Política de Uso de Inteligência Artificial nas Empresas: governança antes do incidente

Ferramentas de Inteligência Artificial generativa, LLMs (Large Language Models) e agentes autônomos deixaram de ser experimentais e passaram a fazer parte da rotina corporativa. Hoje escrevem código, revisam contratos, resumem reuniões, analisam dados e auxiliam decisões operacionais. A adoção foi rápida, orgânica e, na maioria das organizações, não planejada. As empresas não decidiram formalmente implementar IA; seus colaboradores começaram a utilizá-la para trabalhar melhor.

Essa diferença muda completamente o cenário de risco. Do ponto de vista de produtividade, trata-se de um avanço relevante. Do ponto de vista de governança, privacidade e responsabilidade legal, trata-se de um novo tipo de sistema corporativo sendo operado sem regras claras e muitas vezes descentralizadas. Para gestores de TI, equipes jurídicas e de privacidade, a discussão deixou de ser permitir ou não a IA. A questão passou a ser como garantir que o uso não comprometa a organização.

Como a adoção de IA acontece nas empresas?

O processo costuma começar de maneira semelhante em praticamente todas as empresas. Um colaborador descobre que consegue executar tarefas em minutos em vez de horas, compartilha com o time e, rapidamente, a ferramenta passa a integrar o fluxo de trabalho. A dependência surge antes da análise de risco.

O problema é que a inteligência artificial não funciona como um software interno tradicional. Ela é, na prática, um terceiro processador de informação. Sem orientação corporativa, o usuário tende a tratá-la como um buscador avançado, quando na realidade está transferindo dados para fora do perímetro organizacional e, potencialmente colocando em risco o capital intelectual da empresa e dados pessoais (tratados, por exemplo, através da submissão de planilhas, gravações de reuniões e etc).

Treinamento de equipes: o primeiro controle de segurança em IA

A maior parte dos incidentes envolvendo IA não ocorre por má fé, mas por desconhecimento. Um colaborador envia um contrato para revisão, outro cola um trecho de código proprietário, um analista inclui dados de clientes em uma análise e um profissional financeiro solicita interpretação de planilhas sensíveis. Nenhum deles acredita estar expondo informações — apenas tentando trabalhar melhor.

Sem treinamento adequado, o usuário não diferencia dados públicos, internos, confidenciais, pessoais ou sensíveis. Também não percebe que pode estar compartilhando segredos industriais. A ausência dessa compreensão transforma a IA em um vetor silencioso de vazamento de informações.

Por essa razão, o primeiro elemento de uma política corporativa eficaz não é tecnológico, mas educacional. Não é possível controlar aquilo que as pessoas não compreendem.

Classificação e anonimização de dados: como mitigar riscos na prática

A mitigação não está em proibir a tecnologia, mas em orientar o uso.

Bloquear ferramentas raramente resolve o problema. Usuários tendem a migrar para contas pessoais ou plataformas não monitoradas, eliminando visibilidade da organização, o que tende a ser ainda pior.

Para proteger a organização e balancear os ganhos de produtividade, ter uma política eficaz  que define quais informações podem ser compartilhadas, quais exigem anonimização e quais não devem ser enviadas em nenhuma circunstância é um passo na direção certa.

Quando a organização estabelece critérios claros e chancela serviços, ela reduz drasticamente o risco sem eliminar ganhos de produtividade. A IA passa a ser utilizada de forma consciente, mantendo eficiência operacional sem exposição desnecessária.

O papel integrado das Gerências de TI, Jurídico e Privacidade e Proteção de Dados

A governança de inteligência artificial não pertence a uma única área. TI define controles técnicos e arquitetura, jurídico e privacidade tratam aspectos regulatórios e contratuais, enquanto compras avalia fornecedores e evita contratações paralelas.

Sem esse alinhamento multidisciplinar, cada departamento resolve apenas parte do problema e o risco permanece. A gestão adequada inclui registro de ferramentas autorizadas, avaliação de novos usos, trilhas de auditoria e processos formais de exceção.

