Quando se fala sobre o uso de inteligência artificial (IA) dentro das empresas, logo vêm à mente os benefícios atrelados à tecnologia, como o ganho de eficiência e a possibilidade de direcionar os profissionais para tarefas de maior valor agregado. No entanto, essa moeda possui dois lados. Em troca dessa agilidade operacional, os modelos de IA generativos ainda apresentam alucinações, tornando indispensável a intervenção humana para revisar os resultados e impedir a disseminação de informações incorretas.
Visando diminuir essa necessidade de filtragem constante, a OpenAI lançou o GPT 5.5 com o objetivo de transformar a ferramenta em uma nova camada operacional dentro das empresas. O modelo foi desenhado para executar tarefas complexas em planilhas e documentos por meio de fluxos de trabalho autônomos. Além disso, caso o usuário autorize, a tecnologia passará a cruzar conversas e arquivos enviados por e-mail para calibrar as respostas e reduzir as falhas sistêmicas ao mínimo possível.
Dessa forma, a ferramenta agora consegue processar contratos, balanços e bases de e-mails mantendo uma memória persistente para o aprimoramento de interações futuras. Contudo, o que poderia representar um avanço técnico e uma evolução direta nos resultados corporativos esconde um vácuo regulatório que pode colocar em risco a segurança jurídica tanto dos usuários quanto das organizações.
Memória persistente
Um dos grandes desafios em torno do uso das novas funcionalidades do ChatGPT 5.5 gira em torno do armazenamento de dados sensíveis para a otimização de respostas futuras. Essa dinâmica se transforma em um problema complexo quando o sistema cruza informações de maneira tão profunda que se torna impossível rastrear e compreender o raciocínio lógico utilizado pelo algoritmo para chegar nas respostas oferecidas.
Diante dessa falta de explicabilidade, o departamento jurídico perde a capacidade de avaliar os critérios de decisão da máquina, o que aumenta o risco de criação de vieses cumulativos invisíveis e compromete a transparência dos processos internos. Para Patrícia Peck, sócia fundadora do Peck Advogados e membra do Comitê Nacional de Cibersegurança (CNCiber) e da Comissão de Proteção de Dados do Conselho Nacional de Justiça (CNJ), a mitigação desse cenário exige um comprometimento institucional com a inserção de informações claras e prévias.
Na visão de Peck, cabe ao corpo jurídico assegurar a conformidade regulatória por meio de procedimentos efetivos de revisão humana. Da mesma forma, as empresas devem manter o registro e a guarda de toda a documentação relacionada aos critérios usados para alimentar e treinar a ferramenta, bem como os relatórios de seus resultados. "Esse processo envolve a implementação de mecanismos de controle e salvaguardas (guardrails) para possibilitar a verificação, a revisão, a reversão e a eventual justificativa para o que foi obtido pela automação dessas funções", complementa Peck.
Os riscos da ferramenta
Gustavo Biagioli, chief compliance officer e legal director do Trench Rossi Watanabe, acredita que as ferramentas de inteligência artificial representam diferentes níveis de ameaça à segurança corporativa. Diante desse desafio, o executivo indica que os passos fundamentais para que as organizações mitiguem esses efeitos negativos envolvem a contratação de licenças corporativas, a realização de testes em ambientes controlados (sandbox) e a homologação prévia dos sistemas.
Contudo, no caso específico do GPT 5.5, muitos profissionais podem operar a ferramenta em uma licença aberta, modalidade na qual todas as informações inseridas são automaticamente compartilhadas com a desenvolvedora para o treinamento do modelo, gerando um risco iminente de vazamento de dados sensíveis.
Para o executivo, esse cenário se agrava ainda mais por conta das conexões nativas com serviços de e-mail, ambiente onde o algoritmo ganha permissão para acessar e ler as mensagens de forma automatizada. É por essa razão que, na visão dele, o modelo aberto é útil apenas quando se busca rapidez na primeira onda de inovação, mostrando-se totalmente inviável para a advocacia.
Além do compartilhamento involuntário de dados, o executivo também cita o uso de má-fé da inteligência artificial como uma nova vertente de risco no mercado. Para ilustrar o problema, ele relembra o caso das advogadas do Pará que inseriram uma instrução oculta dentro de uma peça processual. A manobra foi detectada pelo Tribunal de Justiça.
"Além da questão preventiva, há também a necessidade de um contra-ataque a esse tipo de utilização mal-intencionada. Essa também é uma tarefa que a IA não vai executar sozinha; a mitigação vai precisar do conhecimento técnico-jurídico do profissional para fazer os bloqueios e as verificações necessárias", complementa Biagioli.
Pontos de vulnerabilidade
Outro gargalo operacional que fomenta o debate técnico em torno do GPT 5.5 diz respeito à Interface de Programação de Aplicações (API). Essa tecnologia que consiste em um conjunto de regras e protocolos que permite a comunicação entre diferentes sistemas. O perigo reside no fato de que, durante essa troca automatizada de informações, torna-se praticamente impossível rastrear quais dados estão sendo coletados para treinar novos modelos de linguagem.
