IA Generativa e Governança Corporativa: Desafios e Oportunidades

Por Thiago Almeida | IBGIA Março 2026

A Inteligência Artificial generativa transformou o ambiente corporativo em velocidade sem precedentes. Em menos de três anos, ferramentas como ChatGPT, Microsoft Copilot, Google Gemini e GitHub Copilot passaram de curiosidades tecnológicas a instrumentos de trabalho cotidiano em milhares de organizações brasileiras. Pesquisas recentes indicam que mais de 60% dos profissionais do conhecimento no Brasil já utilizam alguma forma de IA generativa em suas atividades — muitas vezes sem conhecimento ou autorização formal de suas organizações.

Essa adoção acelerada traz benefícios reais e mensuráveis: ganhos de produtividade, automação de tarefas repetitivas, apoio à criação de conteúdo, aceleração de desenvolvimento de software e auxílio na análise de dados. No entanto, também introduz riscos que a maioria das organizações ainda não está preparada para gerenciar. Vazamento de dados confidenciais, violações de propriedade intelectual, geração de informações imprecisas e dependência excessiva de sistemas opacos são apenas alguns dos desafios que exigem uma resposta estruturada de governança.

Este artigo examina os principais riscos associados ao uso corporativo de IA generativa e propõe diretrizes práticas para que organizações governem essa tecnologia de forma responsável, sem sufocar a inovação.

O cenário atual: adoção rápida, governança lenta

O padrão de adoção da IA generativa nas organizações brasileiras segue uma dinâmica comum a tecnologias disruptivas: a velocidade de adoção supera amplamente a capacidade das estruturas de governança de acompanhar. Essa lacuna entre adoção e governança cria o que alguns especialistas chamam de "shadow AI" — o uso de ferramentas de IA generativa por colaboradores sem supervisão, políticas ou controles institucionais.

Uma pesquisa da McKinsey Global Institute publicada em 2024 revelou que apenas 21% das organizações que utilizam IA generativa possuem políticas formais para governar seu uso. No Brasil, esse percentual é ainda menor. A maioria das organizações brasileiras encontra-se em uma de três situações: ausência total de políticas (a IA generativa é utilizada livremente, sem qualquer diretriz), proibição total (a organização bloqueia o acesso a ferramentas de IA generativa, empurrando o uso para dispositivos pessoais e redes não corporativas) ou políticas informais (orientações vagas, não documentadas e inconsistentemente aplicadas).

Nenhuma dessas abordagens é adequada. A ausência de políticas expõe a organização a riscos significativos. A proibição total é impraticável e contraproducente — os colaboradores simplesmente contornam as restrições. E políticas informais criam inconsistência e insegurança jurídica.

Riscos fundamentais da IA generativa no ambiente corporativo

Vazamento de dados e informações confidenciais

O risco mais imediato e tangível do uso corporativo de IA generativa é o vazamento de dados confidenciais. Quando um colaborador insere informações proprietárias, dados de clientes, estratégias de negócio ou código-fonte em uma ferramenta de IA generativa, essas informações são transmitidas para servidores externos, frequentemente localizados fora do Brasil.

Os termos de uso de muitos serviços de IA generativa permitem que os dados inseridos sejam utilizados para treinamento de modelos futuros — o que significa que informações confidenciais podem, em tese, ser reproduzidas em respostas fornecidas a outros usuários. Embora os provedores tenham implementado controles progressivamente mais rigorosos, o risco fundamental permanece.

Casos emblemáticos já foram documentados. Em 2023, a Samsung proibiu o uso interno de ChatGPT após engenheiros inserirem código-fonte proprietário na ferramenta. Episódios similares foram reportados em empresas de consultoria, escritórios de advocacia e instituições financeiras em todo o mundo.

No contexto brasileiro, esse risco é agravado pelas obrigações da LGPD. A transferência internacional de dados pessoais exige base legal específica, e o compartilhamento de dados pessoais de clientes ou colaboradores com provedores de IA generativa pode configurar tratamento irregular sob a legislação brasileira.

Propriedade intelectual e direitos autorais

A IA generativa levanta questões complexas de propriedade intelectual em duas dimensões. Na primeira, a questão é se o conteúdo gerado por IA é protegido por direito autoral. Na segunda, se o processo de geração viola direitos autorais de terceiros cujas obras foram utilizadas no treinamento do modelo.

Para organizações, os riscos práticos incluem: utilizar textos, imagens ou códigos gerados por IA como se fossem criações originais, sem verificar possíveis conflitos de propriedade intelectual; publicar conteúdo gerado por IA que reproduza, inadvertidamente, trechos substanciais de obras protegidas; e inserir nos prompts informações que constituem segredo industrial ou propriedade intelectual da organização, expondo-as a terceiros.

O marco legal brasileiro ainda não oferece respostas definitivas para essas questões. A Lei de Direitos Autorais (Lei 9.610/1998) foi concebida para um contexto analógico e não contempla adequadamente a criação assistida por IA. Até que haja clareza legislativa e jurisprudencial, as organizações devem adotar uma postura conservadora e documentar rigorosamente o uso de IA generativa em processos criativos.

