Por Luciana Betiol, PhD; e Ana Biderman Furriela, MCL
O emprego de diferentes tecnologias digitais, entre elas o uso indiscriminado da inteligência artificial, é, no Brasil, uma realidade constante no ambiente empresarial.
Dados da TIC Empresas 2025 mostram que 17% das empresas brasileiras com 10 ou mais pessoas ocupadas utilizavam tecnologias de IA, frente a 13% em 2024, com maior incidência entre empresas de médio e grande porte1. Quando se consideram ferramentas de IA generativa e usos mais amplos no cotidiano dos negócios, a adoção aparece em patamar superior: 63% das médias e grandes empresas, 46% das micro e pequenas empresas e 42% dos MEIs declararam utilizar IA em seus negócios2.
Ademais, uma pesquisa liderada pela Abiacom mostrou que 47,4% dos profissionais relatam utilizar ferramentas de IA sem aprovação oficial das respectivas empresas — prática conhecida como Shadow AI — e que 59,1% das empresas brasileiras ainda não estabeleceram diretrizes formais para o uso da IA, o que acende um sinal de alerta para falhas de governança e de segurança da informação3.
Tais números permitem concluir que a IA já é utilizada por uma parcela relevante das empresas brasileiras, de diferentes portes e regiões, embora não de forma uniforme. Nos pequenos negócios, predominam usos de apoio operacional, como marketing, comunicação, geração de ideias e economia de tempo; nas médias e grandes empresas, aparecem usos mais estratégicos, ligados à análise de dados, automação de fluxos, gestão e redesenho de processos. Ainda assim, a integração da IA a processos críticos da atividade-fim permanece mais concentrada em empresas de maior porte ou com maior maturidade digital, não podendo ser tratada como uma realidade generalizada no país.
Esse cenário, contudo, reforça a necessidade de as organizações se prepararem para os impactos associados ao uso da IA, especialmente diante da ausência, insuficiência ou baixa maturidade de normas internas, políticas e procedimentos voltados à sua operacionalização responsável e ética, a chamada governança em IA.
Este artigo de opinião tem por propósito alertar empresários, diretores, conselheiros e gestores, entre outros tomadores de decisão, sobre os riscos associados à ausência de regras institucionais para o uso de ferramentas de IA e sobre a importância de estabelecer uma estrutura interna de governança de IA, independentemente do porte e/ou do nível de integração dessa tecnologia no contexto de cada empresa. As organizações que se prepararem terão melhores condições de capturar valor no uso dessas tecnologias, com segurança e sustentabilidade.
Entre os pontos mais sensíveis a serem abordados está o uso de contas pessoais de IAs generativas — como ChatGPT, Claude, Gemini e Copilot — por colaboradores em suas atividades profissionais. A prática não autorizada é mais comum do que se imagina e expõe dados confidenciais das empresas às plataformas, sem qualquer controle institucional. Uma consulta aparentemente ingênua pode expor a empresa à medida que as plataformas de IA – quando utilizadas por meio de contas pessoais, ainda que pagas – aprendem e são treinadas com todo e qualquer dado inserido. Basta que a plataforma realize o cruzamento dos dados sobre quem é o usuário, a empresa onde ele trabalha e a pergunta que lhe foi feita.
Portanto, o uso de IA sem uma estrutura adequada de governança, que vá além da mera enunciação de princípios genéricos, expõe as organizações a riscos relevantes. Esses riscos não se limitam a fragilidades tecnológicas, como vazamento de dados ou falhas de segurança da informação, mas também abrangem a capacidade da organização de criar políticas, procedimentos e mecanismos de controle compatíveis com uma tecnologia em rápida transformação.
Nesse contexto, a implementação de uma governança de IA deve permitir que a organização identifique onde e como a IA está sendo utilizada, quais decisões ou processos são impactados por ela, quais riscos são criados ou ampliados e quais mecanismos internos serão adotados para supervisão, responsabilização, revisão e correção de eventuais falhas. Organizações que conseguirem estruturar políticas internas, classificar riscos, realizar due diligence de fornecedores (e de toda a cadeia de suprimentos), monitorar impactos e documentar decisões estarão mais preparadas para responder tanto a futuras exigências regulatórias nacionais e internacionais, quanto a pressões de mercado, investidores, consumidores, parceiros comerciais e demais partes interessadas.
No contexto brasileiro, portanto, a governança de IA deve ser compreendida não apenas como um mecanismo de controle de riscos, mas também como um elemento de confiança, competitividade e maturidade institucional.
Diante disso, a organização deve iniciar sua governança de IA com um autodiagnóstico, capaz de identificar onde a tecnologia está sendo utilizada, quais áreas e processos são afetados e quais riscos são mais relevantes em sua realidade específica. A partir desse mapeamento, apresenta-se, abaixo, uma lista não exaustiva de situações que podem gerar consequências financeiramente onerosas e impactos reputacionais adversos para as organizações.