Diante dessa barreira, Wilson Silva, CEO e fundador da WS Labs, ecossistema de tecnologia voltada para a aplicação de IA e automação nos negócios, defende que as companhias precisam estruturar urgentemente uma política de governança de dados. "Embora o Brasil seja hoje o terceiro maior usuário do ChatGPT no mundo, a adoção institucional ainda é muito rasa e carece de governança. Vemos no mercado um excesso de uso de IA por funcionários que aprenderam a mexer por conta própria, já que as empresas, na maioria das vezes, não disponibilizam um pacote corporativo homologado."
O fundador da WS Labs observa que os colaboradores enxergam o ecossistema generativo como um assistente essencial para o dia a dia. Por essa razão, quando a companhia não oferece uma versão corporativa adequada, o funcionário acaba recorrendo à sua conta pessoal, elevando a exposição de ativos digitais sigilosos. Sob essa ótica, o empresário reforça que as organizações devem criar ambientes controlados para que a transição tecnológica ocorra com o menor impacto possível à segurança interna.
O problema do sigilo
Um colaborador chega para trabalhar em uma quarta-feira de manhã. No meio da semana, pressionado por muitas demandas para entregar, ele acaba recorrendo ao GPT 5.5 para auxiliar na criação de um relatório para a gerência ou até mesmo para terceiros. Contudo, a resposta do algoritmo vem repleta de dados sensíveis aos quais somente a alta gestão deveria ter acesso.
O que pode parecer apenas um cenário hipotético tem grandes chances de se tornar realidade dentro das organizações. Para mitigar esse tipo de vazamento interno, Wilson Silva afirma que a melhor forma de blindagem corporativa é a estruturação de uma governança de permissionamento rígida desde o início da cadeia informacional.
"Por meio da segmentação de acessos, é possível criar agentes focados em diversas frentes e definir o nível de permissionamento de cada um. Com isso, a empresa pode mapear um agente para atuar em várias pontas, garantindo que cada perfil acesse apenas o conteúdo que lhe for autorizado", recomenda Silva.
Para além do ambiente interno, existe um risco ainda mais grave: o vazamento de dados para fora da estrutura organizacional. Para evitar esse tipo de incidente dentro do Trech Rossi Watanabe, Gustavo Biagioli afirma que o escritório utiliza somente plataformas homologadas pela banca, o que significa que, independentemente da natureza da informação, as equipes partem do princípio de que a prestação do serviço advocatício é estritamente confidencial.
"Não cabe ao advogado ou ao estagiário fazer uma avaliação pontual sobre o caráter sigiloso de cada dado", enfatiza Biagioli. "O profissional deve simplesmente assumir que tudo o que processa dentro do escritório possui caráter confidencial, inclusive porque a atividade está protegida pelo privilégio da confidencialidade nas comunicações entre advogado e cliente, um dos pilares da prática jurídica."
Apoiada nessa premissa, a banca reforçou sua governança interna para alinhá-la à incorporação da tecnologia na rotina de trabalho. O processo de homologação conduzido pelo escritório envolveu a análise de todas as salvaguardas oferecidas pelas desenvolvedoras de tecnologia, assegurando que os colaboradores não utilizem ferramentas fora do ecossistema contratado.
"A grande blindagem está em trabalhar com as chamadas licenças enterprise, desenvolvidas especificamente para o mercado corporativo, nas quais nenhum dado inserido pode ser utilizado para treinar o modelo de linguagem", destaca Biagioli. O executivo reforça que essa restrição contratual serve como cláusula pétrea para as grandes corporações. "Essa é uma condição expressa e um dos pré-requisitos para que qualquer ferramenta de IA seja homologada internamente: ela precisa estar em um formato de licença corporativa que impeça a licenciadora de coletar os dados para melhorias globais do sistema."
A conta chega para quem?
Para justificar a narrativa de que o GPT 5.5 está se tornando cada vez mais eficiente, a OpenAI divulgou novos dados técnicos sobre a performance da ferramenta. Esses avanços fazem com que a inteligência artificial esteja mais presente do que nunca nas rotinas corporativas, avançando do campo das respostas simples para o ambiente de execução autônoma de processos.
No entanto, essa maior autonomia vem com um custo. Caso ocorra um vazamento de dados sensíveis por e-mail ou uma falha grave em planilhas financeiras, a culpa recai sobre a empresa que implementou a tecnologia ou sobre a desenvolvedora da IA utilizada sem as devidas travas de governança? Patrícia Peck traz um esclarecimento para essa questão.
O paradoxo da produtividade
Refletindo a rápida adoção dessa tecnologia, uma pesquisa global realizada pela Netskope aponta que 77% das empresas utilizam o ChatGPT em seus processos diários. No entanto, o mesmo estudo traz um alerta para o mercado: as violações de segurança e os incidentes relacionados a políticas de dados afetaram 25% das grandes companhias participantes do levantamento. Elas registraram uma média de 2.100 ocorrências mensais, sendo que 13% desse total envolveu a base de usuários de ferramentas de IA generativa.
