LGPD + IA: o que NÃO colocar em prompts (com exemplos)

Você abre uma IA para ganhar tempo, cola um texto rápido e manda gerar uma resposta. Parece inofensivo. Mas, dependendo do que foi colado, esse atalho pode virar dor de cabeça.

Muita gente não percebe que o conteúdo digitado em ferramentas de IA pode ser processado, armazenado e, em alguns casos, usado para melhorar modelos. Isso varia conforme a plataforma, o plano e as configurações de privacidade.

O problema começa quando entram dados de clientes, pacientes, colaboradores, contratos, números internos da empresa ou informações pessoais sensíveis.

Nesse ponto, não estamos falando só de "boas práticas". Estamos falando de risco real de exposição de dados e possível violação da LGPD.

Neste guia, você vai ver exatamente:

• O que a LGPD significa na prática para quem usa IA.
• O que nunca colocar em prompts.
• Como transformar pedidos reais em versões seguras.
• Um checklist rápido para usar antes de qualquer prompt.
• O que fazer se você já compartilhou algo sensível.

Este conteúdo é educativo e prático. Ele não substitui assessoria jurídica. Em situações sensíveis da sua empresa, consulte o jurídico ou DPO responsável.

O que é LGPD (versão rápida)

A LGPD é a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018), que define regras para coleta, uso, compartilhamento e armazenamento de dados pessoais no Brasil.

Em termos simples: se você trata dado que identifica ou pode identificar uma pessoa, existe responsabilidade sobre como isso é feito.

E "tratar dados" não é só sistema grande ou banco de dados. Pode ser também copiar e colar informações em uma ferramenta de IA para pedir resumo, e-mail, análise ou qualquer outro texto.

A lógica é direta:

• Se há dado pessoal, há risco.
• Se há risco, precisa haver cuidado.
• Se há cuidado insuficiente, pode haver problema operacional, reputacional e jurídico.

No dia a dia, isso significa que produtividade não pode vir sem filtro.

Ganhar velocidade com IA é ótimo. Ganhar velocidade expondo dados não.

O que NUNCA colocar em prompts de IA

A regra mais segura é simples: se for dado pessoal ou sensível de terceiros, não cole. Se for informação estratégica da empresa sem proteção adequada, não cole.

Para deixar prático, abaixo estão exemplos no formato errado e certo.

1) Nomes reais de clientes

❌ "Escreva um email para o João Silva da empresa ABC Ltda cobrando R$5.000."

✅ "Escreva um email de cobrança educada para um cliente. Valor: [VALOR]. Prazo vencido: 15 dias."

Mesmo quando parece "só um nome", você já está ligando pessoa + contexto comercial + valor. Isso é dado demais para uma tarefa que pode ser feita com placeholders.

Se o objetivo da IA é ajudar no tom da mensagem, ela não precisa saber quem é a pessoa.

2) CPF, RG, dados bancários

❌ "O CPF do cliente é 123.456.789-00, verifique..."

✅ "Preciso de um checklist de validação cadastral para documentos de cliente, sem uso de dados reais."

Aqui a regra é rígida: não cole documento, número de identificação, conta bancária, agência, cartão, chave de pagamento, endereço completo ou qualquer dado pessoal direto.

Se o trabalho exige validação documental real, isso deve ocorrer em ambiente adequado, com processos internos seguros, e não em prompt aberto.

3) Dados de saúde

❌ "Meu paciente João tem diabetes tipo 2 e..."

✅ "Um paciente fictício com [CONDIÇÃO], quais cuidados gerais são normalmente recomendados?"

Dados de saúde exigem cuidado máximo. Mesmo sem nome completo, muitas vezes o contexto já permite identificar a pessoa.

Se você atua em saúde, o padrão precisa ser anonimização robusta e, idealmente, ferramentas com controles corporativos apropriados.

4) Informações financeiras da empresa

❌ "Nosso faturamento foi de R$2M e o cliente X deve R$50k."

✅ "Uma empresa de médio porte com faturamento acima da média do setor tem atraso de recebíveis. Sugira ações de cobrança e organização de fluxo de caixa."

IA consegue ajudar muito com estratégia financeira, mas não precisa de dado bruto identificável. Você pode trabalhar com cenários, faixas e perfis.

Substitua valores exatos por intervalos quando possível:

• Em vez de "R$2.347.981", use "entre R$2M e R$2,5M".
• Em vez de "cliente X", use "cliente estratégico".
• Em vez de "margem líquida 12,73%", use "margem próxima de 13%".

5) Senhas, tokens, chaves de API

❌ Colar código com credenciais hardcoded.

✅ Substituir por [API_KEY], [PASSWORD], [TOKEN], [SECRET].

