Coonect — Inteligência Artificial Aplicada
Todos os artigos

Segurança

Os dados da sua empresa estão saindo sem você saber

10 de junho de 2026

"Ninguém planejou vazar nada"

Era uma segunda-feira comum. Uma analista de RH precisava redigir um comunicado delicado sobre uma demissão em massa. Sem tempo, sem inspiração, ela abriu o ChatGPT, colou os nomes dos funcionários, os cargos, os motivos internos e pediu ajuda para formatar o texto.

Em menos de dois minutos, ela tinha o comunicado pronto.

Em menos de dois minutos, dados pessoais e informações estratégicas confidenciais da sua empresa estavam nos servidores de uma empresa americana — sem contrato, sem política, sem rastreamento.

Ela não agiu de má-fé. Ela agiu com eficiência. E esse é exatamente o problema.

O vazamento que não parece vazamento

Quando falamos em vazamento de dados, a maioria dos gestores imagina um ataque hacker, um pen drive roubado ou um e-mail enviado para o destinatário errado. Esses cenários existem — mas não são os mais comuns no Brasil corporativo de 2025.

O vazamento mais frequente hoje não tem nome no sistema de segurança. Não dispara alarme. Não aparece no relatório de TI. Ele acontece toda vez que um colaborador usa uma ferramenta de IA pública para realizar uma tarefa do trabalho com dados reais da empresa.

E isso está acontecendo agora — na sua empresa, independentemente do seu tamanho ou setor.

Como os dados saem: os vetores mais comuns

Via ferramentas de IA generativa

ChatGPT, Gemini, Copilot, Claude — todas essas plataformas, quando acessadas por planos individuais ou sem contrato corporativo específico, recebem e processam tudo que o usuário digita. Contratos de clientes, planilhas financeiras, dados de fornecedores, estratégias comerciais, informações de RH.

O colaborador não pensa nisso como "vazamento". Ele pensa nisso como "trabalho".

Via ferramentas de produtividade conectadas à nuvem

Notion, Google Docs, Trello, Slack, Canva — plataformas amplamente usadas que sincronizam dados em servidores externos. Quando um funcionário cria um documento com informações sensíveis nessas plataformas usando a conta pessoal, a empresa perde o controle sobre onde esses dados estão e quem tem acesso a eles.

Via automações improvisadas

Colaboradores mais técnicos criam automações com Zapier, Make ou n8n conectando sistemas internos a serviços externos — sem aprovação de TI, sem mapeamento de fluxo de dados, sem avaliação de risco. O resultado é um pipeline de dados saindo da empresa de forma contínua e completamente invisível.

Via dispositivos pessoais

Trabalho híbrido e remoto normalizaram o uso de celulares e computadores pessoais para tarefas corporativas. Nesses dispositivos, não há controle de endpoint, não há política de uso e não há visibilidade sobre quais aplicativos têm acesso aos arquivos abertos.

O que os dados revelam sobre o problema

Mais de 60% dos profissionais do conhecimento no Brasil já usaram alguma ferramenta de IA no trabalho sem autorização formal da empresa.

Menos de 20% das empresas brasileiras tinham, em 2024, uma política estruturada sobre uso de IA por colaboradores.

Em empresas com mais de 100 funcionários, estima-se que existam, em média, mais de 40 ferramentas SaaS em uso que o departamento de TI desconhece completamente.

Esses números não descrevem empresas negligentes. Descrevem o estado atual do mercado — onde a adoção de tecnologia avançou muito mais rápido do que a capacidade de governar esse uso.

O que a LGPD diz sobre isso

A Lei Geral de Proteção de Dados é direta: a responsabilidade pelo tratamento adequado dos dados pessoais é da empresa controladora — não do funcionário que agiu de forma não autorizada.

Isso significa que se um colaborador enviou dados de clientes para uma plataforma de IA sem base legal, sem contrato de proteção e sem o consentimento adequado, a empresa responde. O funcionário pode ter agido de boa-fé. A ANPD não avalia intenção — avalia processo.

As consequências concretas incluem:

  • Multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração

  • Obrigação de notificar os titulares dos dados afetados

  • Dano reputacional com clientes e parceiros

  • Responsabilidade civil em casos de prejuízo comprovado ao titular

E há um agravante importante: o vazamento silencioso raramente é descoberto pela empresa antes de ser descoberto por terceiros. Quando o problema aparece, ele já tem histórico — e o histórico trabalha contra a empresa.

