Um candidato é rejeitado. Uma gratificação é negada. Um enquadramento sai mais baixo do que o esperado. Nos três casos, um agente de IA participou - e nos três casos o afetado poderá em breve dizer uma frase que até pouco tempo era exclusividade de advogados: “Explique-me o papel do sistema de IA e os principais elementos desta decisão.”
Esse não é um cenário hipotético. É o núcleo textual do artigo 86 do Regulamento (UE) 2024/1689 - o artigo mais subestimado do EU AI Act. O mercado debate documentação de modelo, classes de risco e prazos. O artigo 86 faz outra pergunta: você consegue explicar uma única decisão concreta? Não o seu sistema. Esta decisão.
E o ponto que muda tudo para o Brasil: você não precisa esperar a Europa para enfrentar essa pergunta. A LGPD, no artigo 20, já garante ao titular o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado. A pergunta do juiz do trabalho - “Explique como essa decisão foi tomada” - já é feita hoje, nas mais de 3,5 milhões de novas reclamações que a Justiça do Trabalho recebe por ano.
A maioria das empresas não consegue responder. Não porque sua IA seja ruim - mas porque a arquitetura documenta a unidade errada. Elas registram conversas, tokens e comportamento do sistema. Mas só é contestável aquilo que foi registrado como decisão. Este artigo descreve o artefato que falta: o ato de decisão.
Em resumo - O ato de decisão
- Só é contestável aquilo que foi registrado como decisão. O ato de decisão é o registro atômico e imutável de uma única microdecisão: entrada, regra de negócio aplicada com versão e fonte, resultado, confiança, versão do modelo, carimbo de tempo, caminho de contestação. Logs respondem "O que aconteceu?" - o ato de decisão responde "Por que foi decidido assim?".
- A LGPD art. 20 já dá ao titular o direito de revisar decisões automatizadas; o art. 86 do EU AI Act dá ao afetado o direito a uma explicação da decisão individual - e o TJUE já exige hoje a mesma justificativa do caso concreto sob o RGPD. A descrição do sistema não basta.
- Logs de chat, traces de observabilidade e model cards documentam interação, infraestrutura e sistema - mas não a justificativa jurídico-fática. A própria documentação da Microsoft confirma: o log de auditoria do Copilot não registra nem o conteúdo dos prompts nem a versão do modelo. E, segundo a pesquisa da Anthropic, os textos de raciocínio de modelos de linguagem refletem a real base da decisão em apenas cerca de um quarto dos casos.
- Um agente de IA nunca toma "uma decisão" - ele toma dezenas de microdecisões por processo. Cada uma pode ser juridicamente relevante: o TJUE já trata o score automatizado como decisão, não apenas o resultado final.
- Contestabilidade não se instala depois: uma decisão que nunca foi modelada como decisão não pode ser justificada como tal retrospectivamente. Por isso o ato de decisão é um princípio arquitetônico do Decision Layer - não uma função de compliance.
IA agêntica significa transferir direitos de decisão
Os números das grandes consultorias contam uma história consistente em 2026. A McKinsey chama isso de paradoxo da IA generativa: quase oito em cada dez empresas usam IA generativa, e uma parcela quase tão grande não vê efeito mensurável no resultado - porque os copilotos horizontais são implantados de forma ampla, enquanto os casos de uso verticais que geram valor ficam presos em piloto. O Gartner prevê que mais de 40 por cento dos projetos de IA agêntica serão cancelados até o fim de 2027 - incluindo expressamente controles de risco insuficientes entre as causas. A mesma previsão espera que, até 2028, ao menos 15 por cento das decisões de trabalho do dia a dia sejam tomadas autonomamente por agentes de IA.
Juntas, as duas afirmações definem a tensão real: as empresas transferem direitos de decisão a máquinas sem possuir a infraestrutura para responder por essas decisões. A McKinsey enquadra a era agêntica exatamente assim em seu estudo de confiança de 2026 - a pergunta condutora desloca-se de “O modelo é preciso?” para “Quem responde quando o sistema age?” (State of AI trust in 2026).
