforça uma direção de uso mais estruturado e institucional dessa capacidade analítica. (Serviços e Informações do Brasil)

O segundo é a maturação do discurso regulatório sobre IA. Mesmo quando a norma é interna ao órgão público, ela ajuda a consolidar expectativas sobre transparência, supervisão, rastreabilidade e responsabilidade no uso de sistemas automatizados. Essas expectativas acabam irradiando para relações com contribuintes, fornecedores de tecnologia, parceiros e ambientes de fiscalização.

O terceiro é que muitas empresas já utilizam IA, automação analítica e motores de decisão de maneira distribuída e, não raro, mal inventariada. Ferramentas de prevenção a fraude, análise cadastral, segmentação comercial, precificação, atendimento automatizado, triagem documental e análise de risco entram na operação antes que a organização tenha clareza suficiente sobre base legal, critérios de decisão, contratos com fornecedores, fluxos de revisão e documentação técnica mínima. Quando o ambiente de controle se torna mais sofisticado, essa informalidade tecnológica cobra seu preço.

 

LGPD, decisões automatizadas e o problema da defensabilidade

No plano jurídico, a LGPD continua sendo o eixo estruturante para analisar usos empresariais de IA baseados em dados pessoais. Isso vale não apenas porque a lei regula o tratamento de dados em meios digitais, mas também porque seu art. 20 assegura ao titular o direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses. 

Convém, porém, evitar uma leitura estreita desse dispositivo. O risco regulatório das empresas não se limita aos casos clássicos de decisão totalmente automatizada. Há um campo mais amplo de vulnerabilidade que envolve sistemas que influenciam fortemente decisões humanas, sem que a organização consiga explicar seus critérios, demonstrar controles, sustentar coerência entre entradas e saídas, ou identificar onde termina o suporte algorítmico e onde começa a deliberação humana.

Em termos práticos, isso alcança contextos como concessão de crédito, análise antifraude, classificação de risco, validação cadastral, ofertas segmentadas, definição de condições comerciais, monitoramento de transações e filtros automatizados de atendimento. Nesses cenários, o problema jurídico não está apenas em o sistema funcionar. Está em a empresa conseguir demonstrar por que funciona daquele modo, quais dados alimentam a lógica decisória, quais salvaguardas reduzem erro ou viés, quem responde pelo processo e como se viabiliza revisão adequada quando necessário.

A opacidade algorítmica, nesse ponto, deixa de ser apenas desafio técnico. Ela se converte em fragilidade regulatória, contratual e probatória.

 

Fiscalização mais analítica exige coerência estrutural, não apenas conformidade formal

Há um equívoco recorrente no mercado de tratar conformidade como um conjunto de documentos estanques. Esse modelo já era insuficiente em matéria de proteção de dados. Em um ambiente de fiscalização mais orientado por dados e automação analítica, ele se torna ainda mais frágil.

O que passa a importar é a coerência estrutural da organização. A base fiscal conversa com a base financeira. A narrativa contratual é compatível com a operação real. O uso de dados declarado internamente corresponde ao uso efetivamente praticado pelas áreas de negócio. Os sistemas automatizados estão refletidos em políticas, inventários, registros, parâmetros de governança e cláusulas contratuais com fornecedores. Os fluxos de decisão conseguem ser reconstituídos de forma minimamente confiável.

Quando essa coerência não existe, pequenos desalinhamentos deixam de parecer ruído administrativo e passam a funcionar como sinais de risco. Nem sempre isso decorre de fraude ou má-fé. Muitas vezes decorre de crescimento desorganizado, adoção fragmentada de tecnologia ou terceirização pouco governada. Mas, do ponto de vista de exposição regulatória, a origem do problema nem sempre reduz sua materialidade.

 

O impacto mais subestimado está na cadeia de fornecedores e no uso de dados por terceiros

Um dos pontos mais interessantes da comunicação pública da Receita é a ênfase em soberania de dados e na vedação ao uso de dados tributários por fornecedores ou terceiros para treinamento e aprimoramento de modelos comerciais. Ainda que essa diretriz se aplique diretamente ao ecossistema da própria Receita, ela acende um alerta empresarial importante. (Serviços e Informações do Brasil)

Grande parte das empresas utiliza soluções de IA fornecidas por terceiros, inclusive serviços em nuvem, modelos fundacionais, APIs de classificação, ferramentas de monitoramento e plataformas analíticas. Nem sempre há visibilidade suficiente sobre retenção de prompts, reaproveitamento de entradas para treinamento, localização da infraestrutura, segregação de ambientes, suboperadores envolvidos ou possibilidade real de auditoria contratual.

Esse é um ponto sensível porque o risco já não está apenas naquilo que a empresa faz diretamente com seus dados. Está também no que ela permite que terceiros façam, inclusive de forma técnica ou contratualmente opaca. Em matéria de IA, a governança de fornecedores tende a se tornar um dos temas mais relevantes dos próximos ciclos regulatórios.

 

Quais impactos concretos devem entrar no radar empresarial

Para empresas que usam dados intensivamente, especialmente em contextos regulados ou com alta criticidade operacional, a política da Receita reforça ao menos cinco implicações práticas.

