Quando o colaborador cria seu próprio GPT

Publicação: 10/07/2026 - 14:00

Escrito por: Monique Villasboas

Ana Luisa, analista de marketing, usa o ChatGPT no dia a dia nas suas tarefas pessoais e acaba, em alguns momentos, usando a ferramenta para atividades da empresa X. Em um diálogo despretensioso, começa a interagir sobre como melhorar seus resultados de marketing digital e descreve, em detalhes, como é o perfil da empresa, seus principais desafios e pede para o GPT analisar campanhas de impulsionamento da empresa Y, cliente da empresa X em que trabalha.  Neste momento, não somente suas informações pessoais estão na ferramenta como também dados das duas empresas são expostos sem envolver a equipe de TI.

O avanço silencioso da Shadow AI nas empresas

A facilidade do uso das ferramentas de IA na rotina, gerou um fantasma para os processos oficiais de governança. Na Shadow AI, funcionários podem estar construindo soluções próprias, treinando agentes com documentos internos e integrando sistemas corporativos sem que as áreas da segurança da informação, compliance ou governança de dados saibam da existência dessas aplicações. Assim, começam a surgir dezenas de “micro IAs” espalhadas pela organização.

Embora impulsione produtividade e agilidade operacional, o uso do Shadow AI, também amplia riscos relacionados a vazamento de dados, conformidade e rastreabilidade de informações. Dados da pesquisa ‘Inovações em Cibersegurança na Gestão de Riscos e Uso de IA 2025 da Gartner, revelam que quase 60% dos funcionários usam contas pessoais para tarefas relacionadas ao trabalho com IA Generativa e 33% admitem inserir informações confidenciais em ferramentas públicas ou não aprovadas.

Segundo relatório sobre o estado da segurança da Inteligência Artificial 2026 da Cisco, a maioria das empresas já enfrenta dificuldades para controlar quais aplicações de IA estão sendo usadas internamente. A consultoria Gartner projeta que, até 2027, 40% das empresas sofrerão incidentes de segurança ligados a esse uso informal.

O que os frameworks internacionais já resolveram

A boa notícia é que a indústria não está começando do zero. Dois frameworks se consolidaram como referência para estruturar governança de IA em nível corporativo e são complementares entre si:

– ISO/IEC 42001 é o primeiro padrão internacional certificável para um Sistema de Gestão de IA (AIMS). Segue a mesma estrutura harmonizada de normas como a ISO 27001, o que facilita a integração com programas de segurança da informação já existentes. Funciona como a espinha dorsal formal da governança, políticas, papéis, auditoria, melhoria contínua.

– NIST AI RMF é um framework voluntário, organizado em quatro funções (governar, mapear, medir, gerenciar), com foco em risco e adaptação contínua. Não é certificável, mas é referenciado por reguladores e se tornou benchmark de mercado para avaliar a maturidade de governança de IA de fornecedores.

Na prática, a combinação funciona como estrutura e método: a ISO 42001 funciona como o esqueleto formal e o NIST AI RMF dá a metodologia de identificação e priorização de risco dentro desse esqueleto. Nenhuma empresa brasileira precisa escolher um em detrimento do outro. A tendência de mercado é justamente usá-los em conjunto, com a LGPD e o PL 2338/2023 como camada de exigência legal local.

A resposta está na governança, não na proibição

As organizações mais maduras não bloqueiam as inovações, mas criam mecanismos para utilizá-las de forma segura, ética e alinhada aos objetivos corporativos.

A maioria dos CIOs acredita conhecer todas as aplicações críticas da empresa, mas será que sabem dizer quantos GPTs personalizados estão operando dentro da sua organização sem que a TI saiba?

É exatamente esse o ponto de partida do Radar AI da Jump, uma das primeiras consultorias de tecnologia do Brasil a conquistar a certificação ISO/IEC 42001.

O Radar AI é uma solução para governança que auxilia as empresas no diagnóstico da situação atual e definição de processos e critérios de priorização de iniciativas de IA. A implementação acontece em etapas e o resultado é consolidado em um documento executivo estruturado para apoiar a leitura estratégica do cenário e orientar a tomada de decisão.

Afinal, a Ana Luisa não fez nada de errado, ela só queria trabalhar melhor. O papel da empresa não é impedir, mas mostrar um caminho oficial, com a governança que protege a empresa, o cliente e, no fim das contas, ela própria.

Agende uma reunião com os nossos especialistas e assuma o controle das informações da sua empresa com o RadarAI.