Sumário

Em abril de 2023, a Samsung Electronics vazou dados confidenciais pelo ChatGPT três vezes em 20 dias — código-fonte de semicondutores, código de correção para equipamentos com falhas e a transcrição completa de uma reunião interna — tudo enviado aos servidores da OpenAI no momento em que os funcionários colaram o conteúdo, impossível de recuperar. A Samsung imediatamente baniu o ChatGPT, o Bing e o Bard em toda a empresa. JPMorgan, Goldman Sachs, Citi, Bank of America e Wells Fargo aplicaram banimentos semelhantes no mesmo período.

Três anos depois, "banir" já não funciona em 2026. Os funcionários usam ChatGPT no celular, os engenheiros escrevem com Claude Code, o marketing monta apresentações no Gemini — banir só faz crescer a shadow AI (uso não autorizado). Além disso, as regras de sistemas de alto risco do EU AI Act entram totalmente em vigor em 2 de agosto de 2026, e as violações têm penalidades de até €35M ou 7% da receita global. Não dá para banir, e não dá para ignorar. O único caminho que resta é "estabelecer um marco com diretrizes e habilitar ativamente o uso seguro."

Minha posição, direto. "Ninguém lê um PDF grosso de diretrizes" parece certo, mas é errado como conclusão. O objetivo das diretrizes não é serem lidas — é tornar a responsabilidade explícita quando um incidente acontece e gravar na cabeça dos funcionários o mínimo inegociável. Este artigo cobre os sete itens obrigatórios, as cinco categorias de dados de entrada proibidos, o prazo do EU AI Act, o roteiro de implementação em cinco fases e as armadilhas — tudo com o detalhe prático que você vai precisar em maio de 2026.

GOVERNANÇA CORPORATIVA DE IA

Banir ou ignorar — ambos perdem. As diretrizes são o terceiro caminho

— Evite vazamentos × eleve a produtividade × mantenha a conformidade

① RISCO DE VAZAMENTO
Samsung: 3 em 20 dias
Os funcionários tratam como ferramenta útil, colam segredos — e não há como recuperar. Banimentos só ampliam as brechas
② CONFORMIDADE
EU AI Act, 2 de agosto de 2026
Regras de IA de alto risco em pleno vigor. Penalidades de até €35M ou 7% da receita global
③ PRODUTIVIDADE
Banir custa 30–50%
Ganhos claros em engenharia, vendas e marketing. O custo de banir como decisão de gestão é alto demais
④ RESPOSTA
Diretriz de 7 itens
Lista aprovada, dados proibidos, responsabilidade, treinamento, auditoria. Duas semanas para implantar a partir de um modelo

Modelo de 2023: "banimento corporativo" para fugir do risco → Modelo de 2026: "operação segura dentro de um marco" para prevenção de vazamentos + produtividade + conformidade, os três juntos.
Você não precisa de um PDF grosso. Duas páginas A4 mais uma lista de aprovados resolvem.

1. Abril de 2023 — a Samsung baniu a IA em 20 dias

A sequência é simples. Em março, a divisão de semicondutores da Samsung aprovou o uso interno do ChatGPT. Nos 20 dias seguintes em abril, aconteceram três vazamentos confidenciais em sequência. ① O funcionário A colou o código-fonte completo de um banco de dados de semicondutores com falha no ChatGPT e pediu uma correção. ② O funcionário B fez o mesmo com o código de correção para equipamentos de fabricação com mau funcionamento. ③ O funcionário C colou a transcrição inteira de uma reunião interna e pediu a ata. Os três, naquele instante, chegaram aos servidores da OpenAI e podem ter sido usados como dados de treinamento.

A Samsung imediatamente bloqueou ChatGPT, Bing e Bard em todos os dispositivos corporativos, e nos dispositivos pessoais quando conectados à rede corporativa. Por volta do mesmo período, grandes instituições financeiras — JPMorgan, Goldman Sachs, Citi, Bank of America, Wells Fargo, Deutsche Bank — emitiram banimentos semelhantes. Foi o momento em que começou a tendência de "empresas banindo a IA".

Em 2026, a Samsung ainda bane o ChatGPT e construiu seu próprio LLM interno chamado "Samsung Gauss". É um caminho legítimo, mas a escala de investimento é grande demais para ser copiada por empresas de médio porte ou menores. Para todos os demais, o único caminho é "usar com segurança serviços de IA comerciais dentro de uma diretriz."

