A IA já entrou na empresa. A governança entrou junto?

11 de mai.
9 min de leitura

A inteligência artificial não está esperando autorização formal para entrar nas empresas.

Ela já está presente em ferramentas de produtividade, plataformas de atendimento, assistentes de escrita, copilotos de código, sistemas SaaS, automações internas e aplicações usadas diretamente pelas áreas de negócio.

Em muitos casos, o uso começa de forma simples: resumir um documento, revisar uma proposta, analisar uma planilha, gerar uma resposta, classificar informações ou acelerar uma tarefa operacional.

O ganho de produtividade é evidente. O problema é que, quando esse uso acontece sem visibilidade, política e critérios claros, a empresa deixa de saber quais dados estão circulando, quais decisões estão sendo influenciadas e quais riscos estão sendo criados.

Esse é o ponto central da governança de IA: o risco não está apenas no modelo ou na ferramenta. Está no uso.

Está nos dados compartilhados, nas integrações criadas, nos acessos concedidos, nas decisões automatizadas e na ausência de regras claras para orientar o que pode ou não pode ser feito.

Shadow AI: quando a empresa usa IA sem saber

O uso corporativo de IA não acontece apenas em grandes projetos oficiais de transformação digital.

Ele também aparece em decisões individuais, em ferramentas gratuitas, em extensões de navegador, em recursos incorporados a plataformas já contratadas, em automações criadas por áreas de negócio e em soluções de fornecedores que passam a incluir funcionalidades de IA sem que isso seja tratado como uma mudança relevante de risco.

Esse fenômeno é conhecido como Shadow AI.

Na prática, ele ocorre quando colaboradores, equipes ou departamentos utilizam ferramentas de inteligência artificial sem aprovação, visibilidade ou controle formal da organização.

É uma evolução do antigo problema de Shadow IT, mas com uma diferença importante: a IA não apenas armazena ou transmite informações. Ela interpreta, resume, classifica, recomenda, gera conteúdo e, em alguns casos, executa ações.

Isso muda a natureza do risco.

Uma planilha enviada para análise pode conter dados pessoais. Um contrato resumido por uma ferramenta externa pode incluir informações confidenciais.

Um trecho de código revisado por um assistente pode conter propriedade intelectual.

Uma ferramenta usada por RH pode apoiar decisões sobre pessoas.

Um chatbot interno pode acessar bases que não deveriam estar disponíveis para todos.

O problema não é simplesmente a existência dessas ferramentas. O problema é a empresa não saber onde elas estão sendo usadas, por quem, com quais dados, para qual finalidade e com quais controles.

Quando a IA opera fora da governança, a organização deixa de enxergar uma parte importante do seu próprio fluxo de dados.

O problema não é apenas a ferramenta. É o dado.

Grande parte das discussões sobre IA corporativa ainda se concentra em escolher qual ferramenta usar. Qual modelo é mais seguro. Qual plataforma é mais eficiente. Qual solução oferece melhores recursos.

Essas perguntas são relevantes, mas insuficientes.

Mesmo uma ferramenta robusta pode gerar risco quando é usada com dados inadequados, permissões excessivas ou finalidades mal definidas.

Em outras palavras, a segurança do fornecedor não elimina a responsabilidade da empresa sobre o uso que faz da tecnologia.

O ponto mais sensível está nos dados.

No cotidiano corporativo, é comum que colaboradores utilizem IA para ganhar velocidade em tarefas aparentemente simples: resumir atas, revisar apresentações, analisar documentos, organizar informações de clientes, gerar respostas, criar relatórios ou apoiar decisões internas.

Mas, dependendo do conteúdo inserido, esse uso pode envolver dados pessoais, informações estratégicas, documentos confidenciais, dados financeiros, dados de saúde, registros de colaboradores, contratos, propostas comerciais, código-fonte, credenciais, logs ou informações protegidas por obrigações regulatórias e contratuais.

A IA cria um novo canal de circulação de dados. E todo novo canal de circulação precisa de critério.

Sem uma política clara, a decisão sobre o que pode ou não ser compartilhado fica nas mãos de cada pessoa ou área. Algumas serão conservadoras. Outras usarão ferramentas de forma ampla. Outras acreditarão que o risco é baixo porque a tarefa parece simples.

É assim que a exposição começa: não por má-fé, mas por ausência de orientação.

A IA também cria acessos e integrações

Outro ponto crítico é que a IA corporativa não se limita ao uso manual de ferramentas de texto.

Cada vez mais, recursos de IA são conectados a sistemas internos, drives corporativos, e-mails, CRMs, ERPs, bases documentais, repositórios de código, plataformas de atendimento e ambientes SaaS.

Quando isso acontece, o risco deixa de estar apenas na informação que alguém digita em uma interface. Ele passa a estar também naquilo que a ferramenta consegue acessar.

