O que é o diagnóstico Fronteira de maturidade em IA?

Um diagnóstico online gratuito que avalia a maturidade em IA da sua empresa em 10 áreas funcionais (Marketing, Vendas, Produto, Engenharia, Operações, Finanças, CX, RH, Jurídico, TI) e 6 dimensões (Profundidade de Uso, Integração de Sistemas, Dados e Contexto, Resultados, Pessoas, Governança). Leva cerca de 15 minutos por área e compara seu resultado com benchmark de 1.200 empresas reais.

Quanto tempo leva pra responder o diagnóstico?

Cerca de 15 minutos por área funcional respondida. Você pode responder uma área (ex.: Vendas) e já receber um benchmark daquela área, ou responder várias e ter um mapa consolidado da empresa. Não precisa terminar tudo de uma vez — o progresso fica salvo na sua conta.

É realmente gratuito? O que vocês fazem com os dados?

Sim, o diagnóstico é gratuito. As respostas alimentam o benchmark agregado e anonimizado de mercado. Não compartilhamos dados identificáveis com terceiros. Você pode acessar, corrigir ou apagar seus dados a qualquer momento conforme a LGPD.

O que é o benchmark de 1.200 empresas?

Uma base de 1.200 empresas reais que responderam ao diagnóstico, distribuídas por porte (mid-market a enterprise) e setor. Seu resultado é comparado com esse universo nas mesmas 10 áreas e 6 dimensões, mostrando onde você está à frente ou atrás da média do mercado.

Quais são as 6 dimensões de maturidade em IA avaliadas?

Profundidade de Uso (quão fundo a IA está nos workflows), Integração de Sistemas (conexão ao stack), Dados e Contexto (acesso a dados certos), Resultados (rigor na medição de impacto), Pessoas (preparo do time) e Governança (políticas, guardrails e risco). Cada dimensão é avaliada em uma escala de 1 a 5 contra o padrão de mercado.

O que vem depois do diagnóstico?

Você recebe um relatório vivo com seus gaps priorizados. Se quiser ajuda pra executar, a Fronteira oferece consultoria (travessia guiada de 6 semanas com squad sênior e roadmap executável) e palestras executivas pra conselho e diretoria nos formatos Executive AI Catch Up, Workshop Executivo, Imersão Estratégica e Knowledge on Demand.

Os 7 blocos obrigatórios de uma política de IA empresarial brasileira

(1) Escopo e definições; (2) Ferramentas autorizadas e proibidas; (3) Classificação de dados e o que não pode entrar em IA pública; (4) Fluxo de aprovação para novos casos de uso; (5) Supervisão humana e direito de contestação; (6) Consequências de descumprimento; (7) Integração com LGPD, ISO 42001 e PL 2338.

Que dados NUNCA podem entrar em LLM público?

4 categorias absolutas: PII de cliente (CPF, endereço, contato, dados sensíveis como saúde); código fonte proprietário ou estratégia técnica; informação financeira não-pública (resultados antes da divulgação, M&A, salário); comunicação privilegiada (jurídico, ombudsman, denúncia). Em LLM público, esses dados são exposição imediata.

Como a política conecta com LGPD?

4 pontos: base legal para tratamento via IA precisa estar identificada; DPIA obrigatória para sistemas de alto risco; direito de explicação e contestação operacionalizado; DPO ou Encarregado tem que estar no fluxo de aprovação.

Como aplicar a política sem virar burocracia que ninguém segue?

3 princípios: política curta (máximo 12-15 páginas); decisões pré-aprovadas (lista de casos OK que não precisam de aprovação individual); fluxo digital (formulário simples pra exceções, não e-mail). Política de 80 páginas em PDF é política morta.

Quem precisa aprovar a política antes de publicação?

Sequência: comitê executivo de IA rascunha → jurídico e DPO revisam → RH alinha com código de conduta → CEO ou COO sanciona → publicação interna com treinamento obrigatório. Sem treinamento, política não circula; sem sanção C-level, política não tem peso.

Política de uso de IA para empresas brasileiras: o template que cobre LGPD, shadow AI e ISO 42001

Resposta direta

Política de uso de IA empresarial brasileira em 2026 precisa ter 7 blocos: (1) escopo, (2) ferramentas autorizadas, (3) classificação de dados, (4) fluxo de aprovação, (5) supervisão e contestação, (6) consequências, (7) integração com LGPD/ISO 42001/PL 2338. Política eficaz é curta (12-15 páginas), tem decisões pré-aprovadas pra casos comuns e fluxo digital pra exceções. Publicação exige sanção C-level + treinamento obrigatório.

50% das empresas brasileiras usam IA sem regras éticas formais (TIInside, dez/2025). Em 74%, não há política escrita de uso de IA generativa. O resultado é previsível: vazamento de dado, decisão automatizada sem supervisão, retrabalho regulatório quando o PL 2338 entrar em vigor.

Este post apresenta a estrutura mínima testada em empresas brasileiras com IA em produção em 2026. Não substitui consulta jurídica, mas serve como ponto de partida operacional para C-level, jurídico, DPO e CISO.

