Shadow AI: como dados da sua empresa vazam pelo ChatGPT

Seus funcionários já usam o ChatGPT no trabalho — com ou sem autorização. Quando isso acontece fora de qualquer política formal, chamamos de shadow AI: IA usada na sombra, sem controle, sem visibilidade e com potencial de vazar dados sigilosos da sua empresa. A boa notícia é que existe um caminho mais inteligente do que simplesmente proibir.

O que é shadow AI (e por que está em todo lugar)

Shadow AI é o uso não autorizado — ou não gerenciado — de ferramentas de inteligência artificial dentro de uma organização. Não é sabotagem: é conveniência. O colaborador que cola um contrato no ChatGPT para resumir, o analista que pede ajuda para formatar uma planilha com dados de clientes, o gerente que usa o Claude para redigir uma proposta comercial com informações financeiras internas.

Nenhum deles quer causar dano. Mas todos estão potencialmente expondo dados que não deveriam sair dos sistemas da empresa.

O fenômeno cresce junto com a adoção de IA: quanto mais úteis essas ferramentas ficam, mais as pessoas as usam — independentemente de haver ou não uma política corporativa.

O que acontece com os dados que você digita no ChatGPT?

Essa é a pergunta central e a resposta depende de qual versão do ChatGPT está sendo usada.

Na versão gratuita e no plano Plus (conta pessoal), por padrão, a OpenAI pode usar as conversas para melhorar seus modelos — a menos que o usuário desative essa opção manualmente nas configurações. Isso significa que um contrato, uma lista de clientes ou uma estratégia de produto digitados nessas versões podem, em tese, ser usados como dado de treinamento.

Já o ChatGPT Team e o ChatGPT Enterprise têm garantia contratual explícita: a OpenAI afirma em sua política de privacidade empresarial que não usa dados de entrada ou saída dessas contas para treinar modelos. O mesmo vale para a API com as configurações padrão.

Portanto: o problema não é o ChatGPT em si — é qual plano está sendo usado e por quem.

Os riscos reais para a empresa: LGPD e ANPD

No Brasil, a Lei Geral de Proteção de Dados (LGPD) responsabiliza a empresa pelo tratamento dos dados pessoais que ela coleta e processa — inclusive quando esse tratamento ocorre por meio de ferramentas usadas por funcionários. A ANPD (Agência Nacional de Proteção de Dados) é o órgão fiscalizador e pode aplicar sanções que chegam a 2% do faturamento, limitadas a R$ 50 milhões por infração.

Os riscos concretos incluem:

• Vazamento de dados de clientes: nome, CPF, histórico de compras colados em chats de IA.
• Exposição de informações financeiras: balanços, projeções, negociações em andamento.
• Propriedade intelectual: código-fonte, fórmulas, estratégias de produto enviados para servidores externos.
• Segredos comerciais: lista de fornecedores, contratos, margens.

Para aprofundar o tema de segurança e privacidade ao usar IA em contextos sensíveis, veja nosso guia sobre segurança e privacidade ao usar IA em finanças.

Por que proibir o uso de IA não resolve

A proibição total costuma falhar por três razões:

1. É impossível de fiscalizar em dispositivos pessoais e redes externas.
2. Cria uma desvantagem competitiva real: colaboradores que usam IA são mais produtivos, e bloquear o acesso não elimina o gap.
3. Empurra o uso para a clandestinidade: o funcionário continua usando, mas agora sem nenhuma orientação sobre como fazer isso com segurança.

A abordagem mais eficaz é canalizar o uso: criar regras claras, disponibilizar ferramentas aprovadas e treinar as pessoas. Isso também é relevante no contexto de como hackers estão usando IA para atacar empresas — quanto mais consciente o time, menor a superfície de ataque.

Política de uso de IA em 5 passos (modelo prático)

Você não precisa de um jurídico caro para começar. Um documento simples e claro já reduz drasticamente o risco. Siga estes passos:

Passo 1 — Classifique os dados da empresa

Defina ao menos três categorias: público (pode sair), interno (usar com cautela) e confidencial (nunca inserir em IA externa não homologada). Exemplos práticos em cada categoria ajudam muito.

Passo 2 — Liste as ferramentas aprovadas

Defina quais ferramentas de IA são permitidas e em quais contextos. Se a empresa tiver orçamento, considere migrar para planos corporativos (ChatGPT Team, Microsoft Copilot for Business, Google Workspace AI) que oferecem garantias contratuais de privacidade.

Passo 3 — Estabeleça o que não pode ser inserido em IA

Seja explícito: dados pessoais de clientes, CPFs, informações financeiras não públicas, senhas, contratos em negociação e código-fonte proprietário não devem ser colados em ferramentas de IA externas sem aprovação.

Passo 4 — Treine a equipe (sem terrorismo)

Um treinamento de 30 minutos com exemplos concretos é mais eficaz do que um documento de 20 páginas. Mostre casos reais, explique o porquê das regras e deixe claro que o objetivo é proteger — não punir.

Passo 5 — Crie um canal de reporte e revise periodicamente

O mercado de IA muda rápido. Revise a política a cada seis meses e crie um canal onde funcionários possam reportar incidentes ou pedir aprovação para novas ferramentas.

A empresa pode punir funcionário por usar ChatGPT?

Sim, dependendo do contexto. Se a empresa tiver uma política de segurança da informação que proíba ou restrinja o uso de ferramentas externas com dados corporativos, o descumprimento pode caracterizar infração disciplinar — podendo resultar em advertência, suspensão ou até demissão por justa causa em casos graves (como vazamento intencional de segredo comercial, nos termos do art. 482 da CLT).

Sem política formal, a empresa fica em posição mais frágil tanto para punir quanto para se defender perante a ANPD. Por isso, ter a política documentada é o primeiro passo.

Saiba mais sobre como proteger informações sensíveis no nosso artigo sobre como proteger dados pessoais.

Como criar uma política de uso de IA para funcionários

Além dos 5 passos acima, uma política robusta deve incluir:

• Escopo: a quem se aplica (todos os colaboradores, prestadores, estagiários).
• Base legal LGPD: referencie a lei e mencione que a empresa é controladora dos dados tratados.
• Responsabilidades: quem aprova novas ferramentas (geralmente TI ou jurídico).
• Consequências: o que acontece em caso de descumprimento.
• Data de vigência e revisão: políticas sem data de revisão envelhecem mal.

Muitas empresas usam como base o modelo disponibilizado por associações de segurança da informação ou adaptam políticas de BYOD (Bring Your Own Device) para cobrir IA.

Perguntas Frequentes

O que acontece com os dados que você digita no ChatGPT?

Depende do plano. Na versão gratuita e no Plus, a OpenAI pode usar suas conversas para treinar modelos (a menos que você desative nas configurações). No ChatGPT Team, Enterprise e na API, a política oficial da OpenAI garante que os dados não são usados para treinamento por padrão.

A empresa pode punir funcionário por usar ChatGPT?

Sim, se houver política interna que restrinja o uso de ferramentas externas com dados corporativos. A punição pode ir de advertência a demissão por justa causa em casos graves. Sem política documentada, a empresa fica em posição mais frágil tanto para punir quanto para se defender.

Como criar uma política de uso de IA para funcionários?

Classifique os dados (público, interno, confidencial), liste as ferramentas aprovadas, defina o que nunca pode ser inserido em IA externa, treine a equipe com exemplos práticos e revise a política semestralmente. Documente tudo, referencie a LGPD e defina responsabilidades claras.