ChatGPT na empresa: pode colocar dados sensíveis na IA?
A adoção de ferramentas de IA generativa em contexto empresarial entrou nas operações, no marketing, no apoio ao cliente, nos RH, contabilidade, análise documental e produtividade transversal das equipas.
A resposta não cabe num simples “sim” ou “não”. Depende do tipo de dado, da finalidade do tratamento, do enquadramento contratual com a OpenAI, das medidas internas da empresa e do nível de governação exigido pelo setor em que essa organização opera. A própria OpenAI afirma que nos seus produtos empresariais os dados da organização não são usados (por defeito) para treinar os modelos, que existe encriptação em repouso e em trânsito e que há mecanismos de suporte à conformidade, como DPA, SCCs, controlos de retenção para organizações elegíveis e, em certos casos, residência de dados. Isso melhora o enquadramento mas não elimina o dever da empresa de decidir bem.
Há um erro frequente que condiciona a análise: muitas empresas usam a expressão “dados sensíveis” para falar de tudo o que é confidencial, reservado ou estratégico.
No RGPD
O conceito de dados sensíveis está ligado às categorias especiais de dados pessoais, como dados de saúde, biométricos, origem racial ou étnica, crenças religiosas, opiniões políticas, filiação sindical, vida sexual ou orientação sexual.
Em linguagem empresarial
O conceito é amplo e inclui contratos, preços, margens, segredos comerciais, documentação interna, informação de clientes, dossiers de RH, código-fonte, credenciais e informação financeira não pública.
O que a OpenAI diz sobre privacidade, segurança e dados empresariais
A OpenAI apresenta hoje uma posição mais clara para clientes empresariais. Na sua página dedicada à privacidade, segurança e compliance para negócio, a empresa afirma que não usa por defeito os dados de ChatGPT Business, ChatGPT Enterprise, ChatGPT Edu, ChatGPT for Healthcare, ChatGPT for Teachers e API para treino ou melhoria dos modelos.
Antes do plano, convém traduzir as siglas
Pode existir dificuldade em perceber o que significam as siglas que aparecem nas páginas comerciais, nos DPAs e nas análises de compliance.
- RGPD Regulamento Geral sobre a Proteção de Dados. Define princípios do tratamento de dados pessoais na União Europeia, como licitude, transparência, limitação da finalidade, minimização, segurança e responsabilização do responsável pelo tratamento.
- DPA Data Processing Addendum. Aditamento contratual que regula o tratamento de dados pelo fornecedor em nome do cliente. Inclui instruções, subcontratantes, transferências e medidas de proteção.
- SCCs Standard Contractual Clauses. Cláusulas contratuais-tipo usadas para legitimar certas transferências internacionais de dados quando estas saem do espaço europeu e não existe decisão de adequação suficiente para o destino. O DPA da OpenAI prevê este mecanismo.
- AIPD ou DPIA Avaliação de Impacto sobre a Proteção de Dados. O RGPD exige esta avaliação quando um tratamento, em especial com nova tecnologia, é suscetível de gerar risco elevado para os direitos e liberdades das pessoas.
- Lei n.º 58/2019 diploma português que assegura a execução do RGPD no ordenamento jurídico nacional. Para empresas em Portugal, este enquadramento não pode ser ignorado.
- MFA autenticação multifator. Acrescenta uma 2ª camada de autenticação para além da palavra-passe.
- SAML SSO single sign-on. Permite integrar a autenticação do ChatGPT com o fornecedor de identidade da empresa, evitando contas soltas e melhorando controlo de acesso.
- SCIM standard de provisionamento e desprovisionamento de utilizadores. Automatiza a criação e remoção de contas conforme as regras do IAM corporativo.
- RBAC role-based access control. Permite definir permissões por função ou grupo e não apenas por utilizador individual.
- EKM Enterprise Key Management. Dá controlo adicional sobre as chaves de encriptação em cenários elegíveis.
