A IA veio para ficar, e as empresas estão apenas começando a descobrir como aproveitar seu poder para impulsionar seus negócios. Todos os dias, empresas correm para integrar IA em inúmeros fluxos de trabalho: Ela está sendo usada para resumir documentos, automatizar relatórios, criar análises preditivas e fornecer suporte com chatbots. Essas mudanças estão acontecendo rapidamente e abrindo novas portas para empresas grandes e pequenas, mas essas mudanças também estão potencialmente expondo dados proprietários valiosos das empresas a novos riscos.

Quando empresas tornam suas informações confidenciais acessíveis à IA, nem sempre é claro se essas informações poderiam ser reutilizadas ou indexadas por grandes modelos de linguagem (LLMs) como dados de treinamento. Também há inúmeros exemplos de informações confidenciais sendo inadvertidamente expostas por ferramentas de IA. Essas não são simplesmente preocupações de privacidade; são riscos de segurança que qualquer empresa deve considerar antes de usar ferramentas de IA em seus arquivos armazenados.

Como a IA pode colocar seus arquivos em risco sem você saber

A IA evoluiu e se espalhou a uma taxa exponencial. Embora a maioria das pessoas esteja mais familiarizada com os chatbots, como ChatGPT ou Claude, as Big Techs vêm integrando sistemas de IA generativa que podem ingerir, indexar e resumir conteúdo em serviços de planilha, documento e e-mail. Essa integração traz recursos poderosos, mas introduz um risco significativo do qual poucas pessoas estão cientes.

De acordo com uma pesquisa de segurança de IA de 2025(nova janela), o Microsoft Copilot — que está incorporado em ferramentas como Excel, Word e SharePoint — acessou quase 3 milhões de registros confidenciais por organização apenas na primeira metade do ano. Ela também descobriu que as organizações tiveram uma média de mais de 3.000 interações com o Copilot nas quais informações empresariais confidenciais poderiam ter sido expostas. E um estudo do Google disse que 90% dos trabalhadores(nova janela) na indústria de tecnologia usam IA para escrever ou modificar código. Mesmo se esses números estiverem inflados, as organizações precisam incluir ferramentas de IA em seu modelo de ameaça.

Este é um novo tipo de risco de segurança. Esses arquivos não foram compartilhados externamente. De fato, eles podem não ter sido compartilhados de forma alguma. Mas porque foram armazenados em arquivos que o Copilot podia acessar, as informações que contêm poderiam ter sido coletadas sem os usuários perceberem.

Isso pode ter ramificações sérias. A polícia na Suíça(nova janela) (fonte em francês) e o FBI nos EUA(nova janela) já foram encontrados usando registros do ChatGPT como parte de suas investigações. Se as grandes empresas de tecnologia são um exemplo, você pode esperar que empresas de IA logo recebam centenas de milhares de solicitações de dados dos governos dos EUA e da UE, se já não estiverem recebendo.

O armazenamento de dados seguro é incrivelmente difícil quando ferramentas de IA estão tão profundamente incorporadas nos aplicativos que você usa todos os dias. Arquivos armazenados em drives corporativos tornam-se pesquisáveis, resumíveis e, em última análise, vulneráveis, confundindo os conceitos tradicionais de segurança de acesso, permissão e supervisão.

E quanto ao Google Workspace e Gemini?

Esses riscos não se limitam ao Microsoft Copilot. O Google Workspace está integrando de forma semelhante sua ferramenta de IA, Gemini, diretamente no Drive, Sheets e Docs.

Muitas empresas provavelmente olharão para o Google Workspace com integração Gemini como um padrão forte. De acordo com o próprio site do Google(nova janela): “Seus dados não são revisados por humanos ou usados para treinamento de modelo de IA generativa fora do seu domínio sem permissão.”

No entanto, as regras que o Google usa para pegar informações para treinar seu sistema de IA são delineadas de uma maneira que cria uma zona cinzenta e levanta questões:

  • O Google agora usa chats de consumidores e uploads de arquivos para treinar o Gemini por padrão, a menos que se opte por não participar.
  • As páginas de suporte do Google Gemini(nova janela) alertam que informações compartilhadas com seus aplicativos Gemini serão revisadas por humanos e poderiam ser usadas como um conjunto de dados para treinar IA.
  • Em seu explicativo de privacidade do Gemini, o Google alerta os usuários(nova janela) para não compartilharem informações confidenciais.
  • A documentação empresarial deixa espaço para interpretação com frases como “sem permissão”.
  • Fornecedores de segurança sinalizaram condições nas quais dados empresariais poderiam se tornar entrada de treinamento, especialmente à medida que recursos de IA se tornam mais firmemente integrados em ferramentas de armazenamento de arquivos, pesquisa e fluxo de trabalho.

