O mercado de tecnologia vivenciou recentemente uma mudança significativa na gestão de dados do GitHub Copilot. A partir de 24 de abril de 2026, dados de interação dos usuários das versões Free, Pro e Pro+ serão utilizados, por padrão, para o treinamento de modelos de IA, a menos que o usuário ativamente opte pelo opt-out. Clientes das modalidades Business e Enterprise permanecem protegidos por termos contratuais específicos.
Para líderes de engenharia e gestão de TI operando no Brasil, especialmente em segmentos como financeiro, saúde e setor público, isso não é apenas uma atualização de termos de uso. É um chamado urgente para reavaliar a governança de sua stack de IA. A pergunta que todo CISO e diretor de tecnologia deve fazer ao seu fornecedor de ferramentas de desenvolvimento é direta: o nosso código está sendo usado para treinar o modelo?
O que muda na prática para as empresas?
A notificação indica explicitamente que os dados podem ser compartilhados com afiliados da Microsoft para fins de desenvolvimento de IA. Em ambientes regulados, onde termos como data residency e IP leakage (vazamento de propriedade intelectual) ditam a sobrevivência do negócio, a configuração de controles granulares via IAM e a revisão de cláusulas contratuais de tiers de serviço tornam-se imperativas. O risco aqui não é apenas operacional, mas jurídico e de compliance.
A importância da Governança em ambientes regulados
O código-fonte de uma organização brasileira que desenvolve soluções proprietárias — seja um algoritmo de credit scoring, uma lógica de detecção de fraudes ou normas de underwriting — é um ativo crítico. Quando esse ativo passa por um assistente de IA que utiliza as entradas para treinar modelos de mercado, a empresa corre o risco de converter sua propriedade intelectual em input para soluções que podem servir a seus próprios competidores.
Frameworks de governança como a Resolução CMN/BCB nº 4.893 (para instituições financeiras) ou a própria LGPD exigem uma visão clara de como terceiros tratam dados sob custódia. Se a sua pipeline de CI/CD, que sustenta a entrega de software, depende de ferramentas cuja política de dados varia conforme o plano, você criou um "ponto cego" de controle que não é sustentável a longo prazo.
O Norte: O que cobrar de fornecedores de IA
Para organizações que não podem abrir mão da segurança, a relação com fornecedores de IA deve ser pautada por três pilares:
- Segurança Contratual: A proibição de uso de código do cliente para treinamento de terceiros deve ser clara, absoluta e vinculada ao contrato, não a configurações de conta que podem ser alteradas com 30 dias de aviso prévio.
- Auditabilidade: É preciso exigir documentação técnica sobre o fluxo dos dados e garantias de isolamento.
- Independência: A dependência excessiva de um único ecossistema (vendor lock-in) aumenta o risco de governança. Estratégias multi-cloud e a capacidade de hospedar modelos em infraestrutura controlada pela própria empresa permitem manter o processamento de código sensível dentro de limites de segurança definidos internamente.
O anúncio do GitHub é um lembrete de que IA não é apenas velocidade de codificação; é, acima de tudo, um desafio de governança corporativa. Aqueles que não tiverem uma estratégia de IA auditable e protegida contra mudanças repentinas de termos de serviço continuarão acumulando dívida de conformidade.
Artigo originalmente publicado por Allie Holland em GitLab.
