“Os boards mais preparados já tratam a IA como tratam o risco financeiro”

Joana Pinto é sócia de Technology Transactions na Antas da Cunha Ecija há um ano. Move-se há mais de 25 anos no mundo da tecnologia, tendo passado por multinacionais tecnológicas na linha da frente de projetos de transformação digital. Foi Head of Legal da Accenture Portugal durante 17 anos, integrando o respetivo Comité Executivo. Iniciou a carreira como In-House Counsel na Optimus, no início do milénio, quando o mercado das telecomunicações em Portugal acelerava, e passou depois pela Sonaecom e Capgemini.

Do seu percurso faz também parte o setor público, onde exerceu funções como assessora jurídica no XVI Governo Constitucional, experiência que lhe deu uma perspetiva prática sobre como se desenham políticas públicas e se estruturam processos de contratação no Estado. Licenciada em Direito pela Universidade Católica de Lisboa, tem formação executiva em Financial Accounting e formação em AI Governance. É docente convidada no LL.M. AI & Law (FDUL) e membro do Grupo de Missão para a IA da APDSI.

Passado um ano na Antas da Cunha Ecija, o que mais a surpreendeu nesta transição do mundo in-house para a advocacia em sociedade?

Confirmei que a proximidade ao negócio, que sempre foi a minha forma de trabalhar, não só se mantém como pode ser ampliada. Venho de um percurso in-house em que o meu papel nunca foi apenas interpretar a lei, mas apoiar a tomada de decisão com base no modelo de negócio da organização. Na Antas da Cunha Ecija essa lógica ganhou escala, porque hoje aplico a mesma abordagem em vários setores e em organizações com diferentes níveis de maturidade digital e isso dá-me uma visão comparada de mercado muito relevante.

Encontrei também uma cultura de proximidade real ao cliente, pragmatismo e equipas que integram conhecimento jurídico e tecnológico. E essa combinação tornou a minha transição muito menos disruptiva do que poderia parecer.

Depois de tantos anos como in-house, o que é que trouxe consigo do mundo corporativo que não abdica?

Passei mais de vinte e cinco anos no mundo corporativo e isso moldou inevitavelmente a forma como exerço advocacia. Nas empresas percebe-se rapidamente que a questão raramente é apenas “o que diz a lei”. A pergunta é: “avançamos agora ou esperamos? Com que margem de risco?”. O direito é uma variável crítica, mas é uma variável dentro de uma equação mais ampla.

Trabalhei sempre lado a lado com as equipas executivas e operacionais e aprendi a fazer uma leitura muito fina do risco, que distingo em três níveis: estruturais, mitigáveis e meramente teóricos. O valor jurídico está precisamente em saber distinguir o que é material para aquela organização, naquele momento, e em comunicar esse risco de forma útil, sem alarmismo e sem jargão.

Nunca tive uma abordagem centrada em “apontar problemas”… procuro sempre criar as condições para que as decisões possam ser tomadas com segurança. É isso que eu trago comigo para a forma como trabalho hoje com os nossos clientes.

Como vê hoje o posicionamento da Antas da Cunha ECIJA na advocacia em tecnologia?

Estamos numa fase de crescimento sólido e consolidação estratégica e, na área de Tecnologia, o nosso posicionamento é particularmente forte porque juntamos três dimensões: equipas multidisciplinares que integram jurídico e tecnologia; capacidade de execução, e uma estrutura de LegalTech que operacionaliza a conformidade.

E isso faz diferença porque, hoje, quando falamos de dados, cloud, cibersegurança e IA, falamos de decisões de negócio. Estes já não apenas temas de “IT”.
E quando falo em operacionalizar a conformidade, refiro-me a pegar nos requisitos regulatórios e transformá-los em regras de decisão, controlos e evidência.

Na nossa área de LegalTech desenhamos soluções de automatização que suportam esses processos tais como, fluxos de aprovação, registo de decisões, reporting e monitorização contínua.

Ou seja, não fazemos apenas diagnóstico jurídico. Ajudamos os clientes a implementar e a manter controlo à medida que o negócio escala.

