Seus funcionários já estão usando IA agora. Alguns têm permissão. A maioria provavelmente não tem.
As pesquisas contam uma história consistente: trabalhadores adotam ferramentas de IA mais rápido do que as empresas conseguem escrever políticas sobre elas, e 68% dos funcionários que usam o ChatGPT no trabalho fazem isso sem contar ao seu supervisor. Isso cria um cenário em que organizações enfrentam responsabilidade legal real enquanto fingem que o problema não existe.
O instinto é proibir tudo. Trancar. Problema resolvido.
Só que essa abordagem nunca funcionou com nenhuma tecnologia, e aqui também não vai funcionar. As pessoas encontram jeitos de contornar porque as ferramentas são úteis demais para serem ignoradas, e a TI paralela vira IA paralela operando completamente fora da sua visibilidade.
Então você precisa de uma política. Mas aqui vai a verdade desconfortável que a maioria dos guias não vai te dizer: a política em si importa muito menos do que se as pessoas de fato vão segui-la. Um documento perfeito que fica ignorado no SharePoint não protege nada.
Os extremos de política que falham dos dois lados
Organizações tendem a oscilar entre dois polos. Nenhum dos dois funciona.
A proibição total
A Samsung proibiu, de forma famosa, todas as ferramentas de IA generativa em toda a empresa depois que funcionários vazaram acidentalmente código-fonte confidencial ao pedir que o ChatGPT o revisasse. O incidente virou manchete e disparou pânico corporativo em vários setores.
Proibições parecem seguras. Elas criam regras claras e eliminam zonas cinzentas que deixam advogados nervosos. Também empurram o uso de IA para a clandestinidade, onde vira algo invisível e impossível de gerir.
Um comentarista do Hacker News capturou essa tensão de forma direta: “We are forcing non-use because of compliance. There is a fear that the models will scan and steal our proprietary code.”
Esse medo é real. Mas uma proibição ampla cria riscos próprios quando funcionários usam dispositivos pessoais e ferramentas de IA de consumo para contornar as restrições, gerando exposição de dados que sua equipe de TI nem consegue ver.
O vale-tudo
O extremo oposto é não ter política nenhuma. Deixe as pessoas se virarem, confie no julgamento delas, vá rápido e adapte depois.
Essa abordagem trata IA como uma escolha pessoal de produtividade, não como um risco organizacional. Ela ignora que funcionários estão tomando decisões de manuseio de dados toda vez que colam informações em um prompt, e a maioria nunca pensou em políticas de dados de treinamento ou para onde suas entradas podem acabar indo.
Algumas empresas foram além do laissez-faire. Outro usuário do Hacker News relatou a ordem do empregador: “At least 20% of code must be AI generated with the goal of at least 80% by the end of the year.”
Metas agressivas de adoção sem proteções correspondentes criam pressão para usar IA em tudo, independentemente de ser apropriado. Quando a métrica é uso de IA em vez de qualidade do resultado, as pessoas dão um jeito de bater o número, faça sentido ou não para o trabalho específico delas.
O que as políticas deveriam de fato cobrir
Políticas de IA eficazes compartilham elementos em comum, mas a ênfase varia conforme seu setor, tolerância a risco e cultura organizacional. Comece por estas cinco áreas e personalize a partir daí.
Ferramentas aprovadas e acesso
Seja específico sobre quais ferramentas de IA são autorizadas para uso na empresa. Versões empresariais de ferramentas de IA muitas vezes têm termos de tratamento de dados diferentes das versões de consumo, e essa diferença importa.
A versão gratuita do ChatGPT e a versão empresarial têm garantias de privacidade fundamentalmente diferentes. A versão gratuita pode usar suas entradas para treinar modelos futuros. A versão empresarial normalmente não. Sua política deve refletir quais versões são aceitáveis e quais são proibidas.
Inclua um processo para solicitar novas ferramentas. As capacidades de IA mudam rápido, e sua lista de aprovadas vai precisar de atualizações. Monte um processo de avaliação enxuto em vez de forçar as pessoas a usar ferramentas desatualizadas ou contornar restrições.
Classificação de dados
É aqui que a maioria das políticas dá certo ou dá errado. Você precisa de regras claras e específicas sobre quais informações podem ser compartilhadas com ferramentas de IA e quais não podem.
Diretrizes vagas como “use bom senso ao lidar com dados sensíveis” não oferecem orientação de verdade. As pessoas precisam de categorias concretas que possam aplicar sem chamar o jurídico toda vez que quiserem rascunhar um e-mail.