- Compliance API mecanismo de registos e visibilidade para integração com auditoria, eDiscovery, DLP ou SIEM.
- IP allowlist lista de permissões por IP. Restringe o acesso ao serviço a redes aprovadas pela organização.
O que o RGPD exige antes da empresa inserir dados no ChatGPT
O RGPD pergunta qual é a finalidade do tratamento, que dados entram, com que base legal, por quanto tempo ficam disponíveis, quem trata, em nome de quem, que medidas técnicas existem e se o risco obriga a avaliação de impacto.
Auditoria Interna de Preparação:
0/4 passos validados⚠️ Risco de Compliance Identificado
A sua empresa ainda não garante todos os princípios do RGPD para o uso de IA. Recomendamos que não insira dados empresariais na plataforma sem antes garantir formação adequada à equipa.
Fazer Avaliação de Necessidades da Equipa →A empresa tem de saber se os dados podem ser tratados naquela finalidade, se entram minimizados, se existe base legal, se o fornecedor está contratado como subcontratante, se o fluxo internacional está coberto, se a retenção é compatível com a política interna e se o risco exige medidas adicionais. Quando falamos de categorias especiais de dados do artigo 9.º o patamar sobe, porque a regra é de proibição, salvo exceções específicas e salvaguardas apropriadas.
Business e Enterprise não servem o mesmo tipo de organização
O Business é apresentado pela OpenAI como um espaço de trabalho seguro e colaborativo para startups e empresas em crescimento. O Enterprise é posicionado como oferta com segurança, suporte e governação de nível corporativo em escala. Nas features base, ambos incluem MFA, funções administrativas, verificação de domínio, SAML SSO e proteção contratual mais robusta do que a oferta para consumidor final. A diferença destaca-se em governação dos dados: SCIM, gestão de chaves enterprise, controlos de acesso baseados em funções, Compliance API, painéis de análise mais completos, allowlist de IP e residência de dados ficam no lado do Enterprise.
Na documentação da OpenAI sobre apps, no Enterprise e no Edu todas as apps ficam desativadas por defeito, sendo depois geridas por administradores e, se necessário, por RBAC. Já no Business, as apps ficam ativas por defeito, embora possam ser geridas pelos owners do workspace. Para uma PME, isto pode ser aceitável. Para uma organização que lida com dados internos mais sensíveis, integrações externas e requisitos de segurança mais duros, esta diferença muda bastante o perfil de risco inicial.
| Critério | ChatGPT Business | ChatGPT Enterprise | Impacto |
|---|---|---|---|
| Dados usados para treino por defeito | Não | Não | Resolve objeção frequente, mas não substitui governação interna |
| MFA | Sim | Sim | Melhora segurança de acesso |
| SAML SSO | Sim | Sim | Integra autenticação com o identity provider da empresa |
| SCIM | Não | Sim | Automatiza provisionamento e remoção de utilizadores |
| Funções e perfis básicos | Sim | Sim | Ambos têm gestão administrativa |
| RBAC | Não | Sim | Permite granularidade de permissões por grupo ou função |
| Enterprise Key Management | Não | Sim | Acrescenta controlo sobre chaves de encriptação |
| Compliance API | Não | Sim | Ajuda auditoria, logs e integração com ferramentas de compliance |
| IP allowlist | Não | Sim | Restringe acesso a redes aprovadas |
| Residência de dados | Não | Sim, para clientes elegíveis | Relevante para exigências regionais e contratuais |
| Políticas de retenção personalizadas | Não ao mesmo nível | Sim | Pesa em compliance e ciclo de vida da informação |
| ISO 27001, 27017, 27018, 27701 | Não | Sim | Patamar de conformidade superior no comparativo oficial |
| BAA para ChatGPT | Não | Possível para contas Enterprise/Edu sales-managed | Relevante em saúde e contextos regulados |
Onde o Business faz sentido
O ChatGPT Business faz sentido em PME, startups, agências, consultoras, equipas comerciais, marketing, operações e produto que pretendem ganhar produtividade com IA sem montar desde início uma arquitetura de governação pesada.
