Um dos pontos de destaque do relatório CX Trends 2025 revela uma tendência preocupante para as empresas: o crescimento exponencial do uso de inteligência artificial por parte dos funcionários sem o consentimento ou conhecimento das organizações. De acordo com a pesquisa, o uso de IA paralela, ou seja, ferramentas de IA externas e não aprovadas, aumentou em impressionantes 188% em cinco setores analisados, expondo as empresas a riscos significativos de segurança e conformidade.
O fenômeno da IA paralela
A pesquisa, que ouviu mais de 5.000 consumidores e 5.500 executivos em 22 países, aponta que quase metade dos agentes de atendimento ao cliente está recorrendo a ferramentas de IA não aprovadas para atender às suas necessidades no local de trabalho. Esse fenômeno, denominado 'IA paralela', registrou um aumento em todos os setores, o que acende um alerta para a segurança dos dados e a conformidade das operações.
O setor de saúde, um dos analisados, é o que registra o menor percentual de uso de IA sem o conhecimento das empresas. Em 2025 33% dos profissionais da área afirmaram realizar tal prática, enquanto em 2024 esse número era de 10%. Já entre aqueles que atuam no varejo o percentual de uso é de 43%, número 169% maior do que em comparação ao último ano. O percentual de profissionais que atuam com serviços financeiros usando IA sem o conhecimento dos empregadores cresceu 250% em um ano e chegou a 49% dos entrevistados.
Os setores de Manufatura e Turismo e hotelaria aparecem com o mesmo percentual. Ambos contam com 70% dos profissionais aderindo ao uso da IA sem as empresas saberem. O setor de manufatura saltou de 21% para 70%, enquanto Turismo e hotelaria saíram de 25% para os mesmos 70%. Em média, os cinco setores apresentaram um crescimento de 188% de incidência no uso da IA paralela em um único ano.
Além disso, os profissionais que afirmaram usar IA sem a aprovação da empresa responderam com qual frequência fazem isso. A maior fatia dos entrevistados, 52%, disseram usar frequentemente, enquanto 41% disseram usar com muita frequência. A menor fatia, 7% afirmaram usar raramente.
Riscos e Implicações da IA Paralela
O uso descontrolado de ferramentas de IA não aprovadas pode acarretar uma série de riscos para as organizações. A segurança da informação é uma das principais preocupações, já que dados sensíveis da empresa e de clientes podem ser expostos a plataformas de terceiros sem as devidas garantias de proteção. Além disso, a falta de conformidade com regulamentações de privacidade de dados, como a LGPD no Brasil, pode gerar multas e sanções significativas.
Denise de Araujo Berzin Reupke, advogada especialista em Direito Digital do L.O. Baptista, detalha os principais riscos dessa prático. " O uso não autorizado de IA ("shadow AI") por profissionais sem conhecimento, consentimento ou orientação oficial das empresas representa uma série de riscos críticos que podem comprometer a segurança jurídica e operacional das organizações. Os principais riscos incluem vazamento de segredo industrial, comercial e de negócio, violação à privacidade e proteção de dados pessoais, infração à propriedade intelectual, vulnerabilidades de segurança cibernética que abrem portas para ataques maliciosos; e geração de conteúdo inadequado ou decisões baseadas em dados enviesados, imprecisos ou fabricados pela IA."
Outro ponto crítico é a inconsistência na experiência do cliente. Se cada agente utiliza uma ferramenta de IA diferente, a qualidade e a padronização do atendimento podem ser comprometidas, afetando a percepção do cliente sobre a marca. A produtividade também pode ser impactada negativamente, pois a fragmentação de ferramentas pode levar a retrabalho e ineficiências.
Juliana Joppert Lopes, sócia do escritório Gaia Silva Gaede Advogados, reforça que o uso informal de IA generativa "pode configurar uma falha de segurança bastante significativa, atrelada à privacidade de dados. A inclusão de dados sigilosos em ferramentas externas que não tenham o devido controle pela organização pode comprometer a integridade dos sistemas internos, bem como ferir diretamente a LGPD. É comum que estas ferramentas façam o tratamento de dados fora do país, podendo descumprir as regras de transferência internacional de dados, por exemplo."
