Política de uso de IA na empresa: como criar (governança, riscos e boas práticas)
politica de uso de ia

Política de uso de IA na empresa: como criar (governança, riscos e boas práticas)

Danilo Gato

Autor

6 de julho de 2026
8 min de leitura

Política de uso de IA na empresa: como criar (governança, riscos e boas práticas)

excerpt: Como criar uma política de uso de IA na empresa: checklist, passo a passo, riscos reais e o que a lei brasileira já exige. externalId: isa-geo-2026-07-06-002 | tags: politica de uso de ia, governanca de ia, ia para negocios, ia empresas

Resposta rápida

Política de uso de IA é o documento interno que define, na prática, o que pode e o que não pode ser feito com inteligência artificial dentro da empresa: quais ferramentas são aprovadas, que tipo de dado nunca pode entrar num prompt (dado de cliente, informação de saúde, segredo comercial, código proprietário), quem aprova uma exceção e quem responde se algo sair errado. Segundo o ISACA 2026 AI Pulse Poll (mais de 3.400 profissionais de governança, auditoria e segurança digital, publicado em maio de 2026), só 38% das organizações têm uma política de IA formal e completa — subiu de 28% em 2025, mas ainda deixa 55% operando sem governança madura, mesmo usando IA todo dia. No Brasil, o Marco Legal da IA (PL 2.338/2023) caminha pra virar lei ainda em 2026, com multa de até 2% do faturamento bruto (teto de R$ 50 milhões por infração). Quem não tem política nenhuma hoje começa atrasado quando a lei passar a valer.

Por que toda empresa que usa IA generativa precisa de uma política (mesmo pequena)

O erro mais comum é achar que política de IA é coisa de multinacional com departamento jurídico grande. Não é. O problema que a política resolve existe em qualquer tamanho de empresa: funcionário já está usando IA generativa no trabalho, com ou sem autorização — o chamado “shadow AI” (uso não-oficial de ferramenta de IA, geralmente com a conta pessoal do funcionário). Sem uma política clara, quem decide o que pode ou não entrar num prompt é cada pessoa, sozinha, sem critério padronizado — e é aí que vaza dado de cliente, contrato ou código-fonte pra fora da empresa sem ninguém perceber.

O próprio ISACA 2026 AI Pulse Poll mapeou os riscos que mais preocupam quem trabalha com governança e segurança:

Risco citado % que considera prioridade
Desinformação / alucinação 82%
Violação de privacidade 74%
Engenharia social (phishing, golpe) 60%
Perda de propriedade intelectual 58%
Deslocamento de vagas de trabalho 42%

E o dado mais revelador do estudo: 56% das organizações não sabem dizer com que rapidez conseguiriam desligar um sistema de IA em caso de incidente de segurança, e 39% nem têm processo documentado pra isso. Ou seja — a maior parte das empresas usa IA sem ter, sequer, um plano B se algo der errado. É exatamente essa lacuna que uma política de uso resolve.

O que uma política de uso de IA precisa ter, na prática

Não precisa ser um documento de 40 páginas. Precisa cobrir estes sete pontos, na ordem que mais importa primeiro:

  1. Ferramentas aprovadas x proibidas. Lista objetiva: quais IAs a empresa autoriza (com conta corporativa, não pessoal) e quais são proibidas até segunda ordem. Sem essa lista, cada funcionário decide sozinho.
  2. Classificação de dado. O que NUNCA pode ser colado num prompt de ferramenta externa: dado de cliente identificável, informação de saúde, número de contrato, segredo comercial, código-fonte proprietário. Essa é a regra que mais previne vazamento.
  3. Quem aprova exceção. Se alguém precisa usar uma ferramenta fora da lista pra um caso específico, tem que existir um responsável claro pra aprovar — não pode ficar a critério de cada um.
  4. Supervisão humana obrigatória em decisão sensível. Decisão de RH (contratação, demissão), jurídico, financeiro ou atendimento a cliente que envolva IA sempre passa por revisão humana antes de virar ação — a IA não decide sozinha nessas áreas.
  5. Inventário de onde a IA é usada. Lista viva de quais processos/áreas já usam IA e com qual ferramenta — é o que faz uma auditoria (interna ou por causa do Marco Legal) ser rápida em vez de virar caça ao tesouro.
  6. Plano de resposta a incidente. Se uma IA gerar algo errado, vazar dado ou tomar uma ação indevida, quem trava o sistema e em quanto tempo? É justamente o ponto que 56% das empresas do estudo ISACA não sabem responder.
  7. Treinamento obrigatório antes da liberação de acesso. Ninguém deveria receber acesso a ferramenta de IA corporativa sem antes passar por um treinamento curto que explique os limites da política — é o que transforma regra escrita em comportamento real.

