INOVAÇÃO SEM CONTROLE: O USO INDISCRIMINADO DE INTELIGÊNCIA ARTIFICIAL POR FUNCIONÁRIOS

A Inteligência Artificial generativa se tornou a inovação que mais rapidamente se expandiu pela internet. Nenhum outro produto de tecnologia alcançou milhões de usuários em poucos dias. Apenas para ilustrar, quando o ChatGPT 3.5 foi disponibilizado em 30 de novembro de 2022, conseguiu alcançar um milhão de usuários em cinco dias. A Netflix precisou de mais de três anos para atingir o mesmo índice e o Instagram, dois anos e meio.

 E obviamente o ChatGPT não foi a única ferramenta que alcançou números impressionantes de usuários. O ano de 2023 foi marcado pela explosão de uma série de lançamentos de ferramentas de IA generativa, preparadas para as mais diversas finalidades, como produção e edição de textos, imagens, vídeos, códigos de programação e automação de tarefas. A escolha do usuário pode variar em razão da finalidade, facilidade de uso ou custo de assinatura, mas é certo que ela não se limita apenas a um único modelo de IA.

E a invasão destas ferramentas vem ocorrendo tanto nos lares dos usuários, como nos ambientes corporativos. Soluções como ChatGPT, Copilot, Gemini, Claude, Grok, Perplexity, Midjourney, DeepSeek entre tantas outras, passaram a fazer parte da rotina de funcionários que buscam produtividade, automação e agilidade. E quem não aprovaria isso?

O problema é que, em muitas empresas, essa adoção ocorreu sem qualquer participação da área de TI, Segurança da Informação, Privacidade de Dados ou Compliance para avaliar não apenas a performance das soluções, mas os potenciais riscos que cada tipo de IA generativa pode trazer ao ambiente da organização. Quando ocorre esse tipo de adoção de IA sem conhecimento das áreas responsáveis, chamamos o fenômeno de Shadow IA.

Shadow IA representa o uso não autorizado, não homologado e não monitorado de ferramentas de Inteligência Artificial dentro das organizações. Na prática, colaboradores utilizam plataformas pessoais ou gratuitas para processar informações corporativas sem que a empresa saiba:

  • Quais dados estão sendo enviados;
  • Onde esses dados estão armazenados;
  • Quem possui acesso às informações;
  • Se existe transferência internacional de dados;
  • Ou mesmo se essas informações poderão ser reutilizadas para treinamento de modelos de IA.

 

A IA entrou nas empresas antes das regras

Em diversos ambientes corporativos, a Inteligência Artificial vem sendo adotada informalmente pelos próprios funcionários. Uma recente pesquisa da Microsoft e do LinkedIn, denominada Work Trend Index, que entrevistou mais de 30 mil profissionais em 31 países, incluindo o Brasil, aponta que:

  • 75% dos profissionais já utilizam IA generativa no trabalho;
  • 78% utilizam ferramentas próprias sem aprovação da TI;
  • E muitos inserem dados jurídicos, financeiros, informações de clientes, dados pessoais e até código-fonte em plataformas públicas de IA.

O risco da IA corporativa não está necessariamente na tecnologia em si, mas no seu uso indiscriminado e sem as devidas regras estabelecidas.

Funcionários normalmente não possuem intenção maliciosa. Pelo contrário: muitos acreditam estar ajudando a empresa ao acelerar atividades, porém, sem orientação adequada, podem acabar expondo informações estratégicas da empresa, como atas e gravações de reuniões internas, contratos, tabelas de precificação de custos ou ainda, dados pessoais de clientes e colaboradores ao subirem fotos e documentos que identificam as pessoas.

 

O risco invisível para LGPD e Compliance

Sob a ótica da Lei Geral de Proteção de Dados (LGPD), o cenário pode ser extremamente crítico. Quando um funcionário insere dados pessoais em uma ferramenta pública de IA, podem ocorrer simultaneamente:

  • Compartilhamento indevido com terceiros;
  • Transferência internacional de dados;
  • Ausência de base legal adequada;
  • Tratamento sem transparência;
  • E descumprimento do princípio da segurança previsto no Art. 46 da LGPD.

E os riscos não se limitam às consequências das violações da LGPD. Podemos prever riscos trabalhistas em cenários de uso indevido de imagens de pessoas ou quebra de Acordos de Confidencialidade em uma relação contratual entre cliente e fornecedor, entre outras situações que podem ser previstas.

Um ponto importante: a responsabilidade tende a recair sobre a empresa, mesmo quando o uso foi realizado individualmente pelo colaborador ou por uma empresa terceirizada. Na LGPD, por exemplo, a corresponsabilização em situações como as citadas está claramente prevista na lei, como declarado na Seção III Da Responsabilidade e do Ressarcimento de Danos, Art. 42.

 

“A empresa não fornece IA corporativa”: o argumento que está impulsionando a Shadow IA

Um dos argumentos mais comuns utilizados por funcionários para justificar o uso de ferramentas pessoais de Inteligência Artificial no ambiente corporativo é este:

 “A empresa não disponibiliza nenhuma ferramenta oficial de IA, então precisei usar a minha.”

E, em muitos casos, esse argumento realmente possui um fundo de verdade.

Enquanto a Inteligência Artificial evolui rapidamente e passa a fazer parte da rotina profissional, diversas organizações ainda não possuem:

  • Soluções corporativas homologadas;
  • Diretrizes internas de uso;
  • Políticas de segurança para IA;
  • Treinamento de capacitação para uso correto de Inteligência Artificial.

Com isso, as organizações acabam incentivando, ainda que indiretamente, que os colaboradores busquem alternativas externas por conta própria, o que é muito simples de ser executado pelos usuários, uma vez que não há necessidade em instalar um software no computador, bastando apenas ter acesso à internet para criar uma conta nas milhares de opções disponíveis gratuitamente na web.

 

Como reduzir os riscos de Shadow IA nas empresas

Reduzir os riscos de Shadow IA não significa proibir totalmente o uso de Inteligência Artificial dentro da empresa. Na prática, esse tipo de bloqueio costuma incentivar ainda mais o uso oculto de ferramentas pessoais pelos colaboradores.

O caminho mais eficiente é estabelecer governança, critérios claros e alternativas corporativas seguras.

As organizações devem criar uma Política de Uso de Inteligência Artificial, definindo:

  • Quais ferramentas são autorizadas;
  • Quais tipos de dados podem ou não ser compartilhados;
  • Responsabilidades dos usuários;
  • E regras relacionadas à Segurança da Informação, LGPD e Compliance.

Também é fundamental que as áreas de TI e Segurança da Informação participem da homologação das ferramentas de IA, estabeleçam um processo de monitoramento contínuo  e capacitem os colaboradores quanto ao uso adequado desse recurso.

Com esses cuidados adotados na organização, estabelecemos um modelo inicial de Governança de IA, sem ofender as necessidades de inovação e a busca por otimização das tarefas.