A popularização da inteligência artificial (IA) no ambiente de trabalho acelerou ganhos de eficiência inegáveis. Entretanto, a ferramenta ampliou o risco jurídico, regulatório, reputacional e operacional, especialmente quando dados pessoais e informações estratégicas de empresas circulam fora dos ambientes aprovados por elas. A iniciativa legislativa sobre a regulação dessas tecnologias – o Projeto de Lei 2.338/23 (PL 2.338/23) –, que atualmente tramita na Câmara dos Deputados, aumenta esse risco.

Nesse sentido, a utilização de IA deve observar certos parâmetros para garantir, ao mesmo tempo, eficiência das atividades e a segurança das empresas.

Como os riscos se materializam e quais são suas consequências jurídicas?

O uso inadequado de ferramentas de IA fora do ecossistema corporativo pode gerar uma série de riscos. Esses riscos começam na forma como os dados são inseridos nas plataformas e se desdobram em potenciais violações contratuais, legais e regulatórias, como mostramos a seguir:

  • Confidencialidade, sigilo e incidentes de segurança. A inserção de dados de clientes, documentos estratégicos, demonstrativos ou informações internas em IAs não aprovadas expõe segredos comerciais e, em alguns casos, dados pessoais. Muitas dessas plataformas operam sob termos de uso que não refletem os padrões de segurança da empresa e podem permitir retenção, treinamento de modelos ou outros usos secundários.

Esse comportamento pode resultar em violação de deveres contratuais de confidencialidade, exigindo notificações a clientes ou fornecedores e até reparação de danos.

Além disso, a submissão de informações sensíveis pode configurar incidente de segurança, expondo a empresa à necessidade de notificar a Agência Nacional de Proteção de Dados (ANPD). Como algumas IAs armazenam prompts, inserir CPFs, contratos ou credenciais cria risco de retenção e processamento não informado — violando políticas internas, sigilo contratual e o princípio da transparência previsto na Lei Geral de Proteção de Dados (LGPD).

  • Transferência internacional de dados. Fora do ambiente corporativo, os dados inseridos em IAs podem ser processados em datacenters estrangeiros. Esse cenário caracteriza possível transferência internacional, sujeita aos requisitos específicos da LGPD e da Resolução CD/ANPD 19/24. Quando colaboradores utilizam ferramentas sem avaliação prévia, a empresa perde a capacidade de visualizar o fluxo internacional de dados, podendo incorrer em descumprimento regulatório.
  • Metadados, inferências e exposição do domínio corporativo. Cadastrar e‑mails corporativos em serviços externos expande a superfície de ataque da organização. Esses serviços podem coletar metadados e inferir informações como nome, cargo, departamento e padrões de uso, que, combinadas, facilitam campanhas de phishing ou engenharia social direcionadas. Dados aparentemente inofensivos fortalecem atacantes na criação de mensagens convincentes, elevando o risco de comprometimento de credenciais e vazamentos subsequentes.
  • Propriedade intelectual e compliance. Enviar código-fonte, modelos, planilhas ou materiais que expressem know-how da empresa para IAs públicas compromete a vantagem competitiva e pode gerar disputas de propriedade intelectual. A depender dos termos da plataforma, o conteúdo inserido pode ser usado para treinar modelos ou ser reproduzido de maneira imprevisível, resultando em risco de perda de titularidade ou quebra de confidencialidade.
  • Relação com clientes e reputação. O uso de ferramentas não autorizadas enfraquece a confiança de clientes e parceiros, especialmente em setores sensíveis a dados. Incidentes decorrentes desse uso podem provocar auditorias extraordinárias, rescisões contratuais e barreiras comerciais. A divulgação pública de incidentes afeta diretamente a reputação e a percepção do nível de maturidade de proteção de dados da organização.

No âmbito jurídico, a utilização indevida de IA repercute diretamente em obrigações internas e externas. O descumprimento de políticas corporativas, acordos de confidencialidade e normas de segurança podem justificar medidas disciplinares e responsabilização do colaborador.

Do ponto de vista regulatório, a empresa tem o dever de demonstrar conformidade contínua com a LGPD, incluindo medidas técnicas e organizacionais eficazes. Quando colaboradores utilizam ferramentas não autorizadas, a organização tem maior dificuldade em comprovar governança e boas práticas, podendo enfrentar questionamentos da ANPD ou de outras autoridades.

Por fim, a confiança e a reputação corporativa são bens jurídicos relevantes: vazamentos ou incidentes repercutem rapidamente, afetando relações comerciais e a credibilidade institucional.

PL 2.338/23 e a regulamentação dos agentes de IA


Além dos riscos existentes considerando a legislação em vigor, o PL 2.338/23, que trata da regulação de IA, está em processo de aprovação.