Alucinações e informações imprecisas

Modelos de linguagem de grande porte (LLMs) são capazes de gerar textos altamente convincentes que contêm informações factuais incorretas — fenômeno conhecido como "alucinação". No ambiente corporativo, a utilização acrítica de conteúdo gerado por IA pode resultar em relatórios com dados incorretos, contratos com cláusulas inadequadas, comunicações com clientes contendo informações falsas e análises estratégicas baseadas em premissas equivocadas.

O risco é amplificado pela aparente autoridade e fluência do texto gerado. Colaboradores tendem a confiar no conteúdo produzido por IA generativa sem realizar verificação adequada, especialmente quando estão sob pressão de tempo.

Vieses e discriminação

Modelos de IA generativa refletem vieses presentes em seus dados de treinamento. No contexto corporativo, isso pode se manifestar em comunicações que reproduzem estereótipos, processos de recrutamento assistidos por IA que discriminam grupos específicos, análises que perpetuam vieses históricos e conteúdo de marketing que reforça desigualdades.

No contexto brasileiro, onde desigualdades raciais, de gênero e socioeconômicas são estruturais, os riscos de vieses algorítmicos assumem dimensão particular — conforme analisado em artigo anterior do IBGIA.

Dependência e perda de competências

Um risco menos discutido, mas igualmente relevante, é a erosão gradual de competências organizacionais decorrente da dependência excessiva de IA generativa. Quando colaboradores delegam sistematicamente tarefas de análise, redação, programação e decisão para ferramentas de IA, a organização pode perder progressivamente a capacidade de realizar essas atividades de forma autônoma.

Esse risco é particularmente relevante em atividades que exigem julgamento crítico, criatividade genuína e compreensão contextual — competências que a IA generativa simula, mas não possui.

Diretrizes para governança de IA generativa

Política de uso aceitável

Toda organização que permite (ou tolera) o uso de IA generativa por seus colaboradores deve estabelecer uma política clara de uso aceitável. Essa política deve definir quais ferramentas são aprovadas para uso corporativo, quais tipos de dados podem e não podem ser inseridos em ferramentas de IA, quais atividades podem ser apoiadas por IA generativa e quais exigem trabalho exclusivamente humano, requisitos de verificação e revisão humana do conteúdo gerado por IA, obrigações de transparência (quando é necessário informar que conteúdo foi gerado com auxílio de IA) e procedimentos para reporte de incidentes envolvendo IA generativa.

A política deve ser redigida em linguagem clara, acessível a todos os colaboradores, e deve ser revisada periodicamente para acompanhar a evolução da tecnologia e do ambiente regulatório.

Classificação de dados e controles de acesso

A governança de IA generativa deve se integrar ao framework de classificação de dados da organização. Informações classificadas como confidenciais ou restritas não devem ser inseridas em ferramentas de IA generativa de uso geral. Para dados sensíveis, a organização deve considerar soluções de IA generativa de uso privado (on-premises ou em nuvem privada) que ofereçam garantias de que os dados não serão utilizados para treinamento de modelos ou compartilhados com terceiros.

Controles técnicos podem complementar os controles administrativos: ferramentas de Data Loss Prevention (DLP) podem ser configuradas para detectar e bloquear o envio de dados sensíveis para serviços de IA generativa.

Avaliação de ferramentas e fornecedores

Antes de aprovar o uso de uma ferramenta de IA generativa, a organização deve realizar uma avaliação que considere os termos de uso e a política de privacidade do fornecedor, como os dados inseridos são tratados (armazenamento, uso para treinamento, compartilhamento), localização dos servidores e conformidade com requisitos de transferência internacional de dados, medidas de segurança da informação implementadas pelo fornecedor, histórico de incidentes de segurança e tratamento de vulnerabilidades e conformidade com a LGPD e demais requisitos regulatórios aplicáveis.

Essa avaliação deve ser documentada e revisada periodicamente, especialmente quando o fornecedor atualiza seus termos de uso ou funcionalidades.

Revisão humana obrigatória

A governança de IA generativa deve estabelecer requisitos claros de revisão humana. Como regra geral, nenhum conteúdo gerado por IA deve ser publicado, enviado a clientes, utilizado em decisões de negócio ou incorporado a produtos sem revisão humana qualificada.

A profundidade da revisão deve ser proporcional ao risco. Um rascunho de email interno pode exigir revisão superficial. Um parecer jurídico, uma análise financeira ou uma comunicação ao mercado exigem revisão detalhada por profissional qualificado na matéria.

Transparência e rotulagem

Organizações devem definir quando e como informar stakeholders internos e externos sobre o uso de IA generativa. Diretrizes de transparência devem cobrir comunicações com clientes e parceiros (quando informar que conteúdo foi gerado com auxílio de IA), documentos internos (como identificar conteúdo gerado por IA), processos regulados (requisitos específicos de transparência em setores regulados) e propriedade intelectual (como documentar a participação de IA em processos criativos).

