Inteligência Artificial13 min de leitura

IA generativa no ambiente corporativo: riscos de privacidade e compliance

Equipe Confidata·
Compartilhar

ChatGPT, Copilot, Gemini — ferramentas de IA generativa estão disseminadas no ambiente corporativo. Colaboradores as usam para redigir e-mails, resumir documentos, analisar planilhas, gerar código, criar apresentações. Muitas organizações adotaram essas ferramentas sem uma política clara e sem entender o que acontece com os dados enviados aos provedores.

Este guia trata dos riscos de privacidade e compliance no uso corporativo de IA generativa — com foco no que acontece quando dados pessoais são enviados a essas ferramentas e o que as organizações precisam fazer a respeito.

O problema central: dados pessoais em prompts

O risco mais imediato do uso corporativo de IA generativa é direto: colaboradores inserem dados pessoais nos prompts sem perceber — ou percebendo, mas sem entender as implicações.

Situações reais e frequentes:

  • "Analise esse e-mail do cliente [nome], CPF [número], que reclama de..."
  • "Resuma as respostas desta pesquisa de satisfação com os funcionários [nomes e avaliações]"
  • "Verifique se o diagnóstico de [paciente] está consistente com o protocolo"
  • "Gere uma carta de demissão para [nome], matrícula [número]"
  • "Revise este contrato com os dados bancários de [empresa] e [valor]"

Quando esses prompts são enviados a uma ferramenta de IA generativa, os dados viajam para os servidores do provedor — e o que acontece lá depende dos termos de serviço, da versão da ferramenta (gratuita vs. corporativa) e das configurações de retenção de dados.

O que os principais provedores fazem com os dados

OpenAI (ChatGPT)

Na versão gratuita (ChatGPT Free/Plus) de consumo, por padrão o histórico de conversas é salvo e pode ser usado para melhorar os modelos. O usuário pode desativar o uso do histórico para treinamento nas configurações, mas isso precisa ser feito explicitamente.

Na versão corporativa (ChatGPT Team e Enterprise): a OpenAI afirma que dados de conversas não são usados para treinar modelos por padrão. O ChatGPT Enterprise inclui controles administrativos — os administradores do workspace definem a política de retenção de dados (mínimo de 90 dias); conversas excluídas são removidas dos sistemas da OpenAI em até 30 dias. O produto oferece opções mais amplas de conformidade e criptografia de dados em trânsito e em repouso.

Via API: dados enviados via API não são usados para treinamento de modelos por padrão (política vigente desde março de 2023).

Microsoft (Copilot para Microsoft 365)

O Microsoft Copilot integrado ao Microsoft 365 opera dentro do ambiente do tenant da organização. A Microsoft afirma que dados de clientes do Microsoft 365 não são usados para treinar os modelos de linguagem de base e que o processamento ocorre dentro dos limites do contrato de serviço. O DPA do Microsoft 365 inclui cláusulas de proteção de dados compatíveis com LGPD e GDPR.

Google (Gemini for Google Workspace)

No Google Workspace (versão corporativa), o Google afirma que dados de clientes não são usados para treinar modelos de base da Google sem consentimento explícito. O DPA do Google Workspace inclui cláusulas de proteção de dados.

Atenção: as versões pessoais/gratuitas desses serviços têm termos diferentes — conversas podem ser revisadas por humanos para melhoria do produto. O risco crítico nas organizações não é o uso das versões corporativas (que geralmente têm termos adequados), mas o uso paralelo e não gerenciado das versões gratuitas pelos colaboradores.

Os riscos jurídicos para o controlador

Risco 1: Transferência internacional de dados sem base legal

Os servidores dos principais provedores de IA generativa estão nos Estados Unidos e em outras jurisdições. Quando um colaborador envia dados pessoais a esses provedores, realiza uma transferência internacional de dados pessoais.

