More in
AI Team Readiness Playbook
How to Audit Your Sales Team's AI Readiness
abr 14, 2026
Building an AI Skills Matrix for Your Department
abr 14, 2026
90-Day Plan: From AI-Curious to AI-Fluent
abr 14, 2026
AI Tools Training Playbook for Non-Technical Teams
abr 14, 2026
Hiring vs Upskilling: Decision Framework for Directors
abr 14, 2026
Setting Up an AI Champions Program in Your Department
abr 14, 2026
Measuring AI Adoption ROI Across Your Team
abr 14, 2026
AI Onboarding Checklist for New Hires in 2026
abr 14, 2026
Building AI-Powered Workflows for Sales Teams
abr 14, 2026
Building AI-Powered Workflows for Marketing Teams
abr 14, 2026
Criando uma Política de Governança de IA para o Seu Departamento: Um Guia para Diretores
Uma diretora de vendas de uma empresa de SaaS de médio porte realizou um experimento rápido seis meses atrás. Pediu a três vendedores que mostrassem como usavam IA no dia a dia. Em dez minutos, observou um vendedor colar uma transcrição completa de call (incluindo o nome do cliente, empresa, orçamento e posição de negociação) em uma ferramenta de IA pública gratuita para gerar um resumo.
Não havia política de tratamento de dados. Ninguém tinha dito ao vendedor que isso era um problema. O vendedor não estava sendo descuidado. Estava tentando trabalhar mais rápido, usando a ferramenta da forma que ela foi projetada para ser usada. A lacuna não era o julgamento do vendedor. Era a ausência de qualquer orientação.
É aí que a maioria dos departamentos está agora. Não imprudentes, mas sem governança. E sem governança funciona bem até que não funcione. Até que haja um incidente de dados de clientes, uma questão de conformidade ou uma cláusula de contrato de fornecedor sobre processamento de dados que ninguém leu porque ninguém sabia procurar. A governança não começa com um documento de política — começa por saber quais ferramentas de IA a equipe realmente usa. Os templates de avaliação de prontidão de IA incluem uma matriz de lacunas de ferramentas que revela o uso de IA não supervisionada antes que se torne uma responsabilidade.
Este guia oferece um framework prático para escrever uma política de governança de IA no nível departamental. Você não precisa de uma equipe jurídica para começar. Não precisa de um projeto de TI. Precisa de algumas decisões estruturadas, documentadas claramente, comunicadas uma vez e revisadas trimestralmente.
Por Que a Governança no Nível Departamental Importa
As políticas de IA em toda a empresa existem em muitas organizações. Mas são escritas em um nível de abstração que não ajuda a equipe a tomar decisões diárias. A governança também precisa funcionar ao lado do framework de colaboração de IA entre funções — quando vendas, marketing e ops compartilham dados por meio de ferramentas de IA, uma política de nível departamental que não se alinha com as equipes adjacentes cria lacunas nas transições. "Use IA com responsabilidade" não diz a uma gestora de conteúdo se ela pode usar Claude para redigir um estudo de caso de cliente usando dados internos do projeto. "Proteja informações confidenciais" não diz a um vendedor quais ferramentas de IA estão aprovadas para uso com dados de negócios.
A equipe precisa de especificações. Quais ferramentas. Quais categorias de dados. Quem aprova exceções. O que fazer quando algo der errado.
E "consulte TI" não é uma política. É um mecanismo de atraso que treina a equipe a perguntar constantemente (desacelerando tudo) ou a não perguntar (criando exatamente o comportamento sem governança que você quer prevenir).
Uma política departamental preenche a lacuna entre as diretrizes amplas da empresa e a prática diária. É sua para escrever, sua para aplicar e sua para atualizar à medida que as ferramentas e hábitos da equipe evoluem.
Os Cinco Pilares de uma Política de IA Departamental
Toda política de governança de IA departamental precisa abordar cinco coisas:
- Ferramentas aprovadas: Quais ferramentas de IA a equipe pode usar, em quais condições e quais são proibidas
- Regras de classificação de dados: Quais dados podem e não podem ser colocados em ferramentas de IA, com base no nível de sensibilidade
- Padrões de revisão de resultado: Quais resultados de IA precisam de revisão humana antes do uso e o que essa revisão abrange
- Requisitos de treinamento de funcionários: O que cada membro da equipe deve saber antes de usar ferramentas de IA para o trabalho
- Processo de escalonamento e incidentes: O que constitui uma violação da política, como relatá-la e como é resolvida
As seções abaixo explicam como construir cada pilar. Ao final, você terá tudo o que precisa para escrever um documento de política de uma a duas páginas que a equipe pode realmente usar.