Essa falta de clareza é preocupante quando o Gemini é integrado ao Drive, Docs e Sheets. Não é apenas uma questão de compartilhamento incorreto de arquivos, mas sobre como esses arquivos inadvertidamente se tornam parte de fluxos de trabalho de IA. Como a IA irá ingerir, indexar, analisar e armazenar prompts ou saídas, e esses registros ainda estarão sob o controle da sua organização?

Mesmo um sistema bem governado como o Google Workspace não é privado e é de código fechado. Tais sistemas podem mitigar muitos riscos, mas para empresas que detêm dados altamente confidenciais, o nível de confiança exigido ainda pode ser muito alto.

Como encontrar uma IA privada para sua empresa

Cada arquivo que você envia ou compartilha com um sistema habilitado para IA estende sua superfície de ataque. Simplesmente fazer upload de arquivos para armazenamento em nuvem poderia expor esses arquivos ao treinamento de IA, dependendo do seu serviço e plano. Se esses uploads forem retidos, indexados ou acessíveis de maneiras que você não esteja ciente ou não possa controlar, seu valor proprietário está em risco.

Antes que sua empresa escolha uma ferramenta de IA, você deve perguntar se pode garantir que ela ou seu sistema de armazenamento de arquivos não reterá ou exporá dados críticos.

Aqui estão duas demandas concretas que você deve fazer a qualquer ferramenta de IA empresarial:

  • Retenção zero de dados: O sistema de IA não deve registrar ou armazenar prompts, respostas ou uploads de arquivos além da sessão de negócios, a menos que explicitamente exigido — e esses registros devem estar sob o controle total da sua empresa.
  • Sem treinamento externo: Os dados da sua empresa (incluindo arquivos armazenados) não devem ser usados para treinar outros modelos fora do domínio da empresa ou compartilhados entre locatários.

O que você pode fazer agora

Antes de escolher as ferramentas certas, você precisa avaliar sua situação e garantir que não esteja inadvertidamente expondo dados confidenciais já:

  • Conduza uma auditoria de risco de armazenamento de arquivos de IA: Identifique todos os drives compartilhados, pastas de equipe e armazenamento em nuvem onde ferramentas de IA se conectam, e então mapeie quais ferramentas ingerem ou indexam esses arquivos.
  • Defina uma política de governança clara para a ingestão de arquivos em IA: Especifique quais ferramentas de IA são aprovadas, quais tipos de arquivos são permitidos, se a indexação de arquivos de repositório está desativada, etc.
  • Exija um fornecedor/solução que ofereça IA privada com controles rigorosos: Escolha um assistente de IA que ofereça “sem registros, sem treinamento, sem compartilhamento” como base.
  • Monitore e restrinja a “IA paralela”, ou membros individuais de sua equipe usando IA fora da estrutura de sua equipe de segurança, e uploads de arquivos não autorizados em ferramentas de IA. Imponha via prevenção de perda de dados e práticas de gerenciamento de identidade e acesso, bem como registro de auditoria.
  • Escolha um fornecedor cujo modelo de negócios não dependa de vender ou extrair dados. Isso garante que seus incentivos sempre se alinhem com manter seus dados seguros.

A Proton oferece a produtividade da IA sem o risco

Nenhuma empresa quer entregar inadvertidamente suas informações confidenciais. É por isso que as ferramentas Proton for Business são construídas em torno de criptografia poderosa que coloca você no controle de quem pode acessar suas informações.

O Proton Drive usa criptografia de ponta a ponta em todos os seus arquivos, então ninguém, nem mesmo a Proton, pode acessá-los a menos que você os compartilhe. Isso impede que seus arquivos sejam expostos ou usados para treinar IA. O Proton Drive também lhe dá a capacidade de proteger links de compartilhamento com senha ou desativar o acesso em um único clique, o que significa que você mantém o controle.

Também construímos o Lumo for Business, um assistente de IA privado que só trabalha para você, não o contrário. Sem registros mantidos e com cada chat e arquivo que você envia criptografado, o Lumo mantém suas conversas confidenciais e seus dados totalmente sob seu controle — nunca compartilhados, vendidos ou roubados.

Na Proton, construímos todos os nossos produtos com privacidade por design. As empresas devem ser capazes de armazenar arquivos e usar IA com confiança, sabendo que suas informações mais confidenciais permanecem protegidas.

Ao contrário das Big Techs, a Proton não ganha dinheiro vendendo seus dados. Somos apoiados exclusivamente por nossa comunidade, não por anunciantes, e nossa base na Europa, amiga da privacidade, nos dá as proteções legais para garantir que possamos cumprir nossas promessas. Mais importante, somos propriedade da organização sem fins lucrativos Proton Foundation, cuja única missão é promover a privacidade e a liberdade.

Ao usar o Lumo for Business(nova janela), você pode aproveitar os benefícios de um assistente de IA avançado sem o risco de seus dados serem mal utilizados.