A utilização de inteligência artificial (IA) no ambiente corporativo por meio de contas pessoais levanta preocupações que vão além de vazamentos por ataques hackers, podendo resultar em multas que alcançam até 2% do faturamento bruto anual das empresas, de acordo com a Lei Geral de Proteção de Dados (LGPD). A especialista em inteligência artificial aplicada a negócios, Victoria Luz, alertou sobre esses riscos em uma entrevista no Podcast Canaltech, na última sexta-feira (24).
Luz destacou que a questão se revela como um dos riscos mais subestimados no universo da tecnologia e categorizou as principais formas de exposição em três grupos. A primeira delas é a contaminação do modelo, que ocorre quando um funcionário insere informações sensíveis, como dados de clientes ou contratos, em ferramentas de IA disponíveis publicamente. Esses dados podem ser utilizados para treinar o modelo, impactando as respostas fornecidas a terceiros.
A segunda forma de risco identificada por Luz refere-se à persistência dos dados em contas pessoais. Caso um funcionário mude de empresa, o histórico gerado por ele continua acessível, o que pode comprometer a segurança da informação na nova organização. Por fim, a terceira categoria diz respeito a falhas de servidor. A especialista citou incidentes ocorridos, como o vazamento de títulos de conversas pela OpenAI em 2023 e a indexação de diálogos pelo Google em 2025.
Um estudo realizado pelo Centro de Tecnologia e Sociedade da FGV Direito Rio, divulgado em 2025, corrobora essas preocupações. A pesquisa examinou sete plataformas de IA generativa disponíveis no Brasil, incluindo ChatGPT e Copilot, e concluiu que nenhuma delas atende integralmente aos 14 critérios mínimos exigidos pela LGPD. Entre as falhas, destacaram-se a ausência de políticas de privacidade em português e a falta de informações sobre os direitos dos titulares de dados.
Luz também ressaltou que desabilitar a utilização de dados para treinamento do modelo é uma medida que muitos usuários consideram básica, mas que apenas mitiga o risco de contaminação. "Todos os outros continuam riscos muito sólidos", afirmou. Assim, empresas que permitem que seus funcionários utilizem contas pessoais para acessar IA podem enfrentar a perda de certificações e a insatisfação de clientes.
Em relação ao plano corporativo, a responsabilidade legal em casos de uso inadequado recai sobre a empresa, e não sobre os fornecedores de IA. Luz enfatizou que a empresa não poderá transferir essa responsabilidade para a OpenAI ou qualquer outro prestador desse tipo de tecnologia. Além disso, bloquear o acesso à IA pela rede corporativa não é uma solução viável, uma vez que o funcionário pode usar a rede de seu próprio celular.
