Shadow AI e LGPD: 53% das empresas brasileiras não detectam IA não autorizada — e a ANPD está prestando atenção

Shadow AI e LGPD: 53% das empresas brasileiras não detectam IA não autorizada — e a ANPD está prestando atenção

Dados da Cisco publicados em março de 2026 revelam que apenas 5% das empresas brasileiras alcançaram maturidade em cibersegurança — e 53% não têm confiança para detectar o uso não autorizado de ferramentas de IA por seus próprios colaboradores. O número importa porque a ANPD entrou em fase de maturidade fiscalizatória, o PL 2338 (Marco Legal de IA) está em votação no Congresso e a convergência entre proteção de dados e governança de IA cria uma exposição regulatória dupla que a maioria das organizações brasileiras não está equipada para enfrentar.

O que é Shadow AI — e por que virou pauta de board

Shadow AI é o uso de ferramentas de inteligência artificial por colaboradores sem conhecimento, aprovação ou governança da organização. ChatGPT, Copilot, Gemini, Claude, ferramentas de geração de imagem, transcrição automática — qualquer aplicação de IA usada fora da política corporativa entra nessa categoria.

O fenômeno não é novo, mas a escala mudou. Em 2024, Shadow AI era exceção. Em 2026, é rotina. A facilidade de acesso — basta um navegador e um e-mail pessoal — significa que equipes de vendas, jurídico, RH e finanças estão usando LLMs para redigir contratos, analisar currículos, gerar relatórios e processar dados de clientes. Sem que compliance, segurança da informação ou o board saibam.

O dado da Cisco não surpreende quem acompanha o mercado. Surpreende quem precisa responder pelo risco.

A exposição dupla: LGPD + Marco Legal de IA

A LGPD completou cinco anos de vigência em 2025, e a ANPD saiu da fase de orientação para a fase de fiscalização ativa. Multas, advertências e determinações de adequação estão crescendo. O regulador tem mandato, estrutura e, agora, jurisprudência para agir.

Simultaneamente, o PL 2338 — que estabelece o Marco Legal de IA no Brasil — está em fase final de votação. O projeto prevê obrigações de transparência, avaliação de impacto algorítmico e supervisão humana para sistemas de IA de alto risco. Quando aprovado, vai exigir que empresas demonstrem governança formal sobre IA em uso — não apenas sobre IA que a empresa comprou, mas sobre toda IA que opera dentro da organização.

A convergência cria uma exposição dupla:

  • LGPD: se um colaborador insere dados pessoais de clientes em um LLM público sem base legal adequada, há violação de proteção de dados. A empresa responde — não o colaborador.
  • Marco Legal de IA: se a organização não tem inventário de sistemas de IA em uso e um desses sistemas toma ou informa decisões de alto risco, há descumprimento de obrigações de governança.

A referência internacional é o EU AI Act, que entra em vigor em agosto de 2026 com obrigações similares. Empresas brasileiras que operam na Europa ou com dados de cidadãos europeus enfrentam regulação tripla: LGPD, EU AI Act e, em breve, Marco Legal de IA.

O que Shadow AI significa para o P&L

Para o CFO, Shadow AI se traduz em três linhas de risco financeiro:

Multas regulatórias. A LGPD prevê sanções de até 2% do faturamento bruto, limitadas a R$ 50 milhões por infração. Quando dados pessoais são processados por LLMs públicos sem base legal, sem consentimento informado e sem registro de operação, a exposição é concreta. A ANPD não precisa do Marco Legal de IA para autuar — a LGPD já cobre o cenário.

Vazamento de dados sensíveis. Colaboradores que inserem dados de clientes, informações financeiras ou propriedade intelectual em ferramentas de IA sem governança estão, na prática, exportando dados corporativos para infraestruturas de terceiros sem contrato de processamento, sem cláusula de confidencialidade e sem garantia de que os dados não serão usados para treinamento do modelo. O custo de remediação pós-incidente — notificação de titulares, forensics, assessoria jurídica, dano reputacional — é ordens de grandeza superior ao custo de prevenção.

Decisões sem rastreabilidade. Quando um analista de crédito usa IA para auxiliar uma decisão de concessão, um recrutador usa IA para triar currículos ou um advogado corporativo usa IA para redigir pareceres, a decisão tem componente algorítmico. Se não há registro de qual ferramenta foi usada, com que prompt e qual foi o output, a empresa não consegue cumprir a obrigação de explicabilidade prevista no artigo 20 da LGPD — nem a que virá com o Marco Legal de IA.

