Preciso criar minha primeira política de uso de IA
Resposta rápida
Política de IA bem feita não bloqueia uso — orienta. Estruture em seis frentes. Quais ferramentas estão autorizadas (e em qual plano, com qual contrato de tratamento de dado) e quais não estão. Que tipos de dado podem entrar no prompt (público, interno) e quais não podem em hipótese alguma (pessoal sensível, sigilo industrial, dado de cliente identificável). Quais casos de uso são incentivados, quais exigem revisão humana antes de publicar e quais são vedados. Como tratar a saída — verificação, atribuição, propriedade intelectual. Treinamento mínimo obrigatório para uso corporativo. Canal claro para dúvida e para reportar uso indevido. Política curta, treinamento prático e ferramenta corporativa rendem mais do que documento extenso ignorado.
Na empresa pequena, política costuma ser redigida pelo ponto focal de TI ou jurídico contratado, com aprovação direta do dono ou diretor executivo. Versão curta (três a cinco páginas) cobre o essencial: ferramentas autorizadas (Microsoft Copilot, Google Gemini, ChatGPT Team com conta corporativa, conforme contrato e dado), o que não pode entrar no prompt (dado de cliente, número de cartão, dado de saúde, sigilo comercial), casos vedados (uso em decisão crítica sem revisão humana, criação de conteúdo falso, suporte jurídico sem revisão de advogado) e canal de dúvida. Treinamento de uma hora cobre o suficiente. O risco maior é cair em extremo: política proibitiva empurra para shadow AI; política inexistente expõe dado.
Na empresa média, política vira documento com governança — redigido por TI, jurídico e RH, aprovado por comitê executivo, em quatro a dez páginas. Inclui catálogo de ferramentas autorizadas por plano e por contrato (versão paga com cláusula de não treinamento, versão gratuita não), classificação de uso (livre, com revisão, vedado), tratamento de saída (propriedade intelectual, atribuição, verificação), proibição explícita de dado pessoal sensível, sigilo comercial e segredo de cliente em prompts, e processo de avaliação para ferramenta nova. Treinamento por grupo é padrão, com aceite registrado. Acompanhe indicadores simples: percentual com aceite vigente, ferramentas em uso, incidentes reportados.
Na empresa grande, política de IA integra programa formal de governança de IA — comitê com TI, jurídico, compliance, risco, ética, segurança e áreas de negócio. Catálogo formal de ferramentas autorizadas por categoria de uso, classificação de risco por aplicação, processo de avaliação (AI risk assessment) para qualquer caso novo, integração com programa de privacidade, treinamento por perfil com módulos diferenciados (geral, desenvolvedor, área sensível), monitoramento de uso, indicadores de conformidade. Cobertura inclui IA generativa de mercado, modelos próprios, soluções embarcadas em ferramentas existentes (Copilot dentro do Office, IA dentro do CRM). O risco maior é programa de papel sem integração com mudanças de produto e processo.
- O time já usa IA generativa e ninguém sabe ao certo o quê com qual dado
- Cliente, parceiro ou auditor perguntou sobre governança de IA
- Há receio (justificado) de vazar dado sensível em prompt
- Cada área desenvolveu sua própria regra informal
- Não há clareza sobre uso de IA em decisão que afeta cliente ou colaborador
- Liderança quer aproveitar produtividade da IA mas tem dúvida sobre risco
Política orienta uso, não bloqueia
Política que proíbe tudo empurra para shadow AI — colaborador continua usando, no celular pessoal, sem controle. Política que libera tudo expõe dado e cria risco de propriedade intelectual. O equilíbrio prático é orientar uso: dizer claramente o que é permitido, com qual ferramenta autorizada, com qual tipo de dado, em que casos. Esse desenho gera adoção responsável: o time tem caminho claro, a empresa controla dado e risco, e o ganho de produtividade aparece de verdade. Política como manifesto contrário à IA já nasce desatualizada.
O que pode e o que não pode entrar no prompt
A camada técnica mais crítica é o dado que entra no prompt. Dado público (notícia, conhecimento geral, documento já divulgado) entra sem restrição. Dado interno não sensível (texto da empresa, ideia em rascunho, processo geral) entra em ferramenta corporativa com contrato adequado (versão paga com cláusula de não treinamento sobre o dado). Dado pessoal de colaborador, cliente ou parceiro identificável, dado pessoal sensível (saúde, biometria, orientação), sigilo industrial, contrato confidencial, código com chave embarcada — não entra. Em hipótese alguma, mesmo em ferramenta corporativa, sem análise jurídica e técnica específica. Lista do "não" precisa ser explícita e treinada.
Catálogo de ferramentas autorizadas
Ferramenta gratuita de IA generativa pública costuma usar prompts para treinar modelo, gerar perfil de uso ou armazenar conversa indefinidamente — risco inaceitável em ambiente corporativo. Versão corporativa paga (Microsoft Copilot for Business, Google Gemini for Workspace, ChatGPT Team ou Enterprise, Claude for Work) costuma trazer cláusulas de não treinamento sobre o dado, controle de retenção e integração com identidade corporativa. Catálogo da empresa precisa listar especificamente quais versões estão autorizadas, com qual plano e qual contrato. Ferramenta fora do catálogo é shadow AI, mesmo que seja "a mesma marca".
- Diagnóstico do uso atual. Entrevista por área para entender o que já se usa, com qual dado, em que contexto. Sem postura punitiva.
- Definição do catálogo de ferramentas. Quais versões corporativas autorizadas, com qual plano e contrato.
- Redação da política. Versão curta com seis frentes (ferramentas, dado, casos, saída, treinamento, canal), em linguagem clara, com exemplos práticos.
- Aprovação formal e treinamento. Aprovação por liderança máxima, treinamento por grupo, aceite registrado por colaborador.
- Operacionalização. Canal claro para dúvida, processo de avaliação para ferramenta nova, indicadores acompanhados, revisão anual.
Tratamento da saída da IA
O que sai da IA generativa também precisa de regra. Três pontos relevantes. Propriedade intelectual: saída de IA em texto, imagem ou código pode ter status jurídico ambíguo em jurisdição brasileira e internacional — para conteúdo que vai a público, mercado ou contrato, revisão humana e atribuição clara são prudentes. Verificação: IA alucina — gera texto plausível com fato errado — e a empresa que publica conteúdo gerado sem verificar assume o erro. Casos críticos (recomendação a cliente, decisão sobre colaborador, conselho jurídico, conselho médico, especificação técnica) exigem revisão humana especializada antes de uso. Atribuição: em casos onde transparência importa, indicar que conteúdo foi gerado ou auxiliado por IA é boa prática emergente.
Proibir tudo. Política puramente proibitiva empurra uso para shadow AI no celular pessoal, sem controle. Pior cenário.
Liberar tudo. Sem regra sobre dado e ferramenta, empresa expõe dado sensível e cria risco contratual.
Política longa e técnica demais. Documento de cinquenta páginas é ignorado. Versão curta com treinamento prático rende mais.
Esquecer da saída. Foco só no prompt deixa de cobrir propriedade intelectual, verificação e atribuição — fontes de risco reais.
- Catálogo de ferramentas autorizadas com plano e contrato definidos
- Lista clara do que pode e do que não pode entrar no prompt
- Casos de uso classificados (livre, com revisão, vedado)
- Tratamento da saída coberto (verificação, propriedade, atribuição)
- Treinamento por grupo e aceite registrado
- Canal de dúvida e reporte definidos
- Processo de avaliação para ferramenta nova combinado