• vazamento de dados confidenciais e informações sensíveis, com potencial violação da Lei Geral de Proteção de Dados Pessoais (LGPD);
• divulgação não intencional de estratégias comerciais, ou segredos de negócio, com possíveis prejuízos concorrenciais;
• violação de direitos autorais e outros direitos de propriedade intelectual;
• uso de informações imprecisas, distorcidas, falsas ou inexistentes, levando a decisões equivocadas, falhas graves na cadeia produtiva ou problemas na prestação de serviços, conforme aplicável;
• adoção de práticas discriminatórias ou violadoras de direitos fundamentais de colaboradores, parceiros, consumidores ou outros públicos afetados;
• ausência de supervisão humana adequada em decisões automatizadas ou semiautomatizadas que possam produzir impactos jurídicos, econômicos ou sociais relevantes;
• contratação de fornecedores de IA sem avaliação prévia de riscos, responsabilidades, segurança da informação, proteção de dados, propriedade intelectual e critérios de auditoria;
• dificuldade de rastrear, explicar ou documentar decisões tomadas com apoio de sistemas de IA, o que pode comprometer a defesa da organização em eventual questionamento interno, judicial, regulatório ou reputacional; e
• surgimento de passivos trabalhistas, regulatórios, contratuais ou consumeristas decorrentes do uso inadequado, não supervisionado ou não documentado de sistemas de IA.
Os riscos associados ao uso de IA devem ser tratados com seriedade, pois podem resultar em multas, pedidos de indenização e, em situações mais graves, sanções administrativas e até criminais. Essas consequências não decorrem necessariamente do uso da IA em si, mas do provento do seu uso inadequado, sem critérios, controles e responsabilidades definidos. Por isso, a governança é essencial.
A partir do autodiagnóstico, deve-se elaborar uma matriz de riscos personalizada, considerando as vulnerabilidades específicas da empresa. Não há uma receita única: os riscos variam conforme o setor, o porte da empresa, os dados utilizados, o grau de automação, os fornecedores contratados e os possíveis impactos sobre colaboradores, consumidores, parceiros e demais partes interessadas.
Em seguida, recomenda-se a criação de uma política interna de uso de IA, com regras claras sobre usos permitidos, usos proibidos ou condicionados à aprovação prévia, responsabilidades dos colaboradores e consequências pela violação das regras, proteção de dados, confidencialidade, propriedade intelectual, supervisão humana e contratação de fornecedores.
Essa política deve ser revisada periodicamente, pois a IA é uma tecnologia em rápida transformação. A revisão permite atualizar diretrizes, corrigir falhas e acompanhar novas exigências regulatórias e práticas de mercado.
Também é fundamental promover o letramento digital e oferecer treinamentos contínuos a colaboradores e lideranças, a fim de evitar o uso individual, informal e não institucionalizado de ferramentas de IA. A governança só será efetiva se as pessoas compreenderem os riscos, os limites e os procedimentos internos aplicáveis.
Por fim, a organização deve implementar controles e protocolos internos, como fluxos de aprovação para usos sensíveis, registro de decisões, canais de orientação, mecanismos de supervisão e procedimentos para reporte de incidentes.
Assim, políticas e diretrizes formalmente instituídas podem transformar a IA em uma ferramenta de geração de valor. A mera proibição tende a ser pouco realista, enquanto o uso indiscriminado amplia os riscos jurídicos, operacionais e reputacionais. O caminho mais adequado é a adoção responsável, ética, supervisionada e documentada da IA
***
Este material tem caráter meramente informativo e não substitui a análise do caso concreto. A avaliação e a implementação dessas práticas no ambiente de trabalho exigem assessoria jurídica especializada.
Referências:
- TIC Empresas 2025. Disponível em https://cetic.br/pt/tics/pesquisa/2025/empresas/H9/
- “Uso de IA nos negócios” (Pesquisa Sebrae/FGV IBRE, com colaboração do Google, dez/2025). Disponível em https://blogdoibre.fgv.br/posts/uso-de-ia-nos-negocios-no-brasil-0
- Pesquisa da Abiacom, em parceria com Brazil Panels e Lideres.ai, divulgada por André Lopes em artigo publicado na Revista Exame, em 19/01/2026. Disponível em https://exame.com/inteligencia-artificial/72-das-empresas-brasileiras-estao-no-inicio-da-adocao-de-ia-aponta-pesquisa/ Exame
- DELOITTE. State of AI in the Enterprise 2026. Deloitte Brasil, 2026. Disponível em https://www.deloitte.com/br/pt/about/press-room/state-of-ai-2026.html?utm=