A Samsung restringiu o uso de ferramentas de IA generativa, como o ChatGPT, para parte dos funcionários após casos em que informações sensíveis teriam sido inseridas no chatbot. A medida, reportada em maio de 2023, expõe um problema simples de entender, mas difícil de controlar, quando texto e código internos viram “copiar e colar” em serviços externos.
O que motivou a restrição
Segundo a CNBC, a empresa decidiu limitar o acesso a ferramentas de IA generativa depois de relatos de uso inadequado. A comunicação interna teria circulado no fim de abril de 2023, direcionada a uma das maiores divisões da companhia.
O gatilho, de acordo com reportagem da Bloomberg sobre o caso, foi o envio de conteúdo confidencial para um chatbot, incluindo trechos de código. Na prática, a empresa tratou o uso do ChatGPT como um novo tipo de “canal de saída” de dados, com risco de vazamento e baixa rastreabilidade. (Bloomberg)
Naquele momento, a Samsung também discutia formas de adotar IA generativa para produtividade, mas sob governança interna, em vez de depender de serviços abertos na internet, o que é um padrão comum quando a empresa ainda não tem controles, auditoria e classificação de dados bem ajustados.
Um dado que ajuda a entender o clima interno apareceu em reportagem citada pela CNBC, uma pesquisa interna indicaria que 65% dos respondentes estavam preocupados com riscos de segurança ao usar IA generativa. Isso sinaliza que o problema não era só “teimosia” de funcionários, mas também incerteza sobre o que pode e o que não pode.
Por que colar conteúdo no prompt vira risco
Chatbots como o ChatGPT funcionam como um serviço externo que recebe insumos e devolve saídas. O ponto crítico para empresas não é a IA “pensar”, e sim o prompt virar uma transferência de informação. Quando o usuário cola código, logs, incidentes, atas ou especificações, o que era um ativo interno pode atravessar fronteiras de segurança.
Três riscos que explicam quase todos os incidentes
- Exposição de segredo industrial: código-fonte, arquitetura, prompts internos e detalhes de produto podem revelar como a empresa opera e competir.
- Risco jurídico e de compliance: dados pessoais, dados de clientes e informações reguladas podem gerar violação de políticas e obrigações legais.
- Risco operacional: mesmo sem “vazar publicamente”, o simples fato de não conseguir provar quem viu o quê, quando e em qual sistema já cria dor para auditoria e resposta a incidentes.
Exemplo prático que acontece em engenharia
Imagine um dev com um bug difícil em um módulo interno. O caminho rápido é colar o arquivo inteiro no chatbot e pedir “corrige e me devolve”. O caminho seguro é diferente: reescrever o problema em forma de pseudo-código, remover nomes de classes, endpoints, chaves e comentários, trocar dados reais por dados sintéticos e pedir apenas a lógica do conserto. O ganho de velocidade permanece, mas o risco cai muito.
Regra de decisão que funciona no dia a dia
Se a informação não poderia ser enviada para um fornecedor externo por e-mail, então também não deve ir para um prompt. A regra é simples porque o cérebro precisa de um “freio de mão” rápido, não de um manual de 40 páginas no meio da pressão por entrega.
Como o mercado respondeu
A Samsung não foi a única. Em 2023, várias empresas passaram a limitar o uso de chatbots públicos, especialmente em áreas com alta concentração de propriedade intelectual. Coberturas como a do TechCrunch ajudaram a popularizar o tema e reforçaram que o bloqueio não era só do ChatGPT, mas também de serviços similares. (TechCrunch)
O padrão que se consolidou no mercado foi um “movimento em duas etapas”:
- Etapa 1: restringir ferramentas públicas para estancar risco imediato, enquanto se cria política interna e treinamento.
- Etapa 2: oferecer alternativas aprovadas, como assistentes internos, ambientes com controle de dados, ou contratos corporativos com garantias de privacidade e retenção.
Essa trajetória aparece, por exemplo, quando empresas deixam de “proibir por proibir” e passam a organizar o uso com ferramentas próprias ou camadas de governança. Reportagens posteriores da CNBC mostraram esse tipo de evolução em diferentes organizações. (CNBC)
Mini-modelo para entender a decisão corporativa
Um jeito memorável de enxergar a adoção de IA generativa é o triângulo Velocidade, Sigilo e Governança:
- Velocidade: quanto a IA acelera tarefas, do suporte ao desenvolvimento.
- Sigilo: o quanto o negócio depende de dados confidenciais no fluxo de trabalho.
- Governança: maturidade de DLP, classificação de dados, auditoria, contratos e treinamento.
Quando Sigilo é alto e Governança é baixa, o bloqueio temporário costuma aparecer. Quando Governança sobe, o uso volta, só que com regras e ferramentas aprovadas.
Checklist para usar IA sem vazar dados
Política boa é a que cabe no cotidiano. Um checklist objetivo costuma funcionar melhor do que proibir tudo e empurrar o uso para “shadow IT”.
- Classificar antes de colar: se é confidencial, restrito, segredo industrial ou contém dados pessoais, não entra.
- Reduzir e anonimizar: trocar nomes internos por genéricos, remover identificadores, usar exemplos mínimos e dados sintéticos.
- Preferir canais corporativos: quando houver opção aprovada pela empresa, use a opção com governança, logs e controles.
- Separar “gerar texto” de “conhecer a empresa”: pedir reescrita, brainstorming e revisão de estilo tende a exigir menos dados sensíveis do que pedir diagnóstico de incidentes com logs reais.
O que observar nas políticas do fornecedor
Além do comportamento do usuário, a organização costuma olhar para compromissos formais do provedor. A OpenAI descreve controles e políticas sobre uso de dados em seus materiais de privacidade e documentação, incluindo explicações sobre o uso de dados na API e opções de controle em produtos voltados a negócios. (OpenAI Platform) (OpenAI Help Center) (OpenAI)
Em paralelo, soluções corporativas de assistentes integrados ao ecossistema de trabalho também enfatizam governança e segurança, como a documentação de segurança do Microsoft 365 Copilot. (Microsoft Learn)
No fim, o caso da Samsung em abril e maio de 2023 virou um exemplo didático: IA generativa melhora produtividade, mas prompt é um canal de dados. Sem regras simples, treinamento e alternativas aprovadas, o “copiar e colar” transforma eficiência em incidente.