Semana passada, conversei com o CISO de uma empresa com 2.400 colaboradores. Quando perguntei sobre a política de uso de IA, a resposta veio sem hesitar: “não temos, mas estamos monitorando.”
Monitorando o quê, exatamente?
Ele não soube precisar. Relatórios de navegação, talvez. Logs de acesso. O tipo de coisa que captura o sintoma, não o problema.
Enquanto falávamos, algum colaborador daquela empresa provavelmente estava colando um contrato no ChatGPT para pedir um resumo. Ou pedindo para o Gemini rascunhar um e-mail com dados de cliente. Ou usando o Copilot para analisar uma planilha financeira que não deveria sair da rede.
Isso tem nome: Shadow AI. E é diferente do Shadow IT que você conhece
Por que Shadow AI é um problema diferente
Shadow IT tradicional, aquele servidor não autorizado, aquele SaaS comprado com cartão corporativo sem passar pelo TI, ao menos mantém os dados dentro de algum perímetro controlável.
Shadow AI exporta os dados para fora do ambiente corporativo antes que qualquer controle possa atuar. O dado sai. Vai para o modelo. Pode ficar no histórico de conversas. Pode ser usado para treinamento, dependendo dos termos de serviço que ninguém leu.
A Samsung aprendeu isso quando engenheiros do setor de semicondutores colaram código-fonte proprietário e notas de reuniões no ChatGPT. Três incidentes em menos de um mês. Resultado: banimento interno de ferramentas de IA generativa e uma investigação que durou meses. O dano à propriedade intelectual foi irreversível. O dado já tinha saído.
63% das organizações globais não têm política formal de uso de IA generativa, segundo o IBM Cost of a Data Breach Report 2025. Não é nicho. É maioria.
O que o PL 2338 pode mudar nessa equação
O Projeto de Lei 2338, que regulamenta o uso de IA no Brasil, ainda não foi aprovado. Mas se aprovado na forma como está escrito, não vai aceitar “estávamos monitorando” como resposta para o regulador.
Na redação atual, as obrigações de governança recaem sobre quem opera sistemas de IA. E uso informal conta como operação.
O jurídico que usou o ChatGPT para rascunhar uma cláusula de confidencialidade? Operou. O analista de RH que pediu para uma LLM resumir laudos de desempenho com nomes reais? Operou. O financeiro que colou projeções de resultado para pedir uma análise de sensibilidade? Operou.
A ausência de política não isenta. Agrava. Porque documenta que a empresa sabia que precisava agir e escolheu não agir.
Se o PL passar na forma atual, combinado à LGPD e às obrigações setoriais de sigilo, o quadro regulatório que se forma não é hipotético. Quem não tiver estrutura de governança antes da aprovação vai montar às pressas, com custo e risco maiores do que se tivesse feito antes.
A conversa que precisa acontecer no board
O erro mais comum é apresentar Shadow AI para o conselho como risco tecnológico.
Não é. É risco de negócio com vetor tecnológico.
A pergunta certa não é “temos exposição?”. É “quanto custa essa exposição versus quanto custa evitá-la agora?”
Um incidente de vazamento de dados por uso não autorizado de LLM envolve investigação forense, notificação de titulares, potencial multa da ANPD (até 2% do faturamento, limitado a R$ 50 milhões por infração), dano reputacional e custo de litígio. O IBM Cost of a Data Breach Report 2025 coloca o custo médio global de uma violação em US$ 4,88 milhões.
Uma política de uso aceitável de IA, com classificação de dados, lista de ferramentas aprovadas, treinamento e processo de exceção, custa uma fração disso.
Quem fizer essa conta agora vai ao conselho com argumento de eficiência. Quem esperar vai com explicação de por que não agiu.
O que uma política mínima precisa ter
Não existe estrutura universal, mas existe um piso abaixo do qual nenhuma empresa deveria operar.
O primeiro elemento é a classificação de dados com limites de uso definidos: quais dados podem entrar em ferramentas externas. Dados públicos, internos, confidenciais e restritos exigem tratamentos diferentes. Sem isso, cada colaborador toma essa decisão sozinho, e toma errado. O segundo é uma lista de ferramentas aprovadas, uma lista do que está autorizado, com qual nível de dado, para qual finalidade, com processo de aprovação para o que ficar fora dela.
Tão importante quanto a lista é o processo de exceção com tempo de resposta definido. A política que bloqueia sem oferecer alternativa gera contorno. Colaborador que precisa de algo fora da lista precisa saber como pedir e em quanto tempo recebe resposta. Se o processo demorar semanas, ele não espera. Isso precisa ser acompanhado de treinamento específico, não genérico: “não coloque dados sensíveis em IA” não é treinamento, é aviso que ninguém lembra. Exemplos reais do setor, casos de uso legítimos, limite claro de onde está a linha.
Por fim, sugestão de revisão trimestral. O mercado de ferramentas de IA muda mais rápido do que qualquer política anual consegue acompanhar. Revisão trimestral é a diferença entre uma política viva e um documento decorativo.
Para PMEs, o caminho é diferente — mas existe
Empresas menores não conseguem replicar a estrutura de uma enterprise. Mas precisam de algo.
Uma política de uma página, com regras básicas de classificação de dados e a lista de ferramentas aprovadas, já coloca a empresa em posição melhor do que 63% do mercado. O risco de não ter nada supera amplamente o custo de estruturar o mínimo.
Para PMEs, o argumento mais eficiente não é regulatório. É de seguro: algumas seguradoras já estão incluindo perguntas sobre governança de IA nas avaliações de risco cibernético. Quem não tem política está pagando mais para se proteger menos.
Política de uso aceitável de IA não é roadmap 2027!
É decisão que já deveria ter sido tomada. E fica mais cara a cada trimestre que passa.
A empresa que ainda está “monitorando” já está operando com exposição. A questão não é se vai ter um incidente. É se vai ter política antes ou depois dele.
Descomplicando a Cibersegurança
Quer saber mais sobre Cibersegurança de uma forma simples e direta, construindo uma base de conhecimento que suporte os desafios da IA?
Conheça meu livro: “Descomplicando a Cibersegurança” e tenha acesso a um conteúdo essencial para gestores e profissionais que precisam de clareza para navegar no cenário de riscos digitais.
Link para Amazon: https://a.co/d/00y4w0we
Linkedin: https://www.linkedin.com/in/joseluizjr/