Três riscos que o board precisa conhecer — e uma oportunidade

Risco 1: Dados pessoais em LLMs públicos. O risco mais imediato. Toda vez que um colaborador cola dados de clientes em um ChatGPT gratuito, a empresa perdeu controle sobre aqueles dados. Não há contrato de processamento, não há DPA (Data Processing Agreement), não há como exigir exclusão. A violação da LGPD já está consumada.

Risco 2: Decisões automatizadas sem governance. Se IA informa ou toma decisões que afetam pessoas — contratação, crédito, precificação, atendimento — e não há framework de supervisão, a empresa opera no escuro regulatório. Quando o regulador perguntar, a resposta não pode ser “não sabíamos que estavam usando IA”.

Risco 3: Dependência de vendors sem contrato formal. Muitas ferramentas de IA gratuitas ou freemium têm termos de uso que permitem ao provider utilizar dados inseridos para treinamento do modelo. Se não há contrato enterprise com cláusulas de proteção de dados, a empresa está transferindo risco para um vendor que não assumiu nenhuma obrigação.

A oportunidade. Empresas que estruturam governança de IA agora — antes da aprovação do PL 2338 — terão vantagem competitiva. Em processos de licitação, due diligence de M&A, certificações e relações com investidores institucionais, a capacidade de demonstrar governance de IA é diferencial. Quem governar primeiro, lidera.

Cinco ações para conter Shadow AI antes da fiscalização

1. Inventário de ferramentas de IA em uso. Começar pelo mapeamento. Quais ferramentas de IA os colaboradores estão usando? Em quais departamentos? Com que dados? O inventário não precisa ser perfeito — precisa existir. Ferramentas de CASB (Cloud Access Security Broker) e DLP (Data Loss Prevention) conseguem identificar tráfego para APIs de IA. A área de TI tem os meios. O que falta, em geral, é o mandato.

2. Política de uso aceitável de IA. Documento claro, objetivo, treinado — não um PDF de 40 páginas no SharePoint. A política precisa responder: quais ferramentas são aprovadas? Que tipos de dados podem ser inseridos? Quais usos são proibidos? Quem aprova exceções? Política sem treinamento é documento. Política treinada é governança.

3. Monitoramento contínuo. Não basta mapear uma vez. Shadow AI é dinâmico — novas ferramentas surgem semanalmente. Implementar monitoramento de tráfego para endpoints de IA conhecidos (api.openai.com, api.anthropic.com, generativelanguage.googleapis.com) e estabelecer alertas. A prevenção é técnica, mas a decisão de implementar é do board.

4. Treinamento de colaboradores. A maioria dos colaboradores que usa IA não autorizada não tem intenção maliciosa — tem intenção produtiva. O treinamento deve explicar o risco (para a empresa e para o próprio colaborador), apresentar as ferramentas aprovadas e mostrar como usar IA de forma segura. O tom é educação, não punição.

5. Framework de governança formalizado. Para organizações que querem ir além do mínimo, a recomendação é adotar um framework reconhecido — NIST AI RMF, ISO 42001 ou o próprio guia de governança da ANPD — como base para estruturar governança de IA. O framework fornece taxonomia de risco, processos de avaliação e critérios de auditoria. Quando o regulador perguntar “qual é o framework de governança de IA da empresa?”, a resposta precisa ser mais substancial que “estamos trabalhando nisso”.

A janela está aberta — mas estreitando

Shadow AI não é problema de TI. É risco operacional com implicações regulatórias, financeiras e reputacionais que pertencem à agenda do board. A LGPD já dá à ANPD os instrumentos para fiscalizar o tratamento de dados pessoais por ferramentas de IA não governadas. O PL 2338 vai formalizar o que hoje é implícito.

A recomendação aqui é direta: colocar Shadow AI na pauta da próxima reunião de diretoria. Aprovar o inventário. Mandar a política de uso aceitável. Designar accountability. Não esperar a fiscalização definir a urgência — porque quando o regulador chega, o custo de adequação é sempre maior do que o custo de prevenção.

A pergunta para quem lidera hoje não é se colaboradores estão usando IA sem autorização. Estão. A pergunta é se a empresa sabe onde, com que dados e sob que risco. Cinquenta e três por cento das organizações brasileiras não conseguem responder. A sua precisa conseguir.