A inteligência artificial generativa entrou no vocabulário corporativo como sinônimo de produtividade. Ferramentas como ChatGPT, Copilot e Gemini prometem automatizar tarefas, gerar relatórios, revisar contratos e analisar demonstrações financeiras em segundos. Muitas empresas já adotaram — algumas com critério, a maioria sem.
Mas há uma pergunta que quase ninguém está fazendo:
Para onde estão indo os dados que alimentam essas ferramentas?
O cenário atual: nuvem versus infraestrutura local
Hoje, o mercado de IA empresarial se divide em dois caminhos fundamentalmente diferentes.
O primeiro — e mais comum — são as aplicações em nuvem. Modelos de linguagem hospedados em servidores externos, operados por empresas como OpenAI, Google e Microsoft, acessados via API ou interfaces SaaS. O custo de entrada é baixo. A implementação é rápida. A escalabilidade é imediata.
O segundo caminho são as aplicações locais — modelos de linguagem instalados em servidores próprios da empresa, rodando em ambiente controlado, sem tráfego de dados para fora da rede corporativa. O custo inicial é alto: hardware dedicado, GPUs, memória, infraestrutura. Mas o custo marginal de cada consulta adicional é praticamente zero.
A maioria das empresas brasileiras está escolhendo o primeiro caminho. E a maioria está fazendo isso sem entender o que está em jogo.
O problema que ninguém quer discutir
Quando um analista financeiro cola um balancete no ChatGPT para pedir uma análise, ele está enviando dados financeiros reais da empresa para servidores que não pertencem à organização. Quando um advogado usa IA generativa para revisar um contrato de M&A, os termos daquele contrato passam por infraestrutura de terceiros. Quando um controller pede para a IA projetar cenários de fluxo de caixa, ele está expondo a estrutura de capital da empresa.
A pergunta não é se a ferramenta é útil — ela é. A pergunta é: quem mais tem acesso a essas informações depois que elas saem do seu ambiente?
Dependendo da plataforma, os dados enviados podem ser armazenados e utilizados para aprimorar os serviços ou treinar modelos de IA, conforme previsto nos termos de uso e na política de privacidade. Esses dados podem ser transferidos internacionalmente e ficar sujeitos a diferentes regimes jurídicos, incluindo o do país onde são processados ou armazenados.
Traduzindo: o balanço da sua empresa pode estar treinando o modelo que o seu concorrente vai usar amanhã.
Os riscos específicos para finanças, jurídico e governança
Finanças
Dados financeiros são o ativo mais sensível de qualquer empresa. Projeções de receita, estrutura de endividamento, margens operacionais, cenários de estresse — tudo isso, uma vez exposto, pode ser explorado por concorrentes, credores e até reguladores de formas que a empresa não antecipou.
Uma empresa que sobe seu fluxo de caixa projetado para uma IA em nuvem está, na prática, publicando informação privilegiada em um ambiente que ela não controla. Se essa empresa é listada, o problema é ainda mais grave: a CVM exige controle rígido sobre informações que possam impactar o preço das ações.
Jurídico
Contratos, pareceres, estratégias de litígio, diligências de M&A — tudo protegido por sigilo profissional. No momento em que um advogado corporativo usa uma ferramenta de IA em nuvem para revisar ou gerar documentos, esse sigilo pode estar comprometido.
O privilegio advogado-cliente não sobrevive a uma quebra de confidencialidade voluntária. E enviar dados para um servidor externo, sem contrato de processamento adequado, pode ser exatamente isso.
Governança
Empresas que adotam IA sem política clara de uso estão criando um risco de governança silencioso. Quem controla o que é enviado para fora? Quem audita? Quem responde quando um dado sensível vaza — não por ataque, mas por uso descuidado de uma ferramenta que parecia inofensiva?
A maioria dos conselhos de administração brasileiros não tem sequer uma política formal de uso de IA generativa. Enquanto isso, seus colaboradores usam essas ferramentas todos os dias, com dados reais, sem qualquer controle.
LGPD: o elefante na sala
A Lei Geral de Proteção de Dados exige que o tratamento de dados pessoais tenha base legal, finalidade específica e que o titular seja informado sobre como seus dados serão utilizados. Exige também que transferências internacionais de dados sigam regras claras.
Quando uma empresa envia dados de clientes, colaboradores ou parceiros para uma plataforma de IA hospedada fora do Brasil, ela está realizando uma transferência internacional de dados. Se não há cláusulas contratuais adequadas, consentimento específico ou outra base legal que ampare essa transferência, a empresa está em descumprimento.
E o risco não é teórico. A ANPD já sinalizou que o uso de IA generativa está no radar de fiscalização. Multas podem chegar a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração.
Vale a pena levar a operação core para a nuvem?
A resposta curta: depende do que você chama de “operação core”.
Para tarefas genéricas — redigir e-mails, resumir documentos públicos, gerar código — a nuvem funciona bem. O risco é baixo porque os dados envolvidos não são sensíveis.
Mas para atividades que envolvem dados financeiros reais, informações jurídicas protegidas, dados pessoais de clientes ou estratégias de negócio, a equação muda completamente. O ganho de produtividade não compensa a exposição.
A pergunta correta não é “a IA é útil?”. É: “onde essa IA roda, quem tem acesso aos dados, e o que acontece se essas informações vazarem?”
O futuro: IA local como infraestrutura estratégica
O mercado está evoluindo. Modelos de linguagem open-source como LLaMA, Mistral e DeepSeek já entregam desempenho comparável aos modelos proprietários para a maioria das tarefas empresariais. E podem rodar inteiramente dentro da infraestrutura da empresa.
Sim, o investimento inicial é relevante. Servidores com GPUs dedicadas, memória de alta capacidade e infraestrutura de rede adequada têm custo. Não por acaso, o preço da memória de alta performance disparou nos últimos dois anos — reflexo direto da demanda por IA local.
Mas a lógica econômica é clara: enquanto a nuvem cobra por token consumido — e esse custo escalona com o uso — a infraestrutura local tem custo fixo. Depois do investimento inicial, cada consulta adicional custa praticamente zero. Para empresas com alto volume de uso, o payback é questão de meses, não de anos.
Mais importante que o custo: os dados nunca saem do seu ambiente. Não há transferência internacional. Não há risco de uso para treinamento de modelos de terceiros. Não há dependência de termos de uso que podem mudar a qualquer momento.
Para áreas financeiras, jurídicas e de governança, isso não é conveniência — é necessidade.
O que fazer agora
Não é preciso esperar o futuro para agir. Algumas medidas são imediatas:
- Mapeie o uso atual de IA na sua empresa — descubra quais ferramentas seus times estão usando e que tipo de dado está sendo enviado para fora
- Crie uma política de uso de IA generativa — defina o que pode e o que não pode ser processado em ferramentas de nuvem
- Classifique seus dados — nem tudo precisa do mesmo nível de proteção, mas dados financeiros, jurídicos e pessoais exigem tratamento diferenciado
- Avalie a viabilidade de IA local — para operações core, o investimento em infraestrutura própria pode ser mais econômico e mais seguro do que parece
- Envolva o conselho e a alta gestão — IA não é tema de TI. É tema de governança, risco e estratégia
A inteligência artificial vai transformar a forma como empresas operam. Isso é inevitável. O que não é inevitável é a forma como cada empresa escolhe proteger — ou expor — suas informações mais sensíveis nesse processo.
A Completa.pro atua como consultoria estratégica para médias empresas — com foco em governança, finanças corporativas e transformação digital responsável. Se você quer entender os riscos reais do uso de IA na sua operação antes que eles se tornem problemas, fale com um especialista.