Uso de agentes de IA expõe empresas a riscos de privacidade
15 de abril de 2026
A adoção acelerada de agentes de inteligência artificial tem acendido alertas globais sobre riscos de privacidade e proteção de dados nas empresas, requerendo ações afirmativas de governança, controle e monitoramento.
A adoção acelerada de agentes de inteligência artificial (IA) com acesso direto a sistemas corporativos tem acendido alertas globais sobre riscos de segurança, privacidade e governança de dados. Autoridades internacionais, como a Autoridade Holandesa (Autoriteit Persoonsgegevens) e o Privacy Commissioner for Personal Data de Hong Kong, já recomendam cautela no uso dessas tecnologias, especialmente em ambientes que tratam dados sensíveis ou confidenciais.
Órgãos reguladores destacam que agentes de IA podem operar com níveis elevados de acesso, sendo capazes de ler e modificar arquivos, acessar credenciais e executar ações automatizadas sem intervenção humana. Esse modelo amplia significativamente a superfície de ataque e eleva o risco de vazamentos, uso indevido de dados e comprometimento de sistemas críticos.
O tema ganha ainda mais relevância diante de dados recentes de mercado. Segundo estudos globais consolidados por relatórios como o IBM Security, o custo médio de um incidente de vazamento de dados atingiu US$ 4,4 milhões. Outras análises indicam que 42% dos vazamentos de dados ocorreram pelo uso de serviços de IA públicos. A adoção de inteligência artificial avança mais rapidamente do que a capacidade de governança das organizações: apenas 26% das empresas estudadas informam ter políticas estabelecidas e divulgadas para seus colaboradores.
A falta de visibilidade e compreensão dos tratamentos gera um risco invisível e não mensurável para as organizações, expondo-as a impactos financeiros e reputacionais.
Cadeia de fornecedores amplia risco e exige governança
Um dos pontos mais críticos está na cadeia de fornecedores e no ecossistema de integrações desses agentes. Diferentemente de aplicações tradicionais, agentes de IA operam conectados a múltiplos serviços, APIs e plugins de terceiros, muitas vezes sem validação adequada pelas áreas de tecnologia, privacidade ou jurídico.
Estudos apontam que cerca de 30% dos vazamentos de dados têm origem em terceiros, enquanto mais de 75% das empresas já enfrentaram incidentes relevantes ligados à cadeia de suprimentos digital. Esse cenário reforça a necessidade de gestão contínua de riscos em fornecedores.
“O modelo atual cria um efeito cascata: uma falha em um fornecedor pode impactar simultaneamente diversas organizações conectadas ao mesmo ecossistema digital. Em ambientes com agentes autônomos, esse risco é potencializado pela capacidade de execução automática de tarefas”, afirma Alexandre Antabi, diretor da Macher Tecnologia.
Shadow AI reduz controle e aumenta exposição
Outro vetor relevante é o chamado “shadow AI”, quando colaboradores utilizam ferramentas de inteligência artificial sem aprovação das áreas de tecnologia e segurança. Levantamentos de mercado indicam que cerca de 48% das empresas já identificaram funcionários inserindo dados corporativos em plataformas de IA, incluindo informações sensíveis.
Esse comportamento reduz a capacidade de controle, auditoria e rastreabilidade das organizações, dificultando o cumprimento de obrigações legais como as previstas na Lei Geral de Proteção de Dados (LGPD).
DPO assume papel central na governança de IA
Nesse contexto, o papel do Encarregado de Dados (DPO) ganha protagonismo. Mais do que uma função jurídica, o DPO passa a atuar como elo entre tecnologia, segurança e estratégia de negócio, sendo responsável por estruturar mecanismos de governança para o uso seguro da inteligência artificial.
“O uso de agentes de IA exige uma abordagem estruturada de governança. O DPO precisa atuar desde a avaliação de risco até a definição de controles, incluindo análise de fornecedores, revisão de bases legais e implementação de privacy by design e security by design”, explica Alexandre Antabi.
Na prática, a atuação do DPO envolve desde a condução de avaliações de impacto à proteção de dados (RIPD/DPIA), passando pelo mapeamento de fluxos de dados e integrações externas, até a definição de políticas internas, treinamento de colaboradores e monitoramento contínuo de riscos e incidentes.
LGPD amplia responsabilidade sobre terceiros
A LGPD estabelece que as organizações são responsáveis pelo tratamento adequado dos dados pessoais, inclusive quando há compartilhamento com terceiros. Na prática, isso significa que falhas em fornecedores, parceiros ou ferramentas externas não eximem a empresa de responsabilidade regulatória.
No contexto de agentes de IA, esse desafio se intensifica, já que decisões automatizadas podem resultar em tratamento indevido de dados sem visibilidade imediata, ampliando riscos jurídicos e operacionais.
Governança define sucesso na adoção de IA
Apesar dos riscos, o especialista da Macher Tecnologia destaca que a inteligência artificial continua sendo um vetor essencial de inovação e produtividade. A diferença, segundo ele, está na forma como essas tecnologias são adotadas.
Organizações que estruturam governança de privacidade e proteção de dados desde a concepção conseguem reduzir riscos e acelerar a adoção de forma segura. Por outro lado, empresas que implementam IA sem controles adequados tendem a enfrentar não apenas incidentes de segurança, mas também impactos reputacionais e sanções regulatórias.
Website: https://www.machertecnologia.com.br