Diante de um cenário tão volátil, a atuação da área de compliance passa a ser essencial para construir uma governança técnica capaz de bloquear o acesso dos algoritmos a pastas sensíveis, como folhas de pagamento e segredos industriais, sem restringir a produtividade prometida pelo GPT 5.5.
Nesse contexto, Vanessa Lima Nascimento, sócia responsável pela área de Compliance e Privacidade do Martinelli Advogados, acredita que o maior erro das organizações é tentar mitigar um risco técnico apenas com governança documental. Isso ocorre porque uma IA com as capacidades do GPT 5.5 possui amplo acesso à informação, permitindo ao algoritmo correlacionar, indexar e até mesmo inferir dados de forma generalizada.
"Nesse sentido, o que está escrito em uma política ou em um contrato funciona apenas como uma barreira inicial de mitigação de riscos. É necessário implementar controles técnicos reais, como a classificação automática de dados críticos e a inserção de mecanismos de DLP (Prevenção de Perda de Dados) que bloqueiem o encaminhamento automático para integrações de IA, pois as regras regulamentares sozinhas não são capazes de evitar incidentes", completa Nascimento.
Garantia do não uso de dados
Para impedir que as informações inseridas na ferramenta sejam utilizadas no treinamento de futuros modelos ou mantidas em um cache persistente fora da jurisdição nacional, Vanessa Lima Nascimento indica que um contrato genérico não resolverá os riscos jurídicos envolvidos nesse tipo de contratação.
Diante dessa assimetria de poder de barganha, a especialista aponta que as minutas devem conter proibições explícitas, como as cláusulas de No Training, impedindo o uso de dados corporativos para o aperfeiçoamento de modelos globais de IA ou sua manutenção em servidores internacionais.
"Do mesmo modo, o contrato deve definir o prazo máximo de retenção, bem como a proibição de caching persistente fora da jurisdição especificada na minuta contratual. Também é importante a previsão de uma cláusula de data residency que exija que todo o processamento ocorra em data centers localizados no Brasil", orienta Nascimento.
Inviabilidade financeira
À medida que a capacidade operacional cresce, o processamento de dados contextuais contínuos e a memória persistente passam a exigir maior poder computacional, elevando os custos de TI dentro das organizações. Wilson Silva aponta que essa preocupação orçamentária já é um tema recorrente em conversas com várias lideranças corporativas.
"Esse é um cenário que pode acontecer, vou ser muito honesto. Mas, dado o ritmo de evolução atual, com novas LLMs surgindo todo dia e a China avançando absurdamente, acho pouco provável que esse custo dispare de forma inviável. A tendência macro é de democratização das ferramentas", pondera Silva.
No entanto, para blindar o orçamento contra oscilações de mercado, Wilson recomenda que o contrato preveja a possibilidade de substituição do modelo de linguagem (LLM) caso o custo previsto seja alterado de forma desproporcional. "Dessa forma, é possível ajustar o fornecedor sem impactar a operação do cliente. Várias empresas de tecnologia não preveem essa flexibilidade e ficam vulneráveis."
Segurança comprovada
Gustavo Biagioli revela que, no momento em que o ChatGPT estourou no mercado, houve uma preocupação generalizada dos clientes da banca, que enviavam ofícios formais ao Trench Rossi Watanabe proibindo o uso de inteligência artificial. "‘Por favor, não jogue nada do que é meu no ChatGPT. Se estiver fazendo isso, estará em desacordo com o nosso contrato.’ Essa foi a primeira reação do mercado", relembra Biagioli.
Contudo, após a acomodação inicial da tecnologia, o executivo notou que os comunicados de proibição cessaram e a dinâmica migrou para o oposto. Atualmente, as empresas questionam como a banca está reduzindo os custos da prestação do serviço jurídico por meio da automação. "A tendência agora é chegarmos a um meio-termo, e é aí que entra a governança. Os contratantes estão mais interessados em discutir a fundo esses critérios, até porque a curva de maturidade da IA nos departamentos jurídicos avançou rapidamente", complementa Biagioli.
O diretor de compliance tem observado que o mercado caminha para a normalização de boas políticas de uso de IA entre as bancas. Contudo, não são todos os escritórios que possuem uma estrutura desse tipo bem consolidada. Para mitigar esse cenário, Biagioli indica aos escritórios que ainda não estruturaram essa governança seguir a Recomendação 101/2024 da OAB Nacional como um excelente ponto de partida para o desenho das regras internas.
"Todo escritório vai precisar ter uma boa política de governança e precisará mostrar ao cliente o que está sendo aplicado em termos de proteção e mitigação dos riscos que a IA representa. Ninguém quer parar de usar; pelo contrário, quer usar cada vez mais. Mas os perigos inerentes a essa utilização precisam ser mitigados", encerra Biagioli.