Governança de Agentes IA: Do Guardrail ao Compliance Auditável

Em abril de 2026, a Cloud Security Alliance publicou um research note alertando para um dado que deveria parar qualquer gestor que opera agentes de IA em produção: 82% das empresas já possuem agentes de IA ou workflows que suas equipes de segurança desconhecem (Cloud Security Alliance, 2026). O fenômeno, batizado de shadow agents, é o equivalente organizacional da shadow IT que consumiu TI corporativa nos anos 2000, mas com uma diferença que torna o risco qualitativamente maior: agentes autônomos tomam decisões, acessam sistemas e modificam dados em velocidade de máquina, sem que ninguém esteja olhando.

O problema não é apenas técnico. É institucional. Os frameworks de governança que as empresas usam foram projetados para software determinístico: dado um input X, o sistema produz output Y, e um humano pode revisar o código para verificar. Agentes de IA violam essa premissa em todos os níveis. Suas saídas são probabilísticas, seu raciocínio é opaco, suas sequências de ação emergem do contexto em vez de caminhos de código explícitos, e eles podem delegar tarefas a outros agentes, criando cadeias de responsabilização que nenhum modelo de governança tradicional antecipou (Zylos AI Research, 2026).

Este artigo mapeia o caminho do guardrail pontual ao compliance auditável: por que abordagens reativas não servem, o que muda no cenário regulatório global em 2026, como o Brasil se posiciona com o Marco Legal da IA e a LGPD, e quais camadas técnicas e organizacionais toda empresa que opera agentes precisa implementar para que a inovação não vire passivo jurídico.

Por que agentes quebram os modelos tradicionais de governança

Três propriedades tornam agentes qualitativamente mais difíceis de governar do que software convencional.

Comportamento emergente em runtime. As ações específicas de um agente não são determinadas no design time. Elas emergem do raciocínio do modelo sobre o contexto atual. Isso significa que testes e code review capturam apenas uma fração da superfície de risco. Um agente que se comporta corretamente em testes pode tomar ações inesperadas quando encontra um edge case em produção que seus autores nunca anteciparam (Zylos AI Research, 2026).

Acesso privilegiado persistente. Diferente de um usuário que faz login, executa uma tarefa e sai, um agente pode manter credenciais de service account, tokens OAuth e acesso a sistemas indefinidamente. Shadow agents frequentemente retêm acesso de alto privilégio muito depois de seu propósito original ter sido atendido, criando uma superfície de ataque persistente.

Cadeias de delegação e responsabilização difusa. Quando um agente orquestrador delega para um sub-agente que chama uma API que modifica um banco de dados, a cadeia de responsabilização atravessa múltiplas camadas. Modelos de segurança tradicionais, baseados em quem autenticou, falham quando agentes autenticam em nome de usuários que podem não conhecer as ações específicas sendo tomadas.

Gartner projeta que 40% das aplicações enterprise terão agentes de IA task-specific até o final de 2026, contra menos de 5% em 2025 (Zylos AI Research, 2026). A lacuna entre a velocidade de deployment de agentes e a maturidade dos controles está se ampliando mais rápido do que a maioria das organizações reconhece.

O caso Moffatt v. Air Canada (2024) estabeleceu um precedente legal crítico: organizações são responsabilizadas pelas promessas "não determinísticas" feitas por seus agentes autônomos, mesmo quando essas ações contradizem a política interna (California Management Review, 2026). O episódio do chatbot "rogue" da DPD demonstrou como a falta de monitoramento comportamental em tempo real permite que agentes se desviem para ações não intencionais, como criticar a própria empresa, após uma atualização de sistema alterar o comportamento.

O cenário regulatório global em 2026

EU AI Act: enforcement a partir de agosto de 2026

O EU AI Act entrou em vigor em 1 de agosto de 2024. A data de 2 de agosto de 2026 não é um prazo de compliance: é quando a Comissão Europeia ganha poderes de enforcement e pode impor multas de até 35 milhões de euros ou 7% do faturamento global anual, o que for maior (Zylos AI Research, 2026).

A aplicação do Act a agentes de IA autônomos depende do domínio de aplicação, não da arquitetura técnica. Um agente usado para decisões de recrutamento, avaliação de crédito, gestão de infraestrutura crítica ou apoio à decisão clínica aciona a classificação de sistema de IA de alto risco sob o Anexo III, independentemente de usar o mesmo modelo base que um chatbot de baixo risco.