Os 7 blocos obrigatórios

Bloco 1: Escopo e definições

Quem se aplica: funcionários CLT, PJ, terceiros, estagiários.
O que se aplica: ferramentas de IA generativa, sistemas de IA usados internamente, sistemas embarcados em produto.
Definições operacionais: o que é IA generativa, o que é shadow AI, o que é dado sensível.
Hierarquia com outras políticas (LGPD, código de conduta, segurança da informação).

Bloco 2: Ferramentas autorizadas e proibidas

Autorizadas: lista nominal de ferramentas aprovadas (ChatGPT Enterprise, Claude for Work, Microsoft Copilot, etc.) com nível de uso permitido.
Proibidas: ferramentas explicitamente vetadas, incluindo versões gratuitas/pessoais de produtos enterprise.
Fluxo de adição: como solicitar avaliação de nova ferramenta.
Revisão: lista é atualizada trimestralmente.

Bloco 3: Classificação de dados

Define 3-4 níveis de sensibilidade e o que pode/não pode entrar em IA:

Público (marketing publicado, dado divulgado em relatório) — pode entrar em qualquer ferramenta autorizada.
Interno (processo, política, comunicação interna) — apenas em ferramentas enterprise sancionadas com proteção contratual.
Confidencial (estratégia, finanças não-públicas, código proprietário) — apenas em ferramentas com data residency contratual e cláusula de não-treinamento.
Restrito (PII, dado sensível LGPD, comunicação privilegiada) — proibido em IA pública; permitido apenas em sistemas internos auditados.

Bloco 4: Fluxo de aprovação para casos de uso

Decisões pré-aprovadas: lista de casos OK que não precisam de aprovação individual.
Aprovação simples: gestor direto, para uso interno com dado interno/confidencial.
Aprovação composta: gestor + DPO + segurança, para uso com dado restrito ou decisão automatizada.
Aprovação executiva: comitê de IA, para sistemas de alto risco (PL 2338) ou exposição a cliente.

Bloco 5: Supervisão humana e direito de contestação

Sistemas de alto risco exigem humano significativamente no loop.
Direito de explicação operacionalizado: canal, prazo, formato.
Direito de contestação operacionalizado: quem revisa, em quanto tempo.
Documentação de decisões automatizadas auditável.

Bloco 6: Consequências de descumprimento

Primeira ocorrência: orientação + recapacitação obrigatória.
Reincidência: advertência formal e bloqueio de acesso até completar treinamento.
Caso grave (vazamento intencional, fraude): processo disciplinar formal, conforme código de conduta.
Canal de denúncia: anônimo, sem retaliação.

Bloco 7: Integração com LGPD, ISO 42001 e PL 2338

Base legal para tratamento via IA documentada.
DPIA obrigatória para sistemas de alto risco.
Referência a controles ISO 42001 implementados.
Mapeamento de classificação de risco por PL 2338.

O que NUNCA pode entrar em LLM público

PII de cliente — CPF, RG, endereço, contato, dado sensível LGPD (saúde, religião, orientação, biometria).
Código fonte proprietário — codebase interna, algoritmos diferenciadores, configurações de infraestrutura.
Informação financeira não-pública — resultados antes da divulgação, M&A, contratos com cláusula de confidencialidade, política salarial.
Comunicação privilegiada — jurídico, ombudsman, denúncia, dado de auditoria interna.

Como aplicar sem virar burocracia morta

Mantenha curta: 12-15 páginas, escritas em linguagem direta. Política de 80 páginas é política não lida.
Lista de decisões pré-aprovadas: 80% dos casos comuns não precisam de aprovação individual.
Fluxo digital: formulário simples pra exceções, com SLA de resposta. E-mail morre.
Treinamento obrigatório: 30-45 minutos, com quiz simples. Renovação anual.
Comunicação de exemplos: casos concretos do que pode e não pode, atualizados.
Canal de pergunta: Slack ou Teams pra dúvidas em tempo real. DPO ou segurança responde.

Quem aprova antes de publicação

Comitê executivo de IA rascunha a política.
Jurídico e DPO revisam para LGPD, PL 2338 e compliance.
RH alinha com código de conduta e comunicação interna.
CEO ou COO sanciona formalmente.
Publicação interna com treinamento obrigatório, acessível em portal corporativo.

Sem sanção C-level, política não tem peso. Sem treinamento, política não circula.

Resumo executivo

7 blocos obrigatórios: escopo, ferramentas, dados, aprovação, supervisão, consequências, integração regulatória.
4 categorias de dados proibidos em LLM público: PII, código proprietário, financeiro não-público, comunicação privilegiada.
Política curta + decisões pré-aprovadas + fluxo digital = política viva.
Sanção C-level + treinamento obrigatório = política respeitada.
Integra com LGPD, ISO 42001 e PL 2338 desde o dia 1.

Política é dimensão dentro de Governança no diagnóstico Fronteira. Empresas com política formal pontuam tipicamente 3+ em Governança; sem política, ficam em 1-2 independente de qualquer outro investimento em IA.

Perguntas frequentes

Fontes
TIInside (dez/2025, 50% sem regras éticas). LGPD (Lei 13.709/2018). PL 2338/2023. ISO 42001 (2023). NIST AI Risk Management Framework. Análise: Fronteira. Este post não substitui consulta jurídica especializada.