2. Por que você precisa de diretrizes agora — três pressões

Pressão ① Regulação
Regras de alto risco do EU AI Act em pleno vigor em 2 de agosto de 2026. A revisão das Diretrizes para Operadores de Negócios de IA do Japão (METI) também está em implantação
Pressão ② Shadow AI
Bane e os funcionários usam no celular. Situações em que "o uso não autorizado é muito mais perigoso" — invisíveis para a empresa
Pressão ③ Concorrência
Empresas que usam IA são 30–50% mais produtivas. Banir te faz perder a corrida pelo talento e a corrida pelos negócios

Das três, a shadow AI é na verdade a mais séria, na minha opinião. A Samsung quase teve sorte porque "o vazamento aconteceu em um canal aprovado pela empresa, então podiam ver." Na maioria das empresas, um funcionário colando notas de reunião com nomes de clientes no ChatGPT do celular nunca registra. "Não conseguir ver" é o pior tipo de risco, e a única maneira de corrigir isso é construir um canal oficial que a empresa possa observar — o que significa diretrizes.

3. O modelo de sete itens — preencha-os e está coberto

Não um PDF grosso — um modelo de sete itens que cabe em duas páginas A4. O objetivo é um nível de detalhe que você possa começar hoje e distribuir até o fim de semana.

① IA aprovada
Liste ferramentas específicas permitidas
Nomeie-as: "ChatGPT Team," "Claude Enterprise," "Microsoft Copilot." Planos pessoais não são permitidos por padrão (usados para treinamento). Apenas planos business ou API
② Dados proibidos
Cinco categorias com exemplos (próxima seção)
PII, informações confidenciais, dados sob NDA, propriedade intelectual, dados regulados. O coração da prevenção de vazamentos no estilo Samsung
③ Casos de uso
Três níveis: permitido / requer revisão / proibido
Permitido: resumir informações públicas, assistência em código, tradução para o inglês. Revisão: rascunhos voltados ao cliente, rascunhos de contrato. Proibido: decisões de contratação, avaliações de RH, decisões judiciais
④ Responsabilidade pela saída
"A IA escreveu" não é defesa
A verificação de fatos, a checagem de direitos autorais e a aprovação para publicação da saída da IA recaem sobre o usuário. A lição do caso de reembolso do chatbot de IA da Air Canada (tribunal canadense, 2024)
⑤ Relato de incidentes
Não puna "entradas acidentais"
Um formulário de relato imediato para quando dados confidenciais entram por acidente. Encobrimentos são vastamente mais caros. Declare por escrito: "relatar não desencadeia disciplina"
⑥ Treinamento e atualizações
Na integração e uma vez por ano, no mínimo
Módulo de e-learning de 30 minutos mais um teste de compreensão. O cenário de IA muda a cada seis meses, então planeje revisões das diretrizes a cada 6 a 12 meses
⑦ Logs de auditoria
Reter logs de uso por seis meses no mínimo
Planos business expõem logs de uso via consoles de administração. Torne rastreável "quem inseriu o quê, e quando." Atende ao Article 12 do EU AI Act (registro de eventos)

Desses, "② dados proibidos" e "⑤ relato de incidentes" são os dois itens que decidem se a diretriz realmente funciona. ①③④⑥⑦ são coisas que qualquer redator razoável consegue preencher. Mas escrever "o que você não pode inserir" com exemplos concretos, e declarar por escrito "não puniremos entradas acidentais" — isso exige decisão. Escolha uma cultura de punição e os funcionários encobrem as coisas, e aí você já não consegue ver os vazamentos.

4. Cinco categorias de dados de entrada proibidos — com exemplos

"Não insira informações confidenciais" é vago demais para pegar. Escreva cinco categorias, cada uma com exemplos.

Categoria Exemplos (não inserir) Alternativa
① PII Nomes, endereços, telefones, e-mails, IDs de funcionários, documentos nacionais Substitua por "Cliente A," "Usuário B" antes de inserir
② Informações confidenciais Resultados financeiros não divulgados, estratégia, M&A, dados de RH Abstraia os números ("receita cresceu XX% A/A," etc.)
③ Sob NDA Dados de clientes sob NDA, chaves de API, credenciais SSO Não insira de jeito nenhum. Use LLM interno ou API business com contrato no-train
④ Propriedade intelectual Código-fonte não lançado, desenhos de patente pré-depósito, algoritmos proprietários Lição da Samsung: abstraia as partes relevantes ou limite-se ao LLM interno
⑤ Regulados Dados médicos identificáveis, detalhes de transações financeiras, dados de pesquisa não publicados Use IA on-prem específica do setor (compatível com HIPAA/GxP)

O detalhe crítico é que você sempre acompanha as proibições com "alternativas". Escreva apenas "não inserir" e os funcionários decidem "não consigo trabalhar com IA," e começam a usar nas sombras. Forneça uma alternativa como "substitua nomes pessoais por 'Cliente A' e você pode inseri-lo" e eles usam o caminho aprovado. Esta é a alavanca prática para suprimir a shadow AI.