  1. A primeira é a necessidade de inventariar usos reais de IA e automação analítica. Muitas organizações ainda discutem IA como pauta estratégica enquanto convivem com usos operacionais não mapeados dentro da própria casa.

  2. A segunda é a necessidade de separar o que é mera automação de fluxo, o que é apoio analítico e o que já configura influência material ou decisão automatizada com impacto jurídico, econômico ou reputacional relevante. Sem essa taxonomia mínima, a empresa não consegue priorizar controles.

  3. A terceira é a documentação. Não basta afirmar que existe supervisão humana, critério de revisão ou aderência à LGPD. É preciso que esses elementos sejam demonstráveis em processo, política, instrução interna, desenho de sistema, registro de operação, contrato com fornecedor e evidência de monitoramento.

  4. A quarta é a integração entre áreas. Jurídico, compliance, tecnologia, segurança da informação, fiscal, financeiro e áreas de negócio precisam operar com alguma linguagem comum. Sem isso, a organização tende a ter discursos de conformidade sofisticados e operação fragmentada.

  5. A quinta é a revisão contratual do ecossistema tecnológico. Em muitos casos, o ponto mais vulnerável não está no algoritmo interno, mas na dependência de soluções terceiras sem cláusulas adequadas sobre uso de dados, subcontratação, retenção, auditoria, segurança, responsabilidade e resposta a incidentes.

 

O que muda agora, na prática

A política da Receita Federal não significa que toda empresa que use IA passou a estar sob uma nova obrigação específica imposta pela autoridade fiscal. Essa leitura seria apressada. O que muda, de forma mais sutil e mais importante, é o padrão do ambiente institucional.

O Estado amplia sua capacidade de leitura, correlação e triagem. O debate sobre IA amadurece em torno de supervisão, auditabilidade, risco e responsabilidade. E o mercado perde espaço para sustentar operações tecnológicas pouco explicáveis, pouco documentadas ou internamente incoerentes.

Em outras palavras, o uso de IA deixa de ser avaliado apenas por eficiência ou inovação. Passa a ser testado também por sua capacidade de resistir à pergunta regulatória básica que tende a ganhar força nos próximos anos: como, com quais dados, sob quais critérios, com quais controles e sob responsabilidade de quem esse sistema está operando?

 

Opinião Calaza Doreto

A política de inteligência artificial da Receita Federal é relevante menos pelo que impõe diretamente ao setor privado e mais pelo que revela sobre a direção do ambiente regulatório e fiscal brasileiro. O ponto não está apenas na adoção de IA pelo Estado, mas na elevação do padrão esperado de governança, rastreabilidade e responsabilidade em ecossistemas intensivos em dados.

Para empresas, isso exige abandonar tanto o entusiasmo acrítico quanto a reação meramente defensiva. O desafio real está em transformar uso de IA em uso governado de IA. E isso depende menos de discurso de inovação e mais de coerência operacional, documentação robusta, desenho contratual adequado e capacidade de explicação diante de clientes, titulares, parceiros e autoridades.

Quem tratar IA apenas como vetor de produtividade provavelmente descobrirá tarde que a questão mais sensível era outra. Não bastava automatizar. Era preciso conseguir sustentar juridicamente, tecnicamente e institucionalmente essa automação.

O mercado ainda tende a discutir inteligência artificial em chave de eficiência. A Receita Federal ajuda a deslocar essa conversa para um ponto mais maduro. Em ambientes regulados e intensivos em dados, IA também é tema de governança, de responsabilidade e de sustentação probatória.

O aspecto mais subestimado desse movimento está na mudança de assimetria. Quando a autoridade pública amplia sua capacidade de cruzar informações, reconhecer padrões e operar com apoio algorítmico sob regras próprias de supervisão e controle, a empresa passa a ser observada em um ambiente menos tolerante a improvisos, inconsistências e lacunas de explicação. Não se trata apenas de mais fiscalização. Trata-se de fiscalização mais inteligível, mais contínua e potencialmente mais sensível a fragilidades estruturais.

Há outro ponto que merece atenção. Muitas organizações ainda tratam governança de IA como algo futuro, sofisticado ou restrito a grandes operações. Esse raciocínio já está envelhecendo. Em diversos setores, o risco não nasce de um grande sistema autônomo, mas de pequenas automações distribuídas, fornecedores pouco escrutinados, integrações mal documentadas e decisões operacionalmente influenciadas por lógicas que ninguém consegue reconstruir com segurança.

Por isso, o tema merece atenção agora. Não porque toda empresa esteja diante de uma ruptura normativa imediata, mas porque o padrão de diligência esperado está mudando diante dos nossos olhos. O erro estratégico é imaginar que inovação e conformidade são agendas paralelas. Em matéria de IA, elas já se tornaram parte do mesmo problema.

fala

Entre em contato

Entre em contato e vamos transformar uma simples troca de mensagens em uma parceria incrível. E claro, se quiser, a gente combina aquele café!

whatsapp

Whatsapp

+55 34 98899-1002

email

E-mail

contato@calazadoreto.com

email

Endereço

R. Javarí, 138 - Lídice, Uberlândia - MG, 38400-146

Nossas redes sociais

InstagramLinkedinFacebookFacebook
WhatsApp
Política de IA da Receita Federal eleva o padrão de governança para empresas que usam dados e automação | Calaza Doreto