Obrigações para sistemas de IA de alto risco aplicam-se diretamente a agentes:

• Documentação técnica cobrindo lógica de decisão, arquitetura do modelo e procedimentos de treinamento
• Avaliações de conformidade antes do deploy
• Procedimentos de gestão de risco mantidos durante todo o ciclo de vida
• Mecanismos de supervisão humana com pontos de intervenção documentados
• Geração automática de logs retidos por mínimo de 6 meses (Artigo 19)
• Registro no banco de dados público de IA da UE

A armadilha do deployer. A maioria dos times de agentes de IA enterprise não são providers (quem treinou o modelo): são deployers (quem aplica um modelo de terceiro a um caso de uso específico). O EU AI Act atribui obrigações significativas aos deployers mesmo quando não construíram a IA subjacente. Uma empresa usando Claude ou GPT-4o para alimentar um agente autônomo de RH é a deployer e carrega o ônus de compliance por como esse agente é configurado, implantado e monitorado.

NIST AI RMF: a lacuna agêntica

O NIST AI RMF 1.0, lançado em janeiro de 2023, fornece o modelo de quatro funções GOVERN, MAP, MEASURE, MANAGE para gestão de risco de IA. Mas foi projetado antes de agentes autônomos serem viáveis em produção. Em fevereiro de 2026, o NIST reconheceu essa lacuna com sua AI Agent Standards Initiative através do Center for AI Standards and Innovation (CAISI), com um AI Agent Interoperability Profile planejado para Q4 2026 (Cloud Security Alliance, 2026).

Na prática, equipes estão estendendo o RMF com controles específicos para agentes. Na função GOVERN: estabelecer políticas de agenticidade, definir níveis de autonomia, criar estruturas de accountability. Na função MAP: inventariar agentes em produção, mapear cadeias de delegação e acesso. Na função MEASURE: instrumentar logs de decisão em tempo real, definir métricas de desvio comportamental. Na função MANAGE: implementar guardrails de runtime, escalation automática para humanos, processos de incident response para agentes.

ISO/IEC 42001: o padrão de gestão de IA

A ISO/IEC 42001, publicada em dezembro de 2023, é o primeiro padrão internacional certificável para sistemas de gestão de IA (AIMS). Inspirado na estrutura da ISO 27001 para segurança da informação, define requisitos para estabelecer, implementar, manter e melhorar continuamente um AIMS dentro do contexto da organização. Para empresas brasileiras que já possuem ISO 27001, a 42001 oferece um caminho natural de extensão: mesma lógica de PDCA, mesma estrutura de auditoria, mas com controles específicos para uso e desenvolvimento de IA.

O Brasil: Marco Legal da IA, LGPD e a intersecção com agentes

PL 2338/2023 e a classificação de risco

O Projeto de Lei de Inteligência Artificial do Brasil (PL 2338/2023) avança no Congresso com um framework regulatório inspirado no EU AI Act, mas adaptado ao contexto brasileiro. O projeto estabelece um sistema de classificação de risco que, como o europeu, determina obrigações proporcionais ao nível de risco do sistema de IA (Proofnox, 2026). Agentes que operam em setores como saúde, financeiro, educação e serviços públicos tendem a cair na categoria de alto risco, com obrigações de transparência, documentação e supervisão humana análogas às do EU AI Act.

A ANPD (Autoridade Nacional de Proteção de Dados) já emitiu orientações sobre IA e proteção de dados sob a LGPD, tornando a governança de IA uma obrigação de compliance atual, não futura (ANPD, 2026). O posicionamento da ANPD é claro: a LGPD se aplica integralmente a agentes de IA. Não existe exceção para sistemas automatizados. Qualquer operação com dados pessoais de pessoas físicas no Brasil, seja por humano ou por algoritmo, precisa ter base legal, finalidade definida e medidas de proteção adequadas.

LGPD e agentes: o que muda na prática

A LGPD (Lei 13.709/2018) introduz exigências que impactam diretamente a arquitetura de agentes de IA em produção.

Decisões automatizadas (Art. 20). O titular de dados tem o direito de solicitar revisão de decisões tomadas unicamente por algoritmos. Isso significa que todo agente que toma decisões que afetam pessoas (aprovar crédito, triar pacientes, classificar estudantes) precisa ser capaz de explicar o raciocínio behind da decisão e fornecer um canal de revisão humana.

