Sua empresa usa ChatGPT com dados pessoais? O caso OpenAI mostra onde está o risco

Sua empresa usa ChatGPT com dados pessoais? O caso OpenAI mostra onde está o risco

Em maio de 2026, autoridades de privacidade do Canadá divulgaram o resultado de uma investigação conjunta sobre o ChatGPT, da OpenAI. A apuração analisou como dados pessoais foram coletados, usados e divulgados no desenvolvimento e na disponibilização da ferramenta.

O caso chamou atenção porque os reguladores apontaram preocupações que hoje também aparecem no cotidiano de muitas empresas: coleta excessiva de dados, falta de transparência, dificuldades relacionadas a consentimento, acurácia das informações geradas, retenção e exercício de direitos pelos titulares.

Para empresas brasileiras, a notícia é um alerta importante. A discussão não é apenas sobre grandes empresas de tecnologia. Ela também alcança qualquer organização que usa IA generativa no atendimento, no RH, no jurídico, no marketing, na análise de documentos, na programação, em vendas ou em tarefas internas do dia a dia.

O problema não é usar IA. É usar sem governança.

Ferramentas como ChatGPT, copilots corporativos e assistentes generativos podem trazer produtividade real. O risco começa quando a empresa passa a inserir dados pessoais nessas ferramentas sem saber exatamente:

• quais dados estão sendo utilizados;
• se há dados de clientes, colaboradores, candidatos ou fornecedores;
• se há informações sensíveis ou de maior risco;
• se o fornecedor usa os dados para melhoria, treinamento ou retenção;
• por quanto tempo as informações ficam armazenadas;
• quem tem acesso aos registros;
• como o titular poderia exercer seus direitos;
• e se existe base legal e finalidade compatível para aquele uso.

Na prática, muitas empresas já estão usando IA antes mesmo de terem uma política interna mínima. Um colaborador resume uma reclamação de cliente, outro cola uma planilha com dados de leads, alguém do RH pede ajuda para comparar currículos, o jurídico revisa um contrato com informações pessoais e o time de atendimento usa histórico de conversas para gerar respostas automáticas.

Cada uma dessas situações pode envolver tratamento de dados pessoais.

O que a LGPD exige nessa conversa?

A LGPD não proíbe o uso de IA. Mas ela exige que o tratamento de dados pessoais tenha finalidade legítima, base legal adequada, transparência, necessidade, segurança e responsabilização.

Quando a IA entra na operação, a empresa precisa conseguir demonstrar que pensou nos riscos antes de usar a tecnologia. Isso se torna ainda mais relevante quando há:

• decisões automatizadas ou recomendações com impacto sobre pessoas;
• tratamento de dados de crianças e adolescentes;
• dados de saúde, biometria, localização ou outros dados de maior risco;
• uso de grandes volumes de informação;
• integração com CRM, ERP, help desk ou bases internas;
• compartilhamento com fornecedores internacionais;
• ou uso de IA em áreas como RH, crédito, educação, seguros, saúde e atendimento.

Nesses contextos, pode ser necessário avaliar a realização de um Relatório de Impacto à Proteção de Dados Pessoais, revisar contratos, ajustar avisos de privacidade e criar controles internos.

O checklist mínimo para usar IA generativa com mais segurança

Antes de liberar o uso amplo de ferramentas de IA, a empresa deveria responder a algumas perguntas práticas:

1. Quais ferramentas de IA estão sendo usadas?
   Muitas organizações não têm inventário. A primeira etapa é mapear as ferramentas oficiais e as usadas informalmente pelos times.
2. Que tipo de dado pode ou não pode ser inserido?
   A política interna deve deixar claro quando é proibido inserir dados pessoais, dados sensíveis, segredos comerciais ou documentos confidenciais.
3. O fornecedor usa os dados para treinamento?
   É preciso entender termos contratuais, configurações disponíveis, retenção, logs e opções corporativas de privacidade.
4. Há transparência para titulares?
   Se a IA afeta clientes, usuários, candidatos ou colaboradores, a empresa precisa avaliar se seus avisos de privacidade explicam esse uso de forma clara.
5. Existe revisão humana quando necessário?
   A IA pode errar, inventar informações ou reproduzir vieses. Em processos com impacto relevante, a revisão humana e a contestação precisam ser consideradas.
6. A empresa consegue responder a incidentes e pedidos de titulares?
   Se um dado pessoal foi inserido ou gerado em uma ferramenta de IA, é preciso saber como localizar, avaliar, corrigir, excluir ou justificar a retenção quando aplicável.

Privacidade precisa entrar no fluxo de adoção da IA

A grande lição do caso OpenAI é que inovação e privacidade não devem caminhar separadas. Quanto mais a IA se torna parte da operação, mais importante é que a empresa tenha governança documentada.

Isso não significa criar burocracia desnecessária. Significa definir regras simples, responsáveis e aplicáveis: o que pode ser usado, por quem, com quais dados, em quais ferramentas, com quais controles e com qual revisão.

Empresas que tratam IA apenas como tema de tecnologia podem descobrir tarde demais que o problema também é jurídico, reputacional, operacional e comercial.

Como a TOGETHER pode apoiar

A TOGETHER ajuda empresas a transformar a LGPD em rotina prática, inclusive no uso de novas tecnologias. No contexto de IA generativa, isso pode envolver inventário de ferramentas, política de uso aceitável, revisão de fornecedores, análise de riscos, orientação aos times e apoio contínuo do DPO as a Service.

Se sua empresa já usa ChatGPT, copilots ou outras ferramentas de IA, o melhor momento para organizar a governança é agora — antes que o uso informal vire um risco difícil de controlar.