Era uma terça-feira de 2016. Eu estava numa sala de crise com um cliente, uma das maiores seguradoras do Brasil, depois que um arquivo com dados de 340 mil segurados foi encontrado em um servidor que, na teoria, nem deveria existir mais. Ninguém sabia quem tinha criado aquele servidor. Ninguém sabia há quanto tempo o arquivo estava lá. E ninguém, em nenhum momento, tinha recebido um alerta. A empresa tinha ferramentas. Tinha políticas. Tinha uma equipe de segurança com mais de 30 pessoas. E mesmo assim, o dado estava lá, visível, desprotegido, esperando virar manchete.
Esse episódio ficou comigo porque ele resume o problema real da segurança de dados nas empresas: não é falta de tecnologia. É falta de visibilidade sobre o que existe, onde está, e o que fazer com isso. Com a LGPD consolidada, o GDPR exigindo conformidade global, e a inteligência artificial varrendo petabytes de dados corporativos sem que ninguém saiba exatamente o que está sendo processado, essa lacuna ficou mais cara do que qualquer investimento em ferramenta já foi.
O problema não é o vazamento. É o que vem antes dele.
Quando uma empresa sofre um incidente de dados, a narrativa pública foca no vazamento. Na multa. No comunicado de crise. Mas quem trabalhou do lado de dentro sabe que o vazamento é só o momento em que o problema se torna visível. O problema em si começou meses, às vezes anos antes.
Comecei minha carreira na Symantec em 2010 trabalhando com DLP, Data Loss Prevention. Oito anos visitando ambientes corporativos de todos os setores. O que eu via se repetia com uma consistência perturbadora: dados sensíveis espalhados por pastas de rede sem dono, e-mails com CPFs em texto puro, arquivos de RH acessíveis por qualquer estagiário com credencial ativa. Não por descuido intencional. Por falta de processo, por crescimento desordenado, por ninguém ter parado para mapear o que a empresa realmente guardava.
Privacidade por design, o conceito que hoje está no artigo 46 da LGPD e no coração do GDPR, não é um princípio novo. É uma forma diferente de fazer a mesma pergunta: você está protegendo dados porque precisa, ou porque entendeu que dado é ativo estratégico e precisa ser tratado como tal desde o primeiro dia?
Conformidade é o piso, não o teto. A empresa que constrói sua estratégia de dados pensando apenas em passar na auditoria já começou errada.
IA mudou a escala do problema. Não inventou ele.
Nos últimos dois anos, dentro da BigID, tenho trabalhado com arquitetos e engenheiros de dados em múltiplos países, do Brasil à Alemanha, de Cingapura aos Estados Unidos. A conversa mudou de tom. Antes, a preocupação era com dados em repouso mal classificados. Agora, a pergunta é: quando os modelos de linguagem da minha empresa consomem dados internos para gerar respostas, eu sei exatamente que dados estão sendo usados?
A governança de IA não é um problema novo com nome novo. É o problema antigo de visibilidade de dados, agora operando numa velocidade e escala que os controles tradicionais não alcançam. Um modelo de LLM treinado sobre documentos internos pode, sem nenhuma intenção maliciosa, memorizar e reproduzir informações que jamais deveriam sair do ambiente corporativo. Dados de saúde. Contratos com cláusulas de confidencialidade. Comunicações internas sobre estratégia de M&A.
A resposta para isso não é proibir IA. É saber o que você tem antes de expô-lo a qualquer sistema, interno ou externo. Catalogar, classificar, aplicar controles proporcionais ao risco. Isso é engenharia de privacidade na prática, não como disciplina teórica.
Saber o que você tem é o começo de tudo.
Quando construí a DePretoPraPreto, uma marca de ciclismo afro-brasileiro, aprendi algo que parece distante do mundo corporativo mas que aplica com precisão cirúrgica: você não pode proteger o que não conhece. Precisei entender cada parte da operação, cada ponto de contato com cliente, cada dado coletado numa venda, para conseguir escalar sem perder controle. Uma startup de jerseys de ciclismo e uma multinacional de serviços financeiros têm o mesmo problema de base.
A diferença entre as empresas que saem de um incidente mais fortes e as que saem destruídas raramente está na qualidade da resposta ao crise. Está no quanto elas sabiam sobre seus próprios dados antes que a crise chegasse.
Naquela sala de crise em 2016, depois de horas mapeando o ambiente, identificamos que o arquivo tinha sido criado por um processo automatizado de backup que ninguém revisava há quatro anos. Quatro anos. O servidor estava lá, ativo, esquecido. Quando finalmente desligaram a máquina, o administrador de TI perguntou em voz alta se alguém sabia o que mais poderia estar rodando naquele mesmo segmento de rede. Ninguém respondeu.