Base legal para processamento. Cada dado pessoal que o agente coleta, processa ou armazena precisa de uma base legal. Consentimento é a base mais comum, mas não a única. Legítimo interesse, obrigação legal e exercício regular de direitos são alternativas que precisam ser documentadas caso a caso.

Transferência internacional de dados. Se o agente processa dados em LLMs hospedados fora do Brasil (OpenAI, Anthropic, etc.), isso constitui transferência internacional de dados pessoais e precisa atender os requisitos do Art. 33 da LGPD: consentimento específico, país com nível de proteção adequado, ou cláusulas contratuais específicas.

Dado sensível. Agentes que atendem clínicas médicas, instituições financeiras ou serviços educacionais frequentemente processam dados sensíveis (saúde, financeiros, menores de idade). As bases legais disponíveis são mais restritas e as penalidades por uso indevido são maiores.

A convergência: Marco Legal da IA + LGPD

O ponto central é que o Marco Legal da IA e a LGPD não são regulamentes paralelos: são complementares. A governança de IA deve fazer parte da estratégia de proteção de dados, segurança da informação, gestão de riscos e controles internos (DAP Advocacia, 2026). Na prática, isso significa que o mesmo agente precisa satisfazer requisitos de ambos os marcos: auditabilidade sob o Marco Legal da IA e proteção de dados sob a LGPD. Quem tratar os dois como exercícios separados vai duplicar esforço e criar inconsistências.

As três camadas da governança de agentes

Governança de agentes não é um switch que se liga ou desliga. É um sistema em camadas, onde cada nível habilita o próximo. Sem a camada de baixo, a de cima não funciona.

Camada 1: Guardrails (nível de execução)

Guardrails são controles de runtime que impedem o agente de executar ações fora do escopo. São o equivalente a freios em um carro: não impedem o motorista de dirigir, mas limitam o dano quando algo sai do esperado.

Guardrails de conteúdo filtram entradas e saídas do modelo para bloquear conteúdo tóxico, vazamento de dados sensíveis ou injeção de prompt. Na prática, implementam-se como classificadores leves que interceptam cada turno do agente antes de seguir adiante.

Guardrails de ação limitam quais ferramentas e APIs o agente pode invocar, com quais permissões e sob quais condições. Isso é least privilege aplicado a agentes: o agente de RH não precisa de acesso ao banco de dados financeiro, e o agente de suporte não precisa de permissão de escrita em tabelas de produção.

Guardrails de escopo definem os limites do que o agente pode e não pode fazer. Um agente projetado para responder perguntas sobre benefícios não deve tentar processar pedidos de demissão. A abordagem Policy-as-Prompt (Kholkar & Ahuja, 2025), aceita no 3rd Regulatable ML Workshop do NeurIPS 2025, demonstra como converter documentos de política não estruturados (PRDs, TDDs, código) em guardrails de runtime verificáveis. O sistema lê documentos de design e controles de risco para construir uma árvore de políticas com rastreabilidade de origem, que é compilada em classificadores baseados em prompt para monitoramento em tempo real. A avaliação mostra que a abordagem reduz risco de injeção de prompt, bloqueia requisições fora do escopo e limita saídas tóxicas, gerando ratificáveis auditáveis alinhados com frameworks de governança de IA.

Camada 2: Observabilidade (nível de infraestrutura)

Se guardrails são freios, observabilidade é o painel. Sem ela, você não sabe se o freio está funcionando, se o motor está superaquecendo ou se o carro saiu da pista.

A premissa fundamental é: você não pode governar o que não pode observar, e não pode atribuir o que não registrou (Zylos AI Research, 2026). Isso exige três capacidades técnicas:

Logging estruturado de decisões. Cada decisão do agente deve ser registrada com contexto suficiente para reconstruir o raciocínio: qual prompt entrou, qual ferramenta foi invocada, qual saída foi gerada, qual guardrail foi acionado, quem autorizou a ação. O EU AI Act exige retenção mínima de 6 meses; na prática, recomenda-se 12 a 24 meses para cobrir ciclos de auditoria.

Tracing distribuído. Em arquiteturas multi-agente, um agente orquestrador delega para sub-agentes que chamam APIs que modificam databases. O tracing distribuído rastreia a request end-to-end, atribuindo cada ação a um agente específico com timestamp e contexto. Sem isso, uma cadeia de 5 agentes delegando uns aos outros se torna uma caixa preta inauditável.