A lacuna de governança está quantificada em todas as fontes:
| Constatação | Número | Fonte |
|---|---|---|
| Projetos de IA agêntica cancelados até o fim de 2027 - inclusive por controles de risco insuficientes | mais de 40% | Gartner, 2025 |
| Empresas com governança madura para agentes autônomos | apenas 21% | Deloitte, 2025 |
| Executivos de tecnologia cuja adoção de IA já ultrapassou a própria capacidade de governança | 77% | IBM IBV, 2026 |
| CIOs/CTOs responsabilizados por sistemas de IA que não controlam totalmente | cerca de dois terços | IBM IBV, 2026 |
| Incidentes de IA reportados em 2024 - recorde, +56,4% sobre o ano anterior | 233 | Stanford HAI AI Index, 2025 |
| Menos incidentes de IA quando a governança está embutida diretamente no sistema, em vez de supervisão manual | 25% | IBM IBV, 2026 |
A última linha é a mais importante: governança embutida funciona de forma mensurável melhor do que controle posterior. É aí que a pergunta fica concreta: o que “embutida” significa tecnicamente? E é em RH que isso fica mais agudo: transferir direitos de decisão a agentes desloca o modelo operacional - e cada uma dessas decisões recai sobre uma pessoa concreta: seu atestado, sua remuneração, seu enquadramento. A resposta começa pela lei.
O que a LGPD art. 20 e o artigo 86 exigem - e por que a documentação do sistema não cumpre
Tanto a legislação brasileira quanto a europeia conhecem dois níveis de transparência fundamentalmente distintos, que o debate de compliance constantemente mistura:
| Nível | Base jurídica | Destinatário | Momento | Responde à pergunta |
|---|---|---|---|---|
| Transparência do sistema | EU AI Act art. 11 (documentação técnica), art. 13 (manual de operação) | autoridade, operador | antes da operação | ”Como o sistema funciona em geral?” |
| Explicação do caso individual | LGPD art. 20; EU AI Act art. 86; RGPD art. 15(1)(h) e art. 22 | o titular afetado | depois da decisão | ”Por que esta decisão saiu assim?” |
No Brasil, o artigo 20 da LGPD garante ao titular o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses - e o direito a informações claras e adequadas sobre os critérios e procedimentos utilizados. Para empresas brasileiras que operam na UE, o artigo 86 acrescenta a mesma exigência (PT: em Portugal, como Estado-membro da UE, o art. 86 vale diretamente - sem condição de negócio na UE; a autoridade de dados é a CNPD, sob o RGPD em vez da LGPD): dá a qualquer pessoa sujeita a uma decisão baseada em sistema de IA de alto risco do Anexo III, com efeito jurídico ou semelhante significativo, o direito a explicações claras e relevantes sobre o papel do sistema de IA no procedimento decisório e sobre os principais elementos da decisão tomada. Ambas as normas são formuladas por caso, não por sistema. Uma model card descreve o modelo. A LGPD art. 20 e o art. 86 perguntam pelo caso. E o PL 2338/2023 (Marco Legal da IA), aprovado no Senado em dezembro de 2024, caminha na mesma direção: direito à explicação e à contestação de decisões automatizadas como dever do agente de IA.
O Tribunal de Justiça da União Europeia já detalhou o mesmo princípio para o RGPD - referência global que orienta a direção para onde o Brasil também caminha - em dois acórdãos que todo responsável por decisões de IA deveria conhecer:
SCHUFA, C-634/21 (dezembro de 2023): a própria geração automatizada de um score já é uma decisão individual automatizada na acepção do art. 22 do RGPD, desde que um terceiro lhe atribua peso determinante. A consequência vai muito além do score de crédito: o dever de rastreabilidade incide sobre a avaliação automática em si - não apenas sobre a decisão final que um humano assina.
Dun & Bradstreet Áustria, C-203/22 (fevereiro de 2025): o responsável deve explicar o procedimento efetivamente aplicado de modo que o titular consiga entender quais de seus dados entraram, e de que forma, na decisão. Uma explicação contrafactual pode bastar - por exemplo: com qual variação dos dados de entrada o resultado teria sido outro? E segredos comerciais não justificam recusa genérica; em caso de conflito, as informações devem ser apresentadas à autoridade ou ao tribunal competente, que então ponderam.
