Como usar IA com compliance em seguradoras sem travar a inovação

Bloquear tudo parece seguro. Mas bloquear tudo também paralisa.

Esse foi o dilema enfrentado pela Austral Seguradora quando decidiu proibir ferramentas de IA externas por risco de compliance. A tensão entre proteger dados sensíveis e não perder competitividade não é exclusividade de uma empresa. É o ponto cego de todo o setor de seguros hoje.

O Falso Dilema: Segurança Versus Inovação no Setor de Seguros

O setor de seguros carrega, por natureza, uma cultura de gestão de risco. É o negócio em si. Então faz sentido que, diante de novas tecnologias, a primeira reação seja de cautela.

Mas cautela em excesso tem um preço.

Quando uma seguradora bloqueia toda e qualquer iniciativa de IA, ela se protege do risco regulatório imediato. Evita o vazamento de dados. Evita a não conformidade. Isso parece seguro no curto prazo.

O problema é o que acontece enquanto ela está parada.

Concorrentes avançam. Processos que levavam horas passam a levar minutos. A análise de risco fica mais precisa. A experiência do cliente melhora. E a seguradora que bloqueou tudo continua no mesmo lugar — só que agora com uma desvantagem competitiva real e crescente.

O outro extremo também é problemático.

Adotar IA sem nenhum controle, deixando cada time usar a ferramenta que quiser, com dados que não deveriam sair do ambiente interno, é uma bomba-relógio regulatória. A LGPD é clara sobre responsabilização. A SUSEP observa. E um incidente de vazamento pode custar muito mais do que qualquer ganho de produtividade.

A narrativa de que “segurança ou inovação” é uma escolha binária é, no fundo, uma armadilha de raciocínio.

Seguradoras que enxergam os dois objetivos como opostos acabam presas em um ciclo: ora bloqueiam tudo, ora liberam sem critério — e nunca chegam a uma estrutura estável.

A premissa central deste artigo é simples: esse é um falso dilema.

Existe uma terceira via. Uma que permite usar inteligência artificial de forma produtiva, auditável e dentro dos limites regulatórios — sem travar a operação e sem abrir brechas de compliance.

E ela já foi testada na prática.

Por Que a Austral Bloqueou Todas as Ferramentas de IA Externas

Antes da decisão de bloqueio, a Austral Seguradora vivia um cenário familiar para muitas empresas do setor: times usando ferramentas de IA externas por conta própria, sem aprovação formal, sem política interna e sem nenhum controle centralizado.

Não era má-fé. Era produtividade espontânea.

Analistas usando ChatGPT para redigir comunicações. Equipes de sinistro usando ferramentas de resumo automático para processar documentos. Times de TI testando soluções de automação baseadas em modelos públicos.

O problema é que dados sensíveis estavam sendo inseridos nessas ferramentas.

Informações de segurados, dados contratuais, detalhes de apólices — tudo isso transitava por plataformas externas, hospedadas fora do perímetro da empresa, sem qualquer garantia contratual de que esses dados não seriam usados para treinar novos modelos ou retidos por terceiros.

Do ponto de vista de compliance com a LGPD, o cenário era crítico.

Não havia base legal documentada para aquele tratamento de dados. Não havia consentimento específico. Não havia controle de quais informações saíam ou como eram processadas do outro lado.

Além disso, a ausência de trilha de auditoria tornava impossível responder a qualquer questionamento regulatório com precisão.

Diante desse quadro, a decisão da Austral foi racional: bloquear todas as ferramentas de IA externas até que existisse uma estrutura adequada para suportar o uso.

Foi uma decisão responsável. Mas ela gerou um efeito colateral imediato.

Os times continuaram precisando entregar. Os prazos não mudaram. A demanda não diminuiu. E de repente, as ferramentas que tinham virado parte do fluxo de trabalho simplesmente sumiram.

O gargalo operacional foi sentido rapidamente — e a pressão interna para encontrar uma solução começou a crescer.

O Custo Invisível do Bloqueio Total

Proibir sem substituir não resolve o problema. Só desloca o risco para um lugar mais difícil de enxergar.

Quando uma política de bloqueio absoluto é implementada sem uma alternativa clara, o comportamento mais comum não é a conformidade imediata. É a adaptação criativa — e nem sempre dentro dos limites que a empresa imagina.

Esse fenômeno tem nome: shadow IT.

Shadow IT é o uso de tecnologias não aprovadas formalmente, fora do radar da TI e do compliance. E ele tende a explodir exatamente depois de um bloqueio mal comunicado ou sem substituto à altura.