LGPD, ISO 27090 e ISO/IEC 42001: padrões internacionais de governança de IA

Normas internacionais já reconhecem a necessidade de gestão estruturada da inteligência artificial. A ISO/IEC 42001 define um sistema de gestão específico para IA, cobrindo governança, avaliação de riscos e ciclo de vida dos modelos. A ISO 27090 complementa controles de segurança da informação aplicados ao uso de IA dentro das organizações.

A ISO/IEC 42001 estabelece um sistema de gestão específico para Inteligência Artificial, inspirado na mesma lógica das normas clássicas de governança como ISO 27001 e ISO 27701, mas voltado ao ciclo de vida de sistemas de IA. Ela exige que a organização identifique finalidades, avalie impactos, classifique riscos e defina controles antes da utilização dos modelos, além de manter monitoramento contínuo do comportamento do sistema. Esse conjunto de práticas se conecta diretamente à LGPD porque obriga a empresa a compreender previamente como dados pessoais podem ser utilizados pela IA, reduzindo decisões automatizadas inadequadas, tratamento incompatível com a finalidade e uso excessivo de informações. Na prática, a norma operacionaliza princípios legais como necessidade, adequação, prevenção e responsabilização previstos na legislação brasileira.

Já a ISO 27090 complementa a segurança da informação tradicional ao tratar controles aplicados especificamente ao uso de inteligência artificial, incluindo proteção contra vazamento de dados, segregação de ambientes, governança de modelos e controle de interações com provedores externos. Ela fortalece a capacidade de demonstrar diligência técnica na proteção dos dados tratados por sistemas baseados em IA. Esse ponto dialoga diretamente com os artigos da LGPD que tratam de medidas técnicas e administrativas aptas a proteger dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas. Ao adotar controles documentados e auditáveis, a organização passa a evidenciar que implementa salvaguardas adequadas, elemento essencial para demonstrar boa-fé regulatória e reduzir exposição a sanções.

Quando aplicadas em conjunto, as duas normas formam um arcabouço de governança e segurança que ajuda a materializar a conformidade legal. A ISO 42001 orienta o porquê e o quando tratar dados em sistemas de IA, enquanto a ISO 27090 define como proteger tecnicamente esse tratamento. Isso cria rastreabilidade, avaliação de impacto, gestão de fornecedores e monitoramento contínuo, permitindo à organização demonstrar accountability, conceito central da LGPD. Em outras palavras, as normas não substituem a legislação, mas fornecem um método estruturado para provar que os princípios legais estão sendo executados na prática operacional diária.

Outros pontos relevantes na governança de IA corporativa

Organizações mais maduras também tratam temas adicionais relacionados ao uso responsável da tecnologia, como responsabilidade por decisões automatizadas, revisão humana obrigatória, avaliação de viés algorítmico, uso de IA por fornecedores, atuação de agentes autônomos e retenção de interações geradas. A discussão deixa de ser apenas tecnológica e passa a ser parte da governança corporativa.

Como a Macher Tecnologia pode ajudar

A Macher Tecnologia apoia organizações na definição de políticas de uso de IA, classificação de dados e treinamento de equipes para uso seguro e eficiente dessas ferramentas no dia a dia.

Somos uma consultoria multidisciplinar especializada em privacidade e proteção de dados, com atuação em LGPD e GDPR desde 2018, integrando aspectos jurídicos, tecnológicos e de governança para permitir inovação com segurança e responsabilidade.

Sobre a Macher Tecnologia

A Macher Tecnologia é uma empresa especializada em soluções Digital, focada em privacidade e proteção de dados. No mercado desde 2018, suporta clientes de diferentes indústrias em suas jornadas de conformidade, de forma multidisciplinar e hands-on.

Com uma abordagem inovadora, a Macher Tecnologia auxilia empresas na implementação de estratégias eficazes de conformidade com LGPD e GDPR, fornecendo consultoria, treinamento e ferramentas tecnológicas para gestão de riscos e proteção de dados corporativos.

Entre em contato e saiba como podemos ajudar sua organização hoje mesmo!