Como este tema funciona no porte da sua empresa
Política é conversa informal entre dono e colaboradores. "Vocês podem usar IA para ajudar no trabalho, mas não coloquem CPF ou RG de cliente." Simples, oral, baseada em confiança. Não precisa documento formal.
Política é 1-2 páginas em documento compartilhado (Google Docs ou PDF). Dono explica em reunião (15 min). Vinculado a contrato de trabalho ou termo de aceitação. Menos formal que média, mais formal que micro.
Política formal, assinada por RH/compliance, comunicada em onboarding, auditada periodicamente. Conectada a ISO 27001 / LGPD. Pode ter trilha de conformidade (treinamento, acesso monitorado). Parte de programa de governança.
Política de uso de IA é conjunto de regras que define o que sua empresa permite, controla, e proíbe em relação a IA. Não é "proibir tudo" (freia inovação) nem "permitir tudo" (abre risco LGPD). É "permitir com guardrails claros": Sim a IA para email/resumo, Não a dados sensíveis em IA pública, Valide sempre saída, Reporte incidente.
Filosofia: IA é ferramenta que aumenta produtividade
Enquadramento correto: IA não é ameaça, é acelerador. Como você usa telefone, email, planilha — IA é ferramenta que faz tarefa rotineira mais rápido.
Uso responsável é a chave. IA é acelerador de tarefas rotineiras (email, resumo, escrita, código). Não é substituto de julgamento humano. Frame correto: "IA faz admin melhor; você faz relacionamento, decisão estratégica, julgamento complexo. Juntos, processo é mais rápido e mais humano."
Exemplo: você usaria IA para gerar draft de resposta de email? Sim, economiza tempo. Você usaria IA para decidir se corta 10% da folha? Não — essa é decisão sua que impacta pessoas.
Liberado: ChatGPT, Claude, Gemini para tarefas rotineiras
Lista de usos que você PERMITE sem restrição:
- Email: draft, resumo, tradução
- Escrita: blog, documento, proposta, briefing
- Código: geração, refatoração, debug
- Ideação: brainstorm, conceito, campanha
- Pesquisa: resumir artigo, compilar informação
- IA integrada em produção (Microsoft Copilot em Word/Excel, Google Duet em Docs/Sheets): use como qualquer outra ferramenta do Office
Ferramentas aprovadas por default: ChatGPT, Claude, Google Gemini, Microsoft Copilot, Perplexity. Planos Team/Enterprise desses têm DPA (Data Processing Agreement) incluso — significa que empresa promete que dados seu não são usados para treinar IA deles.
Limite de requisições: Se usar plano pago (ChatGPT Plus, Claude Pro), monitorar que não está abusando (limite de crédito/requisições). Não é proibição, é conscientização de custo.
Controlado: teste com dados de produção
Regra: não teste IA com dados reais de cliente ou funcionário sem anonimizar.
Scenario: você quer testar se IA consegue extrair informação de contrato. Solução: use contrato fake/template, ou remova nomes/valores antes de enviar.
Por quê? Porque você está enviando dados para sistema de IA (que pode estar em servidor em outro país). Se dados são reais, você está violando LGPD (dados pessoais saindo da empresa sem controle).
Prática recomendada: "Dados de teste" = dados fake ou dados reais com informação sensível removida. Use em ambiente de teste, não em produção.
Proibido: dados sensíveis em IA pública
NÃO coloque em ChatGPT/Claude/Gemini público:
- CPF, RG, número de conta bancária
- Contrato (confidencial)
- Comunicação confidencial (email interno, reunião)
- Diagnóstico médico ou jurídico
- Dados de cliente (identificável)
- Código proprietário ou senha
Por quê? Porque IA pública (ChatGPT plano free, Gemini plano free, Claude no site público) pode usar seus dados para treinar modelo deles. Seus dados poderiam aparecer em resposta para outro usuário. É risco de privacidade.
Exceção (planos pagos com DPA): ChatGPT Business, Claude Pro (com settings ativado), Gemini Enterprise — esses NÃO usam dados para treinar. Se tem contrato DPA com IA, pode usar com mais segurança (mas ainda precisa validar que é dado que quer compartilhar).
