Aprender a usar IA com segurança deixou de ser preocupação de TI e virou obrigação de quem assina embaixo de um contrato de cliente. Em março de 2026, um advogado de Goiânia colou um contrato sigiloso no ChatGPT gratuito pedindo “resume em tópicos, por favor”. Três semanas depois, parte daquele contrato reapareceu — em linhas gerais, mas reconhecíveis — na resposta gerada para outro usuário que pediu um modelo parecido. O advogado perdeu o cliente. Não foi multado pela ANPD. Mas poderia.
Histórias assim deixaram de ser exceção. Segundo o relatório IBM Security sobre custo de vazamentos, 42% dos incidentes corporativos em 2026 tiveram origem no uso de IA pública sem governança. O custo médio de cada vazamento chegou a US$ 4,4 milhões. E, ainda assim, apenas 26% das empresas têm política interna documentada para uso de inteligência artificial.
A LGPD não diferencia humano e IA — e isso muda tudo
Quando você, profissional, cola dados de um cliente em uma ferramenta de IA pública, a Lei Geral de Proteção de Dados brasileira (Lei 13.709/2018) continua tratando você como o controlador daquele dado. A OpenAI, o Google e a Anthropic são, no máximo, operadoras. A responsabilidade civil, administrativa e eventualmente criminal pelo vazamento continua na sua cadeira.
Traduzindo para a rotina: se você colou um CPF de cliente, um laudo médico, um contrato de honorários ou uma planilha financeira em um chat de IA, você tratou dado pessoal — no sentido jurídico exato do termo. E precisa provar base legal, finalidade, transparência e, em muitos casos, consentimento documentado. Colar e pedir “resumo” não é hipótese prevista em lei.
A Autoridade Nacional de Proteção de Dados (ANPD) já sinalizou, em notas técnicas de 2025 e 2026, que o uso de IA pública com dados de terceiros sem política documentada configura tratamento irregular. Em uma fiscalização, a primeira pergunta é sempre a mesma: onde está o registro de operações de tratamento? Na ausência dele, presunção de negligência.
Três cenários reais que qualquer PME de Goiânia já viveu
O advogado da abertura é um exemplo. Mas os outros dois são igualmente frequentes em escritórios da Vila Rosa, Setor Bueno e Setor Marista.
Cenário 1 — clínica médica. Uma secretária, em nome da “produtividade”, copia prontuários para o ChatGPT pedindo reescrita em linguagem acessível para entregar ao paciente. Dados de saúde são categoria sensível segundo a LGPD — tratamento exige base legal específica e, em quase todos os casos, consentimento expresso. A clínica passa a responder solidariamente por cada prontuário que passou pela ferramenta.
Cenário 2 — escritório de contabilidade. O analista cola extratos bancários de clientes pedindo categorização automática de despesas. Acaba de expor dados financeiros de dezenas de CNPJs a um terceiro sem contrato, sem acordo de confidencialidade e sem base legal. O cliente descobre seis meses depois, ao fechar contrato com concorrente que cita informações que só o escritório tinha.
Cenário 3 — imobiliária. A equipe comercial joga no ChatGPT a lista de leads frios com nome, telefone, renda estimada e imóvel de interesse, pedindo “faça um script personalizado pra cada um”. Nome, telefone e renda são dados pessoais. A imobiliária se tornou, sem perceber, uma exportadora de base de clientes para um modelo de IA americano.
A falácia da “IA corporativa segura”
Vender confusão entre ChatGPT gratuito, ChatGPT Plus, ChatGPT Team e API é a forma mais comum de usar IA com segurança virar slogan vazio. A diferença jurídica é enorme e poucos explicam direito.
No ChatGPT gratuito e no Plus, salvo desativação manual nas configurações, suas conversas podem ser usadas para treinamento de modelos futuros. Você concorda com isso nos termos de uso. Em tradução direta: aquele contrato que você colou pode, em teoria, virar embedding no próximo modelo.
No ChatGPT Team e Enterprise, a OpenAI afirma contratualmente que dados não são usados para treinamento. Mas ainda passam por servidores nos Estados Unidos, o que implica transferência internacional de dados — algo que a LGPD regula no artigo 33 e exige cláusula específica no contrato com o cliente final.
Na API, você tem maior controle técnico (retenção zero configurável, logs auditáveis), mas ainda precisa documentar base legal e informar o titular do dado. Nenhuma dessas versões dispensa política interna. A diferença está no grau de risco — não na isenção dele.
O modelo híbrido correto para usar IA com segurança
Decisores maduros não usam IA pública para tudo nem proíbem IA para proteger dado. Operam em três camadas, com critério claro:
Camada 1 — IA pública, para dado público. Pesquisa de mercado, brainstorm de copy, reescrita de texto sem informação de terceiro, resumo de artigo aberto, sugestão de estrutura de apresentação. Aqui o ChatGPT gratuito resolve com zero risco.
Camada 2 — IA corporativa (Team/Enterprise), para dado interno de baixa sensibilidade. Templates internos, revisão de e-mail comercial, apoio a treinamento de equipe, análise de dado agregado e anonimizado. Exige contrato corporativo com o provedor e política interna escrita.
Camada 3 — IA local ou agente sob medida, para dado sensível. Informação de cliente, prontuário, contrato, dado financeiro, estratégia comercial. Aqui a resposta é modelo rodando em servidor próprio ou em infraestrutura fechada, com pesquisas do Pew Research mostrando crescimento acelerado desse modelo em empresas acima de 50 funcionários. O custo é maior. O risco jurídico é uma fração.
Por que política interna de IA não é documento burocrático
A política interna de IA cumpre três funções práticas, nenhuma delas decorativa. Primeira, delimita por escrito o que cada função da empresa pode e não pode fazer — evita que a secretária “resolva rapidinho” criando um passivo de R$ 200 mil. Segunda, serve como prova documental em caso de fiscalização da ANPD ou disputa com cliente. Terceira, e mais importante, obriga a empresa a mapear seus próprios fluxos de dado — exercício que, por si só, revela vulnerabilidades que ninguém estava olhando.
Empresas que montam política interna de IA em 2026 descobrem, em média, três a cinco pontos de vazamento silencioso na operação — quase sempre na combinação de rotinas manuais com ferramentas públicas. Ajustar isso antes de virar manchete custa uma fração do que custa depois.
Você não precisa entender IA. Precisa saber onde ela para.
O profissional que aprende a usar IA com segurança em 2026 não vira especialista em modelo de linguagem. Aprende a traçar uma linha clara: o que entra no prompt, o que fica na sala, e quem assume a responsabilidade quando alguma coisa escapa. Essa linha é operacional, jurídica e cultural — e ela não se desenha sozinha.
Em Goiânia, boa parte dos escritórios, clínicas e PMEs já usa IA diariamente sem ter a menor documentação sobre como. É um passivo invisível que cresce todo dia. Consultoria empresarial com diagnóstico de fluxo de dado, desenho de política interna e treinamento de equipe resolve esse passivo antes dele virar problema — e libera a equipe para usar IA com velocidade real, sem o medo difuso que hoje trava quase todo mundo.
Em 30 minutos, você sabe onde sua operação está vulnerável
Um diagnóstico inicial: uma conversa objetiva para identificar onde sua equipe já usa IA sem perceber, qual é o risco real à luz da LGPD e quais são os três ajustes com maior retorno antes da próxima auditoria ou reclamação de cliente.