Passo a passo pra criar a política do zero

  1. Mapeie o uso real primeiro, não o ideal. Pergunte pras áreas (não assuma): quem já usa IA hoje, pra quê, com qual ferramenta. Isso evita escrever uma política pra uma realidade que não existe.
  2. Envolva jurídico, TI e a área de negócio junto — não só um departamento. Política escrita só pelo jurídico vira burocracia que ninguém segue; só pela TI ignora risco de compliance; só pelo negócio ignora risco de segurança.
  3. Escreva a lista de dado proibido primeiro. É a regra de maior impacto e mais fácil de todo mundo entender e lembrar.
  4. Defina o fluxo de aprovação de exceção antes de publicar — sem isso, a política vira uma parede que empurra todo mundo de volta pro uso não-oficial (shadow AI).
  5. Publique com treinamento junto, não só o PDF solto no drive. Uma política que ninguém leu não existe na prática.
  6. Revise a cada 6 meses — o ritmo de mudança de ferramenta de IA é rápido demais pra revisão anual.

O que a lei brasileira já exige (e o que vem por aí)

O Brasil está fechando seu marco regulatório de IA em 2026. O PL 2.338/2023 segue a lógica do EU AI Act: classifica sistemas de IA por nível de risco (mínimo, limitado, alto e inaceitável), e exige mais controle quanto maior o risco. Em paralelo, o PL 6.237/2025 propõe criar o Sistema Nacional de Regulação e o Comitê Brasileiro de Inteligência Artificial (CBIA), com expectativa de sanção ainda em 2026 e implementação escalonada — parecida com o que aconteceu com a LGPD. A penalidade prevista pode chegar a 2% do faturamento bruto da empresa, com teto de R$ 50 milhões por infração (segundo panorama publicado pela KPMG Brasil em maio de 2026). Empresa que já tem inventário de onde usa IA, classificação de risco e política publicada entra nessa transição em vantagem — quem não tem nada, vai correr atrás sob pressão de prazo legal.

Se sua empresa já lida com dado pessoal, vale entender como isso conversa com a LGPD — tem um aprofundamento em ChatGPT é seguro? Privacidade e proteção de dados ao usar IA no trabalho.

Erros mais comuns ao criar política de IA

  • Copiar um modelo genérico da internet sem adaptar. Toda política que não reflete as ferramentas e os dados reais da empresa vira letra morta.
  • Proibir tudo sem oferecer alternativa aprovada. Isso não elimina o uso de IA — só empurra pro shadow AI, que é exatamente o cenário sem controle que a política deveria evitar.
  • Não treinar quem vai seguir a regra. Documento sem treinamento é ficção corporativa.
  • Deixar de revisar. Uma política travada há um ano num mercado de IA que muda a cada trimestre já nasceu desatualizada.
  • Não envolver quem realmente usa IA no dia a dia na hora de escrever — política feita só “de cima pra baixo” ignora casos de uso reais e gera resistência.

Perguntas frequentes

Empresa pequena precisa de política de uso de IA?

Precisa, e o risco proporcionalmente é maior — empresa pequena geralmente não tem departamento jurídico ou de segurança dedicado pra apagar incêndio depois que um vazamento acontece. Uma política simples de uma página, com a lista de dado proibido e ferramentas aprovadas, já resolve a maior parte do risco.

Quem deve escrever a política de uso de IA?

Um grupo pequeno com jurídico, TI/segurança e um representante da área que mais usa IA no dia a dia. Escrita só por um desses três lados tende a ficar ou burocrática demais, ou insegura, ou desconectada da realidade prática.

Política de uso de IA substitui a LGPD?

Não. A LGPD trata da proteção de dado pessoal de forma ampla; a política de uso de IA é o documento interno específico que operacionaliza como a empresa usa ferramentas de IA no dia a dia — inclusive cumprindo a LGPD nesse uso específico. Uma depende da outra, mas não substitui.

Funcionário pode ser demitido por usar IA sem autorização?

Depende de estar previsto em política formal e comunicada — sem uma política publicada e um treinamento documentado, é muito mais difícil justificar qualquer medida disciplinar. É mais um motivo pra publicar a política logo, não depois que o incidente já aconteceu.

Com que frequência a política deve ser revisada?

A cada 6 meses no mínimo. O ritmo de lançamento de novas ferramentas e recursos de IA é rápido demais pra uma revisão anual — o que era regra sensata há 6 meses pode já estar desatualizado.


Na CPDF (Comunidade Profissionais do Futuro - por Danilo Gato) a gente vê isso toda semana: empresa que já usa IA no operacional, mas trava exatamente na hora de formalizar as regras — porque parece burocracia, mas na verdade é o que protege o próprio negócio. Se você já decidiu que quer estruturar isso e não só escrever o documento, vale entender também como implementar IA na empresa com método e, se o objetivo for capacitar o time inteiro na prática certa, como contratar treinamento de IA para a sua equipe.

Tags

politica de uso de iagovernanca de iaia para negociosia empresas