É nessa capacidade de ligar direito, tecnologia e execução que reside a nossa maior diferenciação.

A governança deixa de ser um documento e passa a ser um modelo operativo e quem não fizer essa transição arrisca ter políticas formais e práticas descoordenadas.

E que tendências está a ver no mercado ibérico e europeu que vão marcar os próximos anos?

Vejo três, na verdade, quatro movimentos muito claros. O primeiro é a evolução da IA assistiva para sistemas com maior autonomia decisional, o que hoje se descreve como uma evolução para abordagens mais “agentic”.

A partir daí, responsabilidade, auditabilidade e supervisão contínua deixam de ser “boas práticas” e passam a ser estruturais.

O segundo é a entrada na fase aplicada da regulação digital: estamos a classificar sistemas, a definir modelos de governação, a integrar requisitos AI ACT, com RGPD, NIS2 e regras setoriais. A governança deixa de ser um documento e passa a ser um modelo operativo e quem não fizer essa transição arrisca ter políticas formais e práticas descoordenadas.

O terceiro movimento é estratégico: a tecnologia subiu definitivamente à agenda dos Boards. Deixou, como já referi, de ser um tema de IT. É risco reputacional e financeiro e de responsabilidade dos administradores.

A pergunta ao nível das lideranças já não é apenas “contratámos bem?”. É “estamos a monitorizar bem?”

E acrescentaria um quarto ponto cada vez mais relevante, a propriedade intelectual e dados. A origem dos datasets, as licenças, os direitos sobre outputs estão a ganhar centralidade, ao mesmo tempo que os ativos intangíveis passam a ter um peso económico maior. Em síntese, a tendência comum é que a inovação continua a acelerar, mas o nível de exigência em controlo e evidência está a aumentar ao mesmo ritmo.

Que tipo de projetos e de desafios têm marcado mais a área de Technology Transactions neste período?

Diria que, há dois grandes blocos de projetos. Falávamos há pouco de tendências e o primeiro liga-se a uma tendência muito clara: a transformação da função jurídica dentro das organizações. Estes projetos são liderados pela nossa prática de Legal Operations. O que fazemos é mapear e redesenhar processos, criar mecanismos de planeamento, controlo de custos e introduzir automatização onde faz sentido, aquilo que chamamos automated compliance.

O segundo bloco está ligado à adoção de IA. Temos visto um crescimento muito significativo de projetos de adequação ao AI Act, incluindo inventários e classificação de sistemas, gap analysis, desenho de modelos de governance e apoio à contratação de casos de uso. Um bom exemplo são os projetos na nossa área de LaborTech, onde a adoção de IA em processos de RH exige uma abordagem integrada: não olhamos só para o contrato, nem só para a ferramenta. Trabalhamos o desenho do caso de uso, o enquadramento regulatório (laboral, proteção de dados e IA) e os mecanismos de governação. Hoje, os projetos são cada vez menos “silos” e cada vez mais estruturantes.

Nas transações tecnológicas, o maior valor surge quando o advogado entra cedo, porque é nessa fase que se clarifica o que está a ser adquirido e se alinham as expectativas das partes.

Na prática, onde é que sente que o advogado pode realmente acrescentar valor em transações tecnológicas?

O advogado acrescenta valor quando deixa de ser apenas “revisor de contratos” e passa a ser parte do desenho da transação.

Hoje, muitos clientes já chegam com análises geradas por IA e isso acelera a discussão. Mas também significa que o nosso papel está menos na enumeração de riscos abstratos e mais em contextualizar e ajudar a decidir com consciência do risco.

Nas transações tecnológicas, o maior valor surge quando o advogado entra cedo, porque é nessa fase que se clarifica o que está a ser adquirido e se alinham as expectativas das partes. É também aí que se definem SLAs e critérios de aceitação ajustados ao que realmente importa.
Quando o advogado entra apenas no fim, já tende a limitar risco.

Na sua experiência, do que tem visto no terreno, o que é que as organizações ainda estão a subestimar quando começam a adotar IA?