Faz sentido quando a organização trabalha com informação interna de baixa ou média sensibilidade, consegue aplicar políticas internas simples mas firmes, e o uso passa por tarefas como síntese documental, brainstorming, apoio à escrita, análise de dados agregados, estruturação de propostas, apoio à decisão e trabalho colaborativo dentro da equipa.
Se a empresa precisa de invoice billing, purchase orders, transferências bancárias, zero data retention, BAAs ou outras opções comerciais, deve recorrer a uma oferta contratual. Business é um plano empresarial para muitas equipas, mas não desenhado para responder a todas as exigências de uma organização regulada ou com forte carga de governação.
Segundo a OpenAI, nos workspaces Business os chats, ficheiros e documentos de canvas são retidos indefinidamente. Para uma empresa pequena, com regras internas simples e poucos riscos regulatórios, isso pode ser aceitável. Para organizações que precisam de políticas de retenção alinhadas com compliance, direito à supressão, ciclo de vida documental ou disciplina de dados, este ponto deixa de ser detalhe e passa a ser fator de exclusão.
Em que casos o Enterprise é necessário
O ChatGPT Enterprise faz sentido quando a empresa precisa de encaixar a IA no seu modelo de controlo interno. Ocorre em grupos empresariais, multinacionais, organizações com equipas grandes, empresas com elevada rotação de utilizadores, ambientes com múltiplos departamentos a trabalhar sobre informação relevante, setores regulados ou contextos em que o tema “quem pode ver, usar, manter, exportar e auditar” não pode ficar entregue a boas práticas informais.
O Enterprise também é o plano aceitável quando a empresa quer construir uma posição defensável perante auditorias, clientes enterprise, equipas jurídicas, DPOs, CISOs ou reguladores. A OpenAI indica que apenas clientes ChatGPT Enterprise ou Edu com conta gerida por vendas podem explorar BAA para ChatGPT, e que não disponibiliza BAA para ChatGPT Business. Em setores como saúde, isto pesa logo na triagem.
Quando NÃO colocar dados sensíveis
Uma empresa não deve colocar dados sensíveis no ChatGPT quando o dado entra em bruto e é identificável, quando a finalidade não está definida, quando a base legal não é clara, quando não existe política interna para o uso de IA generativa, quando o fornecedor ainda não foi enquadrado contratualmente, quando o plano não suporta a retenção e os controlos exigidos ou quando o caso de uso envolve categorias especiais de dados sem medidas adequadas.
Também não deve carregar credenciais, chaves API, segredos de negócio nucleares, informação disciplinar de RH, dossiês de contencioso em bruto, dados de saúde identificáveis, bases integrais de clientes ou ficheiros financeiros completos num workspace usado livremente pelas equipas.
Casos de aplicação: quando cada plano tende a encaixar
Marketing, comercial e equipas de operação
Se a empresa quer usar o ChatGPT para resumir briefings, melhorar propostas, estruturar campanhas, analisar dados agregados, rever apresentações, sintetizar reuniões ou preparar conteúdos internos, o Business tende a ser suficiente, desde que o input exclua identificadores desnecessários, dados de clientes em bruto e documentação sensível integral. Nestes cenários, o foco está na produtividade e na qualidade de execução, não na manipulação rotineira de categorias especiais de dados.
RH e talento
Se a empresa quer usar IA para apoiar triagem, descrição de funções, síntese de entrevistas ou análise de avaliações, entra num território mais delicado. RH lida com dados pessoais, frequentemente com informação potencialmente sensível e, por vezes, com inferências que podem afetar direitos dos candidatos ou trabalhadores. O Business pode servir para trabalho preparatório ou com dados minimizados. O Enterprise tende a ser a escolha quando entram perfis individuais, documentos laborais ou critérios internos de decisão.