Considere uma abordagem em camadas: dados que nunca podem ser compartilhados com IA, independentemente da ferramenta (PII de clientes, credenciais, dados financeiros não divulgados), dados que só podem ser compartilhados com ferramentas empresariais aprovadas (documentos internos, informações gerais do negócio) e dados que podem ser compartilhados livremente (informações públicas, perguntas de conhecimento geral).
O objetivo não é eliminar todo risco. O objetivo é tornar o cálculo de risco simples o suficiente para que as pessoas consigam seguir as regras sem atrito excessivo.
Casos de uso aceitáveis
Quais tarefas a IA pode apoiar, e o que é proibido?
A IA é ótima para redigir, resumir, gerar ideias e lidar com manipulação rotineira de texto. Ela tem dificuldade com precisão factual, julgamento sutil e qualquer coisa que exija entendimento genuíno do contexto específico do seu negócio.
A maioria das políticas deveria proibir a IA de tomar decisões que afetem pessoas individualmente: contratar, demitir, avaliações de desempenho, decisões de crédito. A combinação da tendência da IA a errar com confiança e do peso dessas decisões cria um risco inaceitável.
Da mesma forma, documentos legais, envios regulatórios e qualquer comunicação em que você precise garantir precisão devem exigir criação humana, não assistência de IA. A IA pode ajudar a pesquisar e rascunhar, mas humanos precisam ser donos do produto final.
Padrões de qualidade
Toda política precisa encarar o fato de que a IA erra. Alucinações não são defeitos que fornecedores vão eventualmente corrigir. Elas são inerentes a como modelos de linguagem de grande porte funcionam.
Defina exigências de revisão com base no tamanho do risco do resultado. Anotações internas de brainstorming talvez precisem apenas de auto-revisão. Comunicações voltadas a clientes devem exigir revisão de um par ou de um gestor. Qualquer coisa com implicações legais ou de conformidade precisa de verificação por um especialista no assunto.
Seja explícito: estatísticas, citações e referências geradas por IA devem ser verificadas de forma independente. A IA inventa fontes que não existem e estatísticas que nunca foram publicadas, com total confiança. Quem já checou fatos em saídas de IA sabe que isso acontece o tempo todo.
Requisitos de divulgação
Quando o uso de IA precisa ser declarado? Essa pergunta não tem resposta universal, mas sua política precisa fornecer uma para a sua organização.
Alguns contextos claramente exigem divulgação: qualquer situação em que alguém razoavelmente espere estar interagindo com um humano, qualquer conteúdo em que atribuição importe, qualquer comunicação regulada em que divulgação possa ser legalmente exigida.
Outros contextos não necessariamente precisam de divulgação: IA usada como ferramenta de rascunho com muita edição humana, IA usada para pesquisa ou preparação que informa trabalho humano, uso rotineiro de produtividade em que o resultado final reflete julgamento humano.
A linha entre essas categorias envolve decisões de julgamento que sua política deve ajudar as pessoas a navegar.
Os erros que destroem políticas
Boas intenções produzem políticas ruins o tempo todo. Fique atento a estes padrões de fracasso.
Escrever para advogados, não para usuários
Políticas redigidas por equipes jurídicas muitas vezes soam como documentos legais. Elas cobrem todo caso de borda, usam terminologia precisa e oferecem proteção abrangente contra responsabilidade.
Elas também ficam sem leitura porque funcionários comuns não conseguem extrair orientação prática de juridiquês denso. Se sua política exige interpretação de alguém com diploma de direito, ela vai ser ignorada por todos que não têm um.
Escreva para a pessoa que precisa tomar uma decisão rápida sobre se pode colar algo no ChatGPT. Facilite essa decisão. Guarde a estrutura jurídica completa para a documentação interna que seu jurídico mantém.
Fingir que a tecnologia não muda
As capacidades de IA mudam mês a mês. Claude, GPT, Gemini e dezenas de outras ferramentas lançam atualizações o tempo todo. Recursos que eram experimentais viram padrão. Novos riscos surgem enquanto riscos antigos são tratados.
Políticas escritas para o ChatGPT em 2023 podem não se encaixar no cenário de IA em 2026. Inclua ciclos de revisão na sua política e atribua responsabilidade a alguém que realmente vá conduzir essas revisões. Revisão anual provavelmente é lenta demais. Trimestral pode ser adequado para organizações que se movem rápido.
Pular o treinamento por completo
Uma política que existe apenas na documentação é uma política que não existe. As pessoas precisam de treinamento para entender regras, de contexto para entender o porquê e de prática para aplicar diretrizes em situações reais.
SHRM research constatou que 75% dos trabalhadores esperam que seus cargos mudem por causa da IA nos próximos cinco anos, mas apenas 45% receberam requalificação recente. Esse abismo entre expectativa e preparo cria confusão, medo e violações de política que nascem da ignorância, não da malícia.
