>_
Modo Build
guiaJornada Builder

Governança básica para projetos com IA (o que todo builder precisa saber)

Não precisa ser advogado para entender o básico de privacidade, LGPD e responsabilidade em projetos com IA. Um guia prático para builders que não querem se preocupar com isso mais tarde.

22 de junho de 20268 min de leitura

Governança em IA soa como assunto de empresa grande com departamento jurídico e comitê de ética.

Na prática, a maioria dos problemas que builders individuais e pequenas equipes enfrentam são questões básicas de bom senso — que, quando ignoradas, criam dores de cabeça reais.

Essa aula não é um manual jurídico. É uma lista do que você precisa saber antes de colocar um projeto com IA no ar.

O que é dado pessoal (e por que importa)

A LGPD (Lei Geral de Proteção de Dados) define dado pessoal como qualquer informação que identifica ou pode identificar uma pessoa natural.

Isso inclui:

  • Nome, email, CPF, telefone
  • Endereço IP
  • Dados de localização
  • Comportamento no site (o que a pessoa clicou, quando)
  • Dados combinados que juntos identificam alguém

Por que importa para builders: se seu projeto coleta, processa ou armazena qualquer um desses dados — mesmo que você não venda, compartilhe ou use de forma maliciosa — você está sujeito à LGPD.

Isso não significa que você precisa contratar um advogado imediatamente. Significa que você precisa ter clareza sobre o que está coletando, por quê e o que faz com isso.

O problema de mandar dados de usuários para APIs de IA

Quando você envia texto para a API do Claude, GPT-4 ou Gemini, esses dados passam pelos servidores da Anthropic, OpenAI ou Google.

Se esse texto contém dados pessoais de usuários (nome, email, histórico de pedidos, informação de saúde), você está transferindo esses dados para um terceiro.

Isso tem implicações:

Consentimento — o usuário sabe que os dados dele estão sendo processados por um LLM? Se a sua política de privacidade não menciona isso, está incompleto.

Retenção — as APIs de LLM têm políticas diferentes sobre quanto tempo guardam os dados. A maioria das grandes empresas oferece opção de desabilitar retenção de dados para uso em treinamento (API tier). Verifique e configure.

Dados sensíveis — saúde, orientação sexual, dados financeiros detalhados, histórico criminal — nunca devem ir para APIs externas sem controles rígidos. Se seu produto precisa processar dados sensíveis com IA, você precisa de orientação jurídica específica.

O mínimo que todo projeto precisa ter

Política de privacidade — se você coleta qualquer dado de usuário, mesmo só email para newsletter, você precisa de uma política de privacidade. Pode ser simples, mas precisa existir e ser acessível.

O que ela deve cobrir:

  • Quais dados você coleta
  • Por que você coleta
  • Com quem compartilha
  • Por quanto tempo guarda
  • Como o usuário pode solicitar exclusão

Aviso de cookies — se você usa cookies (qualquer analytics, rastreamento, sessão), precisa informar e obter consentimento. Google Analytics, Hotjar, pixels de rastreamento — todos entram nessa categoria.

Acesso e exclusão de dados — pela LGPD, qualquer usuário pode solicitar acesso a todos os dados que você tem sobre ele e pedir exclusão. Você precisa ter um processo para atender essas solicitações.

Dados que nunca devem entrar no seu prompt

Além dos dados sensíveis por natureza (saúde, financeiro, etc.), há categorias que criam risco operacional:

Credenciais — senhas, API keys, tokens de acesso. Nunca no prompt. Se precisar que a IA interaja com sistemas autenticados, use variáveis de ambiente e injete na chamada, não no contexto.

Dados de produção em ambiente de teste — usar dados reais de clientes para testar uma funcionalidade nova é prática ruim. Crie dados sintéticos para desenvolvimento.

PII em logs — quando você loga as chamadas de API para debugar, verifique se não está logando dados pessoais. Um log com emails e nomes de clientes que fica num arquivo acessível é um risco.

Responsabilidade sobre o output da IA

O fato de a IA ter gerado um conteúdo não transfere a responsabilidade para a IA. Você é responsável pelo que publica — mesmo que a IA tenha escrito.

Isso é especialmente relevante para:

Afirmações factuais — se você publica um artigo gerado por IA com informações erradas, a responsabilidade é sua. Revise antes de publicar.

Conteúdo sobre terceiros — difamação, informações privadas não autorizadas, conteúdo que viola direitos autorais. A IA pode gerar; você responde pelo que publica.

Recomendações em áreas reguladas — saúde, finanças, direito, psicologia. Conteúdo gerado por IA nessas áreas sem disclaimer adequado pode configurar exercício ilegal de profissão regulamentada.

As três perguntas antes de lançar

Antes de colocar qualquer produto com IA no ar, responda:

  1. Quais dados estou coletando, e o usuário sabe? — Política de privacidade está clara e acessível.

  2. Quais dados estou enviando para APIs externas, e é adequado fazê-lo? — Dados pessoais de usuários precisam de atenção especial.

  3. Tenho como responder se alguém questionar o uso dos dados? — Você consegue explicar, atender solicitação de exclusão, mostrar onde os dados estão armazenados.

Se conseguir responder as três, o básico está coberto.

Não precisa de perfeição para lançar

Governança perfeita desde o dia zero é inviável para um builder individual.

O que você precisa no lançamento:

  • Política de privacidade básica
  • Não coletar mais do que precisa
  • Não mandar dados sensíveis para APIs sem necessidade
  • Ter um email de contato para solicitações de dados

O resto você implementa à medida que o produto cresce. Mas o básico acima não é opcional — é o piso mínimo.

// próximo na trilha · Arquitetura de IA · 13 de 13

Como usar analytics para tomar decisões no seu projeto digital

Dados não servem para admirar — servem para decidir. Aprenda o que medir, como ler os números certos e quando mudar de direção com base em evidência real.

8 min de leitura

#governança#lgpd#privacidade#ia#ética#segurança#builder