Preciso revisar políticas de IA em uso
Resposta rápida
Política de IA escrita há um ano provavelmente já não cobre a realidade — ferramentas mudaram, casos de uso novos apareceram, riscos emergiram. A revisão periódica (semestral ou trimestral em ambientes de adoção rápida) cobre cinco frentes: catálogo de ferramentas aprovadas vs em uso (sombra de IA), casos de uso novos surgidos no período (precisam estar enquadrados na política?), riscos emergentes (vazamento por prompt, alucinação em decisão importante, vies, propriedade intelectual de output), comunicação contínua ao time (treinamento, exemplos, lembretes contextuais), enforcement (como verificar se a política está sendo seguida). Política de IA que não acompanha a velocidade da tecnologia vira artefato sem efeito — ou é seguida por inércia e gera bloqueio desnecessário, ou é ignorada e gera risco.
Na empresa pequena, política de IA cabe em uma a duas páginas — não precisa do formato corporativo extenso. Quatro pontos resolvem: quais ferramentas estão aprovadas (e quais não), que dado pode ou não entrar (dado de cliente, financeiro confidencial, dado pessoal sensível ficam fora de ferramenta pública), quem aprova caso novo (ponto focal de TI ou sócio responsável), como reportar uso indevido sem punir. Revisão semestral em conversa de 30 minutos com sócio e principais usuários. O risco aqui é o oposto do excesso: política nunca escrita, todos usam tudo de qualquer jeito, em três meses dado sensível foi para ChatGPT público e ninguém soube. Folha simples comunicada por e-mail, revisitada duas vezes ao ano, já protege significativamente.
Na empresa média, política ganha formato mais estruturado: documento de cinco a quinze páginas cobrindo escopo, ferramentas aprovadas com indicação de uso permitido, classificação de dado (público, interno, restrito, confidencial) com regras por classificação, casos de uso permitidos e proibidos com exemplos, processo para solicitar nova ferramenta ou novo caso de uso, processo de incidente. Comitê interno de IA (TI, jurídico, segurança, RH, áreas chave) reunindo trimestralmente para revisar. Risco característico desse porte é a política existir mas o time não conhecer — documento escrito, e-mail enviado uma vez, nunca mais revisitado. Comunicação contínua (lembretes, exemplos, treinamento em onboarding, casos compartilhados) é o que mantém vivo. Plataforma corporativa de IA com restrições técnicas embutidas reforça a política via técnica.
Na empresa grande, política de IA integra programa amplo de governança de IA com comitê executivo, ethics board, jurídico dedicado, framework de gestão de risco de IA (AI Risk Management), conformidade com regulação setorial (no Brasil, em discussão; em jurisdições com regulação ativa, EU AI Act por exemplo, adequação formal). Múltiplas políticas por dimensão (uso geral por colaborador, desenvolvimento de modelo, uso em decisão de cliente, dados de treinamento, terceirização). Revisão semestral formal com aprovação de comitê. Enforcement com controles técnicos (DLP em prompts, allowlist de ferramentas via SSO), auditoria contínua, treinamento mandatório com certificação. Risco aqui é o programa virar burocracia que freia adoção legítima — equilíbrio entre proteção e habilitação exige ajuste contínuo.
- A política de IA da empresa foi escrita há mais de um ano
- Casos de uso novos apareceram e ninguém revisou se estão cobertos
- Há suspeita de que dado sensível foi parar em ferramenta pública
- O time não sabe explicar com clareza o que pode e o que não pode
- Ferramentas novas são contratadas sem passar pela política
- Não há canal claro para reportar incidente ou tirar dúvida
As cinco dimensões de uma política viva
Política útil de IA cobre cinco dimensões. Cada uma muda em velocidades diferentes — algumas precisam de revisão trimestral, outras anual.
Catálogo de ferramentas: quais estão aprovadas, em qual edição (plano público gratuito, plano corporativo, integração via API), com qual classificação de dado permitida. Catálogo que envelhece rápido — modelo novo, plataforma nova, recurso novo de plataforma existente.
Classificação e regras de dado: dado público pode em qualquer ferramenta; dado interno em ferramenta corporativa; dado restrito ou confidencial apenas em ambiente próprio ou aprovado caso a caso; dado pessoal sensível com regras específicas. Mais estável, mas precisa ser revisada quando aparece nova categoria.
Casos de uso permitidos e proibidos: com exemplos concretos. Permitido: redigir e-mail, resumir documento interno, gerar código não crítico, ideação. Proibido sem aprovação: decisão sobre cliente sem revisão humana, geração de conteúdo público sem revisão, treinamento com dado pessoal sem base legal.