Um assistente conectado a documentos internos pode resumir informações úteis, mas também pode expor conteúdos que deveriam estar restritos.

Um recurso de IA integrado ao CRM pode acelerar análises comerciais, mas também ampliar a circulação de dados de clientes.

Um copilot conectado a e-mails e arquivos pode melhorar produtividade, mas precisa respeitar permissões, segmentações e limites claros.

A pergunta, portanto, não é apenas: “qual ferramenta de IA estamos usando?”

A pergunta correta é mais ampla:

Quais sistemas essa IA consegue acessar?
Quais dados ela consulta?
Quais ações ela pode executar?
Quem autorizou essa integração?
Qual é o escopo da permissão concedida?
Existe registro do que foi acessado?
Existe revisão periódica desses acessos?
É possível revogar a permissão rapidamente?

Esse ponto é especialmente importante com o avanço de agentes e automações baseadas em IA.

Quando uma ferramenta deixa de apenas responder perguntas e passa a executar tarefas, ela também passa a exigir governança de identidade, controle de acesso, monitoramento e limites de ação.

A IA não pode ser tratada como uma entidade neutra dentro do ambiente digital. Se ela acessa dados, interage com sistemas ou executa tarefas, precisa ser governada como qualquer outro componente crítico da operação.

Decisões apoiadas por IA exigem responsabilidade

O uso de IA também se torna mais sensível quando passa a influenciar decisões.

Isso pode acontecer em diversas áreas: triagem de candidatos, priorização de atendimentos, análise de risco, classificação de clientes, revisão de documentos, concessão de benefícios, avaliação de crédito, geração de respostas para consumidores, auditoria de processos, suporte jurídico ou recomendações gerenciais.

Nesses casos, o risco não está apenas em um possível vazamento de dados. Está também na qualidade, na rastreabilidade e na responsabilidade da decisão.

Uma recomendação gerada por IA pode conter erros.

Um modelo pode reforçar vieses. Uma classificação pode ser inadequada.

Uma resposta automatizada pode ser usada sem revisão.

Um resumo pode omitir uma informação relevante.

Uma decisão pode parecer objetiva apenas porque foi mediada por tecnologia.

Por isso, a governança de IA precisa definir onde a supervisão humana é obrigatória, quais usos exigem avaliação prévia, quais decisões não podem ser automatizadas sem controle e como os resultados devem ser validados.

A empresa não pode terceirizar sua responsabilidade para uma ferramenta.

Mesmo quando a IA apoia a decisão, a responsabilidade pelo uso continua sendo da organização.

IA e LGPD: a tecnologia muda, os princípios permanecem

No Brasil, qualquer uso de IA que envolva dados pessoais precisa ser analisado à luz da LGPD.

A tecnologia pode ser nova, mas os princípios continuam válidos: finalidade, adequação, necessidade, transparência, segurança, prevenção, responsabilização e prestação de contas.

Isso significa que a empresa precisa entender por que determinado dado será usado, se o uso é compatível com a finalidade original da coleta, se todos os dados inseridos são realmente necessários, quais medidas de segurança foram adotadas, quem terá acesso às informações, se há fornecedores envolvidos e como demonstrar que o tratamento foi realizado de forma adequada.

O uso de IA não elimina essas perguntas. Pelo contrário, torna algumas delas ainda mais relevantes.

Se uma área utiliza IA para processar dados de clientes, colaboradores, pacientes, beneficiários ou candidatos, a organização precisa avaliar riscos, bases legais, responsabilidades, contratos, transferência de dados, retenção, segurança e possibilidade de impacto aos titulares.

Também é preciso atenção aos fornecedores. Muitas plataformas incorporam IA aos seus serviços sem que a empresa contratante perceba imediatamente as implicações disso.

Um recurso novo pode alterar fluxos de dados, envolver suboperadores, mudar condições de armazenamento ou criar novas finalidades de tratamento.

Governança de IA, nesse contexto, não é apenas uma pauta de inovação. É também uma pauta de proteção de dados.

A ausência de regra cria improviso

Quando a empresa não define uma política clara para o uso de IA, o comportamento se fragmenta.

Cada área passa a decidir por conta própria. Algumas usam ferramentas públicas sem avaliação. Outras contratam soluções isoladas. Outras inserem dados internos em plataformas externas. Outras bloqueiam tudo por receio. Outras permitem o uso informal, desde que “não seja nada sensível”, sem explicar o que isso significa na prática.

Esse tipo de ambiguidade aumenta o risco.

Colaboradores não precisam apenas ouvir que devem “usar IA com cuidado”. Precisam saber quais ferramentas são permitidas, quais usos são proibidos, quais dados nunca devem ser inseridos, quais situações exigem aprovação, como validar respostas geradas por IA e quem acionar em caso de dúvida.