Reserve tempo e orçamento para treinamento. Faça ser interativo, em vez de apenas distribuir um documento. Inclua cenários reais que as pessoas vão de fato encontrar.
Criar regras que ninguém aplica
Políticas sem consequências são sugestões. Decida antes de publicar como violações serão tratadas e comunique isso com clareza.
Isso não significa tratar todo erro como motivo de demissão. Respostas proporcionais funcionam melhor: correção informal para violações menores, documentação formal para reincidências, consequências sérias para exposição intencional de dados.
O que mata a credibilidade de uma política é a inconsistência. Se executivos ignoram regras que valem para todos, ou se violações são tratadas de forma diferente dependendo de quem comete, sua política perde toda a autoridade.
Ignorar a realidade da IA paralela
Fingir que funcionários não estão usando ferramentas pessoais de IA não torna isso verdade. Qualquer política honesta reconhece essa realidade e oferece caminhos para lidar com ela.
Se suas ferramentas aprovadas são significativamente piores do que alternativas de consumo, as pessoas vão usar as alternativas de consumo. Se seu processo de aprovação leva meses, as pessoas vão contornar. Se suas restrições criam atrito excessivo para tarefas rotineiras, as pessoas vão encontrar formas de reduzir esse atrito.
A política que você precisa é aquela que torna o comportamento em conformidade o caminho de menor resistência, não uma que depende de as pessoas escolherem o caminho mais difícil porque um documento mandou.
Mantendo políticas práticas
As melhores políticas de IA compartilham uma qualidade difícil de definir, mas fácil de reconhecer: elas parecem razoáveis. Reconhecem preocupações legítimas sem criar obstáculos burocráticos que não servem a nenhum propósito real.
Comece por princípios, depois adicione regras
Antes de escrever regras específicas, articule os princípios por trás delas. As pessoas conseguem aplicar princípios a situações novas que regras não conseguem prever.
O princípio pode ser: queremos que nossa equipe se beneficie da IA enquanto protegemos dados que poderiam prejudicar clientes ou a empresa se expostos. Esse princípio orienta decisões quando o manual de regras não tem resposta.
As regras então viram exemplos dos princípios em ação, em vez de uma lista exaustiva que sugere que qualquer coisa não proibida está permitida.
Facilite a conformidade
Cada ponto de atrito na sua política é uma oportunidade de violação. Cada vez que alguém precisa parar, pensar, navegar por um processo de aprovação ou usar uma ferramenta pior, você cria incentivo para contornar as regras.
Audite sua política da perspectiva do usuário. O que, na prática, é necessário para estar em conformidade? Se a conformidade exige esforço significativo, pergunte se esse esforço produz redução de risco proporcional. Às vezes a resposta é sim. Muitas vezes não é.
Construa ciclos de retorno
Sua política vai ter lacunas e erros. As pessoas que vivem sob ela sabem onde esses problemas estão. Crie formas de elas apontarem falhas sem medo.
Pesquisas regulares, canais anônimos de retorno, horários de atendimento em que pessoas podem fazer perguntas sem julgamento: esses mecanismos capturam problemas antes que virem incidentes e fazem as pessoas se sentirem ouvidas, não policiadas.
Aceite a imperfeição
Nenhuma política elimina todo risco. Conformidade perfeita não é alcançável, nem necessariamente desejável se vier ao custo de destruir produtividade.
O objetivo é reduzir risco a níveis aceitáveis, não eliminar risco. Defina o que “aceitável” significa para sua organização e desenhe uma política que chegue lá sem exigir perfeição de todos o tempo todo.
Começando sem recomeçar do zero
Se você não tem política, comece pequeno. Cubra primeiro os cenários de maior risco: quais dados nunca podem ser compartilhados, quais decisões a IA não pode tomar, qual revisão é exigida para comunicações externas. Depois você expande.
Se você tem uma política que não está funcionando, resista ao impulso de reconstruir do zero. Converse com as pessoas sobre o que está falhando. Muitas vezes, os problemas são corrigíveis sem substituição total.
Política não é um documento. É uma conversa contínua entre a organização e as pessoas que trabalham nela sobre como usar ferramentas poderosas de forma responsável. O documento só registra onde essa conversa chegou até agora.
As organizações que acertam política de IA tratam isso como algo vivo: revisado regularmente, discutido abertamente, ajustado com base na experiência. As que erram produzem um documento e o esquecem até um incidente forçar atenção.
Sua equipe já está usando IA. A pergunta é se ela está fazendo isso com segurança e se você tornou a segurança a escolha mais fácil. É isso que uma boa política realiza. Não restrição por restrição, mas proteções que deixam as pessoas irem rápido sem dirigir para fora do penhasco.
Que tipo de política você tem?
