Autoridade europeia alerta para vazamentos causados pela ‘shadow AI’ e cobra alternativas seguras nas empresas
O Supervisor Europeu de Proteção de Dados (EDPS, na sigla em inglês) soou um novo alerta sobre um risco que cresce silenciosamente dentro de empresas e órgãos públicos: o uso de ferramentas de inteligência artificial não aprovadas pelos times de TI e de segurança, prática já conhecida como “shadow AI”. Segundo o órgão, esse comportamento aparentemente inofensivo – geralmente motivado pelo desejo de ganhar produtividade – pode resultar em graves violações de dados, descumprimento regulatório e falhas operacionais difíceis de detectar.
Em comunicado oficial, o presidente do EDPS, Wojciech Wiewiórowski, destacou que muitos funcionários recorrem a soluções de IA abertas ou gratuitas para escrever textos, analisar documentos, resumir reuniões ou gerar código, sem qualquer avaliação prévia de segurança ou privacidade. O problema, explica ele, é que, a partir do momento em que informações corporativas são enviadas para uma ferramenta de IA não aprovada, esses dados entram em um verdadeiro “ponto cego regulatório”.
De acordo com Wiewiórowski, uma vez que os dados migram para um sistema não autorizado, torna-se praticamente impossível rastrear o que acontece com essas informações: não se sabe para onde vão, por quanto tempo são armazenadas, com quem podem ser compartilhadas e, principalmente, se serão usadas para treinar modelos de IA de terceiros. Na prática, a organização perde o controle sobre os próprios dados e deixa de ter garantias mínimas de proteção e uso adequado das informações.
O presidente do EDPS ressalta que o problema não é apenas teórico. Ferramentas aparentemente inofensivas – como soluções que gravam e transcrevem reuniões online de forma automática – podem ser um vetor de ataques ou vazamentos quando são adotadas sem avaliação de risco. Ao registrar conversas sensíveis, dados pessoais, estratégias de negócio ou informações confidenciais, esses serviços podem criar “backdoors inesperados”, abrindo portas para acessos não autorizados e exploração de vulnerabilidades.
Outro ponto crítico levantado pelo órgão europeu é a ausência de contratos formais com os fornecedores dessas soluções de IA. Sem um acordo claro, que estabeleça a base legal para o tratamento de dados, os prazos de retenção, as responsabilidades de cada parte e as condições para transferências internacionais de informações, forma-se, nas palavras de Wiewiórowski, um verdadeiro “buraco negro de transparência”. Nessa zona cinzenta, é impossível garantir conformidade com leis de proteção de dados e regulamentos setoriais.
Para o EDPS, enfrentar o fenômeno da shadow AI exige muito mais do que simples proibições ou comunicados internos. Wiewiórowski defende a criação de políticas explícitas e detalhadas sobre o uso de ferramentas de inteligência artificial, alinhadas aos requisitos regulatórios, às normas internas de segurança da informação e às necessidades reais dos times de negócio. Essas políticas devem definir o que é permitido, o que é proibido, quais ferramentas são aprovadas, em que condições podem ser usadas e qual o processo para avaliar novas soluções.
Além das diretrizes formais, o supervisor europeu recomenda a adoção de controles técnicos efetivos para reduzir o risco de uso indevido. Entre as medidas sugeridas estão o bloqueio de domínios de ferramentas de IA não autorizadas, a implementação de regras avançadas de prevenção contra perda de dados (DLP) e a limitação de privilégios em endpoints, impedindo que usuários instalem software de IA por conta própria, sem passar pelos processos aprovados de segurança e compliance.
No entanto, apenas bloquear não é suficiente, alerta Wiewiórowski. Se a organização não oferecer alternativas seguras e aprovadas, os funcionários tendem a buscar “atalhos” fora do ambiente controlado, ampliando o problema. Por isso, a “melhor solução” apontada pelo EDPS é justamente construir ou contratar plataformas de IA que sejam seguras, em conformidade com a legislação e, ao mesmo tempo, úteis para o trabalho diário. Quando a empresa disponibiliza ferramentas oficiais que realmente atendem às necessidades, o incentivo ao uso de soluções paralelas diminui significativamente.