Que a IA não é apenas um tema tecnológico, é organizacional. Isto é, muitas organizações começam a testar ferramentas e a integrar modelos, mas não repensam os seus processos. A tecnologia é integrada, mas a estrutura de governação mantém-se igual e, muitas vezes, não está preparada para a utilizar com segurança.

O segundo ponto, muitas vezes subestimado, é a qualidade e a governação dos dados. A inteligência de um sistema nunca será superior à qualidade da informação que o alimenta. Se os dados forem incompletos, desatualizados ou estiverem enviesados, os resultados degradam-se e o risco jurídico e reputacional sobe.

E acrescentaria um terceiro aspeto por vezes negligenciado e que é a capacidade de manter evidências. No contexto europeu, conseguir demonstrar como se decidiu e como se testou é quase tão importante como a performance do sistema.

Quais são hoje os principais desafios jurídicos e de governance associados à adoção de soluções de inteligência artificial, tanto no setor público como no setor privado?

O maior desafio coloca-se quando a tecnologia entra em processos que afetam diretamente pessoas como no caso de seleção, fraude, crédito, saúde, serviços públicos. Nestes casos, a questão deixa de ser eficiência e passa a ser justiça, explicabilidade e direito à correção. Delegar uma decisão a um sistema não elimina responsabilidade. A entidade que o utiliza continua responsável pelo resultado.

O verdadeiro desafio de governance é garantir que a tecnologia não dilui a accountability.

Integrar a regulação de IA com proteção de dados, cibersegurança e regras setoriais é também um desafio, porque estas obrigações não vivem separadas na prática. A mesma decisão pode ter implicações em várias frentes em simultâneo e, por isso, a governação não pode estar fragmentada.

No fundo, a diferença entre setor público e privado está sobretudo no tipo de impacto. No setor público, as decisões podem afetar direitos fundamentais e exigem um nível reforçado de escrutínio e transparência. No setor privado, o foco está na confiança do mercado, na reputação e na responsabilidade perante clientes e reguladores.

Que boas práticas de governance de IA considera essenciais para conciliar inovação, conformidade regulatória e criação de valor?

A primeira boa prática é perceber que governance de IA não é uma política isolada, é toda uma estrutura de decisão e responsabilidade. A pior ilusão é achar que está tudo controlado quando ninguém sabe exatamente quem decide ou quem responde.

Por isso, antes de adotar uma ferramenta, há três perguntas essenciais: para que serve, que problema resolve e que impacto pode ter. Se a finalidade não é clara, o risco começa logo aí.

Depois, há três pilares críticos. O primeiro é classificar o risco e tratar os sistemas de maior impacto com requisitos proporcionais. O segundo, ter as responsabilidades claras e fazer monitorização contínua, porque a IA não é estática e os riscos evoluem. E terceiro, a governação na cadeia de terceiros: muita IA entra via fornecedores e APIs, e isso tem de estar refletido na due diligence e nos contratos.

E há um ponto transversal, a literacia digital. Sem compreensão da tecnologia e dos seus riscos, não há supervisão eficaz. Por isso é que o AI Act dá tanta importância a este tema: a literacia digital tem de começar nas lideranças e depois chegar a toda a organização.

Na sua opinião, o que é que é mesmo decisivo para o Estado acelerar a modernização digital com segurança?

Eu diria que é uma combinação de fatores que, no fundo, convergem num ponto central: confiança. Confiança dos cidadãos, confiança na forma como os dados são governados e confiança na capacidade do Estado para contratar e supervisionar tecnologia.

E porquê?

Porque a modernização digital só acontece de facto quando as pessoas aderem: quando usam os serviços, quando confiam nos canais digitais, quando não sentem que estão a abdicar de controlo, de privacidade ou de direitos. Se os cidadãos não confiarem que os seus dados estão protegidos, que as decisões automatizadas são justas e que existem mecanismos de correção, contestação e responsabilização, a adesão diminui. E sem adesão, não há modernização real.

Por isso é crítico investir em capacidade institucional: literacia tecnológica na função pública, competências jurídicas e de gestão de risco e uma contratação pública pensada para o digital. No final do dia, tudo converge na confiança, e essa confiança constrói-se com uma governação sólida.