Uma explicação contrafactual por caso pressupõe que os dados de entrada efetivamente usados e a regra aplicada estejam armazenados, de forma estruturada, por decisão. A partir de uma descrição global do sistema, isso não se reconstrói.
Soma-se a isso um ponto que o debate de compliance costuma ignorar: o art. 12 obriga sistemas de alto risco ao registro automático por toda a vida útil, e o art. 26(6) obriga operadores a conservar esses registros por ao menos seis meses. Qual conteúdo os registros devem carregar, porém, a lei só define para sistemas biométricos. Para sistemas de RH e financeiros, o EU AI Act exige a capacidade de registro - e deixa o esquema de conteúdo em aberto. O que é registrado por decisão é tarefa de design do operador. Quem aqui só registra consumo de token e carimbo de tempo cumpre a letra do art. 12 e falha no art. 86 - e, no Brasil, falha igualmente no direito à informação da LGPD art. 20.
Quanto aos prazos: pela legislação vigente, as obrigações de alto risco do EU AI Act valem a partir de 2 de agosto de 2026; o adiamento para 2 de dezembro de 2027, acordado provisoriamente no Digital Omnibus em 7 de maio de 2026, ainda não foi formalmente adotado. Nada disso muda a classificação de alto risco dos processos de RH (Anexo III n.o 4) - nem o dever civil de explicar decisões, que já vale no mundo todo, e que no Brasil decorre da LGPD, da CLT e da Constituição Federal. A proibição de determinadas práticas de IA já vigora desde 2 de fevereiro de 2025. Detalhes de prazos e obrigações são tratados em EU AI Act 2026: status, prazos, o que fazer.
Não existe “uma decisão de IA” - existem dezenas de microdecisões
Quem leva o art. 86 e a LGPD art. 20 a sério na operação esbarra de imediato num problema de granularidade: o que exatamente é “a decisão”?
Essa decomposição não está presa a nenhuma jurisdição. Uma decisão de crédito se decompõe pela mesma mecânica: verificação de identidade (regra), extração de renda dos documentos (IA, com confiança), cálculo de score (regra, versionada), roteamento por limiares (regra), voto humano no caso-limite (humano). Qual direito vincula cada microdecisão - LGPD art. 20, RGPD art. 22, UK GDPR ou o Equal Credit Opportunity Act americano - depende do mercado. A decomposição em si é a mesma em toda parte. Até onde ela chega em um processo regulado, mostra o exemplo que ocupa diariamente os departamentos de RH europeus:
Processar um atestado médico - isso soa como um processo único. Na verdade, ele contém mais de uma dúzia de decisões separadas: o atestado está validado quanto à Resolução CFM 1.658/2002 (CRM ativo, assinatura do médico, CID-10 com consentimento)? Os 15 primeiros dias correm por conta do empregador conforme a Lei 8.213/91, art. 60, §3º - e a partir do 16º dia o auxílio por incapacidade temporária (antigo auxílio-doença) passa ao INSS (arts. 59-63)? Há sobreposição com férias e suspensão do contrato pela CLT art. 131-138? O limite de 15 dias acumulados foi atingido, exigindo orientar o empregado a requerer o benefício ao INSS - via Meu INSS, com análise documental pelo Atestmed? Os efeitos da dispensa ficam suspensos pela Súmula TST 371 (auxílio-doença no curso do aviso prévio)? Incide a estabilidade acidentária do art. 118 da Lei 8.213/91? Quem é informado sobre o quê - e sobre o quê, expressamente, não, por força do sigilo médico?
