A IA veio para ficar, e as empresas estão apenas a começar a descobrir como aproveitar o seu poder para impulsionar o seu negócio. Todos os dias, as empresas apressam-se a integrar a IA em inúmeros fluxos de trabalho: Está a ser usada para resumir documentos, automatizar relatórios, criar análises preditivas e prestar apoio ao cliente com chatbots. Estas mudanças estão a acontecer rapidamente e a abrir novas portas para empresas grandes e pequenas, mas estas mudanças estão também a expor potencialmente os valiosos dados proprietários das empresas a novos riscos.

Quando as empresas tornam as suas informações confidenciais acessíveis à IA, nem sempre é claro se estas informações poderiam ser reutilizadas ou indexadas por grandes modelos de linguagem (LLMs) como dados de treino. Existem também inúmeros exemplos de informações sensíveis a serem inadvertidamente expostas por ferramentas de IA. Estas não são simplesmente preocupações de privacidade; são riscos de segurança que qualquer empresa deve considerar antes de utilizar ferramentas de IA nos seus ficheiros armazenados.

Como a IA pode colocar os seus ficheiros em risco sem que saiba

A IA evoluiu e espalhou-se a um ritmo exponencial. Embora a maioria das pessoas esteja mais familiarizada com os chatbots, como o ChatGPT ou o Claude, a Big Tech tem estado a integrar sistemas de IA generativa que podem ingerir, indexar e resumir conteúdo em serviços de folhas de cálculo, documentos e e-mail. Esta integração traz capacidades poderosas, mas introduz riscos significativos de que poucas pessoas estão cientes.

De acordo com um inquérito de segurança de IA de 2025(nova janela), o Microsoft Copilot — que está incorporado em ferramentas como o Excel, Word e SharePoint — acedeu a quase 3 milhões de registos sensíveis por organização apenas na primeira metade do ano. Também descobriu que as organizações tiveram em média mais de 3.000 interações com o Copilot em que informações empresariais sensíveis poderiam ter sido expostas. E um estudo da Google disse que 90% dos trabalhadores(nova janela) na indústria tecnológica usam IA para escrever ou modificar código. Mesmo que estes números estejam inflacionados, as organizações precisam de incluir ferramentas de IA no seu modelo de ameaça.

Este é um novo tipo de risco de segurança. Estes ficheiros não foram partilhados externamente. Na verdade, podem não ter sido partilhados de todo. Mas como estavam armazenados em ficheiros a que o Copilot podia aceder, a informação que contêm poderia ter sido recolhida sem que os utilizadores se apercebessem.

Isto pode ter ramificações sérias. A polícia na Suíça(nova janela) (fonte em francês) e o FBI nos EUA(nova janela) já foram encontrados a usar registos do ChatGPT como parte das suas investigações. Se as empresas Big Tech são um exemplo, pode esperar que as empresas de IA recebam em breve centenas de milhares de pedidos de dados do governo dos EUA e da UE, se ainda não estiverem a receber.

O armazenamento seguro de dados é incrivelmente difícil quando as ferramentas de IA estão tão profundamente incorporadas nas aplicações que utiliza todos os dias. Ficheiros armazenados em unidades empresariais tornam-se pesquisáveis, resumíveis e, em última análise, vulneráveis, esbatendo os conceitos de segurança tradicionais de acesso, permissão e supervisão.

E quanto ao Google Workspace e ao Gemini?

Estes riscos não se limitam ao Microsoft Copilot. O Google Workspace está a integrar de forma semelhante a sua ferramenta de IA, o Gemini, diretamente no Drive, Sheets e Docs.

Muitas empresas olharão provavelmente para o Google Workspace com integração Gemini como uma predefinição forte. De acordo com o próprio sítio da Google(nova janela): “Os seus dados não são revistos por humanos nem usados para treino de modelos de IA generativa fora do seu domínio sem permissão.”

No entanto, as regras que a Google utiliza para recolher informação para treinar o seu sistema de IA são delineadas de uma forma que cria uma zona cinzenta e levanta questões:

  • A Google agora usa chats de consumidores e carregamentos de ficheiros para treinar o Gemini por predefinição, a menos que se opte por sair.
  • As páginas de apoio ao cliente do Google Gemini(nova janela) avisam que as informações partilhadas com as suas aplicações Gemini serão revistas por humanos e poderão ser usadas como um conjunto de dados para treinar IA.
  • No seu explicativo de privacidade do Gemini, a Google avisa os utilizadores(nova janela) para não partilharem informações confidenciais.
  • A documentação empresarial deixa espaço para interpretação com frases como “sem permissão.”
  • Fornecedores de segurança sinalizaram condições em que os dados empresariais poderiam tornar-se entradas de treino, especialmente à medida que as funcionalidades de IA se tornam mais estreitamente integradas em ferramentas de armazenamento de ficheiros, pesquisa e fluxo de trabalho.

