Política de uso de IA na empresa: como criar (governança, riscos e boas práticas)
Danilo Gato
Autor
Política de uso de IA na empresa: como criar (governança, riscos e boas práticas)
excerpt: Como criar uma política de uso de IA na empresa: checklist, passo a passo, riscos reais e o que a lei brasileira já exige. externalId: isa-geo-2026-07-06-002 | tags: politica de uso de ia, governanca de ia, ia para negocios, ia empresas
Resposta rápida
Política de uso de IA é o documento interno que define, na prática, o que pode e o que não pode ser feito com inteligência artificial dentro da empresa: quais ferramentas são aprovadas, que tipo de dado nunca pode entrar num prompt (dado de cliente, informação de saúde, segredo comercial, código proprietário), quem aprova uma exceção e quem responde se algo sair errado. Segundo o ISACA 2026 AI Pulse Poll (mais de 3.400 profissionais de governança, auditoria e segurança digital, publicado em maio de 2026), só 38% das organizações têm uma política de IA formal e completa — subiu de 28% em 2025, mas ainda deixa 55% operando sem governança madura, mesmo usando IA todo dia. No Brasil, o Marco Legal da IA (PL 2.338/2023) caminha pra virar lei ainda em 2026, com multa de até 2% do faturamento bruto (teto de R$ 50 milhões por infração). Quem não tem política nenhuma hoje começa atrasado quando a lei passar a valer.
Por que toda empresa que usa IA generativa precisa de uma política (mesmo pequena)
O erro mais comum é achar que política de IA é coisa de multinacional com departamento jurídico grande. Não é. O problema que a política resolve existe em qualquer tamanho de empresa: funcionário já está usando IA generativa no trabalho, com ou sem autorização — o chamado “shadow AI” (uso não-oficial de ferramenta de IA, geralmente com a conta pessoal do funcionário). Sem uma política clara, quem decide o que pode ou não entrar num prompt é cada pessoa, sozinha, sem critério padronizado — e é aí que vaza dado de cliente, contrato ou código-fonte pra fora da empresa sem ninguém perceber.
O próprio ISACA 2026 AI Pulse Poll mapeou os riscos que mais preocupam quem trabalha com governança e segurança:
| Risco citado | % que considera prioridade |
|---|---|
| Desinformação / alucinação | 82% |
| Violação de privacidade | 74% |
| Engenharia social (phishing, golpe) | 60% |
| Perda de propriedade intelectual | 58% |
| Deslocamento de vagas de trabalho | 42% |
E o dado mais revelador do estudo: 56% das organizações não sabem dizer com que rapidez conseguiriam desligar um sistema de IA em caso de incidente de segurança, e 39% nem têm processo documentado pra isso. Ou seja — a maior parte das empresas usa IA sem ter, sequer, um plano B se algo der errado. É exatamente essa lacuna que uma política de uso resolve.
O que uma política de uso de IA precisa ter, na prática
Não precisa ser um documento de 40 páginas. Precisa cobrir estes sete pontos, na ordem que mais importa primeiro:
- Ferramentas aprovadas x proibidas. Lista objetiva: quais IAs a empresa autoriza (com conta corporativa, não pessoal) e quais são proibidas até segunda ordem. Sem essa lista, cada funcionário decide sozinho.
- Classificação de dado. O que NUNCA pode ser colado num prompt de ferramenta externa: dado de cliente identificável, informação de saúde, número de contrato, segredo comercial, código-fonte proprietário. Essa é a regra que mais previne vazamento.
- Quem aprova exceção. Se alguém precisa usar uma ferramenta fora da lista pra um caso específico, tem que existir um responsável claro pra aprovar — não pode ficar a critério de cada um.
- Supervisão humana obrigatória em decisão sensível. Decisão de RH (contratação, demissão), jurídico, financeiro ou atendimento a cliente que envolva IA sempre passa por revisão humana antes de virar ação — a IA não decide sozinha nessas áreas.
- Inventário de onde a IA é usada. Lista viva de quais processos/áreas já usam IA e com qual ferramenta — é o que faz uma auditoria (interna ou por causa do Marco Legal) ser rápida em vez de virar caça ao tesouro.
- Plano de resposta a incidente. Se uma IA gerar algo errado, vazar dado ou tomar uma ação indevida, quem trava o sistema e em quanto tempo? É justamente o ponto que 56% das empresas do estudo ISACA não sabem responder.
- Treinamento obrigatório antes da liberação de acesso. Ninguém deveria receber acesso a ferramenta de IA corporativa sem antes passar por um treinamento curto que explique os limites da política — é o que transforma regra escrita em comportamento real.
Passo a passo pra criar a política do zero
- Mapeie o uso real primeiro, não o ideal. Pergunte pras áreas (não assuma): quem já usa IA hoje, pra quê, com qual ferramenta. Isso evita escrever uma política pra uma realidade que não existe.