O time que dependia de uma ferramenta de IA para ganhar tempo no trabalho não vai simplesmente parar de usar IA. Vai encontrar outro caminho — pelo celular pessoal, pela conta gratuita em nome próprio, pela ferramenta que um colega indicou.

O risco não desapareceu. Ficou invisível.

E invisível é pior. Porque agora não há logs, não há controle, não há como auditar.

Além do shadow IT, há outro custo que raramente aparece nos relatórios de compliance: a perda de produtividade mensurável.

Tarefas que eram feitas em minutos voltam a levar horas. Times ficam sobrecarregados. A frustração aumenta. E a narrativa que começa a circular internamente é a de que o compliance é um obstáculo — não um habilitador.

Isso cria resistência cultural, que é um dos maiores inimigos de qualquer programa de governança de longo prazo.

A lição aqui é direta: uma política de bloqueio, sem uma política de substituição, é incompleta por definição. Ela trata o sintoma e ignora a causa.

O que a Austral precisava — e o que qualquer seguradora nessa situação precisa — não era de um “não”. Era de um “sim, mas com controle”.

A Virada: Plataforma Própria na Nuvem do Cliente Como Resposta Estrutural

A solução não veio de uma nova proibição. Veio de uma arquitetura diferente.

A Nova IT Consultoria foi acionada para estruturar uma resposta que resolvesse os dois lados do problema ao mesmo tempo: manter o compliance sem sacrificar a capacidade operacional dos times.

A abordagem foi clara desde o início: se o risco está nos dados saindo do perímetro, a solução é garantir que eles nunca saiam.

Isso significava implantar uma plataforma de IA hospedada diretamente na infraestrutura de nuvem da própria Austral — não em servidores de terceiros, não em ambientes compartilhados, não em plataformas públicas com termos de uso genéricos.

A IA operaria. Mas os dados ficariam em casa.

Do ponto de vista técnico, a solução envolveu a configuração de modelos de linguagem autorizados e controlados internamente, com acesso restrito a quem tinha perfil aprovado para cada tipo de uso.

Nenhum dado de segurado, nenhuma informação contratual e nenhum dado sensível precisaria trafegar para fora do ambiente da seguradora para que a IA funcionasse.

O perímetro foi o critério principal de design.

Isso resolveu o problema regulatório de forma estrutural — não por meio de uma política de proibição, mas por meio de uma arquitetura que tornava o uso seguro o caminho mais fácil, não o mais difícil.

Para os times, a mudança foi significativa: voltaram a ter acesso a ferramentas de IA. Para o compliance, também: agora havia controle real sobre o que era usado, por quem e com quais dados.

A inovação voltou a acontecer — só que desta vez, dentro de um ambiente que a empresa controlava.

Esse modelo não é uma solução exclusiva para a Austral. É uma arquitetura replicável para qualquer seguradora que enfrente o mesmo dilema.

Veja tambem:

Como a IA Autorizada Funciona na Prática: Auditoria Sem Atrito

Ter a plataforma dentro do perímetro é o primeiro passo. Mas governança de IA não é só sobre onde os dados ficam — é sobre como o uso é controlado, registrado e auditável.

O modelo implementado na Austral combinou dois elementos: mecanismos técnicos e processos de governança. Os dois precisam andar juntos para que a auditoria seja real, não só formal.

Trilhas de Auditoria Contínuas

Cada interação com a plataforma de IA é registrada automaticamente.

Quem usou, quando usou, qual tipo de dado foi processado e qual foi o resultado — tudo isso fica armazenado em logs estruturados, acessíveis para revisão a qualquer momento.

Isso não é burocracia. É a diferença entre conseguir ou não responder a um questionamento da SUSEP com evidências concretas.

Controle de Acesso por Perfil

Nem todo colaborador tem acesso ao mesmo conjunto de funcionalidades.

O controle de acesso é granular: um analista de sinistro acessa funcionalidades diferentes de um gestor de compliance, que acessa funcionalidades diferentes de um desenvolvedor de TI.

Isso reduz o risco de uso inadequado e garante que dados sensíveis sejam acessados apenas por quem tem necessidade legítima — um princípio direto do regime da LGPD.

Versionamento e Aprovação Formal de Modelos

Qualquer modelo de IA que entra na plataforma passa por um processo formal de aprovação.

Não existe adoção espontânea de novos modelos. Cada versão é documentada, testada e autorizada antes de ir para produção. Isso garante rastreabilidade e permite reverter para versões anteriores se necessário.