Esse erro é mais comum do que parece. A pessoa pede para a IA "corrigir o código", cola o arquivo inteiro e esquece que tinha credencial no meio.

Use busca automática antes de colar qualquer trecho:

• Procure por password, token, secret, apiKey, Authorization, Bearer.
• Remova tudo que pareça credencial.
• Se necessário, gere um exemplo mínimo sem dados reais.

6) Emails e conversas privadas

❌ Colar email completo com dados de terceiros.

✅ Anonimizar: trocar nomes, empresas, valores e remover detalhes identificáveis.

Conversa privada costuma carregar contexto sensível: conflito interno, negociação, opinião pessoal, dados financeiros, dados de RH.

Se a IA vai te ajudar a responder melhor, envie só estrutura:

• "Pessoa A reclamou de atraso."
• "Pessoa B pediu revisão de prazo."
• "Objetivo da resposta: alinhar expectativa e propor novo cronograma."

Isso preserva utilidade sem expor conteúdo desnecessário.

Checklist de segurança antes de usar qualquer IA

Copie este checklist e use toda vez. Demora menos de 1 minuto.

• Removi todos os nomes reais?
• Substituí dados pessoais por placeholders?
• Verifiquei se estou usando a versão que não treina com meus dados?
• Li a política de privacidade da ferramenta?
• Se for dados de empresa, tenho autorização?

Se qualquer item ficar "não", pare e ajuste antes de enviar.

Quer uma versão ainda mais prática? Use este mini-prompt antes de qualquer prompt principal:

Revise o texto abaixo e identifique riscos de privacidade.
Liste dados pessoais, dados sensíveis e informações confidenciais.
Sugira versão anonimizada mantendo o objetivo original.
Texto: [cole seu rascunho aqui]

Esse passo funciona como uma camada de segurança adicional, especialmente em equipes.

Como configurar as IAs para mais privacidade

Configuração importa. Mesmo com bons hábitos de prompt, vale revisar ajustes da ferramenta.

As interfaces mudam com o tempo, então os nomes exatos podem variar. O ponto é sempre o mesmo: procurar controles de uso de dados, histórico, treinamento e retenção.

ChatGPT

Procure em Configurações -> Data Controls (ou equivalente).

Objetivo:

• Desativar opção de melhoria de modelo com suas conversas (geralmente algo como "Improve the model" ou nome similar).
• Revisar histórico e retenção de chats.

Boas práticas:

• Evite enviar dados reais mesmo com controle desativado.
• Use versão corporativa quando a política interna exigir.

Claude

Para uso profissional, prefira recursos de projetos e ambientes organizacionais com políticas claras.

Objetivo:

• Verificar política de uso de dados no seu plano atual.
• Confirmar como retenção e treinamento funcionam no contexto da sua conta.

Boas práticas:

• Separar uso pessoal e uso de cliente.
• Definir regra interna de anonimização obrigatória.

Copilot

Existe diferença importante entre uso pessoal e uso empresarial.

Objetivo:

• Confirmar se sua organização oferece versão corporativa com controles de segurança e compliance.
• Entender onde os dados trafegam e quais políticas se aplicam.

Boas práticas:

• Não colar código com segredos.
• Usar repositórios privados com políticas de segurança ativas.

Gemini

Revise configurações relacionadas à atividade da conta Google e retenção de interações.

Objetivo:

• Entender quais dados ficam vinculados à conta.
• Ajustar histórico e atividades conforme política da sua empresa ou preferência pessoal.

Boas práticas:

• Não presumir que padrão da conta está "seguro por default".
• Revisar configurações periodicamente.

Regra transversal para qualquer IA

Não confie só em "configuração".
Configuração ajuda, mas o principal é comportamento.

Se o conteúdo é sensível, trate como sensível desde a origem.

E se eu já coloquei dados sensíveis?

Primeiro: não entre em pânico.

Erro acontece, principalmente quando a equipe está aprendendo e tentando ganhar velocidade.

O que você faz nas próximas horas é mais importante do que ficar preso no erro.

Siga esta sequência:

1. Apague a conversa/chat na ferramenta usada.
2. Revise configurações de privacidade da conta.
3. Registre internamente o ocorrido (data, tipo de dado, contexto).
4. Avalie impacto com responsável interno (segurança, jurídico, DPO).
5. Se for dado de terceiro, analise necessidade de comunicação conforme processo interno.

Se você trabalha em equipe, transforme o incidente em melhoria de processo:

• Crie um "guia de prompt seguro" de 1 página.
• Defina exemplos permitidos e proibidos.
• Faça revisão rápida no onboarding de novos colaboradores.