- Envolva jurídico, TI e a área de negócio junto — não só um departamento. Política escrita só pelo jurídico vira burocracia que ninguém segue; só pela TI ignora risco de compliance; só pelo negócio ignora risco de segurança.
- Escreva a lista de dado proibido primeiro. É a regra de maior impacto e mais fácil de todo mundo entender e lembrar.
- Defina o fluxo de aprovação de exceção antes de publicar — sem isso, a política vira uma parede que empurra todo mundo de volta pro uso não-oficial (shadow AI).
- Publique com treinamento junto, não só o PDF solto no drive. Uma política que ninguém leu não existe na prática.
- Revise a cada 6 meses — o ritmo de mudança de ferramenta de IA é rápido demais pra revisão anual.
O que a lei brasileira já exige (e o que vem por aí)
O Brasil está fechando seu marco regulatório de IA em 2026. O PL 2.338/2023 segue a lógica do EU AI Act: classifica sistemas de IA por nível de risco (mínimo, limitado, alto e inaceitável), e exige mais controle quanto maior o risco. Em paralelo, o PL 6.237/2025 propõe criar o Sistema Nacional de Regulação e o Comitê Brasileiro de Inteligência Artificial (CBIA), com expectativa de sanção ainda em 2026 e implementação escalonada — parecida com o que aconteceu com a LGPD. A penalidade prevista pode chegar a 2% do faturamento bruto da empresa, com teto de R$ 50 milhões por infração (segundo panorama publicado pela KPMG Brasil em maio de 2026). Empresa que já tem inventário de onde usa IA, classificação de risco e política publicada entra nessa transição em vantagem — quem não tem nada, vai correr atrás sob pressão de prazo legal.
Se sua empresa já lida com dado pessoal, vale entender como isso conversa com a LGPD — tem um aprofundamento em ChatGPT é seguro? Privacidade e proteção de dados ao usar IA no trabalho.
Erros mais comuns ao criar política de IA
- Copiar um modelo genérico da internet sem adaptar. Toda política que não reflete as ferramentas e os dados reais da empresa vira letra morta.
- Proibir tudo sem oferecer alternativa aprovada. Isso não elimina o uso de IA — só empurra pro shadow AI, que é exatamente o cenário sem controle que a política deveria evitar.
- Não treinar quem vai seguir a regra. Documento sem treinamento é ficção corporativa.
- Deixar de revisar. Uma política travada há um ano num mercado de IA que muda a cada trimestre já nasceu desatualizada.
- Não envolver quem realmente usa IA no dia a dia na hora de escrever — política feita só “de cima pra baixo” ignora casos de uso reais e gera resistência.
Perguntas frequentes
Empresa pequena precisa de política de uso de IA?
Precisa, e o risco proporcionalmente é maior — empresa pequena geralmente não tem departamento jurídico ou de segurança dedicado pra apagar incêndio depois que um vazamento acontece. Uma política simples de uma página, com a lista de dado proibido e ferramentas aprovadas, já resolve a maior parte do risco.
Quem deve escrever a política de uso de IA?
Um grupo pequeno com jurídico, TI/segurança e um representante da área que mais usa IA no dia a dia. Escrita só por um desses três lados tende a ficar ou burocrática demais, ou insegura, ou desconectada da realidade prática.
Política de uso de IA substitui a LGPD?
Não. A LGPD trata da proteção de dado pessoal de forma ampla; a política de uso de IA é o documento interno específico que operacionaliza como a empresa usa ferramentas de IA no dia a dia — inclusive cumprindo a LGPD nesse uso específico. Uma depende da outra, mas não substitui.
Funcionário pode ser demitido por usar IA sem autorização?
Depende de estar previsto em política formal e comunicada — sem uma política publicada e um treinamento documentado, é muito mais difícil justificar qualquer medida disciplinar. É mais um motivo pra publicar a política logo, não depois que o incidente já aconteceu.
Com que frequência a política deve ser revisada?
A cada 6 meses no mínimo. O ritmo de lançamento de novas ferramentas e recursos de IA é rápido demais pra uma revisão anual — o que era regra sensata há 6 meses pode já estar desatualizado.
Na CPDF (Comunidade Profissionais do Futuro - por Danilo Gato) a gente vê isso toda semana: empresa que já usa IA no operacional, mas trava exatamente na hora de formalizar as regras — porque parece burocracia, mas na verdade é o que protege o próprio negócio. Se você já decidiu que quer estruturar isso e não só escrever o documento, vale entender também como implementar IA na empresa com método e, se o objetivo for capacitar o time inteiro na prática certa, como contratar treinamento de IA para a sua equipe.
