ChatGPT Sem Medo: IA Sem Comprometer Seus Dados

Pessoal, essa aula de hoje do CR_IA, uma aula ao vivo, é para vocês aprenderem a usar a inteligência artificial com um pouco mais de segurança, evitando comprometer seus dados. Vou dividir com vocês hoje uma série de boas práticas que, não sei se vocês já guardaram, têm a ver com políticas de uso de ferramentas, mas também com bom senso em algumas coisas que aprendemos ao longo do tempo aqui, pesquisando como essas ferramentas funcionam, lendo práticas de uso, e nos informando com especialistas das áreas técnica, tecnológica e jurídica.

Acho importante dizer que esse conteúdo já é discutido um pouco na nossa versão mais recente da aula magna. Vocês provavelmente vão se lembrar de algumas dessas coisas da sua primeira aula do CR_IA, mas são alguns pontos aqui que não são tão detalhados lá, ou até são pontos novos. Por isso, é importante dividir com vocês essas diretrizes e boas práticas. Então, vamos lá.

A primeira recomendação, que parece óbvia, mas nem sempre é, é você se resguardar da perspectiva de não incluir dados sensíveis na ferramenta. Mas o que são dados sensíveis? No Brasil, o uso de dados é regulado pela LGPD, a Lei Geral de Proteção de Dados, que define como processamos, transformamos, usamos, acessamos e analisamos dados. Todo tipo de trabalho que fazemos precisa obedecer às leis da LGPD, que indicam o que são dados sensíveis, sigilosos ou pessoais.

O que recomendamos? Primeiro, obviamente, converse com um especialista em LGPD, um advogado especializado em proteção de dados. Se você trabalha numa empresa, certamente tem alguém no jurídico ou um consultor externo responsável por essa área. Se você é um profissional autônomo, é importante pesquisar e entender que tipo de dado você precisa proteger melhor.

A segunda recomendação é: qualquer dado primário precisa ser cuidado. O que é dado primário? É aquele que identifica o indivíduo de forma única. Os mais valiosos são, por exemplo, o CPF — ele é único e identifica a pessoa de forma exclusiva. Pode ser possível identificar uma pessoa por nome? Em alguns casos sim, em outros não, porque o nome pode ser muito comum. Mas se você tiver nome junto com telefone, esse dado já se torna mais sensível.

Em qualquer caso em que o dado possa identificar uma pessoa, seja explicitamente ou de forma ambígua — nome, telefone, endereço — são dados que não necessariamente identificam unicamente, mas são sensíveis e podem configurar infração de privacidade. E-mail também é um dado sensível. Esses dados não são recomendados para inclusão em plataformas como o ChatGPT ou qualquer outro chatbot.

Claro que existem formas de trabalhar com esses dados dentro de ferramentas, como a anonimização de dados. Você faz um mapeamento dos seus dados sensíveis, e substitui esses dados por identificadores numéricos, tipo códigos aleatórios, para usar esses identificadores na ferramenta e depois resgatar o dado original quando necessário. Se precisar anonimizar uma grande quantidade de dados, vai precisar de ajuda profissional, seja interno ou autônomo.

No geral, a diretriz é: evite incluir dados sensíveis, e se precisar, faça a anonimização.

Além da anonimização, no ChatGPT, por exemplo, existem planos com diferentes níveis de segurança e controle dos dados. O plano Pro, que é pago, tem menos controle, enquanto os planos Team e Enterprise — pagos e voltados para empresas — oferecem maior proteção, controle e garantias de que os dados não serão usados para treinar o modelo. Além disso, você pode garantir a exclusão dos seus dados nestes planos.

Recomendamos que para trabalhos frequentes e amplos com dados sensíveis, usem o ChatGPT nos planos Team ou Enterprise, porque eles oferecem maior segurança, evitando vazamento e espionagem industrial.

É importante também que esses conhecimentos cheguem para profissionais que não são do jurídico, mas que precisam entender como lidar com essas ferramentas. Do mesmo jeito que começamos a ter noção de LGPD, precisamos entender como trabalhar com IA.

