Shadow AI e proteção de dados pessoais: desafios para a governança cooperativista
A rápida disseminação da inteligência artificial no ambiente corporativo tem proporcionado ganhos relevantes de produtividade e eficiência, mas também evidenciou um novo e significativo risco para a conformidade com Lei Geral de Proteção de Dados Pessoais (LGPD) e as boas práticas Segurança da Informação: a chamada Shadow AI.
Esse fenômeno ocorre quando, por exemplo, colaboradores utilizam ferramentas de inteligência artificial (como chatbots públicos, geradores de texto ou soluções de análise de dados e código) sem aprovação formal, supervisão técnica ou governança institucional, muitas vezes motivados pela intenção legítima de otimizar tarefas do dia a dia.
No contexto das cooperativas esse uso não controlado representa um risco direto à conformidade legal e à segurança das informações. Some-se a isso o fato de que o modelo cooperativista é fundamentado na confiança mútua entre cooperados e gestão: um incidente de segurança não representa apenas um problema jurídico, mas pode abalar a própria essência do vínculo cooperativo.
Na prática, a Shadow AI se materializa quando dados pessoais e informações institucionais, como relatórios, contratos, dados cadastrais, informações financeiras ou registros de atendimento, são inseridas em ferramentas de IA não homologadas para obtenção de análises, resumos ou sugestões. O risco não está na tecnologia em si, mas no fato de que, ao realizar esse procedimento, as informações e dados pessoais ultrapassam o “perímetro de segurança” sem qualquer controle técnico, garantias de confidencialidade ou clareza quanto ao armazenamento, reutilização ou descarte dessas informações, que podem ser utilizadas para treinamento de modelos, ampliando significativamente os riscos de exposição.
Diferentemente dos ataques cibernéticos tradicionais, não há indícios claros de violação, como malware ou invasões e a exposição ocorre de forma silenciosa, decorrente de ações internas aparentemente inofensivas.
Sob a perspectiva da LGPD, a Shadow AI cria um conjunto relevante de vulnerabilidades. O uso não autorizado de dados pessoais viola princípios fundamentais desta legislação, como finalidade, necessidade, segurança, prevenção e responsabilização, além da ausência de rastreabilidade sobre onde e como as informações e dados pessoais foram processados, fragilizando a governança corporativa como um todo.
Para cooperativas, cuja cultura é baseada em colaboração e confiança, a abordagem mais eficaz envolve a adoção de políticas institucionais bem definidas com participação ativa do Encarregado pelo tratamento de dados pessoais (DPO) e das áreas de TI, sendo fundamental a orientação sobre o uso adequado de tecnologias de IA.
Nesse contexto, o maior risco já não reside apenas em agentes externos maliciosos, mas em práticas internas que podem comprometer a governança institucional. Antecipar esses riscos, estruturar uma governança para uso inteligência artificial e fortalecer a cultura de proteção de dados pessoais são medidas essenciais para preservar a confiança dos cooperados, a reputação institucional e os princípios fundamentais do cooperativismo.