O presidente do EDPS também enfatiza que a gestão do risco de shadow AI não pode ficar concentrada em um único departamento. Trata-se de um desafio transversal, que envolve encarregados de proteção de dados (DPOs), equipes de TI, times de segurança da informação, áreas jurídicas, recursos humanos e lideranças de negócio. Segundo Wiewiórowski, só uma cooperação contínua e estruturada entre esses grupos permite criar um ambiente onde a inovação em IA conviva com a proteção adequada de dados pessoais e informações estratégicas.
Na prática, isso significa integrar o tema “uso de IA” aos programas de governança de dados e de segurança já existentes. Organizações podem, por exemplo, incluir a avaliação de ferramentas de IA nos processos de gestão de riscos, adicionar critérios de IA em políticas de classificação de dados, revisar contratos com fornecedores de tecnologia para abranger o uso de modelos generativos e definir fluxos claros para aprovação e monitoramento de novas soluções baseadas em IA.
Outro aspecto crucial é a conscientização dos colaboradores. Muitos casos de shadow AI nascem da boa intenção de ganhar tempo, melhorar a qualidade do trabalho ou suprir limitações de ferramentas internas. Se os funcionários não compreendem os riscos jurídicos, reputacionais e operacionais envolvidos ao copiar e colar informações sensíveis em um chatbot público, a proibição formal tende a ser ignorada. Programas de treinamento contínuo, com exemplos práticos e linguagem acessível, ajudam a transformar a política em comportamento real.
Empresas também precisam desenvolver critérios claros para classificar o que pode ou não ser compartilhado com qualquer ferramenta de IA, mesmo as aprovadas. Dados pessoais sensíveis, segredos industriais, informações financeiras confidenciais e conteúdos protegidos por sigilo legal exigem um nível de proteção muito mais rigoroso. Mapear esses ativos de informação e estabelecer níveis de criticidade é fundamental para evitar que dados de alto risco escapem inadvertidamente para sistemas externos.
O EDPS destaca ainda que as organizações devem olhar para a shadow AI como um sintoma de necessidades não atendidas. Se desenvolvedores recorrem a assistentes de código externos, talvez faltem soluções internas de apoio à programação. Se equipes de marketing usam geradores de texto públicos, pode indicar ausência de ferramentas corporativas adequadas ou processos lentos de aprovação de conteúdo. Ao entender essas motivações, a liderança pode priorizar investimentos em plataformas de IA internas ou de terceiros que realmente resolvam os gargalos, em vez de apenas reprimir o comportamento.
Outro caminho é adotar modelos de IA hospedados em ambientes controlados pela própria organização ou por provedores que ofereçam garantias contratuais robustas de privacidade, segurança e isolamento de dados. Soluções de IA on-premises ou em nuvens dedicadas podem permitir que a empresa explore os benefícios da automação e da geração de conteúdo sem expor dados sensíveis a provedores que utilizem as informações para treinar modelos gerais.
Wiewiórowski também chama atenção para o impacto regulatório. Na Europa, leis como o GDPR e o futuro regulamento específico para IA impõem obrigações rígidas quanto à proteção de dados, transparência, base legal para tratamento e avaliação de riscos. O uso de ferramentas de IA fora do controle institucional pode levar a multas, medidas corretivas e danos de imagem significativos. Mesmo em países com legislações diferentes, a tendência global caminha para maior responsabilização das organizações quanto ao uso de tecnologias emergentes.
Por fim, o alerta do EDPS funciona como um chamado para que a discussão sobre IA saia do campo puramente técnico e seja incorporada à estratégia organizacional. A pergunta não é mais se os funcionários vão usar inteligência artificial, mas como, com quais salvaguardas e sob quais regras. Empresas que adotarem uma abordagem proativa – combinando políticas claras, controles tecnológicos, alternativas seguras e educação do usuário – terão mais chances de colher os benefícios da IA sem se tornarem reféns da shadow AI e de seus vazamentos silenciosos.
Ao olhar para o futuro próximo, fica claro que a maturidade no uso da IA será um diferencial competitivo. Organizações que souberem equilibrar inovação e governança, permitindo que a tecnologia amplie a produtividade sem sacrificar a segurança e a conformidade, estarão em posição privilegiada. O recado do EDPS é direto: ignorar a shadow AI não é mais uma opção; é hora de trazer a inteligência artificial para a luz, com regras, transparência e responsabilidade.