Outro jeito de aumentar a segurança é desligar o treinamento da ferramenta. No ChatGPT, isso pode ser feito em configurações, na opção “controlar dados”, desativando a opção de usar seus dados para melhorar o modelo. Assim, seus dados não serão usados para treinar e aprimorar o ChatGPT, o que é uma configuração importante para quem quer mais segurança.

Explicando o que significa usar dados para treinamento: quando você insere uma informação no ChatGPT, a ferramenta pode aprender com esse conteúdo e, teoricamente, pode usar essa informação para responder a outra pessoa. Porém, o funcionamento real é complexo; o modelo usa associações estatísticas entre palavras (tokenização) para gerar respostas, sem memorizar dados completos. Ele fragmenta os textos em tokens, que são pedaços pequenos, podendo ser palavras ou parte delas.

Existe risco sim, porque se forem fragmentos grandes e repetidos, pode haver vazamento de informações sensíveis. Por isso, é recomendável desligar o treinamento em casos de uso com dados sensíveis. Mas, se não desligar, não significa que tudo que você colocar será automaticamente vazado ou usado inadequadamente.

É fundamental também ler os termos de uso das ferramentas. Eles mudam com frequência e são diferentes para cada ferramenta. No CR_IA, falamos muito do ChatGPT, mas ferramentas como o Copilot da Microsoft, que é muito usado em corporações, têm políticas diferentes e geralmente oferecem algum nível de proteção para grandes clientes.

Algumas ferramentas são mais transparentes quanto à origem dos dados usados para treinar, outras menos. Se a segurança e origem dos dados são preocupações para você, a leitura dos termos é essencial. Você pode pedir ajuda à IA para interpretar os termos, copiando e colando, para entender melhor.

A transparência é fundamental para que você possa fazer escolhas baseadas em fatos reais sobre o uso dos seus dados. Sem essa informação, fica muito difícil avaliar os riscos e benefícios do uso.

No Brasil, as corporações já têm políticas de LGPD para proteger dados. Analogamente, elas vão precisar criar políticas de governança de dados para inteligência artificial. Essa governança é diferente da LGPD, porque precisa contemplar outras questões específicas da IA, embora tenha conexões com a proteção de dados. Por exemplo, o ChatGPT está regulado pelas leis dos Estados Unidos, mas se está no Brasil, precisa funcionar conforme nossas leis. Quem fiscaliza isso não somos nós, mas o Ministério Público e a Autoridade Nacional de Proteção de Dados (ANPD).

Recentemente, a ANPD proibiu o Meta de usar dados pessoais para treinar seu modelo de IA, uma decisão inédita que ainda não ocorreu em outros países. O Meta afirmou que irá cumprir, mas possivelmente tentará contornar regulatoriamente. Essa decisão é complexa porque, embora legítima e buscando maior transparência, ela provoca consequências. As redes sociais já usam dados para treinar algoritmos preditivos, por exemplo, os feeds do Facebook e Instagram.

Essa proibição da ANPD vale para IA generativa, mas não para o uso habitual de dados nos feeds preditivos. Se tivermos clareza maior sobre como os dados são usados, podemos avaliar melhor o risco. Por exemplo, se o uso é fragmentado, tokenizado, e apenas para entender associações de palavras, o risco é menor.

Entretanto, essa transparência não existe totalmente nas Big Techs, o que gera regulamentos que, às vezes, refletem desconhecimento da tecnologia, como a resolução da ANPD. Eu não estou justificando, apenas expondo que essa resolução é precipitada e baseada em conhecimento incompleto.

É preciso lembrar que a IA precisa ser treinada com dados culturalmente diversos para evitar vieses e distorções. Se o Brasil não tem uma IA treinada com seus próprios dados, a tecnologia fica enviesada para outras culturas e realidades.

Portanto, a resolução da ANPD, ao excluir os dados brasileiros do treinamento do Meta, pode agravar esse problema. Falamos isso porque a falta de políticas de governança de IA reflete um desconhecimento generalizado, inclusive do poder público regulatório.

Eu sou uma das pessoas que mais defendem a regulamentação da IA, mas acredito que ela precisa ser feita com a participação da sociedade civil e de especialistas tecnicamente capacitados para que seja eficaz e justa, evitando legislações ruins que bloqueiam inovações ou não possam ser cumpridas. É importante que a regulamentação não seja impossível de fiscalizar, pois isso comprometeria sua eficácia.