Ferramentas NÃO testadas: Se alguém quer usar IA que você nunca usou (ferramenta X, startup Y), é BLOQUEADA até análise de compliance. Não é paranoia — é que você não conhece política de dados deles.
Responsabilidade: usuário valida saída
IA erra com confiança. IA pode "alucinar" (inventar informação que parece verdade mas é fake).
Exemplo: você pede "resuma jurisprudência sobre LGPD". IA gera lista de "casos recentes" que parecem reais mas não existem. Se você copia e cola em documento para cliente sem verificar, você tá transmitindo informação falsa que você não sabe que é falsa.
Regra de ouro: Você é responsável por validar antes de enviar/publicar. IA é assistente, você é editor.
Prática específica por contexto:
- Email/doc externo: você review, valida contexto, depois envia
- Código: você testa antes de push para produção
- Jurídico: você valida com advogado, não envia IA-gerado direto
- Dados numéricos: você verifica fonte, não confia só em resposta IA
Tom: "IA é rápida e útil, mas não é oraculizada. Confira sempre."
LGPD: dados pessoais exigem DPA
Cenário 1: Você tem ChatGPT plano free. "Vou testar se IA consegue anonimizar lista de cliente." Envia lista com nome/CPF/email. OpenAI pode usar para treinar ChatGPT. Violação de LGPD.
Cenário 2: Você tem ChatGPT Business com DPA. Pode processar dados pessoais com mais segurança (OpenAI promete não usar para treinar). Mas ainda precisa: (1) consentimento de cliente (LGPD art. 7), (2) estar certo que ChatGPT está localizado em jurisdiction certa (pode vir de servidor fora Brasil, atenção).
Regra simples: Dados pessoais em IA apenas se tiver DPA (Data Processing Agreement). Sem DPA = não coloque.
DPA significa: "Você (empresa IA) promete que dados meus não serão usados para treinar, que serão deletados em X dias, que terá backup seguro, que notificará se vazar." É contrato de proteção de dados.
Planos com DPA nativo: ChatGPT Business, Claude Pro (settings), Gemini Enterprise, Slack Enterprise. Planos free: não têm DPA.
Segurança: não compartilhe credencial
Não faça: "Vou compartilhar minha conta ChatGPT Pro com 3 colegas para economizar." Senha compartilhada = risco de credencial vazada, auditoria impossível, controle perdido.
Faça: Cada pessoa com sua conta (se usar plano pago) ou usar workspace/team features da ferramenta (ChatGPT Team, Claude Team, Gemini Workspace).
Workspace/Team: Permite múltiplos usuários em 1 conta corporativa com auditoria, controle de acesso, billing centralizado. Isso é seguro.
Incidente de segurança: report imediatamente
Cenário: Funcionário acidentalmente colou prompt contendo CPF de cliente em ChatGPT. OpenAI armazenou. Como responder?
Passo 1 (minuto 0-30): Funcionário reporta a você (cultura de "não é problema dizer erros").
Passo 2 (minuto 30-60): Você reporta a TI/Compliance. "Dado pessoal foi enviado para serviço IA externo."
Passo 3 (hora 1-24): Você pode pedir para OpenAI deletar histórico. Pode entrar em contato com suporte deles.
Passo 4 (dia 1-2): Se configurado como incidente de dados, reportar à ANPD (LGPD exige notificação em 2 dias úteis após saber).
Código de conduta: não é punir funcionário. É: (1) entender que IA aumenta velocidade e reduz atenção (fácil errar), (2) reforçar treinamento, (3) considerar ferramentas com validação antes de enviar.
Treino & Compliance: anualmente
Anualmente (ou quando IA nova surgir):
1. Sessão de "prompt engineering bom" (como pedir para IA de forma clara, como validar resposta, como reconhecer alucinação)
2. Atualização de risks (quais novas ferramentas existem, qual é policy dela, precisa ajustar policy nossa)
3. Caso-a-caso se surgir usos críticos (exemplo: você quer usar IA para automação financeira — precisa de aprovação antes)
Dados altamente sensíveis: M&A, investigação jurídica, negociação confidencial — exigem aprovação explícita de Compliance antes de usar IA (mesmo plano pago com DPA).