O Decision Layer decompõe cada processo de negócio exatamente nessas microdecisões e atribui cada uma, de antemão, a um de três tipos de decisor - humano, conjunto de regras ou IA:
| Microdecisão (atestado médico) | Decisor | Por quê |
|---|---|---|
| Validação do atestado conforme a Resolução CFM 1.658/2002 | Regra | determinística, sem espaço para interpretação |
| Cálculo dos 15 dias do empregador (Lei 8.213/91, art. 60, §3º) | Regra | prazo e valor fixos |
| Transição para o auxílio por incapacidade temporária do INSS no 16º dia (Lei 8.213/91 art. 59-63) | Regra | regra previdenciária determinística (B31/B91) |
| Comunicação do evento eSocial S-2230 no prazo legal | Regra | obrigação legal com prazo fixo |
| Detecção de atestados duplicados ou falsos | IA (indicador) | análise de padrões de fraude; saída é alerta de revisão, não decisão de pessoal |
| Comunicação ao colaborador sobre o requerimento ao INSS (via Meu INSS) | Humano | orientação previdenciária, julgamento e cuidado |
| Casos de julgamento (Súmulas TST 371 e 443, art. 302 CP) | Humano | exigem análise do jurídico trabalhista e do médico do trabalho - com o encarregado (DPO) nos aspectos de proteção de dados |
(PT: em Portugal, o fluxo equivalente corre pelo certificado de incapacidade temporária e pela Segurança Social - o subsídio de doença é devido a partir do 4º dia, sem os 15 dias por conta do empregador, e o órgão interno é a comissão de trabalhadores, art. 54 da CRP. As microdecisões mudam de base legal; o princípio permanece.)
Essa decomposição não é exercício acadêmico - é a condição da contestabilidade. Pois a lógica do TJUE no caso SCHUFA vale em cada nível: se já um score automatizado é decisão no sentido jurídico, então também a verificação automática de prazo, a classificação automática de um documento, a recomendação automática de enquadramento são, cada uma, um ato potencialmente contestável - não apenas o resultado final. Uma empresa que documenta só o resultado final só consegue responder à pergunta “Por que meu pedido foi rejeitado?” com: “Foi o que o processo produziu.” É exatamente a resposta de caixa-preta que nenhuma Vara do Trabalho aceita.
O catálogo de agentes de RH mostra até onde essa decomposição vai na prática: cada agente vem com uma tabela completa de microdecisões - por etapa, tipo de decisor, justificativa, base legal e caminho de contestação.
Por que logs, traces e model cards não respondem à pergunta
A indústria respondeu à necessidade de documentação - mas em três níveis que passam todos ao largo da decisão individual:
| Nível | Ferramentas | Documenta | NÃO responde |
|---|---|---|---|
| Interação | logs de chat, histórico de conversa, eventos de auditoria do Copilot | quem falou com o sistema quando, quais recursos foram tocados | qual regra de negócio sustentou a decisão |
| Infraestrutura | observabilidade de LLM (traces, spans), OpenTelemetry GenAI | prompts, tool calls, tokens, latências ao longo da execução | por que o resultado saiu assim - e se está correto |
| Sistema | model cards, documentação técnica, plataformas de governança (inventário de modelos, registro de risco) | como o modelo funciona em geral, quais riscos o sistema tem | qualquer caso individual concreto |
Isso não é exagero polêmico - está assim na documentação dos fabricantes. A documentação do Purview da Microsoft registra, para o log de auditoria do Copilot, que ele não grava os prompts e respostas efetivos e que nome e versão do modelo não estão disponíveis em cenários do Microsoft 365 Copilot. No ecossistema Salesforce, a lacuna é nomeada abertamente: trilhas de auditoria clássicas foram feitas para humanos que clicam botões - vê-se que algo mudou, mas não por quê. E plataformas de governança como IBM watsonx.governance ou Credo AI respondem à pergunta “Este sistema está inventariado, avaliado quanto a risco e conforme as políticas?” - uma pergunta importante, mas outra que “Em que se baseou o enquadramento da Sra. M. em 14 de maio às 10:42?”.
