Governança · · 7 min de leitura

Como criar uma política de uso de IA na sua empresa

Um guia prático com os itens obrigatórios, erros comuns e modelo de estrutura para criar uma política de uso de IA corporativa que realmente funciona.

AC
Agência Cognitiva
Agência Cognitiva
políticagovernançaia generativalgpd

Se a sua empresa ainda não tem uma política de uso de IA, ela já tem um problema de Shadow AI — só não sabe o tamanho ainda.

Enquanto você lê isso, alguém do seu time está colando dados de clientes no ChatGPT, usando o Copilot para gerar relatórios com informações financeiras internas ou construindo uma automação não aprovada com uma ferramenta de IA SaaS que ninguém no jurídico viu.

Não é má-fé. É ausência de estrutura.

Uma política de uso de IA não é um documento burocrático. É a diferença entre a empresa que governa sua transformação digital e a que vai descobrir o problema quando o dano já tiver sido feito.

Por que agora, não depois

Cada mês sem política é um mês de risco acumulado. Mas há um motivo ainda mais prático: criar uma política quando o uso ainda é pequeno é infinitamente mais fácil do que tentar regularizar depois que o time inteiro já tem seus fluxos estabelecidos.

A resistência à mudança cresce exponencialmente com o tempo de uso. Uma política criada agora define o comportamento desde o início. Uma política criada daqui a dois anos vai enfrentar dezoito meses de hábitos consolidados.

O que uma política de uso de IA precisa cobrir

Uma política eficaz não é longa — é específica. Deve responder a estas perguntas sem ambiguidade:

Quais ferramentas são aprovadas (e quais são proibidas)

Defina um catálogo. Não “ferramentas de IA são permitidas com bom senso” — isso não significa nada na prática.

O catálogo deve incluir:

  • Ferramentas aprovadas para uso geral (com ou sem restrições de dados)
  • Ferramentas aprovadas condicionalmente (apenas com dados não sensíveis, apenas para times específicos)
  • Ferramentas em avaliação (ainda não aprovadas, aguardar autorização)
  • Ferramentas proibidas (por risco de segurança, ausência de DPA, incompatibilidade com LGPD)

Exemplos práticos: ChatGPT Enterprise com DPA assinado pode receber dados internos. ChatGPT versão gratuita não pode receber dados corporativos de nenhum nível.

Classificação de dados por nível de risco

Sem classificação de dados, qualquer política de IA é letra morta. O colaborador não tem como saber o que pode ou não entrar em cada ferramenta se ninguém definiu isso com clareza.

Uma classificação simples e funcional:

Nível 1 — Público: dados que já são ou podem ser públicos. Podem ser usados em qualquer ferramenta aprovada sem restrição.

Nível 2 — Interno: dados operacionais, estratégicos, financeiros. Apenas em ferramentas aprovadas com DPA (Data Processing Agreement) assinado.

Nível 3 — Confidencial: dados pessoais de clientes e colaboradores (LGPD), segredos comerciais, informações de M&A. Proibido em LLMs públicos. Apenas em soluções privadas com isolamento de dados garantido contratualmente.

Responsabilidade e accountability

Quem é responsável quando um agente de IA toma uma decisão errada? A política precisa ser explícita:

  • O humano que aprovou o output é responsável pelo resultado — não a ferramenta
  • Para decisões de alto impacto (crédito, demissão, diagnóstico médico, contratos), aprovação humana é obrigatória independente do agente
  • Logs de uso são mantidos pelo período definido para fins de auditoria

Uso aceitável e não aceitável

Liste com exemplos concretos:

Aceitável:

  • Rascunhos de comunicação (o humano revisa e assina)
  • Análise de dados de nível 1 e 2 para suporte à decisão
  • Automação de tarefas repetitivas com supervisão definida
  • Pesquisa e síntese de informações públicas

Não aceitável:

  • Enviar dados de clientes a LLMs sem DPA
  • Publicar outputs de IA sem revisão humana como conteúdo oficial da empresa
  • Usar IA para decisões automatizadas sobre pessoas (promoção, crédito, admissão) sem supervisão
  • Gerar documentos jurídicos ou financeiros sem revisão de especialista

Consequências

Uma política sem consequências definidas é uma sugestão. Defina claramente o que acontece em caso de violação — de advertência a desligamento, dependendo da gravidade e recorrência.

