Voltar para o Blog
Governador Gavin Newsom em evento público, foto oficial de 2018
Políticas públicas de IA

Califórnia ordena contratadas de IA a proteger privacidade e liberdades civis sob ordem de Newsom

A ordem executiva de Newsom acelera regras de compras públicas de IA na Califórnia, conecta privacidade, direitos civis e transparência e pressiona fornecedores a cumprir exigências claras de risco, discriminação algorítmica e segurança

Danilo Gato

Danilo Gato

Autor

31 de março de 2026
9 min de leitura

Introdução

A Califórnia formalizou um recado direto ao mercado de tecnologia, a ordem executiva de Newsom obriga que contratadas de IA protejam a privacidade e as liberdades civis como condição para vender ao Estado. O governo publicou diretrizes de compras, políticas operacionais e cláusulas contratuais que transformam princípios em requisitos práticos de procurement e conformidade.

O movimento começou com a ordem executiva N-12-23, de 6 de setembro de 2023, que determinou estudos de risco, regras de contratação e treinamento para uso responsável de IA no setor público. Em março de 2024, a Administração publicou o GenAI Toolkit e diretrizes de compras. Em 2025, cartas técnicas e atualizações do manual administrativo consolidaram cláusulas de privacidade e exigências de avaliação de risco em licitações e contratos.

Por que a ordem executiva de Newsom virou referência na prática

A ordem executiva de Newsom não ficou no papel. Ela instruiu órgãos como Government Operations Agency, Department of General Services e Department of Technology a emitirem orientações de compras e uso de IA, com foco em segurança, discriminação algorítmica, privacidade e aviso de conteúdo gerado por IA. Isso se traduziu em processos, formulários e linguagem contratual específicos para identificar IA em propostas e exigir mitigação de riscos antes da contratação.

Dois pontos mudam o jogo para fornecedores. Primeiro, o Estado elevou a régua de due diligence, solicitando avaliação de risco de IA, consulta ao órgão de tecnologia quando o risco é moderado ou alto e anexos com disposições especiais em contratos que envolvem IA generativa. Segundo, a política administrativa passou a exigir proteção explícita de dados e conformidade com leis estaduais de privacidade, o que inclui políticas de retenção, controles de acesso e rastreabilidade.

![Capitólio da Califórnia ao entardecer]

O que exatamente muda nos contratos de IA com o governo da Califórnia

Os documentos oficiais detalham três camadas de exigências que impactam diretamente quem vende IA ao Estado.

  1. Identificação e escopo de IA na proposta. Licitações e contratos precisam identificar componentes de IA, sua finalidade e os dados que processam. O GenAI Toolkit e a página de “disclosure and contract language” orientam como descrever o uso de IA no pacote de procurement.

  2. Avaliação de risco e consulta técnica. Para usos com risco moderado ou alto, a política exige avaliação de risco formal e consulta ao Department of Technology. Isso inclui analisar impacto sobre direitos, qualidade de dados, vieses e segurança.

  3. Privacidade por padrão. O manual administrativo e a carta técnica consolidaram seções específicas, como SAM 4986.9, que trata de procurement de GenAI, e SAM 4986.10, que trata de privacidade em GenAI. As seções conectam contratos a controles técnicos e organizacionais para garantir confidencialidade, integridade e proteção de dados.

Na prática, isso significa que fornecedores devem levar para a mesa um pacote de conformidade com políticas de acesso a dados, logs de auditoria, documentação de datasets e testes de vieses. O Estado deixa claro que quer IA útil, porém com salvaguardas visíveis e auditáveis.

Como as leis estaduais reforçam privacidade e liberdades civis

A ordem executiva de Newsom opera sobre um ecossistema jurídico estadual robusto. Em 2024 e 2025, a Califórnia aprovou e consolidou leis que aumentam a transparência de IA, protegem denunciantes e atualizam regras de privacidade para a era algorítmica.

Um marco é a AB 2013, assinada em 28 de setembro de 2024, que entrou em vigor em 1º de janeiro de 2026. A lei exige mais clareza sobre dados usados para treinar modelos, o que fortalece a prestação de contas de fornecedores que querem vender ao setor público e ao mercado em geral.

Em paralelo, o Conselho de Direitos Civis garantiu, em 27 de junho de 2025, a aprovação de regulamentos para proteger trabalhadores de discriminação mediada por IA, com vigência a partir de 1º de outubro de 2025. Isso pressiona ferramentas de triagem e avaliação automatizada a provarem ausência de vieses, sob pena de sanções.

A agência de proteção de privacidade do Estado também tem se posicionado contra esforços federais que tentam preemptar proteções estaduais mais fortes. Em novembro de 2025, a CalPrivacy criticou propostas federais que limitariam leis estaduais de IA sem oferecer salvaguardas equivalentes. Para fornecedores, o recado é simples, a Califórnia seguirá exigindo padrões elevados de privacidade e direitos civis.

O cenário político, o risco de preempção federal e o que muda para fornecedores

Houve forte debate nacional sobre a tentativa de uniformizar regras via ordem executiva federal com efeito preemptivo sobre leis estaduais. Em dezembro de 2025, relatórios indicaram reação imediata de autoridades californianas e do Judiciário estadual, destacando que a Califórnia teria mais a perder se sua malha regulatória fosse esvaziada. Para quem vende IA no Estado, o pragmatismo prevalece, planilhas de requisitos californianos continuam valendo no procurement estadual e judicial.

Enquanto isso, notícias da Associated Press mostram a oscilação entre aprovar e vetar propostas amplas de segurança de IA, sempre com o argumento de equilibrar inovação e proteção. Leis específicas avançaram, como as de transparência e privacidade, e soluções de compras públicas foram entregues. Para vendedores, a leitura de risco deve focar no que já está em vigor e no que já se traduz em cláusulas contratuais.

