A adoção de IA no ambiente corporativo cresceu de forma acelerada, mas a gestão não acompanhou o mesmo ritmo. O resultado é um cenário de exposição silenciosa: empresas transferindo dados confidenciais de clientes e parceiros para plataformas externas sem base legal, contrato adequado ou qualquer política de controle.
Ferramentas como ChatGPT, Copilot e similares funcionam com base em modelos de linguagem de grande escala (LLMs), treinados com grandes volumes de dados textuais. O problema central está no que acontece com as informações inseridas nessas plataformas durante o uso cotidiano: qualquer dado pode ser absorvido pelo modelo e utilizado para treinar versões futuras ou, em casos de falhas de configuração, ser exposto diretamente a terceiros.
Na prática, contratos, listas de clientes, relatórios financeiros e estratégias comerciais enviados a uma plataforma de IA externa podem, a depender dos termos de uso do serviço, deixar de ser exclusivamente seus.
Como o vazamento acontece?
Ausência de política interna: sem regras claras sobre o que pode ser compartilhado com ferramentas de IA, dados sensíveis são inseridos em plataformas externas na operação cotidiana, como na análise de contratos, no atendimento ao cliente e na geração de relatórios.
Falhas nas plataformas contratadas: em julho de 2025, milhares de conversas do ChatGPT apareceram em resultados de busca do Google após um recurso experimental tornar diálogos públicos sem que os usuários compreendessem as implicações.
As consequências jurídicas
O vazamento de dados por uso inadequado de IA gera três categorias de consequências simultâneas, todas com base em normas já vigentes no Brasil.
Sanção administrativa: a LGPD (Lei nº 13.709/2018) exige comunicação de incidentes à ANPD e adoção de medidas técnicas de proteção. O descumprimento pode resultar em multa de até 2% do faturamento anual, limitada a R$ 50 milhões por infração.
Responsabilidade civil objetiva: o artigo 42 da LGPD, conforme entendimento já consolidado pelo Superior Tribunal de Justiça, dispensa prova de culpa para responsabilizar o controlador. A empresa pode ser condenada a indenizar clientes, colaboradores ou parceiros afetados.
Como se prevenir?
A prevenção começa com quatro medidas que são prioritárias para qualquer empresa que já utiliza ou pretende adotar ferramentas de IA.
Mapear o uso de IA na empresa: identificar quais ferramentas são usadas, por quais áreas, com que tipo de dado e em quais processos. Esse mapeamento é o ponto de partida indispensável para qualquer ação de conformidade e permite priorizar riscos de forma estratégica.
Revisar contratos com fornecedores de IA: verificar cláusulas de proteção de dados, localização dos servidores, existência de transferência internacional e responsabilidades contratuais em caso de incidente. Muitos contratos de plataformas de IA transferem o ônus de proteção integralmente para o usuário.
Criar política interna de uso de IA: estabelecer regras claras sobre o que pode e o que não pode ser processado por ferramentas de IA, com comunicação efetiva e treinamento para todas as áreas da empresa.
Adequar os processos à LGPD: definir base legal para o uso de dados pessoais em sistemas de IA, implementar mecanismos de resposta a incidentes e garantir capacidade de demonstrar conformidade perante a ANPD em caso de fiscalização.
Em última análise, a adoção da inteligência artificial não deve ser um processo de tentativa e erro, mas sim uma estratégia de inovação realizada de forma cuidadosa. Buscar o apoio de profissionais que compreendam tanto a legislação quanto os riscos contratuais envolvidos é o passo decisivo para transformar a tecnologia em uma ferramenta segura, protegendo o patrimônio da empresa contra falhas de terceiros ou ausência de políticas internas.
Fabio da Silveira Schlichting Filho – advogado no escritório Alceu, Machado Sperb & Bonat Cordeiro Advocacia nas áreas do Direito Societário e Contratos Empresariais.
