Pular para o conteúdo
AI Your AI Skills Lab
Newsletter
🟢 Foundation

Política interna de uso de IA — template para empresa brasileira

Template editável de política de uso de IA. Cobre permitido/restrito/proibido, governance, incident response, LGPD compliance. Pronto pra adaptação por DPO/RH/jurídico.

· 10 min · ai-governance

Por que toda empresa precisa de política de IA em 2026

Em 2026, “se sua empresa não tem política escrita de uso de IA, sua empresa tem política implícita: cada funcionário decide por si.” Isso vira incidente.

Pattern que vemos:

  1. Funcionário usa ChatGPT pessoal pra processar dado sensível de cliente.
  2. Vaza informação confidencial inadvertidamente.
  3. Cliente descobre via concorrente que ouviu de outro.
  4. Crise reputacional + multa LGPD + perda do contrato.

Custo de prevenir: 1 template + 4 horas de adaptação. Custo de não prevenir: pode chegar a milhões.

Este post traz o template que aplicamos em ~20 empresas brasileiras em 2026. Editável, baseado em NIST AI RMF + ISO/IEC 42001 + LGPD.

Template — Política de Uso de IA

Como usar: copie o template abaixo. Substitua [VARIÁVEIS] pelos seus valores. Submeta a revisão do jurídico + DPO. Aprovação formal pela diretoria. Comunique a 100% dos colaboradores via canal oficial.

Cabeçalho

Documento: Política de Uso de Inteligência Artificial — [NOME DA EMPRESA] Versão: 1.0 Data de vigência: [DATA] Responsável: [NOME DO DPO ou equivalente] Aprovação: [NOME DO CEO/Diretor] Próxima revisão: [DATA + 12 meses]

Seção 1 — Princípios

A [EMPRESA] reconhece o potencial transformador da inteligência artificial e adota seu uso responsável. Os 5 princípios orientadores:

  1. Transparência: o uso de IA é declarado para todas as partes interessadas (clientes, parceiros, colaboradores).
  2. Privacidade: dado pessoal só é processado por IA sob bases legais válidas (LGPD).
  3. Supervisão humana: nenhuma decisão de alto impacto é totalmente automatizada sem revisão humana.
  4. Auditabilidade: todo uso de IA em workflow oficial gera log auditável.
  5. Educação contínua: todos os colaboradores recebem formação sobre uso responsável.

Seção 2 — Escopo

Esta política aplica-se a:

  • Todos os colaboradores (CLT, PJ, estagiários).
  • Todos os terceiros que processam dados em nome da empresa.
  • Todos os sistemas de IA usados na empresa (próprios, contratados via API, ou SaaS).

Seção 3 — Casos de uso permitidos

Os seguintes usos de IA são permitidos sem aprovação adicional:

  • ✅ Drafting de comunicação interna (email, ata, brief).
  • ✅ Resumo de documentos PÚBLICOS ou da empresa.
  • ✅ Pesquisa em fontes públicas.
  • ✅ Geração de código com revisão humana antes de commit.
  • ✅ Análise de dados agregados/anonimizados.
  • ✅ Templating de documento padrão.

Ferramentas aprovadas para esses usos:

  • [Anthropic Claude — versão paga corporativa]
  • [Microsoft Copilot — licença corporativa]
  • [Google Gemini for Workspace]
  • [Adicionar conforme aplicável]

Seção 4 — Casos de uso restritos (requerem aprovação)

Os seguintes usos exigem aprovação prévia do DPO + supervisor da área:

  • ⚠️ Processamento de dado pessoal de cliente, fornecedor ou colaborador.
  • ⚠️ Documentos com cláusula de confidencialidade.
  • ⚠️ Análise financeira interna não-pública.
  • ⚠️ Comunicação externa em nome da empresa.
  • ⚠️ Decisão que afeta seleção, avaliação ou desligamento de funcionário (envolve direito trabalhista — vide LGPD Art. 20).
  • ⚠️ Atendimento ao cliente automatizado.

Processo de aprovação: formulário interno + análise DPO em até 5 dias úteis + decisão documentada.

Seção 5 — Casos de uso proibidos

Os seguintes usos são proibidos sob qualquer circunstância:

  • ❌ Compartilhar credenciais (senhas, tokens API, chaves) com ferramenta de IA.
  • ❌ Submeter dado pessoal sensível (LGPD Art. 5°II) a ferramenta sem aprovação E sem base legal.
  • ❌ Processar documento sob sigilo profissional (jurídico, médico) em ferramenta consumer-tier.
  • ❌ Gerar conteúdo apresentado como humano sem disclaimer (fraude/manipulação).
  • ❌ Usar IA para vigilância individual de colaboradores sem aviso prévio.
  • ❌ Treinamento de modelo próprio com dado pessoal sem revisão jurídica e DPO.
  • ❌ Decisão automatizada para concessão/negação de direito fundamental (crédito, emprego, benefício) sem revisão humana acessível.
  • ❌ Uso de ferramenta de IA não-aprovada para tarefa profissional (incluindo ChatGPT pessoal em conta gratuita para trabalho).