Resta a saída aparentemente mais óbvia: deixar o modelo se justificar sozinho. Modelos de raciocínio produzem cadeias de justificativa - por que não arquivá-las como prova? Porque elas comprovadamente não refletem em que a decisão de fato se baseou. A pesquisa da Anthropic sobre fidelidade da cadeia de raciocínio mostra: mesmo sob condições favoráveis, modelos de raciocínio verbalizam as pistas de decisão que de fato usaram em apenas cerca de um quarto dos casos - fatores de influência relevantes permanecem ocultos mesmo para quem lê a cadeia inteira. Uma justificativa gerada é um texto sobre a decisão. Não é a base da decisão.
A pesquisa sobre contestabilidade tira daí a conclusão decisiva: explicabilidade e contestabilidade são dois meios para o mesmo fim - e a explicação sozinha, sem caminho de contestação, não o alcança (Schmude et al., 2025). A contestabilidade conta com a possibilidade de uma decisão estar errada e exige a prova para derrubá-la. Métodos de explicação post-hoc mostram, no melhor dos casos, que erros podem existir em algum ponto na vizinhança de uma decisão; não provam que esta decisão específica foi falha. E Moreira et al. (2025) deslocam o critério da mera compreensão para a capacidade de ação: uma explicação precisa habilitar afetados e auditores a contestar ativamente, questionar e influenciar um resultado - não apenas a entender por que foi decidido assim.
Com um trace de token, ninguém consegue isso. Com um ato de decisão, sim.
O ato de decisão: a peça de prova por decisão
O ato de decisão é o registro atômico, imutável e estruturado de uma única microdecisão de negócio. Ele nasce no momento da decisão - não como reconstrução posterior - e contém tudo o que o art. 86, o art. 12, a LGPD art. 20 e a jurisprudência do TJUE exigem por caso individual:
| Campo | Conteúdo | Para que serve juridicamente |
|---|---|---|
| Entrada | quais dados, qual documento, qual hash | C-203/22: “quais dados entraram, e de que forma” |
| Regra de negócio + versão + fonte | ex.: convenção coletiva (CCT) cláusula 12, versão 2024-Q3, vigente desde 01/07/2024 | a justificativa que sustenta - o campo que logs e traces não têm |
| Tipo de decisor | humano, conjunto de regras ou IA - com justificativa de roteamento | art. 14: prova de supervisão humana efetiva |
| Confiança | valor de confiança e limiar no momento da decisão | prova da gestão de riscos (art. 9), rastreio da escalação |
| Versão do modelo e do prompt | qual modelo de linguagem, qual template de prompt, qual versão | reprodutibilidade; o campo que falta no log do Copilot |
| Resultado + carimbo de tempo | o que foi decidido, quando (UTC) | conservação (art. 26(6)); retenção de 5 anos pela prescrição da CLT art. 11 |
| Registro de human-in-the-loop | quem revisou, se confirmou ou divergiu | art. 14(4): sobrepor, reverter, parar - documentado |
| Caminho de contestação | quem pode contestar esta decisão, e onde | torna o direito da LGPD art. 20 e do art. 86 operacionalmente possível de cumprir e comprovar |
É assim que aparece no ato de um caso real - quatro de 13 microdecisões do processamento de um atestado médico:
Atestado recebido em 14.05.2026, 07:12. Caso processado em 54 segundos - decomposto em 13 microdecisões documentadas.
-
02Cálculo dos 15 dias do empregador (Lei 8.213/91, art. 60, §3º) Regra
Salário integral de 14.06 a 28.06.2026
input: período do atestado 14-27.05 · dados cadastrais EMP_0x52a8rule: Lei-8.213/91-art.60-§3º · v2026-01 -
06Orientar requerimento ao INSS (auxílio por incapacidade temporária) Regra
A partir do 16º dia - empregado requer via Meu INSS, benefício B31
input: histórico de afastamentos, 12 meses (3 períodos)rule: Lei 8.213/91 art. 59-63 · v2025-07 -
09Marcar padrão de afastamentos IA 91%
Aviso ao RH: terceiro afastamento curto em seis meses
input: metadados de afastamento anonimizados - sem diagnóstico (LGPD art. 11)model-reason: correspondência de padrão de afastamentos curtos repetidos · indicador, não decisão de pessoalformalmente contestável · LGPD art. 20 -
13Conversa de retorno ao trabalho Humano
Plano de reintegração acordado
decided-by: analista de RH - 17.05.2026, 14:10
O direito administrativo brasileiro guarda para esse artefato uma analogia precisa: o ato administrativo. Uma autoridade que decide sobre um cidadão não emite um “output” - emite um ato: individualmente endereçado, motivado, com base legal e indicação dos meios de impugnação, individualmente contestável. Ninguém aceitaria que um órgão respondesse a um recurso com: “Infelizmente só temos o log do servidor.” É exatamente essa exigência de forma que o ato de decisão transfere às decisões automáticas. Uma trilha é um rastro que se deixa para trás. Um ato é um documento que se emite - e contra o qual cabe impugnação.