A criação de políticas internas de governança de IA nas empresas envolve, inclusive, equipes jurídicas. Muitas empresas que treinamos têm esse desafio e contratam consultorias especializadas para desenvolver essas políticas, contemplando usos seguros dos dados, definição do que é ético ou não, responsabilidades dos colaboradores e limites claros.

Enquanto não houver uma política estruturada, o uso da IA na empresa será arriscado e pode gerar liability ao jurídico da empresa, que sofre pressão para desenvolver essas diretrizes.

Falando sobre confiança nas políticas de uso das ferramentas, pergunto: quanto você confia na política de uso da OpenAI? E da Meta? E do Twitter? E das lojas de apps? Sabemos que essas empresas não são totalmente transparentes, e devemos ter cautela semelhante à que usamos com outras tecnologias.

A desconfiança é justificada porque estamos lidando com uma tecnologia nova, com grande potencial. Mas também entregamos nossos dados para essas corporações há muito tempo, sem exigir regulação.

Se vamos questionar se devemos confiar nossos dados na OpenAI, devemos também questionar a confiança nas outras empresas do setor, e perguntar quem garante que essas empresas seguem regras que impedem crimes e garantem direitos usualmente associados a dados — inclusive a possibilidade de sermos recompensados pelo uso dos nossos dados.

Essa é uma provocação para você refletir: se desconfia de uma empresa, por que confia nas outras? E, se não confia em nenhuma, por que não toma atitudes?

É consenso entre especialistas em IA que a regulação existe e é necessária. O que não é consenso é como fazê-la, mas nem os empresários mais liberais defendem a ausência total de regulação.

Portanto, precisamos estar aptos para essas discussões, e para isso precisamos nos questionar.

Sobre direitos autorais, uma dúvida comum, tenho duas recomendações:

1. Registre os processos que percorre para chegar a um resultado. Por exemplo, se você gera uma imagem e quer que ela tenha uso comercial, e sua empresa não tem uma política que direcione isso, registre todos os prompts usados, os resultados intermediários e o processo até a imagem final.
2. Use a IA como copiloto. Participe de forma fragmentada no processo criativo: peça para a IA criar partes, você adiciona, pede outra parte, corrige, acrescenta, montando tudo em conjunto. Assim, a chance de gerar algo que tenha plágio é muito menor, pois o trabalho é um retalho autoral.

Se pedir para a IA criar um trabalho do começo ao fim, essa chance aumenta.

Registrar o processo permite comprovar que você contribuiu criativamente e que não copiou intencionalmente.

Essa resposta é especialmente importante para profissionais de agências de publicidade, design e criação.

Se você registrar o processo e provar que não copiou ninguém, sua intenção (que é importante no direito) será protegida.

Vi aqui o comentário da Andrea dizendo que já existiam regras e leis antigas que hoje são crimes, e que as pessoas são responsáveis por questionar isso. Concordo, pois ao surgir uma tecnologia nova, há comportamentos novos que podem ser enquadrados em leis antigas, mas muitas vezes é preciso uma regulação específica.

É importante que a gente se interesse por isso, porque isso impacta diretamente o futuro do nosso trabalho e da sociedade.

Ao se interessar, você já começa a monitorar notícias sobre leis e mudanças, o que ajuda a se preparar.

Infelizmente, o poder público muitas vezes regula sem consultar especialistas, sem consultas públicas e sem ouvir a sociedade civil organizada.

Isso é uma questão de democracia — precisamos estar envolvidos nas decisões que impactam nossas vidas.

Sobre o ponto de direitos autorais e uso da IA na criação, ouvi que há resistência de parte das equipes, que querem um trabalho 100% autoral para evitar problemas, o que pode causar perda de tempo. Incentivo a usar a IA como copilota, não se prendendo a fazer tudo na unha.

Essa é a combinação ideal: a experiência do profissional com a agilidade da IA. Vi também que profissionais de arte e desenvolvimento de software, muitas vezes, rejeitam usar ferramentas prontas porque são apegados ao processo criativo ou têm resistência a mudanças.

