Por que a SB 53 da Califórnia está mudando o jogo da transparência em IA?

Em 29 de setembro de 2025, a Califórnia assinou a SB 53, uma lei que estabelece um novo patamar de transparência para grandes desenvolvedores de inteligência artificial. Enquanto o Congresso federal americano permanece travado em debates sobre regulação tech, os estados tomaram a dianteira — e a Califórnia, como sempre, virou o blueprint que outros seguem.

A SB 53 não é apenas mais uma lei estadual. Ela representa uma virada de chave: pela primeira vez, grandes empresas de IA precisam publicar relatórios padronizados de segurança, criar canais protegidos para denúncias de incidentes e demonstrar suas estruturas de governança. Para empresas brasileiras que contratam soluções de IA americana — seja para RH, atendimento, análise de dados ou automação —, isso significa uma nova régua de due diligence e comparação de fornecedores.

O que muda com a lei SB 53 para desenvolvedores de IA?

A SB 53 estabelece três pilares fundamentais para modelos de "frontier AI" (inteligência artificial de ponta, como grandes modelos de linguagem):

Disclosures padronizados de segurança e governança: Empresas precisam publicar relatórios estruturados sobre como garantem a segurança de seus sistemas, quais frameworks seguem e como avaliam riscos. Não basta mais ter políticas internas — elas precisam ser públicas e comparáveis.

Canal de reporte de incidentes com proteção a whistleblowers: A lei cria mecanismos formais para que funcionários e terceiros reportem problemas de segurança sem risco de retaliação. Isso força uma cultura de transparência interna que se reflete externamente.

Novo baseline de transparência: Assinada em setembro de 2025, a SB 53 é tratada por juristas e analistas como o novo padrão mínimo de transparência para big tech de IA nos Estados Unidos. Empresas que operam na Califórnia precisam se adequar — e as que não operam começam a sentir pressão de clientes e parceiros para fazer o mesmo.

Como Nova York e Colorado estão seguindo o caminho da Califórnia?

A tendência de regulação estadual em IA não para na Califórnia. Nova York e Colorado avançam rapidamente em iniciativas complementares, criando um mosaico regulatório que empresas globais precisam acompanhar.

Qual é o foco do RAISE Act de Nova York?

O RAISE Act (S6953B) foi aprovado pelo Legislativo de Nova York em 2025 e aguarda sanção da governadora. A lei foca em:

• Modelos frontier: Requisitos específicos para sistemas de IA de alta capacidade
• Relatórios de segurança: Obrigatoriedade de documentação pública sobre avaliações de risco
• Notificação de incidentes: Prazos definidos para comunicar falhas ou vazamentos

Nova York historicamente segue de perto regulações californianas em privacidade e tecnologia — e o RAISE Act confirma essa tendência.

O que o Colorado AI Act adiciona ao panorama regulatório?

O Colorado já tinha dado o primeiro passo com o SB24-205 em 2024\. Agora, o estado reforça seus requisitos com ajustes através do SB25B-004, também chamado de "AI Sunshine Act":

• Transparência ampliada: Exigência de avaliações de impacto algorítmico disponíveis publicamente
• Prazos de disclosure: Timelines específicos para publicação de mudanças em modelos
• Evolução contínua: A legislação está sendo aprimorada com foco em comparabilidade entre fornecedores

O Colorado se posiciona como laboratório de políticas de IA, testando abordagens que podem inspirar outros estados e até legislação federal.

Por que isso importa para empresas brasileiras que contratam IA?

Pode parecer distante, mas as leis estaduais americanas têm impacto direto em empresas brasileiras que usam fornecedores de IA globais. Aqui estão três razões concretas:

Como a nova régua de due diligence afeta processos de compra?

Com a SB 53 e leis similares, os fornecedores americanos de IA passam a ter evidências públicas de suas práticas de segurança. Isso significa que times de Compras e Jurídico brasileiros agora têm:

• Mais dados para comparar fornecedores lado a lado
• Argumentos técnicos para negociar cláusulas contratuais mais robustas
• Informações públicas para exigir prazos de notificação em caso de incidentes

Anteriormente, essas informações eram obtidas através de RFPs longas e respostas muitas vezes genéricas. Agora, há publicação obrigatória.

Quais padrões técnicos começam a virar requisito de contrato?

A conformidade com frameworks internacionais sai do campo teórico e entra nos sites dos fornecedores:

• NIST AI Risk Management Framework (RMF): Framework americano de gestão de risco em IA
• ISO/IEC 42001: Padrão internacional de sistema de gestão de IA
• ISO/IEC 23894: Orientações para gestão de riscos em IA

Empresas que antes diziam "estamos alinhados com boas práticas" agora precisam especificar quais. Isso permite que times de Governança brasileiros incluam esses requisitos em RFPs e RFIs de forma objetiva.