Isso reduz repetição do problema.

Prompt seguro na prática: antes e depois

Uma forma didática de treinar equipe é mostrar conversão de prompt real para prompt seguro.

Exemplo 1: cobrança

❌ "Escreva mensagem para Maria Souza, da empresa Delta, cobrando boleto de R$8.420 vencido há 12 dias."

✅ "Escreva mensagem de cobrança cordial para cliente corporativo com pagamento vencido há 12 dias. Valor: [FAIXA_DE_VALOR]. Objetivo: recuperar pagamento sem atrito."

Exemplo 2: atendimento clínico

❌ "Paciente João, 54 anos, com hipertensão e uso de medicação X, me ajude a responder."

✅ "Caso fictício de adulto com condição crônica controlada, gere uma resposta educativa de acompanhamento com linguagem simples."

Exemplo 3: suporte técnico

❌ "Meu endpoint cai com esse token: sk_live_xxx..."

✅ "Meu endpoint retorna erro 401. Considere que o token está inválido. Proponha passo a passo de diagnóstico sem uso de credenciais reais."

Exemplo 4: RH

❌ "Preciso responder este colaborador: [cola email completo com histórico pessoal]."

✅ "Preciso responder um colaborador sobre conflito de prioridade e prazo. Sugira resposta empática, objetiva e com proposta de alinhamento."

Perceba o padrão: você mantém objetivo, remove identificação.

Política interna simples para usar amanhã

Se você lidera time ou atende clientes, vale formalizar uma política mínima. Não precisa documento de 40 páginas para começar.

Pode ser algo como:

1. Nunca inserir dados pessoais identificáveis em IA aberta.
2. Sempre anonimizar exemplos com placeholders.
3. Não compartilhar segredos técnicos (senhas, tokens, chaves).
4. Revisar configuração de privacidade trimestralmente.
5. Escalar dúvida para responsável interno antes de enviar.

Esse mínimo já reduz grande parte do risco operacional.

Perguntas rápidas que sempre aparecem

"Mas eu só mandei o primeiro nome. Ainda é risco?"

Depende do contexto, e esse é o ponto.
Às vezes "só o primeiro nome" vem junto de empresa, cargo, valor, cidade, histórico e prazo. A soma desses elementos pode identificar a pessoa.

Quando houver dúvida, não envie. Substitua por marcador neutro.

"Se eu anonimizar, fica 100% seguro?"

Anonimizar reduz risco, mas não torna risco zero automaticamente.

O cuidado é garantir que ninguém consiga reconstruir quem é a pessoa a partir do conjunto de informações enviadas.

Uma boa prática é fazer este teste simples:

• "Se alguém de fora ler este prompt, consegue descobrir quem é?"

Se a resposta for "talvez", ajuste mais.

"Uso IA no celular. Isso muda algo?"

Muda o contexto de uso, não a responsabilidade.

No celular, é comum copiar e colar rápido sem revisar. Esse hábito aumenta chance de envio acidental de dado sensível.

Para reduzir esse risco:

• Escreva primeiro em um bloco rascunho.
• Passe pelo checklist.
• Só depois cole na IA.

"Posso usar dado real se eu tiver autorização?"

Autorização ajuda, mas não resolve tudo sozinha.

Você ainda precisa avaliar finalidade, necessidade, minimização, segurança e política da ferramenta. Em ambiente corporativo, isso deve seguir processo interno.

Se não existe processo definido, trate como lacuna de governança e não como permissão automática.

"Qual é a forma mais segura de começar hoje?"

Três passos objetivos:

1. Adotar placeholders como padrão em todo prompt.
2. Revisar configurações de privacidade da ferramenta que você usa.
3. Criar uma regra pessoal: nunca enviar nada que exponha pessoa, cliente ou segredo do negócio.

Com isso, você já sobe bastante o nível de segurança sem perder produtividade.

Conclusão

IA é uma ferramenta excelente para escrever melhor, pensar com mais clareza e ganhar velocidade no trabalho.

Mas velocidade sem critério vira exposição.

A regra de ouro continua valendo:

"Se você não colocaria num outdoor, não cole na IA."

Use os exemplos deste post como filtro prático no dia a dia. Em especial:

• Remova nomes reais.
• Troque dados pessoais por placeholders.
• Evite qualquer informação sensível sem necessidade.
• Revise configurações da ferramenta.

E reforço final: este conteúdo é educativo e não é assessoria jurídica.

Para decisões formais de compliance, comunicação de incidentes e interpretação jurídica, envolva o time jurídico ou DPO.

Salve o checklist, compartilhe com sua equipe e transforme segurança em hábito. A melhor proteção é aquela que acontece antes do envio.