A IA - inteligência artificial já está dentro das empresas. Em muitos casos, porém, ela chegou antes da governança. Enquanto organizações ainda discutem políticas internas, critérios de segurança e diretrizes de compliance, colaboradores passaram a utilizar ferramentas de IA generativa de forma espontânea no dia a dia. ChatGPT, Copilot, Gemini, Claude e outras soluções já fazem parte da rotina de profissionais de RH, jurídico, marketing, financeiro, tecnologia e atendimento, muitas vezes sem qualquer controle institucional.
Esse fenômeno, conhecido como Shadow AI, tornou-se um dos temas mais relevantes da atualidade em proteção de dados, segurança da informação e governança corporativa.
O termo deriva do já conhecido "Shadow IT", que descreve tecnologias adotadas informalmente pelos próprios colaboradores, sem validação da área de TI. No contexto da IA, contudo, o risco ultrapassa questões operacionais e alcança diretamente a LGPD, a responsabilidade civil, a confidencialidade empresarial e a segurança jurídica.
A razão é simples: a IA generativa alterou profundamente a forma como informações corporativas circulam dentro das organizações.
O problema invisível da IA corporativa
Na prática, um colaborador pode inserir contratos em plataformas de IA para "melhorar a redação", compartilhar planilhas com dados de clientes para gerar relatórios automáticos, utilizar ferramentas de transcrição em reuniões estratégicas ou submeter documentos internos para criação de apresentações e análises. Em muitos casos, o usuário sequer percebe que está compartilhando dados pessoais, informações confidenciais ou ativos estratégicos com plataformas externas.
E esse talvez seja o aspecto mais perigoso do Shadow AI: a invisibilidade. Diferentemente de incidentes de segurança tradicionais, o uso indevido de IA não costuma surgir de comportamento malicioso. Ele nasce da busca por produtividade. A facilidade de uso dessas ferramentas cria uma falsa sensação de informalidade, como se o colaborador estivesse apenas utilizando um recurso neutro, sem maiores consequências jurídicas.
O problema é que, dependendo da ferramenta, as informações inseridas podem ser armazenadas, processadas em servidores internacionais, reutilizadas para treinamento de modelos ou submetidas a políticas de tratamento de dados pouco transparentes.
Em diversos casos, as organizações sequer conseguem identificar em quais países os dados compartilhados com ferramentas de IA estão sendo armazenados ou processados, o que amplia significativamente os riscos relacionados à transferência internacional de dados pessoais e à ausência de controle sobre o ciclo de vida dessas informações.
Quando a IA deixa de ser inovação e se torna risco regulatório
É nesse ponto que o tema deixa de ser tecnológico e se torna jurídico. A LGPD exige que agentes de tratamento adotem medidas aptas a proteger dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Em complemento, exige responsabilização e prestação de contas, impondo às empresas o dever de demonstrar conformidade.
Sob essa perspectiva, a ausência de governança sobre o uso corporativo de IA representa não apenas fragilidade operacional, mas risco regulatório concreto. Além disso, o cenário se agrava quando se observa que muitas empresas sequer conseguem mapear onde a IA já está sendo utilizada internamente.
Áreas que lidam com dados pessoais sensíveis são especialmente vulneráveis. O RH utiliza IA para triagem de currículos. O Jurídico recorre a ferramentas generativas para revisão contratual e elaboração de peças. O Comercial insere dados de clientes em plataformas automatizadas. O TI compartilha trechos de código-fonte para correção de erros. Tudo isso, em muitos casos, sem conscientização adequada, política interna clara sobre limites de uso, classificação de informações, validação humana ou compartilhamento de dados com terceiros.
O caso da Samsung tornou-se emblemático. Em 2023, engenheiros da empresa utilizaram o ChatGPT para auxiliar atividades relacionadas a código-fonte e documentação técnica interna. Como consequência, informações confidenciais foram expostas na plataforma, incluindo dados estratégicos e registros de reuniões corporativas. Após o incidente, a empresa restringiu o uso de IA generativa por seus colaboradores.
Tal episódio evidenciou um ponto crucial: o maior risco da IA corporativa hoje não está na tecnologia, mas na ausência de governança sobre seu uso cotidiano.
E a tendência é que esse problema aumente. Ferramentas generativas entregam ganhos reais de produtividade. Automatizam tarefas repetitivas, aceleram fluxos internos, organizam informações e reduzem tempo operacional. A adoção espontânea pelos colaboradores tende a crescer independentemente da maturidade regulatória das organizações.
Diante disso, muitas empresas optaram por proibir o uso de IA. Mas a experiência mostra que proibições absolutas apenas empurram o uso para ambientes não monitorados, contas pessoais e dispositivos particulares, ampliando a invisibilidade do problema e fortalecendo o Shadow AI.
Estudo global publicado pela KPMG em 2025 revelou que parcela significativa dos trabalhadores já utiliza ferramentas de IA sem conhecimento formal dos empregadores, inclusive compartilhando informações corporativas em plataformas públicas. O dado evidencia que o Shadow AI deixou de ser uma hipótese futura para se tornar uma realidade operacional silenciosa dentro das organizações.
Na prática, como o Shadow AI já se manifesta dentro das organizações? Entre os principais indícios de Shadow AI estão o uso de contas pessoais para acesso a ferramentas generativas, a ausência de rastreabilidade sobre quem utiliza IA dentro da organização, o compartilhamento recorrente de contratos, planilhas e documentos internos em plataformas públicas, a instalação de extensões de IA sem autorização corporativa e a utilização dessas ferramentas em áreas críticas sem validação prévia.
Também chama atenção a inexistência, em muitas empresas, de políticas internas específicas sobre IA, o que gera um cenário de insegurança jurídica, ausência de critérios mínimos de utilização e elevado risco de compartilhamento indevido de dados pessoais e informações estratégicas. Esses sinais demonstram que o Shadow AI já não pode mais ser tratado como um risco hipotético ou futurista, mas como uma realidade operacional presente em organizações de diferentes portes e segmentos.
Governança de IA: uma necessidade regulatória e empresarial
Assim sendo, fica claro que a governança de IA é uma necessidade regulatória e empresarial. Tal governança não significa impedir inovação, mas sim estabelecer critérios mínimos de utilização segura.
Entre as medidas essenciais estão a criação de políticas internas específicas para uso de IA, a classificação de informações que podem ou não ser inseridas em plataformas externas, a definição de ferramentas autorizadas, a validação humana obrigatória em processos críticos, a avaliação contratual de fornecedores de IA e o treinamento contínuo de colaboradores.
Ademais, torna-se cada vez mais necessária a integração entre jurídico, DPO, compliance, TI e segurança da informação, especialmente porque os riscos relacionados à inteligência artificial deixaram de ser exclusivamente tecnológicos e passaram a impactar diretamente a responsabilidade corporativa.
Nesse cenário, frameworks internacionais de governança ganham relevância crescente, como a ISO/IEC 42001/2023, primeira norma internacional voltada especificamente à gestão de sistemas de inteligência artificial, trazendo diretrizes relacionadas à gestão de riscos, accountability, supervisão humana e governança organizacional da IA. Essas medidas não eliminam integralmente os riscos, mas reduzem significativamente a exposição jurídica, operacional e reputacional das empresas.
Em suma: a ausência de governança tende a produzir um novo tipo de passivo corporativo: silencioso, descentralizado e muitas vezes invisível até a ocorrência de um incidente relevante.
A IA já está sendo utilizada dentro das empresas. A questão jurídica agora não é mais "se" isso acontece, mas se as organizações possuem governança suficiente para controlar os riscos decorrentes desse uso invisível.