Cinco cláusulas que toda organização deveria implementar—progressivamente—em sua política de governança de fornecedores estratégicos e fornecedores de dados/sistemas.
Trabalho e estudo compliance, privacidade e cibersegurança há mais de dez anos.
Acompanhei a evolução da LGPD. As regulações de proteção de dados. O surgimento de novos frameworks de privacidade. E agora o desafio que ninguém estava preparado para: inteligência artificial.
O que estou observando em 2026 é preocupante.
Organizações estão usando fornecedores de IA—startups, empresas small-cap, provedores MCP—para processar dados sensíveis. E na maioria dos casos, não têm ideia do que significa.
Pior ainda: não têm ideia de que seus próprios colaboradores estão usando IA para processar dados sensíveis sem aprovação nenhuma.
O Problema Das Shadow IAs
Para entender por que essa recomendação importa, você precisa entender o risco real que está acontecendo agora em sua organização.
Hoje o maior vazamento de dado da sua empresa não tem hacker nenhum envolvido. Tem só um funcionário e uma aba do ChatGPT aberta.
Ninguém invadiu o sistema.
O dado simplesmente… saiu. Copiado e colado numa IA que ninguém autorizou.
Deixa eu explicar dois conceitos que você precisa entender.
LLM (Large Language Model) é um modelo de linguagem treinado em bilhões de parâmetros. ChatGPT. Claude. Gemini. Llama. Um LLM é uma caixa preta: você passa um prompt e recebe uma resposta.
CPM (Componentes Personalizados de IA) é um modelo menor, treinado especificamente para uma tarefa. Um modelo para detectar fraude. Outro para classificar risco de crédito. Um modelo para processar notas de clientes. CPMs são mais controláveis que LLMs porque você os controla, mas ainda criam riscos significativos.
Ambos processam dados sensíveis. Ambos podem ser explorados. E você é responsável pelo que acontece com esses dados.
Aqui estão alguns cenários reais:
Um colaborador copia dados de clientes e cola no ChatGPT. OpenAI registra. Você não sabe. Regulador descobre. Você viola LGPD.
Um analista cola uma query de banco de dados no Claude. Seus dados vão para um terceiro sem consentimento. Você não sabe até depois.
Um gerente de projeto envia documentos confidenciais para o Gemini. Google captura logs. Seus dados foram enviados para infraestrutura cloud sem autorização. Você não tem visibilidade.
Seu RH já colou currículo e ficha de candidato numa IA. Seu jurídico já colou contrato. Seu financeiro já colou planilha de orçamento. E ninguém no compliance sabe disso.
Não é o time de TI que está usando IA sem controle. É o financeiro. É o RH. É o jurídico. É a operação. Todo mundo, ao mesmo tempo, sem ninguém perguntar.
Isso é chamado de **Shadow AI** (IA Oculta).
Sistemas de IA sendo usados por colaboradores sem conhecimento ou aprovação para processar dados sensíveis. Estudos sugerem que 30-50% dos colaboradores usam IA sem ninguém saber.
Mas tem mais. Além da shadow AI de colaboradores, existe a shadow AI de fornecedores. Você contrata um fornecedor para fazer X. Ele usa um LLM para fazer Y. Dados sensíveis da sua empresa vão para GPT. O fornecedor usa seus dados para treinar modelos que depois vende para seus concorrentes.
Esse é o cenário real. E é por isso que essa recomendação existe.
A Urgência
“Há um fenômeno que chamo de “latência regulatória de IA”.
Os reguladores ainda estão compreendendo o risco. As estruturas normativas ainda estão sendo construídas. Mas as organizações já estão usando IA em escala.
Nesse vácuo, coisas ruins acontecem. E você está sendo observado.
Esquece o hacker de capuz.
O maior risco de dado da sua empresa usa crachá, tem cargo e só queria terminar a tarefa mais rápido.
E aqui está o pior:
Vazamento de dados em 2026 não parece filme de hacker. Parece terça-feira.
Cibersegurança, Conformidade Legal e Privacidade são agora inseparáveis. Um ataque de injeção de prompt (cibersegurança) causa vazamento de dados (privacidade) que resulta em violação regulatória (conformidade legal).
Os três acontecem ao mesmo tempo.
Minha recomendação: implemente essas cinco cláusulas progressivamente. Começando com fornecedores estratégicos. Agora.
Não É Para Todo Fornecedor
Deixa eu ser claro: você não precisa aplicar essas cláusulas a todo fornecedor.
Um fornecedor de limpeza? Não. Café? Não. Material de escritório? Não.