Métricas comportamentais. Agentes em produção degradam de formas que modelos estáticos não degradam. Monitorar latência e uptime não basta. Precisa-se de métricas como taxa de guardrail hits, taxa de delegação, tempo de decisão, desvio de escopo, e taxa de escalation para humano. Essas métricas alimentam alertas proativos: se um agente que normalmente aciona guardrails em 0,5% das interações sobe para 3%, algo mudou no comportamento e precisa ser investigado.

Camada 3: Compliance auditável (nível organizacional)

Compliance auditável é onde guardrails e observabilidade se traduzem em algo que um auditor, um regulador ou um juiz pode consumir. É a camada que transforma dados técnicos em evidência institucional.

Trilha de auditoria imutável. Logs de decisão do agente devem ser armazenados em formato append-only, preferencialmente com hash chaining (cada entrada inclui o hash da anterior). Isso garante que logs não podem ser alterados retroativamente. O framework Autonomous-But-Auditable (GBEJ, 2026) propõe que o orquestrador de agentes, o plano de controle que delega tarefas, enforça permissões e produz trilha de evidência auditável, seja o ponto central de governança: autônomo na execução, mas auditável na retrospectiva.

Proveniência e rastreabilidade. Cada decisão do agente deve ser rastreável até a política que a autorizou, o humano que aprovou a política, e o documento de design que a originou. A abordagem TRACE Framework (Trust, Review, Accountability, Critique, Explainability), proposta por pesquisadores do IJCSRR (2026), formaliza essa rastreabilidade em arquiteturas multi-agente: toda ação do agente é revisada, criticada e explicável por design, não por adendo.

Processo de conformidade contínuo. Compliance não é um evento (a auditoria anual): é um processo. A ISO 42001 exige que o AIMS seja mantido e melhorado continuamente, não apenas verificado periodicamente. Na prática, isso significa pipelines automatizadas que verificam conformidade a cada deploy, dashboards que mostram o status de compliance em tempo real, e processos de incident response específicos para desvios de agentes.

Supervisão humana com pontos de intervenção documentados. O EU AI Artigo 14 exige que sistemas de IA de alto risco sejam projetados para permitir supervisão humana eficaz. Para agentes, isso se traduz em: mecanismos de stop/correction que um humano pode acionar em tempo real, thresholds de escalation automática (valor da transação acima de X, acesso a dados sensíveis, primeira interação com um novo sistema), e registros de cada intervenção humana com justificativa.

Framework de implementação: um roteiro prático

Para empresas brasileiras que operam ou planejam operar agentes de IA em produção, propõe-se um roteiro em quatro fases.

Fase 1: Inventário e mapeamento (semanas 1 a 2)

Antes de governar, é preciso saber o que existe. Inventariar todos os agentes de IA em produção, incluindo shadow agents: quem implantou, qual modelo usa, quais sistemas acessa, quais dados processa, quem é o dono organizacional. Para cada agente, classificar o nível de risco sob o PL 2338/2023 e o EU AI Act (se aplicável). Documentar cadeias de delegação: quais agentes chamam quais outros agentes.

Fase 2: Guardrails e least privilege (semanas 3 a 6)

Implementar guardrails de conteúdo, ação e escopo para cada agente inventariado. Aplicar least privilege: cada agente recebe apenas as permissões estritamente necessárias para sua função. Implementar timeout e revogação automática de credenciais. Documentar políticas de guardrail como código, não como documentos soltos em wikis.

Fase 3: Observabilidade e logging (semanas 7 a 10)

Implementar logging estruturado de decisões para todos os agentes. Configurar tracing distribuído em arquiteturas multi-agente. Definir e monitorar métricas comportamentais. Configurar alertas para desvios de padrão. Garantir que logs satisfazem os requisitos de retenção do EU AI Act (6 meses mínimo) e da LGPD.

Fase 4: Compliance auditável (semanas 11 a 16)

Implementar trilha de auditoria imutável. Estabelecer rastreabilidade entre decisões do agente, políticas autorizadas e documentos de design. Configurar pipelines de conformidade contínua. Documentar pontos de intervenção humana e thresholds de escalation. Preparar documentação exigida pelo EU AI Act e pelo PL 2338/2023. Se a empresa já tem ISO 27001, avaliar extensão para ISO 42001.