A contabilidade conhece essa mesma lógica há séculos: nenhum auditor aceita um total sem lançamentos e documentos de suporte. As normas brasileiras de contabilidade (NBC) e a legislação fiscal exigem registro individual, imutabilidade e rastreabilidade por fato contábil - com prazos de guarda de cinco anos pela prescrição tributária e até mais para fins societários, muito além dos seis meses do art. 26(6). O ato de decisão não é outra coisa senão a partida dobrada para decisões: um documento por fato, um ato por decisão.
O próprio mercado mostra que ainda não existe um termo padrão para essa unidade: circulam “decision trail”, “decision provenance”, “decision trace”, “accountability record” - a TechTarget declara as trilhas de decisão de IA a nova trilha de auditoria, e o FINOS AI Governance Framework pede “Agent Decision Audit and Explainability”. A exigência chegou ao debate. O artefato ainda não tem nome. Nós o chamamos, desde o início do Decision Layer: ato de decisão.
Onde o ato nasce fica claro nas sete camadas de um stack de agentes em produção - o ato de decisão é o artefato da camada 04:
-
01
Presentation Layer
Interfaces de usuário, gateways de prompts, portais de acesso para áreas de negócio e sindicato.
-
02
Orchestration Layer
Coordenação multiagente, roteamento de eventos, gestão de estado entre processos.
-
03
Agent Layer núcleo Gosign
Agentes Document, Workflow e Knowledge - a camada executora com julgamento de IA.
-
04
Decision Layer núcleo Gosign
Aqui nasce o ato de decisão: um ato por microdecisão, regras versionadas, routing human-in-the-loop em caso de discricionariedade, contestabilidade (LGPD art. 20; art. 14 na UE).
-
05
Governance Layer
Audit trail, registros assinados, controles cert-ready (EU AI Act art. 9/12/13/14 para negócios na UE, ISO 27001, NBC).
-
06
Model Layer
Registro de modelos, versionamento, calibração de confiança - agnóstico de modelo.
-
07
Integration Layer
Conectores para SAP, Workday, sistemas ERP - saídas prontas para lançamento.
Contestabilidade é uma decisão de arquitetura - não uma função
A consequência incômoda de tudo isso: contestabilidade não se instala depois. Três razões pelas quais uma ferramenta de compliance posterior falha estruturalmente:
Primeira: o que nunca foi modelado como decisão não pode ser justificado como decisão. Um agente que processa um caso “de uma vez” produz um resultado sem estrutura. A decomposição em microdecisões precisa acontecer antes da execução - é ela que define onde nasce um ato, qual regra vale ali e quem decide ali. Retrospectivamente, de um log de conversa não se extrai estrutura de decisão, assim como de um extrato bancário não se extrai uma contabilidade de centros de custo.
Segunda: supervisão humana efetiva precisa do contexto da decisão - por caso. O art. 14(4) exige que a pessoa supervisora consiga interpretar corretamente a saída, ignorá-la ou revertê-la e parar o sistema - mantendo-se ciente da tendência de confiar automaticamente na saída da máquina. O legislador nomeia expressamente o viés de automação. O NIST, nos EUA, alerta no mesmo sentido contra o human-in-the-loop cerimonial: um botão de aprovação sem contexto, sem competência e sem tempo não protege ninguém. Quem deve sobrepor precisa ter diante de si a entrada, a regra aplicada, a confiança e o motivo da escalação - exatamente os campos do ato de decisão. Por isso o human-in-the-loop no Decision Layer é um roteamento imposto, não um clique opcional: em tipos de decisão definidos, o workflow pausa, o sistema-alvo permanece intocado, e a decisão humana é ela própria documentada como ato - inclusive a informação se seguiu a recomendação ou divergiu dela.
