“Se não há um alinhamento entre as equipas e uma responsabilidade clara, o governo de IA nunca consegue sair do papel”

Pedro Ferreira, Head of Data & AI Governance da Galp, partilhou, no palco da IT Insight Talks, a sua perspetiva sobre a governação de inteligência artificial e partilhou conselhos de como uma organização pode começar a olhar para o governo da IA

“Se não há um alinhamento entre as equipas e uma responsabilidade clara, o governo de IA nunca consegue sair do papel”
Luciano Reis / MediaNext

O Pedro trabalha na área de T2D que tem “Technology, Transformation & Data” no nome. O que é que isso significa na prática em termode de como aborda a governança da Inteligência Artificial (IA)? Existe uma visão integrada ou ainda há silos funcionais?

A maneira como nós abordamos o governo de inteligência artificial está muito alinhado com o nome da nossa direção. Não é só tecnologia, plataformas, segurança e operacionalização de modelos; é também a componente dos dados, garantir a qualidade, a disponibilidade dos dados, o governo da informação. E, depois, também temos a componente da transformação, que está sempre muito alinhada com os objetivos do negócio. Temos também aqui uma componente de change management, mas sempre tudo com o foco na criação de valor para o negócio. É esta a maneira que nós temos para abordar o tema do governo de inteligência artificial.

Relativamente aos silos, nós temos silos funcionais, nós temos equipas especializadas em diferentes temas, temos uma equipa de desenvolvimento, temos a equipa de adoption and value focada mais nos temas de literacia de IA, temos a equipa de legal que dá o apoio jurídico, temos a equipa de cyber resilience que garante o controlo da utilização de inteligência artificial, temos a equipa da gestão das plataformas de IA e temos a nossa equipa de data and AI governance.

Apesar de haver estas distintas equipas, nós temos uma visão integrada, temos uma equipa que recolhe, tem esta ligação com o negócio e recolhe todas as necessidades do negócio, temos uma visibilidade de todas as iniciativas que existem no grupo e, para além disso, temos uma estratégia de IA que é comum, temos mecanismos de governo que são transversais, com responsabilidades claras, para que todas estas equipas trabalhem num objetivo comum que é garantir que a inteligência artificial é usada de uma forma segura, responsável e com valor para o negócio.

“Head of Data & AI Governance” é um título relativamente novo no mercado português. Como é que o Pedro define o perímetro da sua função? O que é que não é responsabilidade sua, mas muitas pessoas assumem que é?

Percebo que o facto deste papel ser relativamente recente pode causar aqui alguma ambiguidade na função, mas a minha principal responsabilidade é gerir uma equipa, cujo objetivo não é fazer acontecer, mas é garantir que as coisas acontecem da maneira certa.

Essencialmente, esta equipa tem a responsabilidade de definir o modelo de governo, definir políticas, normas, procedimentos, clarificar as responsabilidades, quem é que executa, quem é que decide, quem é que é o dono e, para além disso, também assegurar que existe aqui um controlo e alinhamento, não só para temas de qualidade, qualidade dos dados, qualidade dos metadados, compliance com o RGPD e o AI Act e, também, garantir que existe aqui uma consistência em toda a empresa.

Qual é o maior obstáculo que se encontra quando se tenta implementar governança na IA? A tecnologia, os processos ou as pessoas?

Diria que acaba sempre por haver aqui uma combinação destes três fatores. A tecnologia acaba por ser aquela que tem menos impacto porque a tecnologia já lá está, já está acessível.

Nos processos, temos algumas situações em que a política pode ser muito boa, estar muito bem desenhada, mas depois quando vamos tentar implementá- la deparamo-nos com processos demasiado complexos e depois é difícil fazer esta operacionalização.

Diria que o maior obstáculo acaba por ser as pessoas e a organização, devido a problemas de alinhamento entre equipas, falta de cultura, de dados e inteligência artificial. Também aqui há alguma resistência à mudança. Diria que por muito boa que seja a tecnologia, por muito bons que sejam os processos, se não há aqui um alinhamento entre as equipas e uma responsabilidade clara, o governo nunca consegue sair do papel e não conseguimos operacionalizar.

Sente que o AI Act já está a mudar comportamentos ou ainda é visto como um problema futuro?

No caso da Galp, já é uma realidade. Nós já começámos a olhar para este tema do AI Act já há algum tempo. Nós temos um programa de literacia de IA em que já começamos a incluir esta sensibilização para os nossos colaboradores com os riscos da utilização de IA, muito focado no tema do AI Act, na utilização da inteligência artificial do modo responsável.