5. EU AI Act — o prazo de 2 de agosto de 2026

O EU AI Act regula sistemas de IA em quatro níveis de risco. As regras de "sistema de alto risco" entram em pleno vigor em 2 de agosto de 2026, e a partir daí as operações vêm com obrigações estritas.

Nível de risco Exemplos Obrigações Penalidade
Proibido Pontuação social, manipulação subliminar, reconhecimento de emoção no trabalho O uso é proibido Até €35M ou 7% da receita
Alto risco Decisões de contratação, score de crédito, avaliação educacional, diagnóstico médico, decisões judiciais Documentação técnica, gestão de risco, supervisão humana, retenção de logs (Art. 9/11/12) Até €15M ou 3% da receita
Risco limitado Chatbots, deepfakes Obrigação de transparência (divulgar geração por IA) Até €15M ou 3% da receita
Risco mínimo Filtros de spam, NPCs de jogos com IA Nenhuma (boas práticas recomendadas)

Mal-entendido comum: mesmo sem operação na UE, se você processa dados de cidadãos da UE, está no escopo. Empresas japonesas com clientes europeus precisam cumprir o EU AI Act. Por outro lado, "um funcionário usando ChatGPT para tradução" é claramente risco mínimo e não tem obrigações particulares. "Decisões automatizadas de contratação a partir de materiais de candidatura" ou "decidir aprovações de empréstimo automaticamente com IA" são, sem ambiguidade, alto risco; após 2 de agosto de 2026, documentação técnica, supervisão humana e retenção de logs tornam-se obrigações legais. Se você tem esse tipo de trabalho, acrescente à diretriz interna: "qualquer uso de alto risco exige aprovação jurídica antes da implantação."

6. Roteiro de implementação em cinco fases

Redigir a diretriz não é o fim. Um roteiro que leva de 2 a 3 meses para uma empresa de médio porte (até 200 colaboradores) e cerca de 6 meses para uma grande empresa.

FASE 1 · 2 semanas
Mapeie o terreno
Pesquisa com funcionários para entender "o que as pessoas realmente usam hoje." Traga à tona a realidade da shadow AI
FASE 2 · 4 semanas
Forme um comitê; redija
Uma pessoa de jurídico, segurança da informação, RH e de cada unidade de negócio. Use o modelo de sete itens como rascunho inicial
FASE 3 · 2 semanas
Assine contratos business
Compre em massa produtos da lista aprovada em planos Team/Enterprise. Torne o uso de plano pessoal fisicamente menos comum
FASE 4 · 4 semanas
Anuncie e treine
Comunicado geral, e-learning, teste de compreensão. Mire em 90%+ de conclusão
FASE 5 · contínua
Opere e revise a cada seis meses
Revisões de logs de auditoria mais análise de incidentes. Revise a diretriz a cada seis meses para acompanhar o cenário de IA
Em paralelo
Tratamento especial para trabalho de alto risco
Para contratação, score de crédito, diagnóstico médico e outras áreas de alto risco do EU AI Act, construa documentação técnica e sistemas de supervisão separados

Dentro disso, a FASE 1 (a pesquisa) vem absolutamente primeiro. Construa uma diretriz partindo do pressuposto "se eu banir, ninguém usa" e você acaba com algo desconectado da realidade. Faça uma pesquisa anônima perguntando "quais serviços de IA você usou no último mês? que tipos de dados inseriu para o trabalho?" e a shadow AI vai mostrar-se cerca de três vezes maior do que você esperava. Conhecer a realidade antes de escrever as regras é a ordem correta das operações.

7. Três armadilhas que você precisa evitar

Armadilha ①: Adotar banimento corporativo total

Para qualquer empresa que não seja a Samsung, isso quase sempre provoca uma explosão de shadow AI. Funcionários usam ChatGPT Personal no celular, a empresa não tem visibilidade e, quando ocorre um vazamento, ninguém relata. O custo real de banir é "perder visibilidade." A Samsung pôde construir o Samsung Gauss internamente porque tinha o porte de uma empresa de semicondutores de primeira linha. Para médio porte e abaixo, "fornecer um canal sancionado por meio de diretrizes" é a resposta prática.

Armadilha ②: Desenhar em torno da punição

"Qualquer funcionário que inserir dados confidenciais enfrentará disciplina" significa qualquer funcionário que inserir dados confidenciais por acidente vai encobrir. O vazamento acontece, a empresa não sabe, os dados do cliente vazam, o cliente reporta e a sua reputação desmorona — o pior caminho. Coloque por escrito: "violações da diretriz não são punidas se relatadas." Então faça com que "apenas não relatar é motivo para disciplina," e, curiosamente, o relato de incidentes começa a funcionar.