Etapa 1: Defina o Inventário de Ferramentas de IA
A primeira decisão é a lista de ferramentas. Não ferramentas que a equipe teoricamente pode usar, mas ferramentas que está usando agora, ou que você quer aprovar formalmente.
Comece com uma pesquisa rápida. Pergunte à equipe quais ferramentas de IA usa atualmente para tarefas de trabalho. Você encontrará mais do que esperava. A maioria das equipes tem três a cinco ferramentas já em uso que ninguém revisou formalmente.
Em seguida, classifique cada ferramenta em um dos três níveis:
Aprovada: Aprovada para uso com as categorias de dados definidas na política. Nenhuma aprovação adicional necessária.
Condicional: Pode ser usada, mas apenas em condições específicas (ex.: sem dados de clientes, sem dados financeiros, apenas para rascunhos internos).
Proibida: Não deve ser usada para tarefas de trabalho sob nenhuma circunstância. Isso normalmente inclui ferramentas de IA públicas sem acordo de processamento de dados.
Template de Inventário de Ferramentas de IA
| Ferramenta | Caso de Uso | Nível de Dados Permitido (veja Etapa 2) | Aprovado Por | Data de Revisão |
|---|---|---|---|---|
| Claude (Anthropic — nível empresarial) | Redação, resumo, pesquisa | Interno, Seguro para publicação | [Nome do Diretor] | 2026-07-01 |
| ChatGPT (OpenAI — nível empresarial) | Redação, análise | Interno, Seguro para publicação | [Nome do Diretor] | 2026-07-01 |
| ChatGPT (nível gratuito / conta pessoal) | Nenhum | Proibido | — | — |
| Otter.ai (plano empresarial) | Transcrição de reunião | Interno | [Nome do Diretor] | 2026-07-01 |
| Chatbot de IA genérico (sem DPA) | Nenhum | Proibido | — | — |
| Grammarly (Business) | Edição e tom | Interno, Confidencial | [Nome do Diretor] | 2026-07-01 |
A coluna "Data de Revisão" não é opcional. As ferramentas mudam suas práticas de tratamento de dados. Uma ferramenta que era segura no ano passado pode ter atualizado os termos. Defina cada ferramenta aprovada em um ciclo de revisão de seis meses no mínimo.
Uma nota prática: a diferença entre "nível empresarial" e "nível gratuito/pessoal" importa enormemente para o tratamento de dados. A maioria dos planos empresariais inclui um Acordo de Processamento de Dados (DPA) que proíbe o fornecedor de treinar nos seus dados. Os níveis gratuitos frequentemente não têm isso. Saiba em qual nível estão as ferramentas aprovadas. A orientação de implementação da Lei de IA da UE da Comissão Europeia fornece um framework de referência útil para classificar ferramentas de IA por nível de risco, que se mapeia de perto ao sistema de classificação de sensibilidade de dados neste guia.
Etapa 2: Classifique os Dados por Risco de Exposição a IA
A equipe lida com diferentes tipos de dados, e nem todos têm o mesmo perfil de risco quando entram em uma ferramenta de IA. Você precisa de um sistema de classificação simples o suficiente para um gestor não técnico aplicar no momento.
Use quatro níveis. O Framework de Gestão de Risco de IA do NIST usa uma abordagem em níveis similar à classificação de dados, baseando os níveis de risco nas consequências reais do uso indevido de IA em vez de rótulos de sensibilidade abstratos — um enquadramento que se traduz bem ao explicar os níveis de dados para uma equipe não técnica.
Seguro para publicação: Informação já em domínio público ou sem expectativa de confidencialidade. Nome da empresa, descrições públicas de produtos, pesquisa geral de mercado. Pode entrar em qualquer ferramenta aprovada.
Interno: Informação que é confidencial dentro da empresa, mas não regulamentada ou específica do cliente. Documentos de estratégia interna, OKRs da equipe, planos de projeto, notas de reunião internas. Pode entrar em ferramentas aprovadas com DPA, não em ferramentas de nível gratuito.
Confidencial: Nomes de clientes, valores de negócios, termos de contrato, informações de contato, dados financeiros, avaliações de desempenho. Requer uma ferramenta de nível empresarial com DPA assinado. Não pode entrar em ferramentas de nível gratuito, contas pessoais ou qualquer ferramenta não listada como aprovada.
