Toda semana alguma empresa publica no LinkedIn que acabou de lançar sua política de uso de IA.
O post tem bom engajamento. O jurídico fica satisfeito. O CEO menciona na próxima reunião de conselho.
E na segunda-feira seguinte, nada mudou na operação.
O time de vendas continua usando o ChatGPT para rascunhar propostas com dados de clientes. O financeiro continua exportando planilhas para ferramentas de IA externas. O RH continua usando sistemas de triagem automática sem nenhuma revisão humana documentada.
A política existe. A governança, não.
A diferença entre política e governança — não é semântica
Política é declaração de intenção. Governança é estrutura de controle.
Uma política diz: "Os colaboradores devem usar ferramentas de IA em conformidade com a LGPD e com os valores da empresa."
Governança responde: quem verifica? Como? Com que frequência? O que acontece quando alguém não cumpre? Quem é responsável por cada sistema em uso?
Política sem governança é texto. Resolve problema de imagem, não resolve problema de risco.
A distinção importa porque reguladores e auditores sabem a diferença. Um documento aprovado pelo jurídico não protege a empresa de uma auditoria que vai perguntar: "Mostre-me como essa política se operacionaliza no dia a dia."
Sem processo, sem evidência, sem controle — a política vira argumento contra a empresa, não defesa.
As 5 cláusulas mínimas
Toda política de uso de IA precisa ter pelo menos cinco elementos para ter alguma função real:
1. Escopo de aplicação. Quais ferramentas, quais dados, quais processos. Sem escopo definido, qualquer uso pode ser declarado fora da política quando convém.
2. Classificação de dados permitidos. Quais categorias de dados podem ser inseridas em ferramentas de IA externas. Dados pessoais de clientes, dados financeiros, propriedade intelectual — cada categoria tem tratamento diferente. A política precisa dizer qual.
3. Processo de aprovação de novos sistemas. Como um time solicita o uso de uma ferramenta de IA nova? Quem aprova? Em quanto tempo? Sem processo, o caminho mais fácil é usar sem pedir aprovação.
4. Responsabilidade sobre outputs. Quem revisa as decisões geradas ou suportadas por IA? Com que critério? A política precisa deixar claro que output de IA não é decisão final — é insumo que precisa de validação humana em casos de risco.
5. Consequências pelo descumprimento. Sem consequências definidas, a política é sugestão. Não precisa ser punitivo — precisa ser claro.
Precisa das ferramentas de governança?
Kit de templates prontos para implementação imediata.
Baixar kit de templates
O que o auditor verifica além do documento
O auditor não vai só ler a política. Vai verificar se ela existe na prática.
As perguntas típicas de uma auditoria de governança de IA:
"Quantos colaboradores foram treinados nessa política e quando?"
"Mostre-me o registro de aprovação das últimas três ferramentas de IA adotadas pela empresa."
"Qual foi o último incidente relacionado ao uso de IA e o que foi feito?"
"Como os fornecedores com IA embutida são avaliados antes da contratação?"
Nenhuma dessas perguntas é respondida pelo PDF da política. Cada uma exige evidência operacional: atas, registros de treinamento, logs de aprovação, relatórios de incidente.
Uma política de dez páginas sem uma dessas evidências vale menos, do ponto de vista de conformidade, do que uma política de duas páginas com processo funcionando.
Os erros mais comuns na política de IA
Política genérica copiada da internet. Visível a qualquer auditor experiente. A linguagem não reflete a operação real da empresa, os exemplos não fazem sentido para o setor, os controles são desconexos dos processos internos.
Política aprovada mas não comunicada. O documento existe no SharePoint, ninguém sabe que existe. Treinamento não foi feito. Gestores não foram orientados a aplicar.
Política que não menciona ferramentas de IA gratuitas. Foca nas ferramentas corporativas e ignora que o maior vetor de risco são as ferramentas que os times usam por conta própria — sem custo, sem contrato, sem visibilidade.
Ausência de processo de atualização. IA muda rápido. Uma política de 2023 já está desatualizada para os modelos e ferramentas que estão em uso hoje. Sem calendário de revisão, a política envelhece invisível.
Responsabilidade difusa. A política diz que "todos são responsáveis" — o que na prática significa que ninguém é. Precisa ter dono: pessoa ou área com responsabilidade formal pela política e pelo seu cumprimento.
Como sair do papel
O caminho da política para a governança tem três passos concretos.
Primeiro: diagnóstico do gap. Comparar o que a política diz com o que está acontecendo na operação. Onde o uso real diverge do uso prescrito? Esse é o risco exposto.
Segundo: processo mínimo funcionando. Antes de refinar a política, fazer funcionar o básico: processo de aprovação de ferramentas, inventário de sistemas em uso, responsável designado para cada sistema crítico.
Terceiro: evidência contínua. Criar o registro das decisões, aprovações e revisões. Não para encher gaveta — para poder demonstrar que o controle funciona quando alguém perguntar.
Política é o começo, não o destino.
Empresas que confundem os dois vão descobrir a diferença na hora errada — quando o regulador bate ou quando o incidente expõe o que o PDF não cobria.
Se ainda não tem política: o kit tem o template pronto, com as 14 cláusulas mínimas — alc.ia.br/kit.
Se já tem a política e quer saber se os controles existem na prática: o score de risco mede isso — alc.ia.br/score-risco.
E se quiser sair com o diagnóstico completo e o plano para fechar os gaps: alc.ia.br/diagnostico.