Processo de aprovação: como solicitar nova ferramenta, novo caso de uso, exceção pontual. Sem processo claro, pessoas fazem por conta e a política vira ficção.
Comunicação e treinamento: como a política chega ao time e como é mantida viva. Treinamento no onboarding, lembrete em momentos-chave (assinou nova ferramenta? recebeu este lembrete), exemplos compartilhados, canal aberto para dúvida.
Velocidade da adoção exige cadência mais curta
Em ambiente de adoção rápida (a maioria hoje), revisão semestral é o mínimo. Em algumas organizações com alta velocidade, comitê mensal revisa novidade. Cadência longa demais e a política descola da prática — pessoas trabalham com IA fora da política não por má-fé, mas porque o documento não cobriu o caso novo.
- Mapeie o uso real do semestre. Ferramentas em uso (incluindo as não catalogadas), casos de uso surgidos, incidentes ou quase-incidentes reportados.
- Atualize o catálogo de ferramentas. Avaliar novidades do mercado relevantes para a empresa, adicionar ou remover ferramentas, ajustar planos aprovados.
- Revise casos de uso permitidos. Casos novos surgidos precisam ser classificados — permitido? Proibido? Permitido com restrição?
- Reavalie riscos. Riscos novos emergiram (capacidade nova de modelo, regulação nova, caso público de incidente)? Política atual cobre?
- Atualize comunicação e treinamento. Material desatualizado, exemplos novos a incluir, formato a evoluir.
- Verifique enforcement. Controles técnicos funcionando (DLP em prompts, allowlist), processo de exceção rodando, métricas de aderência.
- Comunique mudanças. Toda mudança relevante chega ao time com clareza — não apenas atualização do documento, mas comunicado dedicado.
Riscos emergentes a monitorar
O espaço de risco em IA evolui rapidamente. Quatro categorias merecem atenção continuada na revisão:
Vazamento por prompt: dado confidencial colado em ferramenta pública. Risco mitigado por ferramenta corporativa, DLP em prompt, treinamento sobre classificação de dado.
Alucinação em decisão importante: output de modelo aceito sem verificação em contexto crítico (decisão de crédito, decisão clínica, comunicação ao cliente). Política precisa explicitar revisão humana obrigatória em decisões de impacto.
Vies em saída: modelo reproduz ou amplifica vies em decisão sobre pessoa (seleção, avaliação, atendimento). Avaliação de imparcialidade em casos de uso sensíveis.
Propriedade intelectual de output: conteúdo gerado por IA pode ter restrições de uso comercial conforme termos da plataforma; treinamento com material protegido pode gerar exposição. Cláusulas claras com fornecedor e revisão jurídica em casos relevantes.
Comunicação contínua além do documento
Política escrita é apenas um dos canais de governança. Sem comunicação contínua, o documento envelhece nas mentes mais rápido do que no papel. Práticas que funcionam: treinamento no onboarding com módulo dedicado a IA, lembrete contextual (quando usuário acessa ferramenta nova de IA, popup com link para política), exemplos compartilhados periodicamente (caso permitido, caso a evitar), comitê interno com representantes de áreas que se reúne mensalmente para discutir casos novos, canal aberto (chat dedicado, e-mail) para dúvida sem julgamento.
Tratamento amigável ao incidente é parte da governança. Quando alguém usa indevidamente por desconhecimento, abordagem pedagógica (entender por que aconteceu, fortalecer a política, comunicar à equipe) protege mais do que punição. Cultura punitiva faz incidente virar segredo.
Política escrita uma vez e esquecida. Em meses, descola da realidade. Revisão semestral ou trimestral em ambientes de adoção rápida mantém viva.
Documento que ninguém lê. Política de quinze páginas no portal interno não chega à mente do usuário. Comunicação contínua com exemplos curtos é o que move comportamento.
Proibição absoluta sem alternativa. Quando política diz "não use IA pública" sem oferecer ferramenta corporativa, time usa pública mesmo e esconde. Habilitar com alternativa segura, não só proibir.
Punir incidente reportado. Reduz reporte de novos casos e faz incidentes virarem segredo. Tratamento pedagógico cria cultura em que problemas chegam à governança e podem ser corrigidos.
- Catálogo de ferramentas reflete o uso real do semestre
- Casos de uso novos foram classificados conforme política
- Classificação de dado e regras de uso estão atualizadas
- Riscos emergentes do período foram avaliados
- Processo de aprovação de exceção está documentado e funcionando
- Material de treinamento e comunicação foi atualizado
- Controles técnicos (DLP, allowlist) estão operacionais
- Canal aberto para dúvida e reporte está divulgado e funcional
- Mudanças na política foram comunicadas ao time com clareza