Regulamentado: Informações de saúde cobertas pela LGPD/HIPAA, PII sujeita ao GDPR, dados de cartão de pagamento, comunicações legalmente privilegiadas. Requer revisão explícita jurídica/de conformidade antes de qualquer uso de ferramenta de IA. Em caso de dúvida, não use IA. Escale primeiro.
Guia de Classificação de Dados em Uma Página para a Equipe
Publique isso em algum lugar visível (Notion, post fixado no Slack, wiki da equipe):
- Escrevendo um rascunho de post de blog? Seguro para publicação. Use qualquer ferramenta aprovada.
- Resumindo uma reunião sobre o roadmap interno de produto? Interno. Use apenas ferramentas aprovadas de nível empresarial.
- Gerando e-mail de acompanhamento usando o nome da empresa de um cliente e o tamanho do negócio? Confidencial. Apenas ferramentas empresariais aprovadas com DPA.
- Trabalhando com registros de saúde ou financeiros de clientes? Regulamentado. Pare e pergunte antes de usar IA.
Se a equipe não tiver certeza de onde um tipo de dados se enquadra, a regra é: trate-o como um nível mais alto do que o primeiro instinto. O custo do excesso de cautela é um workflow ligeiramente mais lento. O custo do excesso de imprudência é um incidente de dados.
Etapa 3: Defina os Padrões de Revisão de Resultado
Nem todo resultado de IA carrega o mesmo risco. Uma agenda interna gerada por IA tem um baixo custo se estiver errada. Uma proposta de cliente com preços incorretos gerada por IA tem um alto custo.
Defina quais tipos de resultado requerem revisão humana antes do uso e o que essa revisão abrange.
Matriz de Revisão de Resultado
| Tipo de Resultado | Revisão Necessária? | O Que Verificar |
|---|---|---|
| Conteúdo voltado ao cliente (propostas, e-mails, relatórios) | Sim — obrigatório | Precisão factual, voz da marca, sem erros de dados do cliente, preços verificados |
| Documentos internos (resumos de reunião, atualizações de projeto) | Verificação pontual | Precisão factual, sem dados sensíveis inadvertidamente incluídos |
| Resumos ou previsões financeiras | Sim — obrigatório | Números verificados em relação à fonte, sem pontos de dados fabricados |
| Comunicações de RH (ofertas, feedback de desempenho) | Sim — obrigatório | Revisão jurídica/de RH antes de enviar |
| Resumos de pesquisa para uso interno | Verificação pontual | Fontes citadas ou verificáveis, sem estatísticas fabricadas |
| Conteúdo de primeiro rascunho para edição posterior | Sem revisão obrigatória | Processo de edição padrão se aplica |
O nível de revisão obrigatória não é negociável. Essas são as categorias em que a alucinação de IA tem consequências reais: para clientes, para conformidade ou para exposição legal.
Construa a etapa de revisão no workflow. Não como uma opção, mas como um checkpoint nomeado com um revisor nomeado. Se não estiver no workflow, não acontecerá de forma consistente.
Etapa 4: Defina as Responsabilidades dos Funcionários
Todo membro da equipe que usa IA para tarefas de trabalho precisa saber três coisas. Chegar lá requer treinamento intencional — o playbook de treinamento em ferramentas de IA para equipes não técnicas tem um formato específico para comunicar regras de dados e padrões de revisão de resultado a funcionários sem histórico técnico.
- Quais ferramentas são aprovadas e quais são proibidas
- Quais dados podem e não podem colocar nas ferramentas de IA
- O que fazer se cometerem um erro ou não tiverem certeza
Documente isso como um checklist de reconhecimento. Quando um novo membro da equipe entra, ou quando você lança esta política, faça com que todos a assinem.
Checklist de Reconhecimento da Política de IA para Funcionários
Ao assinar abaixo, confirmo que li e compreendi a política de governança de IA do departamento e concordo em:
- Usar apenas ferramentas aprovadas do inventário de ferramentas do departamento
- Não usar contas de IA pessoais ou de nível gratuito para tarefas de trabalho
- Seguir as regras de classificação de dados antes de inserir qualquer dado em uma ferramenta de IA
- Completar a revisão humana para todos os tipos de resultado de revisão obrigatória antes do uso
- Relatar qualquer violação de política suspeita ou erro de tratamento de dados para [responsável designado] dentro de 24 horas
- Completar a sessão de treinamento de IA do departamento antes de usar ferramentas de IA para trabalho voltado ao cliente
- Revisar o inventário de ferramentas e o guia de classificação de dados quando tiver dúvidas sobre um caso específico
Nome: _______________ Data: _______________ Gestor: _______________
Mantenha esses arquivos. Se uma violação de política ocorrer, o checklist de reconhecimento faz parte do registro de que o treinamento foi fornecido e as expectativas estavam claras.