Armadilha ③: Escrever uma vez e abandonar

A indústria de IA muda seus pressupostos a cada seis meses. Uma diretriz de 2024 dizendo "o uso do ChatGPT é proibido" deixa os engenheiros rodando Claude Code raciocinarem "isso não é ChatGPT, então tudo bem." Produtos e modelos nomeados precisam ser revisados a cada 6 a 12 meses. Se um novo serviço (Cursor / Perplexity / Notion AI) é aprovado ou banido precisa ser explícito para que os funcionários não fiquem adivinhando. Incluindo o caso Wayfair do artigo anterior (077), trate "a diretriz como um documento vivo."

Resumo

Princípio
"Banir ou ignorar — ambos perdem." Estabeleça um marco com uma diretriz e opere com segurança. Essa é a resposta de 2026
Sete itens obrigatórios
IA aprovada / dados proibidos / casos de uso / responsabilidade / relato / treinamento / logs. Duas páginas A4 bastam
Prazo
EU AI Act, 2 de agosto de 2026 — alto risco em pleno vigor. Penalidades de até 7% da receita global
Evite as armadilhas
Sem banimento corporativo, sem design baseado em punição, sem fazer uma vez só. Revise a cada seis meses

Três anos depois dos vazamentos da Samsung em 2023, o uso corporativo de IA saiu do binário "banir ou permitir" e entrou na fase de implementação do "como estabelecer um marco e operar dentro dele." Encurralado em três frentes pelo risco legal (EU AI Act), pelo risco de vazamento (a lição da Samsung) e pelo risco competitivo (lacuna de 30–50% em produtividade), não há tempo para escrever um PDF grosso, e "nenhuma diretriz" também não funciona. O modelo de sete itens mais o roteiro de cinco fases neste artigo permitirão a uma empresa de médio porte implantar em 2–3 meses. "Operação segura máxima com o marco mínimo" — essa é a resposta prática de governança de IA para 2026.

FAQ

Devemos banir a IA dentro da empresa?

Como padrão, não, você não deve banir. A menos que você seja uma empresa do porte da Samsung, capaz de construir seu próprio LLM interno, banir apenas aumenta o volume de shadow AI (funcionários usando por conta própria), e o risco de vazamento sobe como consequência. Estabelecer um marco com uma diretriz e fornecer planos business (Team/Enterprise) por contrato corporativo é a resposta prática.

O EU AI Act se aplica a empresas japonesas?

Sim, se você processa dados de cidadãos da UE ou fornece serviços de IA dentro da UE. Trabalhos inteiramente contidos no Japão (como tradução apenas para colaboradores internos) são de risco mínimo e carregam quase nenhuma obrigação, mas se você executa aprovações de empréstimo, decisões de contratação ou diagnósticos médicos sobre clientes europeus via IA, documentação técnica, supervisão humana e retenção de logs tornam-se obrigações legais após 2 de agosto de 2026. Penalidades de até €35M ou 7% da receita global.

Quantas páginas a diretriz deveria ter?

Duas páginas A4 para o corpo mais algumas páginas de anexos (lista aprovada, exemplos de dados proibidos) funciona bem. "Ninguém lê um PDF grosso" é verdade, então mantenha o corpo como um resumo e empurre o detalhe para os anexos para reduzir a carga do leitor. O que importa não é o número de páginas — é que "② dados proibidos" e "⑤ relato de incidentes" sejam concretos e psicologicamente seguros.

Qual a diferença entre planos pessoais e business?

Planos business (ChatGPT Team / Claude Enterprise / Microsoft Copilot Business e afins) contratam por padrão não usar seus dados de entrada para treinamento de modelos (no-train). Planos pessoais (ChatGPT Plus e similares) podem ser usados para treinamento. Especifique na diretriz "uso corporativo é limitado apenas a planos business" e você reduz drasticamente o risco de vazamento no estilo Samsung. O preço fica em torno de $20–60 por usuário por mês.

Sério — não punir entradas acidentais está certo?

Sim, esse é o coração da questão. Punir e os funcionários encobrem, a empresa perde visibilidade, e esse vazamento invisível desencadeia os piores desfechos (reclamações de clientes, vazamentos em redes sociais, envolvimento de reguladores). Desenhe como "se você relatar, não é punido; encobrimentos são disciplinados" e, curiosamente, o relato de incidentes aumenta e você consegue intervir cedo. É a mesma lógica da cultura de segurança na aviação.

Uma pequena startup também precisa?

Sim. Empresas pequenas, na verdade, deveriam fazer mais cedo — incorporado à cultura desde o início, gruda melhor do que algo colado depois. Com 10–30 colaboradores você pode pegar o modelo de sete itens deste artigo como está e redigir o corpo em um dia, finalizar a implantação em uma semana. "Diretriz de uso de IA em vigor" também está se tornando item básico de checklist no due diligence quando você fecha com investidores ou grandes clientes (especialmente clientes da UE).