O Art. 33 da LGPD exige que transferências internacionais tenham base legal adequada. As alternativas incluem:

  • País com grau de proteção adequado declarado pela ANPD: em 26 de janeiro de 2026, a ANPD publicou a Resolução CD/ANPD nº 32/2026, reconhecendo mutuamente a União Europeia como território com grau de proteção adequado. Isso significa que transferências para provedores sediados nos 27 países da UE (mais Islândia, Liechtenstein e Noruega — EEE) passaram a contar com base legal simplificada, sem necessidade de mecanismos adicionais. Para provedores em outros países (como os EUA), as bases legais do Art. 33 ainda se aplicam.
  • Garantias adequadas (cláusulas contratuais padrão reconhecidas pela ANPD, normas corporativas globais)
  • Consentimento específico do titular para a transferência

Para provedores sediados fora do EEE — como OpenAI, Google e Microsoft, que têm sede nos EUA —, a transferência ainda depende de garantias adequadas (SCCs ou instrumento equivalente), salvo quando os dados são processados em data centers na UE cobertos pelo escopo da resolução.

Risco 2: Dados sensíveis sem controle

Dados de saúde, biometria, origem étnica e outras categorias sensíveis (Art. 5º, II, LGPD) enviados a provedores de IA sem base legal e sem as proteções adicionais do Art. 11 criam responsabilidade elevada para o controlador.

Um médico que usa IA generativa para resumir prontuários, um RH que usa para analisar atestados médicos, ou um setor jurídico que usa para analisar documentos de processos trabalhistas com dados sensíveis — todos estão em risco se não houver base legal e DPA formalizado.

Risco 3: Ausência de DPA com o provedor

Quando o provedor de IA atua como operador — processando dados pessoais em nome da organização —, é obrigatório formalizar um Contrato de Processamento de Dados (DPA) nos termos do Art. 39 da LGPD.

Sem DPA, a organização não tem como exigir que o operador trate os dados conforme a LGPD, não tem garantias sobre incidentes de segurança, e fica exposta à responsabilidade solidária por qualquer dano causado pelo operador.

Risco 4: Violação de sigilo e confidencialidade

Dados enviados a provedores externos podem incluir não apenas dados pessoais, mas também segredos comerciais, estratégias de negócio, informações de clientes protegidas por sigilo contratual ou obrigações setoriais de sigilo (sigilo bancário, sigilo profissional médico, etc.). A inserção dessas informações em ferramentas de terceiros pode violar acordos de confidencialidade e NDAs.

Risco 5: Alucinações com dados pessoais reais

Modelos de linguagem podem gerar informações incorretas sobre pessoas reais — fatos falsos, atribuição incorreta de comportamentos, informações de saúde fictícias. Isso pode configurar violação do princípio da qualidade dos dados (Art. 6º, V da LGPD) e gerar responsabilidade civil por dano à honra, imagem ou reputação do titular.

Como estruturar uma política de uso de IA generativa

Elemento 1: Classificação das ferramentas aprovadas

A política deve distinguir claramente:

  • Ferramentas aprovadas para uso com dados pessoais: versões corporativas com DPA formalizado, configurações de retenção adequadas e controles de segurança verificados.
  • Ferramentas aprovadas apenas para dados não pessoais: ferramentas sem DPA ou com termos inadequados, usáveis somente para tarefas que não envolvam dados de pessoas (documentos genéricos, pesquisa de informações públicas, geração de código sem dados pessoais hardcoded).
  • Ferramentas proibidas: sem avaliação de privacidade, sem DPA, ou com termos claramente incompatíveis com a LGPD.