Etapa 5: Escreva o Processo de Escalonamento de Incidentes
Violações de política acontecem. O objetivo não é zero incidentes. É contenção rápida e responsabilidade clara quando ocorrem.
Defina três coisas: o que conta como violação, quem notificar e como registrá-la.
O que conta como violação de política:
- Usar uma ferramenta proibida para qualquer tarefa de trabalho
- Inserir dados Confidenciais ou Regulamentados em uma ferramenta não aprovada ou conta pessoal
- Compartilhar resultado de IA voltado ao cliente sem completar a revisão obrigatória
- Deixar de relatar uma violação conhecida ou suspeita
Quando uma violação for suspeita:
- Pare de usar a ferramenta imediatamente
- Notifique o gestor direto e o responsável designado pela política dentro de 24 horas
- Documente o que aconteceu: qual ferramenta, quais dados, quando e como o erro foi descoberto
- Não tente excluir ou ocultar o incidente
Quem notificar:
- Gestor imediato (sempre)
- Responsável designado pela política do departamento (sempre)
- Jurídico/conformidade (se dados Regulamentados estavam envolvidos)
- Segurança de TI (se houver razão para acreditar que os dados foram expostos externamente)
Como registrá-lo: Mantenha um registro simples de incidentes em um documento compartilhado ou sistema de ticketing. Campos: data, membro da equipe, ferramenta envolvida, classificação de dados, descrição do incidente, etapas de resolução tomadas, data resolvida.
O registro importa por duas razões. Primeiro, cria responsabilidade e mostra due diligence se o incidente for revisado externamente. Segundo, revela padrões. Se a mesma ferramenta aparecer em três incidentes, isso é um sinal para reavaliar o status de aprovação.
Etapa 6: Escreva a Política em Linguagem Simples
O documento de política em si deve ter uma a duas páginas. Não um briefing jurídico. Não um manual de conformidade de 20 páginas. Um documento que a equipe vai realmente ler.
Template de Política de Governança de IA
Política de Governança de IA do [Nome do Departamento] Data de Vigência: [Data] | Data de Revisão: [Data] | Responsável: [Nome]
Propósito Esta política define diretrizes para o uso de ferramentas de IA em [Nome do Departamento] para proteger os dados dos clientes, atender aos padrões da empresa e garantir que os resultados gerados por IA atendam aos requisitos de qualidade.
Ferramentas Aprovadas Consulte o Inventário de Ferramentas de IA [link]. Use apenas ferramentas listadas como Aprovadas ou Condicionais. As ferramentas Proibidas não podem ser usadas para qualquer tarefa de trabalho, independentemente do motivo.
Regras de Tratamento de Dados Antes de inserir qualquer dado em uma ferramenta de IA, consulte o Guia de Classificação de Dados [link]. Não insira dados Confidenciais ou Regulamentados em qualquer ferramenta sem um Acordo de Processamento de Dados (DPA) assinado. Em caso de dúvida, trate os dados como um nível mais sensível do que o primeiro instinto.
Requisitos de Revisão de Resultado O resultado gerado por IA para conteúdo voltado ao cliente, resumos financeiros e comunicações de RH requer revisão humana antes do uso. Consulte a Matriz de Revisão de Resultado [link] para obter detalhes.
Suas Responsabilidades Ao usar ferramentas de IA para tarefas de trabalho, você concorda em seguir esta política. Complete o Checklist de Reconhecimento de Funcionários antes de usar IA para trabalho voltado ao cliente.
Se Algo Der Errado Relate violações suspeitas dentro de 24 horas para [nome do gestor] e [nome do responsável pela política]. Consulte o Processo de Escalonamento [link] para etapas completas.
Perguntas Entre em contato com [nome do responsável pela política] em [contato].
Mantenha abaixo de 500 palavras. Vincule aos templates detalhados em vez de incorporá-los. O documento de política é o ponto de entrada, não a enciclopédia.
Etapa 7: Defina uma Cadência de Revisão e Atualização
Esta política estará errada em seis meses. Não porque você a escreveu mal, mas porque as ferramentas mudam, as equipes mudam e as capacidades de IA mudam mais rápido do que qualquer documento estático pode acompanhar. O framework de seleção de stack de ferramentas de IA inclui um processo de auditoria trimestral de stack — executar ambas as revisões na mesma cadência evita que a deriva do inventário de ferramentas crie lacunas de governança.