Terceira: a correção precisa da referência à regra. Contestação não é um fim em si - serve para corrigir erros. Quando uma decisão é contestada com sucesso, surge de imediato a pergunta: foi um erro individual ou um erro de regra? Um ato de decisão que carrega a versão da regra aplicada responde isso por consulta: todos os atos sob a mesma versão da regra são identificáveis, a regra é corrigida em nova versão, os casos afetados são re-decididos de forma direcionada. De um caso individual contestado nasce uma classe de erro corrigida. Sem a referência à regra, resta apenas revisar manualmente todos os processos - o oposto de escalar.
A pesquisa chama esse princípio de contestability by design (Alfrink et al., 2022): sistemas precisam permanecer abertos à intervenção humana por todo o ciclo de vida - como relação procedimental entre afetados e responsáveis pelo sistema, embutida em vez de acoplada. E a Deloitte (2025) nomeia os três blocos de governança que faltam às empresas para agentes quase ao pé da letra dessa arquitetura: limites claros sobre quais decisões os agentes podem tomar sozinhos e quais exigem aprovação humana; monitoramento em tempo real com detecção de anomalias; e trilhas de auditoria que captem a cadeia completa das ações do agente para a responsabilização. O framework de três decisores, o Confidence Routing e o ato de decisão são a resposta técnica exatamente a essa lista - como princípio de design, não como camada de compliance posterior.
Quem contesta - e o que acontece depois
Contestabilidade soa abstrata, mas tem cinco rostos muito concretos. O Decision Layer define, para cada microdecisão, perante quem ela precisa se justificar:
| Quem contesta | Base jurídica | O que vê | O que decorre |
|---|---|---|---|
| O titular afetado | LGPD art. 20; art. 86 do EU AI Act (em negócio na UE), RGPD art. 15, 22 | a explicação da própria decisão: papel do sistema de IA, elementos essenciais, contrafactual a pedido | correção do caso individual; em erro de regra, re-execução de todos os casos afetados |
| O sindicato / a Justiça do Trabalho | CLT, convenções coletivas (CCT/ACT), a comissão de representantes dos empregados (CLT art. 510-A, empresas com mais de 200 empregados) | atos de decisões com impacto em pessoal, prova de que as regras coletivas foram tecnicamente cumpridas | negociação coletiva e fiscalização com base em evidência, não em desconfiança; defesa documentada em reclamação trabalhista |
| O Ministério Público do Trabalho | inquérito civil e ação civil pública (Lei 7.347/85) | atos de decisão dos processos investigados, com regra, versão e trilha de auditoria | resposta documental em dias, em vez de perícia reconstruída |
| O auditor | NBC, normas de auditoria, ISA | atos completos por lançamento: documento, regra, versão, confiança, aprovação | auditoria de sistema em vez de reconstrução caso a caso; amostra diretamente comprovada |
| A ANPD (PT: a CNPD, sob o RGPD art. 58 e a Lei 58/2019 - a fiscalização do AI Act em Portugal tem designação própria) | LGPD art. 20, 38; Resolução ANPD 4/2023; (e art. 26(6), art. 12 do EU AI Act em negócio na UE) | registros exportáveis e legíveis por máquina, no prazo de retenção exigido | capacidade de resposta em dias, em vez de projeto forense |
Notável é o que essa tabela faz com a organização: ela inverte a dinâmica do ônus da prova. Sem atos de decisão, cada contestação é um projeto forense de desfecho aberto - e, em caso de discriminação, a Súmula TST 443 presume discriminatória a dispensa de empregado portador de doença grave, transferindo o ônus ao empregador. Com atos de decisão, a resposta é uma consulta. O sindicato que hoje judicializa projetos de IA porque não obtém transparência torna-se beneficiário da mesma infraestrutura que serve ao auditor. Outros prometem transparência. O ato de decisão a impõe tecnicamente.