Auditoria Como Habilitador, Não Como Freio

A mudança de mentalidade mais importante aqui é entender que a auditoria bem desenhada acelera a adoção, não a retarda.

Quando os times sabem que existe um canal seguro, aprovado e com suporte, eles param de buscar alternativas externas. O atrito de aprovação caso a caso desaparece porque o canal já foi aprovado de forma estrutural.

A governança deixa de ser o obstáculo e passa a ser o trilho que permite correr mais rápido — com segurança.

Compliance com LGPD e Regulação da SUSEP: O Que Precisa Estar no Lugar

Adotar inteligência artificial no setor de seguros sem considerar o ambiente regulatório é um risco que nenhum diretor de compliance deveria assumir.

Não porque a tecnologia seja problemática em si — mas porque o setor opera sob camadas de exigências que precisam estar endereçadas antes de qualquer escala.

Alguns pontos fundamentais merecem atenção imediata.

Base legal para o tratamento de dados é o primeiro. A LGPD exige que qualquer tratamento de dados pessoais tenha uma base legal clara e documentada. Quando um modelo de IA processa dados de segurados para análise de risco ou atendimento, essa base precisa estar identificada — seja legítimo interesse, execução de contrato ou outra hipótese aplicável.

Minimização de dados em modelos é o segundo ponto crítico. O princípio da minimização determina que apenas os dados estritamente necessários para a finalidade devem ser usados. Modelos de IA treinados ou alimentados com volumes desnecessários de dados pessoais violam esse princípio — e expõem a seguradora a riscos reais.

Responsabilização por decisões automatizadas é um tema que a LGPD aborda diretamente. Quando a IA participa de decisões que afetam segurados — como aprovação de sinistros ou precificação —, a empresa precisa garantir a possibilidade de revisão humana e ser capaz de explicar a lógica da decisão.

A SUSEP, por sua vez, acompanha de perto a transformação digital do setor. As diretrizes regulatórias para uso de modelos de decisão automatizada estão em evolução, e a aderência a essas orientações precisa ser parte do processo de governança de IA desde o início.

Para um aprofundamento completo sobre como estruturar governança de IA alinhada à LGPD no contexto de seguros, recomendamos a leitura do nosso conteúdo específico sobre o tema — que trata esses requisitos com a profundidade que merecem, sem repetir o que já foi coberto aqui.

O ponto central é este: compliance regulatório e adoção de IA não são paralelos. Precisam ser desenhados juntos, desde a arquitetura da solução.

Os Três Princípios Para Replicar Essa Lógica em Qualquer Seguradora

O que a Nova IT Consultoria aplicou na Austral não foi uma solução proprietária e irreproduzível. Foi a aplicação consistente de três princípios que qualquer seguradora pode — e deve — adotar ao estruturar sua jornada de IA com segurança.

Princípio 1: Soberania do Dado

A IA opera. Os dados não saem.

Esse é o fundamento de tudo. Qualquer ferramenta de inteligência artificial adotada pela seguradora deve processar dados dentro do perímetro controlado pela própria empresa — seja na nuvem privada, seja em um ambiente de nuvem pública configurado com isolamento adequado.

Quando o dado não sai, boa parte do risco de compliance vai junto.

Não há transferência internacional não autorizada. Não há risco de uso dos dados para treinar modelos de terceiros. Não há dependência de termos de serviço de plataformas externas que mudam sem aviso.

Soberania do dado é a base estrutural. Todo o resto se constrói sobre ela.

Princípio 2: Canal Único Autorizado

Uma seguradora não pode ter vinte formas diferentes de usar IA internamente.

Cada canal paralelo é um ponto cego de governança. É exatamente o cenário que levou à necessidade do bloqueio inicial na Austral — múltiplas ferramentas, múltiplos acessos, zero controle centralizado.

O segundo princípio é simples: existe um canal oficial, aprovado, auditável, e é ele que todos usam. Sem exceções ad hoc. Sem “esse time pode porque é urgente”. Sem aprovações informais por WhatsApp.

A consistência do canal único é o que torna a governança escalável. Quando todos passam pelo mesmo caminho, auditar o caminho é suficiente.

Princípio 3: Auditoria Nativa

A governança precisa estar embutida no fluxo, não sobreposta a ele.

Quando a auditoria é um processo separado — uma planilha preenchida depois, uma aprovação burocrática desconectada do uso real —, ela inevitavelmente fica para trás. E quando fica para trás, deixa de ser governança real.