Responsabilidade Jurídica
Mesmo quando o uso de IA ocorre sem autorização da alta gestão, a empresa ainda pode ser responsabilizada por vazamentos ou incidentes. Denise afirma categoricamente: "Sim, a empresa será responsabilizada por vazamentos ou incidentes decorrentes do uso não autorizado de IA, independentemente do conhecimento da alta gestão." Ela explica que a Lei Geral de Proteção de Dados (LGPD) "estabelece responsabilidade objetiva para controladores e operadores, impondo obrigações rigorosas quanto ao tratamento de dados pessoais. O compartilhamento não autorizado de informações através de ferramentas de IA configura violação grave da legislação."
Juliana corrobora, dizendo que "independentemente da autorização da alta gestão a organização é responsável pelos danos causados, sejam eles decorrentes de vazamento de dados ou de outros incidentes da LGPD. Trata-se do dever de responsabilidade do controlador, que em último caso é sempre da empresa e não de seus funcionários."
Ambas as especialistas enfatizam o dever de segurança previsto na LGPD. Denise destaca que "a ausência de controle sobre o 'shadow AI' demonstra falha na implementação de políticas adequadas, podendo resultar em sanções administrativas para a empresa e responsabilização civil por danos causados." Juliana complementa que "é dever da empresa possuir uma boa governança de dados, mapeando todos os processos em que há tratamento de dados, delimitando riscos e estabelecendo planos de ação para sua eliminação e/ou mitigação."
Risco Sistêmico
Um único uso indevido de IA pode desencadear uma cadeia de erros ou falhas em processos críticos, transformando uma ação isolada em risco sistêmico. Denise exemplifica: "Um profissional que utiliza IA generativa não aprovada para redigir contrato complexo pode introduzir termos ambíguos ou cláusulas legais imprecisas. O erro pode passar despercebido, escalar para a execução contratual e resultar em litígios ou perdas financeiras significativas."
Juliana afirma que "um único uso indevido pode afetar toda a cadeia de decisões da organização, especialmente se esta informação incorreta for replicada em contratos, relatórios ou, até mesmo, na cadeia de produção da empresa."
Como as Empresas Podem Lidar com Isso?
Para evitar que esse tipo de comportamento se torne um risco sistêmico, Denise sugere a implementação de uma governança para uso ético e responsável de IA na organização, com "políticas claras e bem definidas, monitoramento contínuo, plano de resposta à incidentes, criação de comitês temáticos e multidisciplinares, engajamento da alta liderança, conduzir monitoramentos, realizar auditorias, treinamento e conscientização sobre os riscos, as implicações legais e melhores práticas."
Juliana resume a solução para tal problema. "O caminho para evitar que haja um erro sistêmico é, na verdade, o mesmo para todas as situações envolvendo utilização indevida de IA: a construção de uma boa governança em proteção de dados. A prevenção é sempre o melhor caminho. Portanto, é essencial que a organização construa seu mapeamento e diagnóstico, estabeleça seus planos de ação, realize treinamentos periódicos e monitoramento ativo, revisando fluxos sempre que necessário."
Diante da velocidade com que as tecnologias de IA estão sendo incorporadas ao dia a dia das equipes, muitas vezes sem mediação do setor de TI ou jurídico, as empresas precisam desenvolver uma política efetiva de uso de IA. Denise enfatiza que "é necessário construir política ágil, clara e adaptável que acompanhe a evolução tecnológica, estabelecendo diretrizes específicas que cubram aspectos técnicos, éticos e regulatórios." Ela detalha que a política deve estabelecer "princípios fundamentais; finalidades de uso permitidas; exemplos de uso aceitável e restrições; protocolos de segurança da informação; obrigatoriedade de revisão humana; requisitos de transparência; proteção à propriedade intelectual; e mecanismos claros de responsabilização. Adicionalmente, deve incluir treinamento obrigatório para todos os colaboradores; canais de comunicação para esclarecimento de dúvidas; ferramentas oficiais e seguras de IA; monitoramento de conformidade."
Juliana ressalta que "tratar o assunto é o primeiro passo. Grande parte das empresas não possui políticas claras ou sequer tratam do assunto. A criação destas políticas, o devido treinamento e o acompanhamento contínuo são essenciais para que haja uma real governança de dados e cultura digital." Ela também destaca a importância de que os funcionários "entendam como utilizar a IA a seu favor, considerando os riscos existentes e respeitando os limites definidos pela organização." Por fim, Juliana conclui que "empresas que possuem um bom programa de proteção de dados antecipam os riscos, utilizam-se do privacy by design, que basicamente é buscar prevenir as violações de proteção de dados ao invés de reagir aos problemas existentes."