Por que isso é mais difícil de resolver do que parece

A resposta instintiva de muitos gestores quando tomam consciência desse problema é bloquear. Proibir o ChatGPT. Restringir o acesso a ferramentas externas. Criar uma lista de sites bloqueados.

Essa abordagem não funciona — e tende a piorar o problema.

Quando você bloqueia sem oferecer alternativa, o colaborador encontra outro caminho. Ele usa o celular. Ele usa a conta pessoal. Ele usa o computador de casa. A produtividade cai, a frustração aumenta e o comportamento de risco migra para um ambiente ainda menos visível.

A solução não é bloquear a produtividade. É estruturar o ambiente para que o trabalho eficiente e o trabalho seguro sejam a mesma coisa.

O que uma empresa estruturada faz de diferente

Uma empresa com governança de dados ativa não depende da consciência individual de cada colaborador para manter seus dados seguros. Ela constrói um ambiente onde as escolhas seguras são as mais fáceis e as mais naturais.

Na prática, isso envolve quatro camadas:

  1. Visibilidade — saber o que está acontecendo: Mapeamento de todas as ferramentas em uso, quais dados cada uma processa e se há base legal para esse processamento. Sem visibilidade, não há governança possível.

  2. Política — definir o que pode e o que não pode: Uma política de uso de ferramentas digitais e IA, simples e objetiva, comunicada para toda a equipe. Não um documento jurídico de 40 páginas — um guia prático que o colaborador consegue consultar em dois minutos.

  3. Infraestrutura — oferecer alternativa segura: Se a empresa não oferece uma ferramenta interna de IA, o colaborador vai usar a externa. A resposta ao Shadow AI não é a proibição — é a oferta de um ambiente controlado que entrega a mesma produtividade com segurança de dados.

  4. Auditoria — rastrear o que foi feito: Logs de uso, alertas de comportamento anômalo e revisões periódicas. A auditoria não é punição — é a capacidade de responder a um incidente com evidência, não com suposição.

O custo de não fazer nada

Existe uma lógica comum que mantém muitas empresas na inércia:

"Nunca tivemos problema. Por que mudar agora?"

O problema dessa lógica é que o vazamento silencioso não avisa quando acontece. Você não recebe uma notificação dizendo que os dados de 300 clientes foram processados por um servidor em Dublin sem base legal. Você descobre quando um cliente encontra seus dados em algum lugar onde não deveriam estar. Ou quando a ANPD bate na porta com uma notificação de investigação.

Nesse momento, o custo não é mais o custo de estruturar. É o custo de remediar — que é sempre maior, sempre mais urgente e sempre mais desgastante para a reputação da empresa.

O que a Coonect faz nesse cenário

A Coonect atua exatamente nessa interseção entre produtividade e segurança. Não chegamos para restringir o uso de tecnologia — chegamos para estruturá-lo.

Nosso processo começa com um diagnóstico real: quais dados a empresa trata, por quais ferramentas esses dados transitam, qual é o nível de exposição atual e o que precisa ser corrigido com urgência.

A partir daí, implementamos o ambiente adequado para o momento e o tamanho da empresa — seja um Gateway de IA que permite o uso seguro de modelos externos com anonimização automática, seja uma infraestrutura de IA privada completa para os casos que exigem soberania total.

O objetivo é sempre o mesmo: que o colaborador consiga trabalhar com eficiência máxima, e que a empresa consiga dormir tranquila sobre onde seus dados estão.

Conclusão

Os dados da sua empresa não estão saindo porque alguém é malicioso. Estão saindo porque as ferramentas ficaram mais rápidas do que as políticas. Porque a produtividade avançou mais rápido do que a governança. Porque ninguém parou para mapear o que estava acontecendo.

Esse é um problema gerenciável. Mas só enquanto você ainda tem o controle da narrativa.

Quando o problema aparece por fora — em uma notificação da ANPD, em uma reclamação de cliente, em uma reportagem — a janela de gestão proativa já fechou.

A pergunta não é se você vai estruturar isso. É se vai fazer antes ou depois de precisar.

Quer saber qual é o nível de exposição real da sua empresa hoje?

A Coonect realiza diagnósticos estruturados com mapa de riscos e plano de ação concreto.
Entre em contato: contato@coonect.com.br