Uma política eficaz não deve ser apenas restritiva. Ela precisa ser aplicável.

Bloquear tudo pode empurrar o uso para a informalidade. Liberar tudo cria exposição. O caminho mais maduro consiste em estabelecer critérios claros para que a inovação aconteça com segurança.

Governar IA começa com perguntas simples

A governança de IA não precisa começar por uma estrutura complexa. Muitas vezes, o primeiro passo é fazer perguntas básicas que a empresa ainda não consegue responder.

Quais ferramentas de IA estão em uso hoje?
Quais áreas utilizam IA em suas rotinas?
Quais dados são inseridos nessas ferramentas?
Há dados pessoais, sensíveis ou estratégicos envolvidos?
Quais fornecedores utilizam IA nos serviços contratados?
Quais integrações foram criadas?
Quais permissões foram concedidas?
Quais decisões são apoiadas por IA?
Existe supervisão humana?
Os colaboradores sabem o que podem ou não fazer?
Há registro, monitoramento e possibilidade de auditoria?
Existe processo para reportar uso indevido ou incidente?

Essas perguntas ajudam a transformar um uso disperso em um tema governável.

Sem inventário, não há visibilidade. Sem classificação de dados, não há critério. Sem política, não há orientação. Sem avaliação de risco, não há priorização. Sem registro, não há prestação de contas.

Como transformar uso de IA em uso seguro

A governança do uso corporativo de IA deve combinar algumas frentes.

A primeira é o inventário. A empresa precisa mapear onde a IA já está sendo usada, incluindo ferramentas oficiais, soluções gratuitas, recursos embutidos em plataformas, extensões, copilotos, chatbots, automações e fornecedores.

A segunda é a classificação de dados. É necessário definir quais informações podem ser usadas em ferramentas de IA, quais exigem avaliação prévia e quais não devem ser inseridas em hipótese alguma.

A terceira é a política de uso aceitável. As pessoas precisam de orientações claras sobre ferramentas permitidas, usos proibidos, validação de respostas, tratamento de dados, supervisão humana e reporte de dúvidas ou incidentes.

A quarta é a avaliação de riscos por caso de uso. Nem todo uso de IA tem o mesmo impacto.

Resumir um texto público é diferente de analisar dados de saúde, classificar candidatos, processar informações financeiras ou automatizar decisões que afetam pessoas.

A quinta é a gestão de fornecedores. Contratos, avaliações de risco e processos de compras precisam considerar se a solução utiliza IA, quais dados processa, se há treinamento de modelos, suboperadores, logs, retenção, transferência internacional e possibilidade de desativar recursos.

A sexta é o controle de acessos e integrações. Ferramentas de IA conectadas a sistemas internos devem seguir princípios como menor privilégio, segregação de acesso, revisão periódica, monitoramento, owner definido e revogação segura.

A sétima é a conscientização. Colaboradores precisam entender não apenas os benefícios da IA, mas também os limites do seu uso. Isso inclui saber quando não inserir dados, como validar respostas, como identificar risco e como buscar orientação.

Essas frentes não existem para impedir o uso da IA. Existem para reduzir o improviso.

O papel da Setrix

O desafio das empresas não é escolher entre inovação e segurança. É estruturar um modelo em que a IA possa ser usada com clareza, responsabilidade e controle.

A Setrix apoia organizações nesse processo por meio de análise de riscos, políticas de segurança, governança de dados, adequação à LGPD, assessment de maturidade, conscientização e consultoria.

Esse apoio é importante porque o uso de IA atravessa diferentes áreas da empresa. Não é um tema apenas de tecnologia, nem apenas de jurídico, nem apenas de segurança. Ele envolve dados, pessoas, processos, fornecedores, acessos, contratos, decisões e responsabilidades.

Quando essas dimensões são tratadas de forma isolada, o risco cresce nos espaços entre elas.

Governança serve justamente para conectar esses pontos.

A IA corporativa não precisa ser tratada como ameaça, mas também não pode ser tratada como atalho sem controle.

Ela já está presente nas rotinas de trabalho, nos sistemas contratados, nas ferramentas de produtividade e nas decisões operacionais. Em muitos casos, trouxe ganhos reais de eficiência. Mas produtividade sem visibilidade pode se transformar em exposição.

O risco da IA não está apenas no modelo. Está no dado compartilhado sem critério, na integração criada sem avaliação, no acesso concedido sem revisão, na decisão automatizada sem supervisão e na política que ainda não existe.

Governar IA não significa bloquear inovação.

Significa garantir que seu uso aconteça com dados protegidos, acessos governados, finalidades claras, fornecedores avaliados e responsabilidades definidas.

Porque a IA já entrou na empresa.

A questão é se a governança entrou junto.