Capacitação e conscientização

A efetividade de qualquer política depende do nível de compreensão e engajamento dos colaboradores. Programas de capacitação em uso responsável de IA generativa devem cobrir riscos associados ao uso de IA generativa (vazamento de dados, alucinações, vieses), boas práticas de formulação de prompts (prompt engineering) com foco em segurança, procedimentos de verificação e validação de conteúdo gerado e orientações específicas para a função e o setor de atuação do colaborador.

Oportunidades estratégicas

A governança de IA generativa não deve ser vista apenas como um exercício de mitigação de riscos. Organizações que estabelecem práticas sólidas de governança estão em posição privilegiada para capturar os benefícios estratégicos da tecnologia.

Produtividade com responsabilidade

Organizações com governança estruturada podem promover a adoção de IA generativa de forma mais ampla e confiante, capturando ganhos de produtividade sem os riscos associados ao uso desgovernado. A governança não freia a inovação — ela cria as condições para que a inovação ocorra de forma sustentável.

Diferenciação competitiva

Em um mercado onde consumidores e parceiros de negócio estão cada vez mais atentos ao uso responsável de tecnologia, a governança de IA generativa pode se tornar um diferencial competitivo. Organizações que demonstram compromisso com transparência, proteção de dados e uso ético de IA constroem confiança — um ativo cada vez mais valioso.

Preparação regulatória

O ambiente regulatório para IA está se consolidando no Brasil e no mundo. O Projeto de Lei 2338/2023 (Marco Legal da IA), o EU AI Act e normas técnicas como a ISO/IEC 42001 estabelecem requisitos crescentes de governança. Organizações que antecipam essas exigências evitam custos de conformidade retroativa e se posicionam como líderes responsáveis em seus setores.

Gestão do conhecimento organizacional

A IA generativa, quando bem governada, pode se tornar uma ferramenta poderosa de gestão do conhecimento organizacional — auxiliando na documentação, na síntese de informações e na democratização do acesso ao conhecimento interno.

O papel do IBGIA

O IBGIA acompanha atentamente a evolução do uso corporativo de IA generativa e seus desafios de governança. O Instituto oferece frameworks de avaliação de maturidade que incluem dimensões específicas para IA generativa, publicações técnicas e guias práticos para implementação de políticas, programas de capacitação para lideranças e equipes técnicas e grupos de trabalho que reúnem profissionais de diferentes setores para compartilhar experiências e desenvolver boas práticas.

Organizações associadas ao IBGIA têm acesso a esses recursos e a uma rede de profissionais engajados na construção de práticas responsáveis de governança de IA.

Considerações finais

A IA generativa veio para ficar. Sua adoção no ambiente corporativo continuará se acelerando, e as organizações que não estabelecerem práticas de governança adequadas enfrentarão riscos crescentes — jurídicos, reputacionais, operacionais e éticos.

A boa notícia é que a governança de IA generativa não exige investimentos massivos ou transformações radicais. Ela exige, fundamentalmente, intencionalidade: a decisão deliberada de tratar o uso de IA generativa como uma questão estratégica que merece atenção, políticas claras e gestão contínua.

O caminho mais eficaz é começar com o básico — uma política de uso aceitável, classificação de dados, requisitos de revisão humana e um programa de conscientização — e evoluir iterativamente à medida que a organização ganha experiência e maturidade.

Organizações que fizerem isso estarão não apenas protegendo-se contra riscos, mas posicionando-se para capturar plenamente os benefícios de uma das tecnologias mais transformadoras de nossa época — de forma responsável, sustentável e alinhada com os interesses de seus stakeholders.

---

Referências

• MCKINSEY GLOBAL INSTITUTE. The State of AI in 2024: Generative AI's Breakout Year. McKinsey & Company, 2024.
• MIT SLOAN MANAGEMENT REVIEW. Governing Generative AI: Organizational Strategies and Challenges. MIT Sloan, 2024.
• SAMSUNG. Samsung Bans Use of Generative AI Tools After ChatGPT Data Leak. Bloomberg, maio 2023.
• INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system. ISO, 2023.
• BRASIL. Lei n. 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD).
• BRASIL. Lei n. 9.610/1998 (Lei de Direitos Autorais).
• BRASIL. Projeto de Lei n. 2338/2023 (Marco Legal da Inteligência Artificial).
• EUROPEAN UNION. Regulation (EU) 2024/1689 (AI Act). Official Journal of the European Union, 2024.
• OECD. Recommendation of the Council on Artificial Intelligence. OECD/LEGAL/0449, 2019 (atualizada em 2024).
• WORLD ECONOMIC FORUM. Generative AI Governance: Shaping Our Collective Future. WEF, 2024.

---

Thiago Almeida é presidente do IBGIA — Instituto Brasileiro de Governança em Inteligência Artificial.