Construa uma revisão trimestral:
Gatilhos de Revisão Trimestral:
- Qualquer nova ferramenta de IA adicionada ou removida da lista aprovada
- Qualquer incidente no registro de incidentes
- Qualquer mudança na política de IA em toda a empresa que afete especificidades do departamento
- Qualquer atualização significativa nos termos de serviço ou práticas de tratamento de dados de uma ferramenta
Quando um funcionário traz uma nova ferramenta: Isso acontece constantemente. Alguém encontra uma ferramenta de produtividade, começa a usá-la e a menciona em uma reunião três meses depois. Não espere pela revisão trimestral. Defina uma expectativa de que novas ferramentas requerem uma revisão do responsável pela política antes do uso para tarefas de trabalho, e torne o processo de revisão rápido (meta de 48 horas, não duas semanas).
Quem aciona a revisão: O responsável pela política, em um lembrete de calendário. Não "quando nos lembramos." Reserve 90 minutos trimestralmente.
Armadilhas Comuns
Políticas que proíbem IA completamente e impulsionam o uso não supervisionado. Se a resposta da política ao risco de IA for uma proibição geral, a equipe usará IA de qualquer forma — apenas sem avisar. A pesquisa do Gartner sobre governança de IA em ambientes empresariais descobriu que as proibições gerais de IA aumentam o uso não supervisionado de IA em 40% dentro de 90 dias, à medida que os funcionários encontram soluções alternativas enquanto a organização perde visibilidade sobre a exposição real ao risco. A IA não supervisionada é mais perigosa do que a IA governada. Construa uma lista aprovada permissiva e uma lista de proibição clara. Facilite para as pessoas permanecerem dentro dos limites.
Níveis de dados muito vagos. "Dados sensíveis" não é um nível. "Nomes de clientes e valores de negócios" é um nível. Quanto mais específica for a linguagem de classificação de dados, mais fácil será para os membros da equipe aplicar sem perguntar toda vez.
Sem responsável. Uma política sem responsável nomeado é uma política que ninguém aplica. Atribua uma pessoa que seja responsável pelo inventário de ferramentas, o registro de incidentes e a revisão trimestral. Não precisa ser um papel em tempo integral, mas precisa ser uma pessoa específica.
Tratar a primeira versão como permanente. A primeira versão da política é um ponto de partida. Espere atualizá-la dentro de 90 dias à medida que aprender como a equipe realmente usa IA. Construa essa expectativa em como você comunica a política no lançamento.
O Que Fazer a Seguir
Antes de lançar isso para toda a equipe, compartilhe o rascunho com duas pessoas: alguém de jurídico ou conformidade e alguém de segurança de TI. Não para uma revisão completa, apenas uma conversa de alinhamento de 30 minutos. Faça duas perguntas: "Alguma coisa aqui conflita com a política da empresa?" e "Há alguma regra de tratamento de dados que perdemos?"
Essa conversa leva 30 minutos e evita uma conversa muito mais longa depois. Uma vez que você tenha o input deles, finalize a política, execute a sessão de checklist de reconhecimento com a equipe e defina a primeira data de revisão trimestral.
Saiba Mais
- Playbook de Gestão de Mudanças para Lançamento de IA
- Stack de Ferramentas de IA para Equipes de Médio Porte: CRM, Produtividade, Analytics
- Configurando um Programa de AI Champions no Seu Departamento
- Avaliação de Prontidão de IA: Templates e Scorecards
- Estrutura de Decisão Executiva para Investimento em IA na Força de Trabalho
- Mercado de Certificação de IA em 2026: O Que Realmente Importa
- Custo Oculto de Atrasar a Qualificação em IA: Análise do CFO
Co-Founder & CMO, Rework
On this page
- Por Que a Governança no Nível Departamental Importa
- Os Cinco Pilares de uma Política de IA Departamental
- Etapa 1: Defina o Inventário de Ferramentas de IA
- Etapa 2: Classifique os Dados por Risco de Exposição a IA
- Etapa 3: Defina os Padrões de Revisão de Resultado
- Etapa 4: Defina as Responsabilidades dos Funcionários
- Etapa 5: Escreva o Processo de Escalonamento de Incidentes
- Etapa 6: Escreva a Política em Linguagem Simples
- Etapa 7: Defina uma Cadência de Revisão e Atualização
- Armadilhas Comuns
- O Que Fazer a Seguir
- Saiba Mais