Eu já trabalhei com desenvolvedores que se recusavam a usar tecnologias prontas, mesmo quando elas seriam mais eficientes em custo e tempo. Como gestora, acredito que a principal habilidade de um profissional não é só técnica. Técnico é fácil de substituir, treinar e trocar.

A principal habilidade é resolver problemas, entregando o trabalho no tempo certo, com responsabilidade e qualidade. Resolver problemas envolve tomar boas decisões e usar as ferramentas ao seu alcance.

A inteligência artificial é uma mudança fundamental na forma de resolver problemas, e quem não entender isso não entendeu que um bom profissional resolve problemas. Claro que ser excelente tecnicamente continua importante, mas não é tudo. Essa reflexão é importante para gestores, pois resistências vão aparecer, mas o foco tem que ser em resultados e resolução de problemas com eficácia e ética.

Se um profissional resolve um problema com ajuda da IA, entregando tudo no prazo e com qualidade, ele merece reconhecimento e espaço para crescer.

Sobre os referidos amparos jurídico e técnico, são importantes para quebrar objeções. Minha aula hoje aborda isso, e quando alguém fala "tenho medo de direito autoral", respondo: uma política de governança de IA bem feita permite que você trabalhe tranquilo e sem riscos, desde que faça como estou recomendando — guardando processos e usando a ferramenta como copiloto.

Um bom exemplo que damos é a obra “Noite Estrelada” do Van Gogh, já em domínio público. Se não estivesse, pedir para uma IA criar uma imagem no estilo Van Gogh pode ser plágio, gerando um problema jurídico.

Mas se você cria sua imagem com orientações progressivas e fragmentadas — mudando elementos, adicionando pinceladas — o trabalho final será um retalho criativo, com autoralidade própria.

Guardar os prompts e processos, aliado à governança dentro da empresa, ajuda a proteger legalmente esses profissionais. Se sua equipe tem resistência, a criação de políticas de governança pode ajudar muito a facilitar esse processo.

No CR_IA, temos um serviço para isso, mas a ideia é que outras consultorias também ofereçam. Políticas bem feitas garantem inovação com qualidade, ética e segurança.

Políticas não limitam, pelo contrário, indicam caminhos seguros para as pessoas andarem, evitando que fiquem paradas por não saber onde podem ir.

No processo criativo, salvar os prompts e usar a IA como copiloto são boas práticas para resguardar autoria. Muito dificilmente você vai gerar conteúdo já feito se seguir essas práticas, e terá provas para eventual contestação jurídica.

Vocês têm mais dúvidas ou comentários? Podem enviar sobre segurança, IA, ou outros temas.

Quero agradecer vocês por tirar essa quinta-feira no almoço para me ouvir falar de legislação de dados — talvez um dos temas menos atraentes que já falei, mas extremamente importante, porque envolve muita coisa, e a gente recebe muitas perguntas sobre isso.

Tenho uma segurança grande, mesmo não sendo advogada nem da área jurídica, porque tenho um irmão advogado, mestre em Direito e Tecnologia pelo King's College de Londres, especializado em IA. Ele é um consultor gratuito ao alcance do meu WhatsApp, e está desenvolvendo políticas de uso de IA para grandes farmacêuticas no mundo.

Essas discussões nos permitem estar no CR_IA à frente, debatendo criticamente temas avançados sobre regulação. Imaginem como são minhas conversas de família! Brincadeira, pois moramos fora e nos encontramos em almoços familiares.

Se tiverem dúvidas, podem mandar — temos facilidade de pesquisa com meu irmão.

Essa aula é uma das que talvez fique obsoleta mais rápido, porque as aulas do CR_IA vão envelhecendo, mas estamos modulando para mitigar isso, com atualizações constantes nos últimos cursos. Temos aula ao vivo toda semana para isso, e talvez daqui a dois meses eu faça outra aula igual para falar sobre mudanças nas políticas, leis novas, ou diretrizes.

Esse é um papo constante, não está marcado, mas esse é o cenário atual. Contem com a gente para tirar dúvidas e trazer novos conteúdos.

Gente, brigadão! Boa quinta para vocês, e eu vou almoçar. Um beijo, obrigada, abraço. Valeu.

‍