Seção 6 — Governance

6.1 Responsabilidades

  • DPO ([NOME]): aprovar casos restritos, manter inventário de IA, conduzir auditorias periódicas.
  • Diretor da área: aprovar uso de IA na sua área, garantir treinamento da equipe.
  • TI: manter lista de ferramentas aprovadas + bloquear não-aprovadas conforme aplicável.
  • Colaborador: respeitar política, reportar incidentes.

6.2 Inventário de IA

A empresa mantém inventário atualizado de:

  • Todas ferramentas de IA aprovadas, com finalidade documentada.
  • Todos sistemas de IA próprios em produção, com categorização de risco.
  • Todos vendors processando dado pessoal via IA (Data Processing Agreement obrigatório).

Atualização: trimestral mínimo.

6.3 Treinamento

  • Onboarding: todo novo colaborador recebe treinamento de 1h sobre esta política em até 30 dias da contratação.
  • Reciclagem: anual obrigatório para todos.
  • Áreas críticas (jurídico, RH, financeiro): treinamento aprofundado a cada 6 meses.

6.4 Auditorias

  • Auditoria interna: trimestral. Amostragem de uso real, comparação com política, identificação de gaps.
  • Auditoria externa: anual para empresas em setor regulado.

Seção 7 — Incident Response

Se incidente envolvendo IA ocorre (vazamento, decisão errada com impacto, output ofensivo, etc.):

Passo 1 — Contenção (primeiras 4 horas)

  • Quem identificou notifica supervisor imediato + DPO via canal #incidentes.
  • Suspender uso da ferramenta envolvida até análise.

Passo 2 — Análise (primeiras 24 horas)

  • DPO + área impactada analisam causa raiz, escopo (quantos dados, quantos afetados), severity.

Passo 3 — Resposta (primeiras 72 horas)

  • Se vazamento de dado pessoal: notificar ANPD (obrigação LGPD Art. 48) + titulares afetados.
  • Se output ofensivo público: comunicação pública + retratação.
  • Se prejuízo a terceiro: comunicação com seguradora + jurídico.

Passo 4 — Pós-mortem (próximos 14 dias)

  • Documentação formal: o que aconteceu, por quê, o que mudamos para não repetir.
  • Update da política se necessário.

Seção 8 — Direitos dos colaboradores

  • Direito a saber quando IA é usada para avaliar performance/decisão de carreira.
  • Direito a contestar decisão automatizada (LGPD Art. 20).
  • Direito a não ser monitorado por IA sem aviso prévio escrito.
  • Direito a não ser obrigado a usar IA quando alternativa humana razoável existe.

Seção 9 — Sanções

Violação desta política sujeita o colaborador a:

  • Primeira violação: orientação formal documentada.
  • Violação subsequente: advertência escrita.
  • Violação grave (vazamento de dado, fraude): possível justa causa nos termos da CLT, sujeita à análise jurídica.

Seção 10 — Vigência e revisão

  • Esta política entra em vigor em [DATA].
  • Revisão obrigatória a cada 12 meses ou em mudança regulatória significativa.
  • Próxima revisão prevista: [DATA + 12 meses].

Como adaptar este template

  1. Substituir variáveis: nome da empresa, DPO, data, ferramentas aprovadas.
  2. Ajustar Seção 3 (permitidos) ao escopo real da sua empresa. Pode ser mais conservador para setor regulado.
  3. Ajustar Seção 4 (restritos) se você tem casos de uso específicos.
  4. Validar Seção 5 (proibidos) com jurídico — pode adicionar restrições setoriais.
  5. Customizar Seção 6.1 com nomes reais e canais de comunicação.

Sinais de que sua política precisa atualização

  • Nova categoria de IA emerge (em 2026, agentes autônomos foram uma).
  • Nova regulação entra (em 2026, AI Act Europe começou).
  • Novo incidente revela gap não previsto.
  • Mais de 12 meses sem revisão.

Anti-padrões em política de IA

  1. Política tão restritiva que ninguém segue. Realista > teórico.
  2. Política sem treinamento. Documento na pasta ≠ política aplicada.
  3. Não envolver TI no rollout. Ferramentas bloqueadas via firewall + lista de aprovadas é a parte mais eficaz da política em prática.
  4. Política copy-paste sem adaptação. Cada empresa tem contexto específico que precisa refletir.

Próximos passos

  • Adapte este template com seu jurídico + DPO no próximo mês.
  • Workshop SkilLab — Consultoria & Treinamento. Implementação de política IA + capacitação dos colaboradores. Detalhes.
  • Newsletter SkilLab AI. Inscreva-se abaixo.

Leia também

Por Ivan Prado · SkilLab AI · Maio de 2026.

Disclaimer: este template é referência editorial, NÃO substitui revisão jurídica e DPO específica da sua empresa. Adapte com profissionais qualificados antes de adotar.