O que a BaXiJen pratica

Na BaXiJen, operamos com a premissa de que governança não é inimiga de autonomia: é o que torna autonomia sustentável. Nossos produtos seguem o princípio de que todo agente deve ser auditável por design. Isso significa logging nativo em cada decisão, guardrails configuráveis por contexto organizacional, e arquitetura que suporta on-premise para dados que não podem sair da infraestrutura do cliente.

Para instituições públicas brasileiras, o requisito é claro: soberania de dados implica capacidade de auditoria end-to-end. Um agente que processa dados de cidadãos sem trilha de auditoria não é apenas não conformes: é antitético ao princípio de transparência que rege a administração pública.

Conclusão

A governança de agentes de IA não é um luxo regulatório: é infraestrutura crítica. Os dados são claros: 82% das empresas têm agentes fora do radar de segurança. O EU AI Act ganha poder de enforcement em agosto de 2026. O Marco Legal da IA brasileiro avança no Congresso. A LGPD já se aplica integralmente. Casos como Moffatt v. Air Canada demonstram que tribunais não aceitam "foi o agente, não fomos nós" como defesa.

O caminho do guardrail ao compliance auditável é progressivo e cumulativo. Guardrails sem observabilidade são freios sem painel. Observabilidade sem trilha de auditoria é monitoramento sem memória. Compliance sem processo contínuo é auditoria sem melhoria. Cada camada depende da anterior.

Para empresas brasileiras, a janela de ação é agora. Implementar governança antes da regulação entrar em vigor é barato e posiciona a empresa como referência. Implementar depois é caro e posiciona como infrator. A diferença entre as duas não é técnica: é estratégica.

---

Referências

• ANPD (2026). "ANPD defende legislação transparente para boa governança de IA." Gov.br. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-defende-legislacao-transparente-para-boa-governanca-de-ia
• California Management Review (2026). "Governing the Agentic Enterprise: A New Operating Model for Autonomous AI at Scale." CMR Berkeley. Disponível em: https://cmr.berkeley.edu/2026/03/governing-the-agentic-enterprise-a-new-operating-model-for-autonomous-ai-at-scale/
• Cloud Security Alliance (2026). "NIST CAISI: AI Agent Standards and the Enterprise Compliance Imperative." CSA Labs. Disponível em: https://labs.cloudsecurityalliance.org/research/csa-research-note-nist-caisi-ai-agent-standards-compliance-2/
• DAP Advocacia (2026). "Marco Legal da Inteligência Artificial deve avançar em 2026." DAP Advocacia. Disponível em: https://dapadvocacia.com.br/marco-legal-da-inteligencia-artificial-deve-avancar-em-2026-e-acende-alerta-para-empresas-que-usam-ia-sem-controle/
• GBEJ (2026). "Autonomous-But-Auditable: A Governance-Economics Model for Agentic AI Orchestrators in Regulated Enterprises." Global Business and Economics Journal. Disponível em: https://gbej.org/articles/autonomous-but-auditable-a-governance-economics-model-for-agentic-ai-orchestrators-in-regulated-enterprises/
• IJCSRR (2026). "Building Trust in Agentic AI: TRACE Framework for Policy-Driven Multi-Agent Governance." International Journal of Current Science Research and Review. Disponível em: https://ijcsrr.org/wp-content/uploads/2026/02/46-2702-2026.pdf
• Kholkar, G. & Ahuja, K. (2025). "Policy-as-Prompt: Turning AI Governance Rules into Guardrails for AI Agents." arXiv:2509.23994. Apresentado no 3rd Regulatable ML Workshop, NeurIPS 2025. Disponível em: https://arxiv.org/abs/2509.23994
• Proofnox (2026). "LGPD e Regulamentação de IA no Brasil 2026." Proofnox Blog. Disponível em: https://www.proofnox.com/pt/blog/lgpd-ia-regulamentacao-anpd-2026
• World Economic Forum & Capgemini (2026). "AI Agents in Action: Foundations for Evaluation and Governance." WEF. Disponível em: https://www.weforum.org/publications/ai-agents-in-action-foundations-for-evaluation-and-governance/
• Zylos AI Research (2026). "AI Agent Governance and Compliance in 2026: Frameworks, Audit Trails, and the Regulatory Reckoning." Disponível em: https://zylos.ai/research/2026-05-01-ai-agent-governance-compliance-2026/