Erros comuns ao criar políticas de IA

Política genérica demais. “Usar IA com responsabilidade” não é uma política — é um desejo. A política precisa ser específica o suficiente para que o colaborador possa tomar uma decisão sozinho em campo.

Política que ninguém leu. Um documento de 40 páginas vai para a gaveta. O que funciona: uma página de referência rápida com os casos mais comuns, mais uma sessão de 30 minutos com exemplos reais do dia a dia da equipe.

Política criada sem o time de negócio. Políticas feitas só pelo jurídico e TI tendem a proibir tudo. Políticas construídas com os times que vão usar a IA tendem a ser mais realistas e têm mais adesão.

Não atualizar. O mercado de ferramentas de IA muda a cada trimestre. Uma política estática de 2024 já está desatualizada. Defina um ciclo de revisão trimestral e um responsável por executá-lo.

Modelo: estrutura de uma política de IA

Esta não é a política — é o esqueleto. Preencha com os detalhes específicos da sua empresa:

POLÍTICA DE USO DE INTELIGÊNCIA ARTIFICIAL
[Nome da Empresa] — Versão X.X — [Data]

1. OBJETIVO E ESCOPO
   Quem esta política cobre e por que ela existe.

2. CATÁLOGO DE FERRAMENTAS
   Aprovadas / Condicionais / Em avaliação / Proibidas.
   Responsável por aprovação de novas ferramentas: [cargo].

3. CLASSIFICAÇÃO DE DADOS
   Níveis 1/2/3 com exemplos específicos da empresa.
   Matriz: qual dado pode entrar em qual ferramenta.

4. USO ACEITÁVEL
   Casos aprovados, com ou sem restrições adicionais.

5. USO NÃO ACEITÁVEL
   Casos proibidos com justificativa.

6. DECISÕES SOBRE PESSOAS
   Processos que exigem aprovação humana obrigatória.

7. RESPONSABILIDADE
   Quem responde pelo output de IA usado em cada contexto.

8. AUDITORIA E LOGS
   O que é registrado, por quanto tempo e para qual finalidade.

9. VIOLAÇÕES E CONSEQUÊNCIAS
   Escala de consequências por tipo e gravidade de violação.

10. REVISÃO E VALIDADE
    Data da próxima revisão e responsável.

Como implementar sem gerar resistência

Uma política que o time ignora é pior que não ter política — cria a ilusão de controle sem o controle real.

Lance com uma sessão ao vivo, não um e-mail. Mostre exemplos reais: “isso pode, isso não pode, por quê”. Deixe espaço para perguntas. Uma sessão de 30 minutos com exemplos do contexto do time vale mais que qualquer documento.

Crie um canal de dúvidas acessível. Colaboradores que não sabem o que é permitido tendem a fazer de qualquer forma. Facilite o acesso à resposta correta — Slack, e-mail, formulário, o que funcionar na cultura da empresa.

Comece pelo mais urgente. Não tente cobrir tudo no primeiro mês. Implemente primeiro as regras sobre dados de clientes e ferramentas não aprovadas. O restante vem no próximo ciclo.

Traga exemplos positivos. A política não é só proibição. Mostre o que o time pode fazer com as ferramentas aprovadas. Quanto mais a IA é percebida como aliada dentro dos limites, menos o time tenta burlar esses limites.

O prazo está se fechando

A adoção de ferramentas de IA em ambientes corporativos está crescendo na ordem de 40–60% ao ano. Cada mês sem estrutura é um mês em que o uso não monitorado se consolida.

Empresas que criam a estrutura cedo conseguem governar a transformação. As que esperam ficam tentando controlar o que já escapou do controle — e isso é um trabalho muito mais difícil.

Quer saber qual é o nível de exposição de Shadow AI na sua empresa e por onde começar a governança? O Diagnóstico de Maturidade em IA entrega um mapa de risco e recomendações baseadas no seu contexto em menos de 3 minutos.

Diagnóstico gratuito

Qual a maturidade em IA da sua empresa?

Responda 10 perguntas e receba um score detalhado com recomendações personalizadas — sem precisar falar com ninguém.

Fazer o diagnóstico Falar com a equipe
Voltar ao blog
Falar agora