A Inteligência Artificial não é uma promessa para o futuro, mas uma realidade na mesa do seu funcionário neste exato minuto. Enquanto muitas diretorias ainda discutem se vão adotar a IA, suas equipes já a utilizam para redigir e-mails, analisar planilhas, criar apresentações e até mesmo escrever código. Ferramentas como ChatGPT, Gemini, Copilot e inúmeras outras tornaram-se os novos “assistentes de produtividade”.
A pergunta, portanto, deixou de ser “vamos usar IA?” para se tornar: “Quais são as políticas e a segurança que sua empresa tem sobre o uso da IA que já acontece?”
É aqui que reside o novo e massivo “ponto cego” jurídico. Chamamos isso de “IA Sombra” (Shadow AI): o uso de tecnologias de IA por funcionários sem o conhecimento, aprovação ou, o mais grave, sem a supervisão de compliance e do jurídico.
O que acontece quando um funcionário, buscando ser mais ágil, cola uma lista de clientes, dados de um contrato confidencial ou o planejamento estratégico do próximo trimestre em um chat de IA generativa pública?
A resposta é simples: acontece um potencial desastre de governança e uma clara violação da LGPD. Naquele instante, dados sensíveis e estratégicos da sua empresa, e dos seus clientes, foram entregues a um terceiro (a empresa de IA), sem base legal, sem contrato que proteja sua confidencialidade e, na maioria dos casos, para serem usados no treinamento de futuros modelos daquela IA.
Este é o desafio central que une três áreas que precisam andar juntas: IA, Compliance e LGPD.
A falta de uma política clara de uso de IA não é apenas uma falha de TI, é uma falha de compliance. É a ausência de um programa de governança que entenda que os maiores riscos da IA hoje não vêm de robôs futuristas, mas da entrada de dados descontrolada em ferramentas de fácil acesso.
Nosso know-how jurídico e estratégico identifica que o problema vai além. Quando a empresa decide sair da “sombra” e adotar suas próprias ferramentas de IA, seja para contratar pessoas, analisar crédito ou automatizar o SAC, ela se depara com a complexidade da LGPD. Como sua empresa vai explicar uma decisão tomada por um algoritmo, como exige o Artigo 20? Como ela vai garantir que esse algoritmo não seja discriminatório, evitando riscos reputacionais e trabalhistas?
É por isso que um programa de Compliance de IA é tão vital. Ele não serve para proibir a inovação, isso seria impossível e indesejável, ele serve para governar a inovação.
O primeiro passo é reconhecer a realidade: a IA já está em uso. O passo seguinte é implementar o framework de controle. Isso começa com a criação de uma Política de Uso de IA, que defina claramente para o funcionário o que é permitido e o que é terminantemente proibido.
Paralelamente, nosso trabalho é construir a governança robusta por trás dessa política. Isso envolve conduzir a due diligence de fornecedores de IA, analisar bases legais para o tratamento de dados e preparar a empresa para os inevitáveis Relatórios de Impacto à Proteção de Dados (RIPD) que sistemas de alto risco exigirão.
Empresas que enxergam a IA apenas como tecnologia estão expostas. Empresas que entendem a IA como um ecossistema que exige governança, regras de compliance e adequação rigorosa à LGPD, estão construindo uma vantagem competitiva. Elas protegem seus dados, os dados de seus clientes, e utilizam a tecnologia de forma segura e ética.
O Casillo Advogados possui a expertise jurídica para transformar o risco da “IA Sombra” em uma estratégia de inovação segura e responsável.
Escrito por:
André Quatrini e Maria Giulia Furlan