Qual é a decisão sobre IA que as organizações tendem a adiar — e que depois acaba por sair cara?

Deixar de tratar a IA como um piloto quando ela já está a entrar em processos críticos.

Muitas organizações começam por experimentar e vão adiando a governação porque “ainda estão a testar” ou por receio de travar a inovação… até ao primeiro incidente sério. E quando isso acontece, percebe-se rapidamente que não está claro o processo de decisão. Nessa altura, já não se está a gerir implementação; está-se a gerir crise.

O que acaba por sair caro é não investir cedo numa governança efetiva, em literacia digital e adiar o alinhamento com fornecedores. Muitas organizações mantêm contratos e mecanismos de monitorização que não refletem o nível de dependência real de terceiros.

No fundo, o erro é continuar a tratar a IA como experimental quando ela já influencia decisões reais.

Como é que uma organização pode supervisionar o uso de IA quando quem decide pode não dominar tecnicamente a tecnologia?

A verdade é que, em muitas organizações, a tecnologia está a escalar mais depressa do que a capacidade de supervisão, mas isso não se resolve transformando decisores em programadores.

Supervisionar IA não é dominar o algoritmo. Significa ter um processo que garante que as perguntas certas são feitas antes e depois do deployment.

Se a organização consegue responder a essas perguntas de forma consistente, está a supervisionar. Se não consegue, o risco não é tecnológico é de governação.

É por isso que trabalhamos com simulações práticas com Boards e equipas executivas: porque a maturidade da governação de IA vê-se na forma como a organização decide sob pressão. Colocamos os decisores perante cenários reais e testamos o processo.

Os Boards mais preparados já tratam a IA como tratam o risco financeiro ou a cibersegurança e não apenas como um ponto na agenda de inovação. É um tema de governance e de reporte regular.

Com a regulação a convergir — IA, dados e cibersegurança — o que é que isso está a mudar, na prática, no modelo de decisão e de gestão de risco das organizações?

Está a deslocar o risco e compliance tecnológico das equipas de IT ou jurídica para níveis mais estratégicos. Com o AI Act, o RGPD, a NIS2 e regimes setoriais como o DORA, as falhas tecnológicas e de segurança podem gerar impacto reputacional, financeiro e responsabilidade pessoal para administradores. E por isso é que hoje, a literacia tecnológica se tornou um pressuposto do dever de diligência dos administradores. Segundo, a gestão de risco deixou de ser pontual e passou a ser contínua. Já não basta avaliar o risco no momento da homologação ou da contratação de fornecedores. É necessário monitorizar ao longo do tempo.

Na prática, isto obriga as organizações a trabalhar de forma muito mais transversal. IT, Data, Legal, Security, Compliance, RH e as áreas de negócio têm de operar com frameworks comuns.

A grande mudança é esta: o risco tecnológico deixou de ser apenas um risco técnico. Passou a ser risco de modelo de negócio.

O que pode o Estado fazer para ajudar as empresas a aplicar a regulação europeia da IA sem travar a inovação?

Pode ajudar a dar clareza operacional. Muitas empresas não resistem à regulação por princípio, mas porque não sabem por onde começar, nem o que é proporcional ao risco. Aí, o Estado pode apoiar com orientações práticas, indicando passos prioritários, a documentação essencial e modelos de governance ajustados à realidade das empresas portuguesas.

Segundo, com sandboxes regulatórias bem desenhadas e, idealmente, setoriais. Os contextos variam muito entre setores e os ambientes supervisionados ajudam a criar referências úteis, tanto para as empresas, como para os reguladores.

E eu acrescentaria um terceiro ponto, um canal de diálogo técnico entre empresas, reguladores e Administração. Na prática, a implementação do AI Act vai ser aprendizagem coletiva e um espaço de comunicação pode contribuir para reduzir bloqueios por desconhecimento e incerteza.

Os litígios vão deixar de estar centrados apenas no incumprimento contratual clássico e vão passar a discutir o processo: o que foi definido como requisito, como foi testado, como se geriram alterações e incidentes, quem tinha de aprovar o quê. Ou seja, a discussão tenderá a aproxima-se mais da engenharia, da ciência de dados e da governação.