Elemento 2: Classificação de dados autorizados

A política deve definir explicitamente o que pode e o que não pode ser inserido em prompts:

Permitido:

  • Dados pseudonimizados ou anonimizados
  • Documentos genéricos sem dados de pessoas específicas
  • Código-fonte sem dados pessoais

Proibido sem aprovação do DPO:

  • Dados pessoais identificáveis de clientes, colaboradores, fornecedores
  • Dados sensíveis (saúde, biometria, etc.)
  • Informações protegidas por sigilo contratual
  • Dados financeiros sensíveis

Elemento 3: DPAs com provedores aprovados

Para cada ferramenta aprovada para uso com dados pessoais, deve existir um DPA que inclua:

  • Descrição dos dados e das atividades de processamento
  • Finalidade do processamento
  • Garantias de segurança do provedor
  • Obrigações em caso de incidente
  • Proibição de uso dos dados para treinamento de modelos sem consentimento
  • Exclusão dos dados ao fim do relacionamento
  • Cláusulas de transferência internacional (SCCs ou equivalente reconhecido)

Elemento 4: Treinamento obrigatório

Todos os colaboradores que usam ferramentas de IA generativa devem receber treinamento sobre:

  • O que pode e não pode ser inserido em prompts
  • Como identificar dados pessoais em documentos antes de usar IA
  • As ferramentas aprovadas e como acessá-las
  • O que fazer se acidentalmente inserir dados indevidos
  • Como reportar incidentes relacionados a IA

Elemento 5: Monitoramento e auditoria

A política deve prever:

  • Registro de uso das ferramentas corporativas (logs)
  • Revisão periódica dos tipos de uso mais comuns
  • Canal de dúvidas e reporte de incidentes
  • Revisão anual da política conforme evolução dos provedores e da regulação

Versão corporativa vs. versão gratuita: a decisão estratégica central

Organizações que não definem qual é a ferramenta de IA generativa corporativa aprovada deixam os colaboradores tomando essa decisão individualmente — e frequentemente escolhendo a versão gratuita mais conveniente, sem avaliar riscos.

O custo de licenciar uma versão corporativa com termos de privacidade adequados é, na maioria dos casos, muito menor do que o custo de um incidente de dados causado pelo uso descontrolado de versões gratuitas. O custo médio de um incidente de dados no Brasil superou R$ 7 milhões em 2025, segundo o IBM Cost of a Data Breach Report 2025.

Checklist de conformidade para IA generativa corporativa

  • A organização tem política formal de uso de IA generativa?
  • As ferramentas aprovadas para uso com dados pessoais foram identificadas?
  • DPAs foram formalizados com os provedores dessas ferramentas?
  • Os DPAs incluem cláusulas de transferência internacional adequadas?
  • Os colaboradores receberam treinamento sobre o que pode e não pode ser inserido em prompts?
  • Há canal para reportar acidentes de inserção indevida de dados pessoais?
  • O RIPD foi elaborado para as atividades de tratamento envolvendo IA generativa?
  • O aviso de privacidade menciona o uso de IA generativa no processamento de dados?

Conclusão

IA generativa no ambiente corporativo é realidade — o que ainda é novidade são as políticas adequadas, os DPAs formalizados e os colaboradores treinados para usar essas ferramentas sem criar riscos de privacidade.

A LGPD não proíbe o uso de IA generativa. Exige que o uso seja feito com base legal adequada, com as proteções técnicas e contratuais corretas e com transparência para os titulares. Organizações que estruturarem isso agora terão vantagem regulatória quando a fiscalização da ANPD chegar ao tema — e ela chegará.

A Confidata ajuda sua organização a mapear o uso de ferramentas de IA generativa como atividades de tratamento de dados pessoais, identificar os DPAs necessários com provedores e estruturar a política interna de uso de IA de forma auditável.

Compartilhar
#IA generativa#ChatGPT#privacidade#LGPD#DPA#política de IA#dados corporativos

Artigos relacionados

LGPD e ChatGPT nas Empresas — Riscos, Controles e Política de UsoInteligência Artificial · 15 minIA e LGPD: como usar inteligência artificial sem violar a privacidadeInteligência Artificial · 13 minIA na Educação: Como Escolas Podem Usar ChatGPT Sem Violar a LGPDInteligência Artificial · 14 minIA no setor público e LGPD: como adotar inteligência artificial com uso responsávelInteligência Artificial · 15 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista