SkillOperaçõesCriação

Política de Uso Aceitável (AUP)

Redige uma Política de Uso Aceitável de IT, AI, dispositivos e dados — customizável e auditável.

Ações
PerfilOperações
ProfundidadeMédia
IdiomaPortuguês
Objetivo

Em uma frase.

Produzir uma Política de Uso Aceitável (AUP) que define regras claras para o uso de recursos da empresa: sistemas, equipamentos, dados, ferramentas de AI e dispositivos pessoais (BYOD). A AUP serve dois objetivos simultâneos: proteger a empresa juridicamente em caso de violação **e** ser legível por quem precisa cumpri-la (não pode ser linguagem só de advogado). A skill produz documento customizável por porte e setor.

Aplicação

Quando
faz sentido.

Usar
  • Empresa nunca teve AUP formal (existia "regra implícita" só).
  • Auditoria SOC2 / ISO27001 exigiu política formal.
  • Adoção corporativa de AI generativo (Claude, ChatGPT) sem regra clara gerou risco.
  • Cliente enterprise exigiu AUP como anexo contratual.
  • Houve incidente de uso indevido (vazamento, uso pessoal de recurso corporativo) e a política precisa ser endurecida.
  • Mudança organizacional grande (fusão, criação de nova entidade legal).
  • Revisão anual da política existente.
Não usar
Prompt

Instruções
para a IA.

Passo 1 — Definir escopo e aplicabilidade

A AUP precisa dizer a quem se aplica. Erros de escopo geram brechas jurídicas.

- Funcionários CLT.

- Pessoas jurídicas (PJ) prestando serviço regular. - Estagiários e jovens aprendizes. - Terceiros / consultores com acesso a sistemas. - Contratantes temporários.

Para cada categoria, definir como a AUP é aceita (anexo de contrato, termo digital, signature ceremony no onboarding).

Importante: para PJs, a AUP pode entrar como anexo do contrato de prestação de serviços, não como política trabalhista. Para empresas multinacionais, considerar a versão local (LGPD para Brasil, GDPR para UE).

Passo 2 — Estrutura padrão da AUP

A AUP precisa ter, no mínimo, as seções:

1. Objetivo e escopo

2. Definições 3. Princípios gerais 4. Uso de equipamentos da empresa 5. Uso de dados e informações 6. Uso de ferramentas de AI 7. Uso de internet e comunicação 8. BYOD (se aplicável) 9. Monitoramento e privacidade 10. Violações e consequências 11. Revisão e vigência 12. Anexos

Documento ideal entre 8 e 20 páginas. Acima disso, ninguém lê.

Passo 3 — Redigir seção de princípios gerais

Princípios servem para casos não cobertos por regra específica. Padrão Gzero:

- Recursos da empresa servem a fins profissionais. Uso pessoal limitado é tolerado desde que não interfira no trabalho, não consuma recursos significativos, não exponha a empresa.

- Confidencialidade é default. Tudo que você aprende, vê ou produz no contexto da empresa é confidencial até prova em contrário. - Cuidado com dado de cliente. Dado de cliente nunca sai do ambiente controlado da empresa. - AI é ferramenta, não autoridade. AI gera output; humano valida. - Boa-fé. A política tem espírito além da letra. Quando em dúvida, perguntar.

Passo 4 — Redigir cláusula de uso de equipamentos

Equipamento corporativo (laptop, telefone, etc) é da empresa e tem regras:

Permitido:

- Instalar software necessário ao trabalho (sujeito a aprovação se não estiver na lista padrão). - Uso pessoal mínimo (consultar email, fazer compra ocasional). - Travar dispositivo com senha forte / biometria.

Proibido: - Compartilhar equipamento com terceiros (incluindo familiares). - Desabilitar antivírus, MDM ou agente de segurança. - Conectar dispositivos externos não autorizados (USB de origem desconhecida). - Usar para atividade ilegal, ofensiva ou que prejudique a empresa. - Levar equipamento para fora do país sem aprovação (se aplicável).

Em caso de saída: - Devolução obrigatória em até X dias úteis. - Possibilidade de oferecer compra do equipamento por valor residual.

Passo 5 — Redigir cláusula de uso de dados

Esta é a seção mais sensível. Cobrir:

Classificação de dados:

| Classificação | Exemplos | Regras |

|---|---|---| | Público | Material de marketing aprovado, site público | Sem restrição. | | Interno | Documentos internos, processos | Não compartilhar fora sem autorização. | | Confidencial | Dados financeiros, salários, estratégia | Compartilhar só com need-to-know. | | Restrito | PII de cliente, dado regulado, segredo industrial | Acesso controlado, log auditado. |

Regras gerais:

- Acesso conforme função; não acumular acesso desnecessário. - Não copiar dado restrito para dispositivo pessoal. - Não enviar dado restrito para email pessoal. - Não usar dado de produção em ambiente de teste/desenvolvimento. - Reportar vazamento suspeito imediatamente (canal específico).

Para detalhes operacionais sobre dados pessoais, ligar para gdpr-data-handling-checklist.

Passo 6 — Redigir cláusula de uso de AI (crítica)

A cláusula de AI é a parte mais nova e mais delicada da AUP em 2026. Cobrir:

Permitido:

- Usar ferramentas de AI aprovadas pela empresa (lista anexa, atualizada). - Usar AI para acelerar tarefas de produtividade: rascunho de texto, brainstorm, code completion, sumarização de documento próprio. - Usar AI dentro do tenant corporativo (versão enterprise com retenção controlada).

Proibido (ou requer aprovação explícita): - Submeter a AI dado classificado como Restrito ou Confidencial sem garantia de tenant enterprise sem retenção. - Submeter código proprietário a versão gratuita de modelo que treina nos prompts. - Submeter dado pessoal de cliente a AI sem aprovação do DPO. - Submeter material protegido por NDA de terceiro a AI. - Usar AI para gerar conteúdo que possa ser publicado externamente sem revisão humana qualificada.

Responsabilidade do usuário: - O output de AI é responsabilidade do humano que o usou. AI alucina, AI erra; quem entrega valida. - Citar uso de AI em entregáveis quando significativo (transparência interna). - Reportar saídas problemáticas (hallucination, vazamento de dado em prompt anterior).

Ferramentas atuais (anexo dinâmico):

| Ferramenta | Status | Notas | |---|---|---| | Claude (Anthropic) — tenant corporativo | Permitida | Sem retenção, dado fica isolado. | | ChatGPT Enterprise | Permitida | Tenant corporativo. | | ChatGPT gratuito (login pessoal) | Proibida para dado corporativo | Pessoal sem dado de trabalho ok. | | Cursor / Copilot (corporativo) | Permitida | Confirmar config de telemetria. | | Modelos open-source self-hosted | Permitida com aprovação | Validar antes. |

Anexo de ferramentas deve ser revisado trimestralmente — o cenário muda rápido.

Passo 7 — Redigir cláusula de monitoramento e privacidade

Monitoramento sem aviso é tóxico e juridicamente arriscado. Ser explícito:

- A empresa monitora o quê: tráfego de rede, logs de sistema, atividade em equipamento corporativo, uso de SaaS.

- A empresa não monitora o quê: conteúdo de comunicação privada em dispositivo pessoal fora do horário (a não ser sob ordem judicial), conteúdo de redes sociais pessoais. - Privacidade limitada em equipamento corporativo: o colaborador deve esperar que atividade no laptop da empresa pode ser auditada. - Logs são retidos por X meses, acesso controlado a um pequeno grupo (segurança + jurídico). - Em caso de investigação, há protocolo (não acesso arbitrário).

Para Brasil, considerar a LGPD: monitoramento de funcionário precisa de base legal (geralmente "execução de contrato" ou "legítimo interesse") e transparência.

Passo 8 — Redigir cláusula de violação e consequências

Sem consequências, a política é decorativa. Definir:

Categorias de violação:

| Categoria | Exemplo | Consequência tipica |

|---|---|---| | Leve | Uso pessoal excessivo de equipamento. | Advertência verbal, conversa com manager. | | Moderada | Compartilhar credencial, instalar software não aprovado. | Advertência formal escrita. | | Grave | Exfiltrar dado, desabilitar segurança, uso indevido grave de AI com dado de cliente. | Suspensão + investigação + possível desligamento por justa causa. | | Crítica | Roubo, fraude, sabotagem. | Desligamento por justa causa + medidas legais. |

Processo:

1. Suspeita identificada → reporte ao canal definido. 2. Investigação por time apropriado (Segurança + RH + Jurídico). 3. Direito de defesa (contraditório). 4. Decisão documentada com justificativa. 5. Aplicação proporcional.

Importante: não criar AUP com consequência maior do que jurídico aceita. Em CLT, justa causa exige requisitos legais específicos.

Passo 9 — Redigir cláusula de revisão e vigência

Política sem revisão envelhece em 6 meses. Definir:

- Vigência: a partir de DD/MM/AAAA.

- Revisão anual obrigatória. - Revisão extraordinária após incidente material ou mudança regulatória. - Comunicação de atualizações: e-mail para todos + treinamento curto se mudança significativa. - Versionamento explícito (v1.0, v1.1, v2.0).

Owner do documento: papel (geralmente Diretor de Segurança / DPO / RH conforme empresa).

Passo 10 — Integrar ao onboarding e ao processo disciplinar

AUP que não está integrada ao fluxo de pessoas não tem força:

- Onboarding: novo colaborador lê e assina (ou aceita digitalmente) a AUP nas primeiras 48h. Treinamento de 30 min cobrindo os pontos críticos.

- Reciclagem anual: todo mundo refaz o treinamento ou pelo menos confirma leitura da versão atualizada. - Processo disciplinar: RH usa a AUP como base para conversas de violação; sem isso, vira "Maria não gostou". - Saída: lembrete da continuidade da obrigação de confidencialidade pós-saída.
Constelação

Onde
ela vive.

Execução

Como usar
com IA.

  1. 01Copie a skill (botão "Copiar skill para IA", no topo): o texto copiado já é a skill completa, não um resumo.
  2. 02Abra o Claude ou Claude Code e cole — a IA recebe todas as instruções e fica pronta para a tarefa.
  3. 03Prefere usar como arquivo reutilizável? Baixe o .zip e coloque o SKILL.md em .claude/skills/ (Claude Code) ou anexe o arquivo no Claude (claude.ai).