Saúde
No setor da saúde, os requisitos são mais apertados. A OpenAI diz que não oferece BAA para ChatGPT Business e que apenas clientes ChatGPT Enterprise ou Edu com conta sales-managed podem explorar essa via para ChatGPT. Mesmo sem misturar enquadramentos europeus e norte-americanos, a mensagem operacional é que o Business não é o plano adequado para uma abordagem livre se a organização atua em saúde e trata dados clínicos ou informação muito sensível.
Banca, seguros e fintech
Nestes setores, a interação com IA generativa pode cruzar proteção de dados com resiliência operacional, gestão de risco TIC, auditoria e dependência de terceiros. O DORA aplica-se ao setor financeiro da UE e introduz exigências adicionais de resiliência operacional digital e, noutros setores, a NIS2 reforça o quadro europeu de cibersegurança. Para estas organizações, a escolha entre Business e Enterprise deve ser feita com base em retenção, logs, segregação de acessos, gestão de identidades, controlos técnicos e capacidade de defesa em auditoria.
Jurídico, contratos e due diligence
Se o objetivo é resumir minutas tratadas, comparar versões de contratos ou extrair cláusulas de documentos minimizados, o Business pode responder em alguns casos. Se a empresa quer usar IA em contratos integrais, operações de M&A, contencioso, pareceres ou informação muito reservada, o perfil de risco muda. Na maioria dos casos inclina a decisão para Enterprise ou uma arquitetura ainda mais fechada.
Legislação adicional ao RGPD
A Soberania Digital da UE
A Europa distingue-se por equilibrar inovação com proteção de direitos, desde o AI Act às Fábricas de IA.
Consultar cronologia da Inteligência Artificial na Europa →AI Act da UE
Para além do RGPD, o AI Act da UE entrou em vigor em 2024, as regras sobre práticas proibidas começaram a aplicar-se em fevereiro de 2025 e a aplicabilidade geral avança em 2026, com calendários próprios para diferentes blocos do regulamento. O que significa que a governação de IA passou a fazer parte do enquadramento regulatório europeu.
Diretiva NIS2
Do lado da cibersegurança, a NIS2 cria um quadro comum para reforçar a segurança das redes e sistemas de informação em setores críticos na União Europeia.
DORA (Setor Financeiro)
No setor financeiro, o DORA acrescenta obrigações de resiliência operacional digital.
Perguntas Frequentes (FAQ)
Não. A OpenAI garante de forma explícita que os dados introduzidos (prompts, documentos, ficheiros) nas contas Business, Enterprise e API não são utilizados por defeito para treinar ou melhorar os seus modelos fundacionais.
É altamente desaconselhado. Na versão gratuita ou Plus (consumidor final), os dados são usados por defeito para treinar os modelos da OpenAI, a menos que o utilizador desative essa opção manualmente. Além disso, a empresa perde qualquer controlo de acessos, de visibilidade ou de conformidade legal sobre os dados partilhados nessas contas pessoais.
Não necessariamente. Se a sua empresa não atua num setor regulado (como saúde ou banca rigorosa) e não necessita de controlos como gestão de chaves corporativas, Single Sign-On avançado (SCIM) ou relatórios de auditoria complexos, o plano ChatGPT Business costuma ser perfeitamente adequado para garantir a privacidade básica aos dados da equipa.
Se forem dados pessoais reais e identificáveis (como emails, faturas ou perfis), a empresa incorre numa violação do Regulamento Geral de Proteção de Dados (RGPD). É por isto que a adoção técnica de um plano empresarial deve ser sempre acompanhada de formação à equipa e de um manual interno de boas práticas.
A sua equipa está preparada para a era da IA?
Adotar a Inteligência Artificial de forma segura exige mais do que a escolha de um plano de subscrição; exige capacitação humana. O risco real não está na ferramenta, mas sim na forma como os seus colaboradores interagem com ela no dia a dia.
Descubra a Formação Ideal para a sua Empresa