Depois temos, também, uma inventariação dos nossos ativos, dos nossos sistemas, dos nossos modelos de inteligência artificial e fazemos também já uma classificação do risco, de acordo com as classificações do AI Act.

Para além disso, também já alterámos o nosso processo de desenvolvimento. Nós tínhamos um processo de desenvolvimento de soluções em que já fazíamos uma validação do risco, não só para temas de cibersegurança, mas também para a utilização de dados pessoais. Passámos a incluir, também, esta componente da inteligência artificial e da classificação do risco da inteligência artificial para que ali, com um conjunto de perguntas, logo no início da fase de desenvolvimento, se consiga identificar qual é que é a classificação de risco daquela solução. Se estivermos perante uma solução que é uma prática proibida, aí descartamos logo completamente a solução e bloqueamos logo naquele momento. Se depois houver uma classificação de risco, dos outros três níveis de risco, aí depois definimos requisitos e controlos específicos de acordo com os riscos associados.

No nosso caso, o AI Act já passou a ser parte da nossa realidade e já tem um impacto real, a nível de desenvolvimento, desenho e avaliação das nossas soluções de inteligência artificial.

Existe uma tensão constante entre velocidade de adoção de IA e rigor de governança. Como aconselha os decisores a calibrar esse trade-off? Existe uma regra prática?

Isso faz um pouco parte da estratégia da empresa, se quer ir mais rápido ou se quer ir mais longe. Às vezes com o facto de irmos mais rápido podemos ter um acidente na primeira curva. Diria que faz um bocado parte da estratégia da empresa.

Mesmo assim, considero que é possível aplicar um nível de governo progressivo de acordo com a maturidade e o risco da iniciativa. Se estivermos perante uma iniciativa que é uma experimentação, com um risco baixo, aí a prioridade deve ser a velocidade, mas apesar de a prioridade ser a velocidade podemos aplicar aqui alguma governação leve, aqui a algumas políticas básicas, por exemplo, termos um controlo de acessos, termos sistemas de logging que depois nos permitem ter aqui algum governo.

A partir do momento que queremos escala, passamos para ter uma solução já end-to-end, já com algum impacto no negócio, aí sim, aí já precisamos ter um governo mais completo, validação de dados à entrada, dos modelos, ter controlo das entradas em produção, ter aqui algum ownership e, em certos casos, garantir que existe um human in the loop para reduzir o risco.

A regra acaba por ser um bocado relacionada com isso que acabei de dizer, muito focado na maturidade da solução e no risco associada à mesma.

Um CIO que ainda não tem uma função de governança de IA estruturada, deve começar por onde? Qual é o primeiro passo concreto?

Vou assumir que um CIO que está a dar os primeiros passos no governo de dados, trabalha numa empresa que realmente já está a usar inteligência artificial e os seus colaboradores já usam inteligência artificial.

Por isso, diria que o primeiro passo que recomendo é investir em observabilidade. Ou seja, conhecer os cantos à casa, perceber que inteligência artificial está a ser usada, que agentes, que modelos estão a ser usados, como e por quem, para que, depois, com base nisso, fazer uma avaliação do risco que estas iniciativas têm, qual é o valor que isto tem para o negócio, porque pode haver situações em que há sobreposição de iniciativas e se calhar posso otimizar os meus recursos, pode estar em situações em que estamos perante um risco elevado e temos de ter aqui algumas cautelas porque pode haver aqui problemas de reputação para a empresa.

Que conselhos deixa às organizações que começam a olhar para a governança da inteligência artificial?

Não cair na tentação de procurar uma framework perfeita logo ao início. Começar simples, com os controlos reais, com os controlos efetivos, começar por ter um ponto único onde são registadas todas as iniciativas de inteligência artificial, ter aqui uma classificação simples do risco, mesmo que seja baseada apenas no AI Act.

Depois, outro conselho que posso dar é não assumir que o governo consegue acompanhar a adoção. O objetivo não deve ser tentar governar-se tudo, mas sim definir guardrails mínimos para minimizar e para evitar riscos críticos. Para além disso, aquilo que também tenho estado a observar, é que é importante que o governo dos dados esteja integrado com o governo da inteligência artificial logo no início, logo na sua gênese, porque sem a qualidade de dados, sem a rastreabilidade de dados, sem o respetivo ownership, o governo da inteligência artificial fica incompleto.

Tags

REVISTA DIGITAL

IT INSIGHT Nº 62 JULHO 2026

IT INSIGHT Nº 62 JULHO 2026

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.