Auditoria nativa significa que logs são gerados automaticamente, controles de acesso são aplicados no próprio sistema, e nenhum uso acontece fora do perímetro rastreável. Não é uma checklist posterior — é uma característica do design da solução.

Esses três princípios juntos formam um framework que pode ser aplicado independentemente do porte da seguradora, do volume de dados ou do nível de maturidade tecnológica atual.

Inovação Controlada Não É Inovação Lenta

Existe uma crença enraizada em muitas organizações de que governança e velocidade são inversamente proporcionais. Quanto mais controle, mais lento o avanço.

Essa crença é, na maioria dos casos, o reflexo de uma governança mal desenhada — não uma verdade universal.

Quando a governança é construída como uma camada burocrática sobre os processos existentes, ela realmente freia. Porque adiciona etapas. Adiciona aprovações. Adiciona atrito.

Mas quando a governança é desenhada como parte da infraestrutura — como no modelo aplicado na Austral —, ela tem o efeito oposto.

Times que têm um canal seguro e aprovado param de perder tempo procurando alternativas.

Antes do canal estruturado, cada nova ferramenta de IA que alguém queria usar precisava passar por uma aprovação ad hoc — quando passava. Isso levava semanas. Muitas vezes, travava completamente.

Com o canal único autorizado em funcionamento, a aprovação já aconteceu de forma estrutural. O time acessa, usa, entrega. O compliance está garantido por design.

O resultado prático é que a adoção de IA tende a acelerar depois que a estrutura de governança está no lugar — não apesar dela.

A inovação não desaparece dentro de um trilho seguro. Ela ganha direção. E direção, na prática, significa menos desperdício de energia em discussões sobre o que pode ou não pode, e mais tempo efetivo resolvendo problemas reais.

Governança bem desenhada é combustível para inovação, não freio.

Quando Acionar um Diagnóstico Externo: Sinais de Que a Estrutura Atual Não Sustenta a IA

Antes de qualquer investimento em tecnologia de IA — seja plataforma própria, ferramenta licenciada ou desenvolvimento interno —, é preciso ser honesto sobre um ponto: a estrutura atual da sua seguradora está preparada para suportar isso com segurança?

Na maioria dos casos, a resposta honesta é “ainda não completamente”. E tudo bem. O problema é quando a empresa avança sem essa clareza.

Alguns sinais indicam que o momento de acionar um diagnóstico externo chegou.

Uso de ferramentas externas sem aprovação formal é o primeiro sinal. Se equipes estão usando ChatGPT, Copilot ou qualquer outra ferramenta de IA por conta própria, com dados da empresa, sem um processo de aprovação documentado — o risco já está instalado.

Ausência de um DPO ativo no processo de adoção de IA é outro indicador crítico. O Encarregado de Proteção de Dados não pode ser uma figura consultada depois das decisões. Precisa estar na mesa desde o início, especialmente quando dados de segurados estão envolvidos.

Falta de trilha de auditoria nos sistemas atuais significa que, mesmo que tudo pareça estar sob controle, não há como provar isso. E no cenário regulatório atual, não conseguir provar equivale a não ter feito.

Ausência de uma política interna de uso de IA é talvez o sinal mais comum — e o mais subestimado. Sem uma política clara, cada time cria a sua própria regra. E regras informais não protegem ninguém em um processo regulatório.

Se sua seguradora se reconhece em dois ou mais desses pontos, o próximo passo não deveria ser comprar tecnologia. Deveria ser mapear onde estão os gaps reais de governança antes de escalar qualquer solução.

Um diagnóstico externo estruturado permite fazer exatamente isso — com olhar técnico, regulatório e operacional ao mesmo tempo. Sem viés de quem precisa vender uma ferramenta específica.

Esse é o ponto de partida seguro para qualquer jornada de IA no setor de seguros.

Proteger dados e inovar não são objetivos concorrentes. São dois lados da mesma decisão estratégica bem executada.

A Nova IT Consultoria pode ajudar sua seguradora a mapear onde estão os riscos reais e como estruturar uma adoção de IA que respeite compliance sem paralisar a operação. Solicite um diagnóstico e dê o primeiro passo com segurança.

Conteudo complementar: Case de IA em seguradora: como a Austral transformou sua operação
Solicite um diagnóstico

Compartilhe nas redes sociais!

Loja Aggro - São Paulo

2 lojas em Catanduva

Loja do Ricardo

Loja do Ricardo

Loja do Ricardo