A tabela tem um lado silencioso: quem pode contestar é definido por lei e acordos - mas nenhuma norma garante por si só que os atos de decisão cheguem a existir, estejam completos e perdurem. Essa responsabilidade precisa de um dono claro na organização; ela não surge como subproduto da operação.
Enquadramento: um princípio se impõe
O olhar honesto sobre o mercado de 2026: a percepção de que decisões de agentes precisam ser individualmente comprováveis não é exclusiva. O Gartner criou uma categoria de mercado própria para camadas de controle que monitoram e bloqueiam ações de agentes - guardian agents - e prevê que respondam por 10 a 15 por cento do mercado de IA agêntica até 2030. O campo da decision intelligence - modelar, avaliar e melhorar decisões explicitamente - ganhou seu primeiro Magic Quadrant em janeiro de 2026. O WEF pede progressive governance: intensidade de supervisão acoplada ao nível de autonomia do agente. A pesquisa trabalha em decision provenance. A direção é inequívoca - e é exatamente a direção do Decision Layer.
O que essas abordagens não entregam é a vinculação à substância de negócio. Um guardian agent bloqueia em tempo de execução; não deixa um ato que sustente três anos depois numa Vara do Trabalho. A observabilidade preserva a cadeia de execução; não decompõe decisões em artefatos individualmente justificados e vinculados a regras. A diferença defensável do ato de decisão está em três propriedades: a atribuição de cada microdecisão a uma regra de negócio versionada com sua fonte - convenção coletiva, acordo de empresa, legislação tributária - em vez de a uma cadeia de raciocínio gerada; o human-in-the-loop imposto arquitetonicamente por tipo de decisão, em vez de uma configuração desativável; e o mapeamento dos atos sobre os padrões de auditoria com que auditores e auditoria interna de fato trabalham - ISA, NBC, normas nacionais. Ao que sabemos, nenhum fornecedor horizontal documenta o primeiro campo; é também o campo de que a contestabilidade depende.
A precisão exige também a ressalva: o ato de decisão é uma afirmação de arquitetura, não um certificado de conformidade. Se um sistema concreto cumpre as exigências legais permanece uma avaliação caso a caso do operador e de seus assessores jurídicos. O que a arquitetura entrega é outra coisa - e mais valiosa: ela torna possível cumprir e comprovar as exigências, caso a caso. Uma empresa com atos de decisão consegue responder à pergunta da LGPD art. 20 e do art. 86. Uma empresa com logs de chat não consegue, por melhor que documente suas intenções.
A verdadeira pergunta
A LGPD e o EU AI Act não inventaram a explicabilidade de decisões individuais - codificaram-na para sistemas de IA e a armaram com um direito do afetado. A jurisprudência do TJUE fixou o padrão antes mesmo de o primeiro prazo de alto risco incidir. E as consultorias quantificaram o que acontece quando empresas transferem direitos de decisão sem conseguir comprovar decisões: projetos cancelados, rollouts bloqueados, CIOs pessoalmente responsabilizados.
A pergunta a toda empresa que usa ou introduz agentes de IA não é, portanto, “Estamos em conformidade?”. É: se amanhã um colaborador, um sindicato, um auditor ou a ANPD contestar uma única decisão de hoje - você consegue apresentar o ato? Entrada, regra, versão, confiança, resultado, aprovação?
Quem responde sim a essa pergunta não tem mais um problema de risco de IA. Tem uma infraestrutura de decisão.
→ Decision Layer - visão geral e exemplos
→ Decision Layer explicado: os quatro componentes
→ EU AI Act e RH: IA continua alto risco - prazo 2026/2027
Agendar reunião - Mostramos, em um dos seus processos, como microdecisões, atos de decisão e caminhos de contestação se materializam na prática.
Bert Gogolin
Diretor Executivo, Gosign
AI Governance Briefing
IA empresarial, regulamentação e infraestrutura - uma vez por mês, diretamente de mim.