Como a pressão multijurisdição afeta contratos globais?

Empresas brasileiras já lidam com:

• LGPD (Lei Geral de Proteção de Dados) no Brasil
• PL 2338 (projeto de regulação de IA no Brasil)
• GDPR (regulação europeia) para operações na Europa
• EU AI Act (lei de IA europeia) para fornecedores que atuam na UE

Agora, adicione CA/NY/CO à lista. Para empresas multinacionais ou que usam ferramentas globais, a matriz de riscos regulatórios fica mais complexa. Contratos precisam contemplar múltiplas jurisdições e cláusulas de conformidade precisam ser mais específicas.

Checklist prático: o que fazer esta semana na sua empresa?

Não espere a próxima renovação de contrato para agir. Aqui estão três ações imediatas que times de Compras, Jurídico e Segurança podem executar:

1\. Mapeie seus fornecedores de IA e colete evidências

Crie uma planilha com todos os fornecedores que usam IA na sua empresa (ChatGPT, ferramentas de RH, plataformas de análise, chatbots, etc.) e documente:

• Link do framework de IA: Onde o fornecedor publica suas práticas de segurança?
• Mecanismo de incident reporting: Como e quando eles notificam incidentes?
• Changelog de segurança: Existe um histórico público de atualizações de segurança?

Se essas informações não estão disponíveis publicamente, inclua isso como pergunta no próximo contato comercial.

2\. Atualize templates de contratos com cláusulas específicas

Revise seus modelos de contrato para incluir:

• Obrigação de manter relatórios públicos atualizados sobre segurança em IA
• SLA de notificação em caso de incidentes ou vulnerabilidades
• Declaração de aderência a NIST/ISO quando aplicável
• Direito de auditoria de conformidade com base em padrões declarados

Essas cláusulas transformam promessas comerciais em obrigações contratuais verificáveis.

3\. Monitore legislação e replique requisitos em processos de compra

Crie uma watchlist para acompanhar:

• CA (SB 53): Regulamentações complementares e prazos de adequação
• NY (RAISE Act): Sanção da governadora e calendário de implementação
• CO (AI Act/Sunshine): Atualizações e expansão de requisitos

Use essas informações para atualizar RFIs e RFPs com perguntas específicas sobre conformidade estadual americana quando o fornecedor operar nesses estados.

Como a TrustThis ajuda empresas a navegar esse novo cenário?

A complexidade regulatória em IA aumentou exponencialmente — e fazer isso manualmente é inviável em escala. A TrustThis oferece uma solução estruturada para esse desafio:

Rastreamento e versionamento automatizado: A plataforma monitora políticas, frameworks, páginas de segurança e disclosures de fornecedores, capturando mudanças ao longo do tempo. Você não precisa checar site por site manualmente.

Score de transparência por fornecedor: Avaliação objetiva baseada em critérios como presença de incident reporting, proteção a whistleblowers, aderência a padrões e atualização de documentos. Comparação direta entre fornecedores em minutos.

Alertas de mudança e histórico versionado: Receba notificações quando um fornecedor atualizar suas políticas ou remover informações relevantes. Útil para renovações contratuais e auditorias de conformidade.

Governança de evidências: Organização automática de evidências alinhada ao espírito da SB 53: transparência verificável, comparável e auditável.

Qual é o próximo passo para sua empresa?

A SB 53 e o movimento regulatório estadual americano não são apenas assuntos jurídicos — são oportunidades de elevar o nível de governança em IA na sua empresa. Quanto antes você estruturar processos de due diligence baseados em evidências, mais preparado estará para negociar contratos, mitigar riscos e atender auditorias.

Peça uma varredura TrustThis e receba um dossiê completo com links, evidências e comparativo pronto para apresentar a Compras e Jurídico. A transparência em IA deixou de ser opcional — é hora de torná-la mensurável.

---

Fontes consultadas:

• Fortune — California governor signs landmark AI safety law SB 53 (30.set.2025)
• Office of the Governor of California — assinatura e pontos-chave da SB 53 (29.set.2025)
• IAPP — análise da SB 53 e panorama de disclosures (01.out.2025)
• Morrison & Foerster (MoFo) — baseline de transparência para big AI (01.out.2025)
• New York RAISE Act (S6953B) — avanço legislativo (2025)
• Colorado AI Act / ajustes (SB24-205, SB25B-004) — requisitos de transparência (2024–2025)