Mas um fornecedor de IA? Uma plataforma que processa dados? Um sistema que toca dados sensíveis? Um fornecedor estratégico crítico? Esses precisam.
Crie uma matriz de risco simples:
CRÍTICO (todas as 5) — Fornecedores de IA que processam dados sensíveis. Infraestrutura crítica. Sistemas que acessam dados confidenciais ou proprietários.
ALTO (cláusulas 1, 3, 4) — IA com dados internos sensíveis. Plataformas de análise de dados. Ferramentas com machine learning em processos críticos.
MÉDIO (cláusulas 1, 4) — Ferramentas que colaboradores usam com dados internos. Plataformas colaborativas.
BAIXO (nenhum requisito) — Fornecedores que não processam dados sensíveis.
Não Precisa Ser Tudo De Uma Vez
Você não precisa implementar tudo simultaneamente. Implementação progressiva é aceitável.
FASE 1 (3 meses) — Cláusula #1 (Visibilidade). Criar inventário de IA. Mapear fornecedores. Política interna.
FASE 2 (6 meses) — Cláusula #4 (DSPM). Deploy de descoberta. Classificação automática.
FASE 3 (9 meses) — Cláusula #5 (Seguro + Solvência). Validar seguros. Avaliar solvência.
FASE 4 (12 meses) — Cláusula #2 (Teste de Penetração). Primeira rodada.
FASE 5 (18 meses) — Cláusula #3 (DRP + BCP). Disaster recovery. Business continuity.
O importante: comece agora. Implemente progressivamente. Foque em fornecedores estratégicos primeiro.
As Cinco Cláusulas
Cláusula #1: Visibilidade Completa de IA
Esta é a primeira porque você precisa SABER. Quem está usando IA? Quais dados estão sendo processados?
Exija de fornecedores CRÍTICOS e ALTO: registro de todos os modelos. Disclosure de IA generativa. Log de prompts e contexto. Políticas de retenção. Proibição de usar dados para treinar. Prova trimestral.
Por que: Leis de proteção de dados (como LGPD, GDPR, CCPA) exigem que você saiba como dados estão sendo processados. Se um fornecedor processa dados em um LLM que você não conhece, você pode estar em violação regulatória.
Implementação (3 meses): Formulário simples. Enviar para críticos. Documentar. Revisar trimestralmente. Criar política interna.
Cláusula #4: DSPM (Data Security Posture Management)
Após saber QUEM está usando IA, você precisa saber ONDE seus dados sensíveis estão.
Exija: descoberta automática. Classificação contínua. Controles de acesso. Dashboard. DLP. Encriptação AES-256.
Por que: Regulações exigem proteção técnica de dados. DSPM é a implementação prática. Você consegue responder: quantos registros tem? Quem acessa? Tem DLP?
Implementação (6 meses): Começar com 1-2 fornecedores críticos. Expandir. Ferramentas: Varonis, Wiz, ou similar.
Cláusula #5: Seguro e Solvência
Valide que fornecedores CRÍTICOS têm seguro e capacidade financeira.
Exigências: Seguro de responsabilidade civil (R$ 5-20M ou equivalente). Cobertura Data Breach e IA. Sua organização como “Additional Insured”. Patrimônio Líquido mínimo ou Receita Anual mínima. Score de crédito aceitável.
Por que: Se algo der errado (vazamento, falha, exploit), você precisa de recourse. Sem seguro, você fica sozinho. A maioria dos fornecedores startups não têm seguro adequado.
Implementação (9 meses): Começar com críticos. Solicitar apólice. Verificar com segurador. Demonstrações financeiras. Para startups: Fundo em escrow.
Cláusulas #2 e #3
Teste de Penetração e DRP/BCP são importantes, mas podem vir depois. Priorize visibilidade e proteção de dados primeiro.
Cronograma: meses 12-18.
Conclusão
Cibersegurança, Conformidade Legal e Privacidade são agora uma coisa só. Um ataque de injeção de prompt viola leis de privacidade e expõe dados.
Os três acontecem ao mesmo tempo.
Essas cinco cláusulas cobrem tudo simultaneamente. Não são “cybersecurity requirements”. Não são “compliance requirements”. São IA governance requirements.
Comece agora. Implemente progressivamente. Foque em fornecedores estratégicos.
Shadow AI é o risco número 1. Visibilidade é o primeiro passo.
A latência regulatória de IA está terminando. Em breve, reguladores vão exigir essas coisas.
Melhor estar adiantado.
Conheça o Curso de Governança de Inteligência Artificial e Proteção de Dados