A litigância em tecnologia e IA vai aumentar — ou vai sobretudo mudar de forma?

Acredito que vai sobretudo mudar de forma e tornar-se mais técnica.

Os litígios vão deixar de estar centrados apenas no incumprimento contratual clássico e vão passar a discutir o processo: o que foi definido como requisito, como foi testado, como se geriram alterações e incidentes, quem tinha de aprovar o quê. Ou seja, a discussão tenderá a aproxima-se mais da engenharia, da ciência de dados e da governação.

No contexto B2B, creio que as disputas vão focar-se no desempenho dos sistemas e na resposta a incidentes. No B2C, pode crescer a contestação de decisões automatizadas ou práticas desleais, e, em alguns setores mais regulados, é possível que aumente a litigância coletiva.

E, neste contexto, a prova com logs, registos de decisões, testes, documentação passa a ser central. Isso vai exigir mais especialização técnica, inclusive ao nível dos tribunais.

Não creio que a IA não cria um novo tipo de litigância. Vai é eleva o nível de exigência da que já existe.

Falando da Agenda Nacional para a IA, o que vai ser decisivo para garantir a concretização das medidas aí previstas?

Um dos aspetos positivos da Agenda Nacional para a IA é identificar bem os pilares certos: literacia, modernização do Estado, confiança e inovação. A sua concretização, passa, a meu ver, por três fatores decisivos.

Desde logo, pela literacia digital de toda a função pública – prática e orientada a funções. Não basta formação genérica. Sem essa base, a execução fica excessivamente dependente do fornecedor e isso fragiliza o sistema.

Segundo, a contratação pública tem de reconhecer que IA não é uma compra de software tradicional.

É necessário prever fases piloto e critérios de avaliação ajustados ao risco, cláusulas que reconheçam modelos de licenciamento de propriedade intelectual de terceiros e o acesso a documentação técnica. E há aqui outro ponto essencial, os critérios de avaliação devem valorizar quem investe em governança. Se o mercado não for incentivado a investir em boas práticas, vai competir apenas por preço e rapidez… e o custo aparece mais tarde.

Terceiro, a supervisão deve ser exigente, mas construtiva. É essencial dotar reguladores e entidades públicas de capacidade técnica e meios para avaliarem evidências e processos, e não apenas resultados, e criar mecanismos que distinga quem demonstra governação robusta de quem não consegue demonstrá-lo.

A Europa tem apostado muito na regulação da tecnologia — há quem veja isso como vantagem e quem veja como travão. Acha que este modelo vai influenciar práticas globais? E onde está o equilíbrio entre liderança regulatória e competitividade?

A Europa fez uma escolha clara: pôr a confiança no centro do modelo tecnológico. À medida que a IA passa de apoio à decisão para influência real em decisões e comportamentos, esta escolha deixa de ser neutra.

E sim, a regulação europeia já influencia práticas globais. O RGPD mostrou isso, e com o AI Act vai acontecer algo semelhante porque os grupos multinacionais dificilmente vão manter dois modelos internos diferentes, um para a Europa e outro para o resto do mundo.

Na prática acabam por elevar o standard global ao nível europeu.

A diferença é que a IA evolui muito mais depressa do que a proteção de dados evoluiu. A Europa está a regular enquanto a tecnologia ainda muda rapidamente, sobretudo com IA generativa e sistemas mais autónomos. Por isso, o equilíbrio vai depender muito de como a regulação for aplicada.

Se houver interpretações diferentes entre Estados-Membros ou uma aplicação demasiado burocrática, pode tornar-se um travão, sobretudo para startups e empresas médias. Mas pode ser uma vantagem se for aplicada de forma proporcional ao risco.

E há um ponto importante: a conformidade não é só “papel”. Também é desenho técnico. Se a Europa incentivar que os sistemas sejam construídos com compliance by design, a regulação pode tornar-se um fator de diferenciação. Se ficar demasiado pesada, o risco é empurrar inovação para outras geografias.