De acordo com o projeto de lei, já aprovado pelo Senado Federal e em discussão na Câmara dos Deputados, são considerados agentes de IA os desenvolvedores, distribuidores e aplicadores dessa tecnologia. Com isso, empresas que utilizam IA em seu dia a dia precisarão observar certas determinações legais, como:[1]

  • Abster-se de usos de risco excessivo: com a aprovação do PL, algumas hipóteses taxativas de uso de IA passam a ser proibidas, como aquelas que induzem comportamentos que causem danos à saúde ou à segurança, analisam traços de personalidade para avaliação de risco de cometimento de crimes, fazem identificação biométrica à distância, entre outras possibilidades.
  • Garantir a segurança dos sistemas de IA: o PL impõe um dever transversal de prestar segurança e atendimento a pessoas ou grupos afetados pelo uso de IA. Em outras palavras, a responsabilidade pelo uso de IA não é apenas do seu desenvolvedor, mas sim de toda a cadeia envolvida.
  • Realizar avaliação preliminar de risco: ainda que não seja obrigatória, a avaliação preliminar de risco pode ser essencial para demonstrar diligência e ser utilizada como evidência de conformidade. Autoridades setoriais podem requerer acesso a essa avaliação.
  • Aderir aos programas e códigos de boas práticas: os programas e códigos de boas práticas também não são obrigatórios, mas é altamente recomendável adotá-los para demonstrar boa-fé ou mesmo atenuar eventuais sanções. Isso pode ser feito com a adoção de políticas internas, supervisão, auditoria, implementação de canal de denúncias, planos de respostas a incidentes e a solicitações de pessoa ou grupo afetado.

Recomendações práticas e jurídicas para o uso seguro de ferramentas de IA


  • Políticas e governança.     É recomendada a adoção de políticas corporativas com diretrizes para o uso de ferramentas de IA definindo casos de uso permitidos, dados vedados, ferramentas aprovadas, critérios de avaliação de risco, processo de homologação e papéis e responsabilidades. Deliberações sobre casos sensíveis devem ser registradas. Esse tipo de documentação pode ser crucial no momento de demonstrar a diligência da empresa para as autoridades reguladoras.
  • Ferramentas aprovadas. Trabalhar dentro dos ambientes corporativos (com VPN), usar apenas IAs aprovadas, bloquear o envio de dados sensíveis a IAs públicas e manter cofre de senhas e autenticação multifator (MFA) ativos são medidas fortemente recomendadas. Além disso, o risco do uso da IA pode ser mitigado com a anonimização de dados pessoais ou informações confidenciais da empresa.
  • Contratos e cadeia de terceiros. Os contratos com provedores e parceiros devem ser ajustados para incluir ou restringir o uso de IA, além de dispor sobre regras de sigilo, retenção mínima, notificações de incidentes e due diligence. Já em relação aos contratos com as próprias plataformas de IA, recomenda-se uma maior atenção às disposições sobre retenção e usos secundários dos dados, local de guarda e salvaguardas de segurança.
  • Treinamento e cultura. É fundamental capacitar os colaboradores sobre os riscos da IA, uso de contas pessoais no ambiente digital corporativo, classificação de informações, canais oficiais e resposta a incidentes. Os colaboradores são os responsáveis por aplicar as regras sobre o tema e, assim, formar a cultura de privacidade e proteção de dados.
  • Plano de Resposta a Incidentes. Atualizar ou elaborar um Plano de Resposta a Incidentes para cenários com IA, prevendo identificação, contenção, preservação probatória, avaliação de risco aos titulares e critérios de notificação é uma boa estratégia para padronizar a conduta de uma empresa.

Conclusão


O uso de IA pode acelerar e melhorar resultados, mas requer disciplina jurídica e organizacional por meio de políticas claras, ferramentas aprovadas, mecanismos de controle, contratos ajustados, treinamento contínuo e prontidão para lidar com eventuais incidentes.

Pequenas escolhas do dia a dia, como uso de senha repetida, utilização de IA não autorizada, falta de cuidado na inserção de documentos corporativos nessas ferramentas, entre outras condutas, interferem diretamente na governança das empresas em relação à IA. A melhor defesa é combinar comportamento responsável, governança e registro de evidências de conformidade.

Além dos riscos já presentes, o tema deve estar no radar das empresas, considerando que há clara intenção legislativa de regulação. O caminho para adequação, portanto, já deve ser buscado pelas organizações, a fim de evitar projetos implementados de forma apressada apenas para manter a conformidade. O Machado Meyer está à disposição para aconselhar e auxiliar nesse processo.

 

[1] Determinações atualmente, previstas no artigo 13, artigo 17, artigo 12, § 6º e artigo 40 do PL 2.338/23.