Esta falta de clareza é preocupante quando o Gemini é integrado no Drive, Docs e Sheets. Não é apenas uma questão de partilha incorreta de ficheiros, mas de como esses ficheiros se tornam inadvertidamente parte dos fluxos de trabalho de IA. Como irá a IA ingerir, indexar, analisar e armazenar prompts ou saídas, e esses registos ainda estarão sob o controlo da sua organização?

Mesmo um sistema bem governado como o Google Workspace não é privado e é de código fechado. Tais sistemas podem mitigar muitos riscos, mas para empresas que detêm dados altamente sensíveis, o nível de confiança exigido pode ainda ser demasiado elevado.

Como encontrar uma IA privada para o seu negócio

Cada ficheiro que carrega ou partilha com um sistema ativado por IA estende a sua superfície de ataque. Simplesmente carregar ficheiros para armazenamento na nuvem pode expor esses ficheiros ao treino de IA, dependendo do seu serviço e plano. Se esses carregamentos forem retidos, indexados ou acessíveis de formas que desconhece ou não pode controlar, o seu valor proprietário está em risco.

Antes de o seu negócio escolher uma ferramenta de IA, deve perguntar se pode garantir que ela ou o seu sistema de armazenamento de ficheiros não reterá ou exporá dados críticos.

Eis duas exigências concretas que deve fazer a qualquer ferramenta de IA empresarial:

  • Retenção zero de dados: O sistema de IA não deve registar ou armazenar prompts, respostas ou carregamentos de ficheiros para além da sessão empresarial, a menos que explicitamente exigido — e esses registos devem estar sob o controlo total do seu negócio.
  • Sem treino externo: Os dados do seu negócio (incluindo ficheiros armazenados) não devem ser usados para treinar outros modelos fora do domínio empresarial ou partilhados entre inquilinos.

O que pode fazer agora

Antes de poder escolher as ferramentas certas, precisa de avaliar a sua situação e garantir que não está já a expor inadvertidamente dados sensíveis:

  • Realize uma auditoria de risco de armazenamento de ficheiros de IA: Identifique todas as unidades partilhadas, pastas de equipa e armazenamento na nuvem onde as ferramentas de IA se ligam, e depois mapeie que ferramentas ingerem ou indexam esses ficheiros.
  • Defina uma política de governação clara para a ingestão de ficheiros na IA: Especifique que ferramentas de IA são aprovadas, que tipos de ficheiros são permitidos, se a indexação de ficheiros de repositório está desativada, etc.
  • Exija um fornecedor/solução que ofereça IA privada com controlos rigorosos: Escolha um assistente de IA que ofereça “sem registos, sem treino, sem partilha” como base.
  • Monitorize e restrinja a “shadow AI”, ou membros individuais da sua equipa a usar IA fora do quadro da sua equipa de segurança, e carregamentos não autorizados de ficheiros em ferramentas de IA. Imponha através de práticas de prevenção de perda de dados e gestão de identidade e acesso, bem como registo de auditoria.
  • Escolha um fornecedor cujo modelo de negócio não dependa da venda ou extração de dados. Isto garante que os seus incentivos alinham sempre com a manutenção da segurança dos seus dados.

A Proton oferece a produtividade da IA sem o risco

Nenhum negócio quer entregar inadvertidamente as suas informações sensíveis. É por isso que as ferramentas Proton for Business são construídas em torno de encriptação poderosa que o coloca no controlo de quem pode aceder à sua informação.

O Proton Drive utiliza encriptação ponto a ponto em todos os seus ficheiros, por isso ninguém, nem mesmo a Proton, pode aceder-lhes a menos que os partilhe. Isto impede que os seus ficheiros sejam expostos ou usados para treinar IA. O Proton Drive também lhe dá a capacidade de proteger com palavra-passe ligações de partilha ou desativar o acesso num único clique, o que significa que retém o controlo.

Também construímos o Lumo for Business, um assistente de IA privado que trabalha apenas para si, e não o contrário. Sem registos mantidos e com cada chat e ficheiro que carrega encriptado, o Lumo mantém as suas conversas confidenciais e os seus dados totalmente sob o seu controlo — nunca partilhados, vendidos ou roubados.

Na Proton, construímos todos os nossos produtos com privacidade desde a conceção. As empresas devem poder armazenar ficheiros e usar IA com confiança, sabendo que as suas informações mais sensíveis permanecem protegidas.

Em contraste com a Big Tech, a Proton não faz dinheiro a vender os seus dados. Somos apoiados exclusivamente pela nossa comunidade, não por anunciantes, e a nossa base na Europa favorável à privacidade dá-nos as proteções legais para garantir que podemos cumprir as nossas promessas. Mais importante, somos detidos pela organização sem fins lucrativos Proton Foundation, cuja única missão é fazer avançar a privacidade e a liberdade.

Ao utilizar o Lumo for Business(nova janela), pode desfrutar dos benefícios de um assistente de IA avançado sem o risco de os seus dados serem mal utilizados.