Erros comuns: proibir tudo ou permitir tudo
Erro 1: "Proibir tudo IA": Resultado é que time usa IA escondido, sem controle, maior risco. Você não sabe que estão usando, não consegue auditar, quando descobre é surpresa. Melhor: "permitir com transparência".
Erro 2: "Permitir tudo IA": Resultado é que dados sensíveis vazam, ANPD multa você, cliente descobrir. Melhor: "permitir com guardrails".
Caminho equilibrado: "Sim IA", "Não a dados sensíveis em IA pública", "Valide saída", "Reporte incidente". Simples, claro, prático.
Sinais de que sua empresa precisa de política de IA
Se você se reconhece em três ou mais destes cenários, é hora de estruturar:
- Meu time quer usar ChatGPT mas tenho medo de segurança
- Como fazer política de IA que não seja muito restritiva?
- Qual é o risco real de usar IA?
- Posso permitir IA com dados de cliente?
- Preciso de advogado para fazer política de IA?
- Funcionário já colou prompt com CPF em ChatGPT — não soube como responder
- Não sabemos o que está proibido e o que está permitido em IA
Caminhos para desenhar política de IA
Dono lê este artigo, adapta template (20 min), compartilha com time em reunião (15 min). Simples, direto, não burocrático. Deixa claro: "Usem IA, mas não dados sensíveis em IA pública."
- Perfil necessário: Você (dono) + alguém tech para validar template (opcional)
- Tempo estimado: 1-2 horas para desenho, 30 min para comunicação, atualizar quando novo surge
- Faz sentido quando: Empresa é pequena, você tem tempo, dados não são críticos
- Risco principal: Política fica genérica, time não leva a sério, volta ao improviso
Consultor IA + Compliance desenha política formal, treina team, estabelece auditoria. Você fica com programa robusto e documentado.
- Tipo de fornecedor: Consultoria IA, especialista em compliance, consultoria de transformação digital
- Vantagem: Política alinhada com LGPD, benchmark de mercado, auditoria periódica, governança formal
- Faz sentido quando: Empresa é média, dados são sensíveis, quer estar 100% compliant
- Resultado típico: Política pronta em 2-3 semanas, team treinado, auditoria em andamento, conformidade verificável
Qual é a maior preocupação que você tem com IA na sua empresa?
Estruturar política de IA não é paranoia — é gerenciamento de risco e oportunidade. Na oHub, você conecta com consultores IA, especialistas em LGPD, e mentores de transformação digital que já ajudaram PMEs a desenhar política que protege sem frear inovação. Sem custo inicial, sem compromisso.
Encontrar fornecedores de PME no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Devo permitir ChatGPT na empresa?
Sim. Não coloque dados sensíveis em ChatGPT free. Se usar ChatGPT Business (com DPA), pode ser mais seguro. Regra: "IA sim, dados sensíveis em IA pública não".
Como fazer política de IA segura?
Simples: (1) Libere IA para tarefas rotineiras (email, escrita). (2) Proíba dados sensíveis em IA pública. (3) Exija validação sempre. (4) Estabeleça como reportar se vazar. Feito.
Qual é o risco de dar acesso a IA?
Risco #1: dados sensíveis vão para IA pública (LGPD multa você). Risco #2: IA alucina (você distribui informação falsa). Risco #3: você não sabe que estão usando (sem controle). Solução: transparência + validação.
Como evitar que dados sensíveis vazem para IA?
Educar time: "Não copie CPF/senha/contrato para IA pública". Usar planos com DPA se dados precisam de IA. Considerar IA local/privada para dados críticos. Auditar uso periodicamente.
Qual IA escolher para empresa?
ChatGPT (versátil), Claude (bom para análise/escrita), Gemini (integrado com Google Workspace). Preferir planos pagos com DPA se dados sensíveis. Testar antes de liberar para toda equipe.
Compliance de IA: o que é obrigatório?
LGPD: não coloque dados pessoais em IA sem controle. ISO 27001: documente uso de IA em política de segurança. Além isso: bom senso (valide, não alucinação, audite). Não existe "regulação oficial de IA" no Brasil ainda, mas LGPD já cobre.