Governança · · 6 min de leitura

Shadow AI: o risco invisível nas empresas brasileiras

Como o uso não monitorado de ChatGPT e Copilot expõe dados corporativos, viola a LGPD e como sua empresa pode mitigar o risco antes que seja tarde.

AC
Agência Cognitiva
Agência Cognitiva
shadow aigovernançalgpdsegurança

Cada vez que um colaborador cola uma proposta comercial no ChatGPT para “deixar o texto melhor”, ou passa dados de clientes pelo Copilot para gerar um relatório mais rápido, um risco silencioso se acumula na empresa. Esse fenômeno tem nome: Shadow AI.

Diferente do Shadow IT dos anos 2000 — quando times baixavam softwares sem aprovação de TI —, o Shadow AI é mais difícil de detectar, mais rápido de se disseminar e com consequências potencialmente mais graves: exposição de dados sensíveis a modelos de linguagem externos, violações de LGPD e criação de decisões automatizadas sem qualquer supervisão.

O que é Shadow AI, exatamente

Shadow AI é o uso não autorizado, não monitorado ou não documentado de ferramentas de inteligência artificial por colaboradores dentro de uma organização. Inclui:

  • Uso de LLMs públicos (ChatGPT, Claude, Gemini, Copilot) com dados corporativos
  • Automações improvisadas com ferramentas de IA SaaS sem aprovação de TI ou jurídico
  • Agentes e bots construídos por times de negócio sem governança técnica
  • Plugins de IA em ferramentas como Excel, Notion, Slack sem revisão de segurança

O problema não é que as ferramentas sejam ruins — muitas são excelentes. O problema é a ausência de controle sobre o que entra nelas.

Por que isso importa (especialmente no Brasil)

A LGPD (Lei Geral de Proteção de Dados) exige que o tratamento de dados pessoais tenha base legal, finalidade definida, minimização e segurança. Quando um colaborador envia dados de clientes para um LLM público sem política de uso, a empresa pode estar:

  1. Violando o princípio da finalidade — os dados foram coletados para um propósito específico, não para treinar ou consultar modelos externos
  2. Quebrando cláusulas de confidencialidade com clientes e fornecedores
  3. Criando evidências comprometedoras — logs de prompts são armazenados pelos provedores de LLM e podem aparecer em auditorias ou vazamentos

Empresas em setores regulados — saúde, financeiro, seguros — têm exposição ainda maior: dados de pacientes, informações bancárias e segredos de negócio saindo pela porta de um input field.

O que os dados indicam

Em avaliações de maturidade que conduzimos, mais de 70% das empresas não sabem quais dados corporativos já foram enviados a LLMs públicos. A maioria suspeita que há exposição, mas nunca fez uma auditoria.

Isso não é negligência individual — é estrutural. As ferramentas de IA são fáceis de usar, entregam valor imediato e os colaboradores não têm como saber o que é ou não aceitável se ninguém os orientou.

Como acontece na prática

Cenário 1 — Vendas: O time comercial usa o ChatGPT para personalizar propostas. Para isso, cola o histórico de negociação, valores, nomes dos decisores e contexto do cliente. O modelo usa essa informação para responder — e potencialmente para treinar versões futuras, dependendo das configurações da conta.

Cenário 2 — RH: O time de RH usa uma ferramenta de IA para triagem de currículos. A ferramenta aprende com os feedbacks de contratação, criando padrões automatizados de decisão que podem ser discriminatórios sem que ninguém perceba — violando o princípio da não discriminação da LGPD e, potencialmente, o Ato de IA da UE (relevante para empresas com operações europeias).

Cenário 3 — TI/Dev: Desenvolvedores usam o GitHub Copilot ou o Claude para revisar código. O código-fonte — que pode conter chaves de API, lógica de negócio proprietária e vulnerabilidades — vai para servidores externos.

O que fazer: do reativo ao proativo

A resposta não é banir ferramentas de IA. Quem bane perde produtividade e empurra o problema para a clandestinidade. A resposta é governar.

Passo 1 — Mapear

Antes de qualquer política, você precisa saber o que está acontecendo. Isso envolve:

  • Pesquisa anônima com colaboradores sobre ferramentas em uso
  • Auditoria de tráfego de rede para identificar conexões a APIs de LLM
  • Revisão de permissões de aplicativos conectados às contas corporativas (Google Workspace, Microsoft 365)

Passo 2 — Classificar

Não todo dado tem o mesmo nível de risco. Classifique:

  • Dados públicos / não sensíveis → baixo risco, uso mais livre com ferramentas aprovadas
  • Dados internos (estratégia, financeiro, produto) → uso restrito a ferramentas com acordos de confidencialidade
  • Dados pessoais de clientes/colaboradores → proibição de uso em LLMs públicos; apenas ferramentas com DPA (Data Processing Agreement) assinado

Passo 3 — Política e treinamento

Uma política de uso de IA precisa ser:

  • Específica: quais ferramentas são aprovadas, para quais usos, com quais tipos de dado
  • Compreensível: escrita para quem vai usar, não para advogados
  • Com consequências claras: o que acontece em caso de violação

O treinamento não precisa ser um curso de 4 horas. Uma sessão de 30 minutos com exemplos reais do dia a dia do time vale mais.

Passo 4 — Ferramentas aprovadas e monitoramento

Defina um catálogo de ferramentas aprovadas — com os acordos de confidencialidade e DPAs correspondentes. Implemente:

  • Controle de acesso: quem pode usar o quê
  • Logs de uso: não para punir, mas para detectar anomalias
  • Alertas: dados classificados como sensíveis sendo enviados para endpoints externos

O papel do CISO e do DPO

Shadow AI é um problema que senta na interseção de segurança da informação, proteção de dados e gestão de mudança. Precisa de três cadeiras na mesa: CISO (ou equivalente), DPO e líder de negócio.

Sem o CISO, não há visibilidade técnica. Sem o DPO, a conformidade com LGPD fica em segundo plano. Sem o líder de negócio, qualquer política vira letra morta porque o time vai usar as ferramentas de qualquer forma.

Conclusão

Shadow AI não é um problema de má-fé. É um problema de ausência de estrutura num momento em que as ferramentas avançaram mais rápido do que as políticas.

A pergunta não é “meus colaboradores estão usando IA sem autorização?” — a resposta quase certamente é sim. A pergunta é: “o quanto de dano já foi feito, e o que vou fazer a respeito?”

Se sua empresa ainda não tem uma política de uso de IA, uma auditoria básica ou ao menos um inventário de ferramentas em uso, agora é a hora. A janela para agir de forma preventiva está se fechando.

Quer saber onde sua empresa está nessa escala? Faça o Diagnóstico de Maturidade em IA — 10 perguntas, 3 minutos, resultado imediato.

Diagnóstico gratuito

Qual a maturidade em IA da sua empresa?

Responda 10 perguntas e receba um score detalhado com recomendações personalizadas — sem precisar falar com ninguém.

Fazer o diagnóstico Falar com a equipe
Voltar ao blog
Falar agora