Segurança e privacidade em IA: as 7 perguntas que separam um fornecedor sério de um vendedor de promessa

Equipe Viver de IA · 2026-06-23

Antes de assinar qualquer contrato de IA, você precisa saber onde os dados da sua empresa vão parar e quem mais consegue lê-los.

A pergunta que ninguém faz na reunião de venda

Na hora de contratar uma ferramenta de IA, o gestor pergunta sobre preço, sobre funcionalidade e sobre prazo de implementação. Quase nunca pergunta para onde vão os dados. E é aí que mora o risco.

Quando você joga uma planilha de clientes, um contrato ou o histórico de conversas do seu time comercial dentro de uma ferramenta de IA, esses dados saem da sua empresa e vão para o servidor de outra pessoa. Pode ser um servidor no Brasil, nos Estados Unidos ou num lugar que o próprio fornecedor não sabe explicar direito. A maioria dos gestores assina o contrato sem saber a resposta. Depois reclama quando o dado vaza.

Vou explicar o que você precisa exigir, em linguagem de dono de empresa, não de engenheiro.

Privacidade em IA é sobre quem mais consegue ver o seu dado

Quando falo em privacidade, não estou falando de senha forte. Estou falando de uma coisa simples: depois que você manda uma informação para a IA, quem mais tem acesso a ela?

Existem três destinos possíveis para o seu dado. Primeiro, ele pode ficar guardado no servidor do fornecedor por tempo indeterminado. Segundo, ele pode ser usado para treinar o modelo de IA, ou seja, vira material de aprendizado da máquina e pode, em tese, reaparecer na resposta dada para outro cliente. Terceiro, ele pode ser apagado logo depois de processado. Você quer o terceiro. Quase sempre vendem o primeiro sem avisar.

O termo técnico que você vai ouvir é "retenção de dados". Significa por quanto tempo eles guardam o que você mandou. Pergunte isso direto: por quanto tempo vocês guardam minha informação e o que fazem com ela depois?

A LGPD não é detalhe jurídico, é a sua responsabilidade

A Lei Geral de Proteção de Dados vale para você, dono da empresa, não para o fornecedor de IA. Se o dado do seu cliente vazar por causa de uma ferramenta que você contratou, quem responde na frente da lei e do cliente irritado é você.

A primeira pergunta concreta é essa: o fornecedor assina um contrato dizendo que cumpre a LGPD e que assume responsabilidade pelo tratamento dos dados? Se a resposta vier como um "claro, somos seguros" sem documento nenhum, vire as costas. Segurança que não está no papel não existe.

O documento que formaliza isso costuma se chamar acordo de tratamento de dados. É chato de ler, eu sei. Mas é o que protege você quando algo der errado.

As perguntas que eu faço antes de aprovar qualquer ferramenta

Depois de implementar IA em mais de 190 empresas, montei uma lista curta. Não é técnica. É de gestor querendo dormir tranquilo.

Uma: meus dados são usados para treinar o modelo de vocês? A resposta certa é não, ou no mínimo "só com sua autorização expressa".

Duas: onde ficam armazenados fisicamente os dados? Servidor no Brasil facilita a vida na LGPD. Servidor fora exige cláusula específica.

Três: por quanto tempo vocês retêm a informação e como eu peço para apagar tudo? Você precisa conseguir sair levando seus dados e deixando nada para trás.

Quatro: quem da equipe de vocês consegue ver o que eu coloco aqui? Tem gente do suporte lendo as conversas do meu time? Em que situação?

Cinco: vocês têm controle de acesso por usuário? Ou seja, o estagiário consegue ver a mesma base que o diretor financeiro? Deveria não conseguir.

Seis: o que acontece se houver um vazamento? Vocês me avisam em quanto tempo? A LGPD exige comunicação rápida. Se eles descobrirem o vazamento e demorarem duas semanas para te contar, o problema vira seu.

Sete: posso desligar a ferramenta e exportar tudo amanhã? Se a saída for difícil, é porque eles te prenderam de propósito.

O erro mais comum é confundir ferramenta gratuita com ferramenta sem custo

Esse é o tropeço que mais vejo. O time descobre uma IA grátis na internet, acha genial e começa a colar dados da empresa lá dentro para resolver tarefa do dia a dia. Contrato de cliente, dado de funcionário, número de cartão, tudo.

Ferramenta gratuita raramente promete que não vai usar seu dado. Pelo contrário: muitas vivem disso. O seu dado é o pagamento. Quando é de graça, desconfie de onde a informação vai parar.

Isso não significa proibir IA na empresa. Significa o oposto: dar uma ferramenta aprovada, com contrato e regra clara, para o time não precisar usar a versão grátis escondido. Proibição sem alternativa só empurra o problema para debaixo do tapete.

A ACP Contábil, escritório de contabilidade que atendemos, lida com dado financeiro de dezenas de clientes o dia inteiro. Implementamos IA ali com a regra de privacidade definida desde o primeiro dia, justamente porque dado contábil vazado é processo na certa. O resultado operacional veio sem abrir mão disso.

R$ 3.300: economia mensal gerada na ACP Contábil, com regra de dados definida desde o início

Como aplicar isso na prática sem virar departamento jurídico

Você não precisa contratar um advogado para cada ferramenta. Precisa de um processo simples.

Primeiro, faça uma lista de quais ferramentas de IA já estão sendo usadas na sua empresa. Vai se assustar com quantas o time adotou sem te avisar. Esse mapeamento sozinho já reduz risco.

Segundo, classifique seus dados em dois baldes: o que pode ser exposto e o que não pode. Texto de marketing pode. Base de clientes, contrato e folha de pagamento não podem entrar em ferramenta sem garantia. Essa separação resolve metade dos problemas.

Terceiro, antes de aprovar qualquer fornecedor novo, passe a lista das sete perguntas. Se ele travar em três delas, não compre. Fornecedor sério tem essas respostas na ponta da língua e por escrito.

Quarto, defina por escrito quem na empresa pode usar o quê. Uma página basta. O time precisa saber que IA é permitida, qual ferramenta usar e o que jamais pode ser colado lá dentro.

Quinto, revise a cada seis meses. Fornecedor muda política, time adota ferramenta nova, regra antiga fica desatualizada.

O próximo passo é hoje, não no contrato seguinte

Abra uma planilha agora e escreva os nomes de todas as ferramentas de IA que você sabe que sua empresa usa. Ao lado de cada uma, responda: eu sei onde meus dados vão parar nessa aqui? Onde a resposta for "não sei", você acabou de encontrar seu primeiro risco a resolver.

Não precisa consertar tudo essa semana. Precisa parar de assinar contrato no escuro. A pergunta sobre o destino do dado custa trinta segundos na reunião de venda. O vazamento custa o cliente, a multa e a sua reputação.

Relacionados

Como implementar IA na empresa: o guia completo

Soluções de IA prontas para empresas

Mais de 500 cases reais de IA

Dado espalhado em três sistemas custa mais caro que ferramenta nenhuma

O tempo de resposta é a métrica que decide quem fecha venda em saúde