![Retrato oficial de Gavin Newsom em 2018]

O que provar numa proposta vencedora de IA para a Califórnia

  • Documentação de dados e privacidade. Liste fontes de dados, categorias sensíveis, base legal de tratamento e políticas de retenção. Mostre como o produto evita coleta excessiva e como permite atender direitos do titular, inclusive delete requests e opt-outs. O Estado já avançou em mecanismos de deleção e sinal de preferência de opt-out, então alinhar sua solução com esses fluxos reduz atrito.

  • Testes de vieses e impacto em direitos civis. Apresente metodologias, métricas e resultados. Se a aplicação envolve admissão a serviços, benefícios ou emprego, descreva mitigação de discriminação e monitoração contínua. Os regulamentos de 2025 sobre emprego e IA dão o tom.

  • Segurança e governança de modelo. Traga política de versionamento, gestão de riscos, processo de revisão humana e registro de incidentes. Se a solução usa modelos de fronteira terceirizados, detalhe contratos de dependência, SLAs de atualização e trilhas de auditoria.

  • Transparência operacional. Inclua explicabilidade proporcional ao risco, avisos de conteúdo gerado por IA e canais de contestação de decisões automatizadas, quando aplicável. Essas práticas aparecem nas diretrizes oficiais e são valorizadas por avaliadores públicos.

  • Linguagem contratual pronta. Antecipe cláusulas exigidas para IA generativa e incorpore-as na minuta de contrato, indicando como serão cumpridas e monitoradas. O GenAI Toolkit e as páginas de disclosure ajudam a padronizar essa entrega.

Estudos, vetos e aprovações, aprendizados para 2026

Relatórios encomendados pelo Estado alertaram para riscos sistêmicos da IA, de biotecnologia a cibersegurança. Em resposta, a estratégia californiana preferiu segmentar obrigações, combinando medidas de alto impacto prático, compras públicas com cláusulas fortes, transparência de dados de treinamento, regulação setorial de emprego e adaptação do ecossistema de privacidade já maduro.

Essa abordagem incremental, reforçada por notícias sobre aprovações e vetos, tende a continuar. O apetite por medidas com rastreabilidade de cumprimento, como disclosure, avaliações de risco e avisos de IA, é maior que por grandes leis monolíticas. Para fornecedores, isso pede disciplina, processos e documentação constantes, não apenas um sprint antes do edital.

Exemplos práticos para time de vendas e compliance

  • RFPs com IA. Ao identificar componente de IA, inclua um Anexo de Risco com categorias, dados pessoais, controles técnicos e processo de revisão humana. Vincule o anexo a KPIs de qualidade e a SLAs de correção de vieses. Use a taxonomia das diretrizes oficiais para facilitar a análise do avaliador.

  • POCs com dados reais. Faça POCs com dados anonimizados e planos de minimização. Registre conselhos de ética e parecer jurídico quando houver decisões de alto impacto. Apresente logs e trilhas de auditoria que permitam reconstituir recomendações do sistema.

  • Terceiros e modelos base. Se usar modelos de terceiros, obtenha das fundações documentação sobre dados de treinamento, testes de segurança e políticas de uso aceitável. A AB 2013 pressiona nesse sentido, então alinhar-se cedo ajuda.

  • RH e IA. Para soluções de recrutamento e avaliação, apresente estudos de disparidade, thresholds de performance por grupo e mecanismos de contestação. Mostre como a ferramenta evita proxies de raça, gênero e idade. Isso conversa diretamente com os regulamentos aprovados em 2025.

Métricas que o Estado tende a observar

  • Falsos positivos e falsos negativos em decisões sensíveis, segmentados por grupos protegidos.
  • Percentual de prompts e outputs sinalizados como sensíveis, com bloqueios e justificativas.
  • Tempo médio para atender solicitações de deleção e opt-out, alinhado a prazos legais.
  • Tempo de resposta a incidentes de segurança e número de incidentes reportados por trimestre.
  • Cobertura de testes de vieses antes de cada grande release do modelo.

Como isso afeta a estratégia competitiva

Empresas que internalizam os requisitos californianos criam um pacote exportável a outros estados, já que muitas jurisdições olham para a Califórnia como referência. A capacidade de demonstrar conformidade com privacidade, direitos civis e transparência com documentação pronta acelera auditorias e reduz ciclos de aquisição. No curto prazo, o custo de conformidade aumenta. No médio prazo, transforma-se em barreira de entrada competitiva.

Para IA de uso interno no governo, as mesmas regras estimulam compras seguras, o que abre espaço para soluções com governança madura. A mensagem é clara, a ordem executiva de Newsom se consolidou como checklist operacional para quem quer vender IA ao Estado, e a conformidade deixou de ser diferencial para se tornar requisito básico.

Conclusão

A Califórnia conectou ordem executiva, diretrizes de compras e legislação setorial em um pacote coerente. A ordem executiva de Newsom deu mandato para exigir que contratadas de IA protejam a privacidade e as liberdades civis. As páginas oficiais mostram o caminho, disclosure de IA nos contratos, avaliação de risco proporcional, cláusulas de privacidade e segurança, e atenção a vieses e impactos em direitos civis.

Para quem fornece IA, a lição é pragmática. Organizações que documentam dados, testam vieses, estruturam governança de modelo e incorporam linguagem contratual recomendada vencem. Em 2026, quem alinhar produto e compliance com a régua californiana vai negociar mais rápido e com menos atritos, entregando inovação sem abrir mão de proteção aos cidadãos.

Tags

governo digitalprivacidade de dadosresponsabilidade algorítmica