Resumo
Mostra como transformar decisões sobre bots de IA externos no Microsoft Teams de prática dispersa em política aplicada: definir regras, aplicar no tenant, alinhar com a LGPD e criar trilha de auditoria.
Na semana passada falamos do convidado invisível: o bot de IA externo que entra silenciosamente em reuniões corporativas, transcreve decisões sensíveis e leva o conteúdo para um servidor de terceiro (lei a matéria neste link: https://blog.memorycomp.com.br/o-convidado-invisivel-bot-de-ia-ouvindo-reunioes-empresa). O risco ficou claro. Resta a pergunta prática: o que dá pra fazer a respeito?
A boa notícia
A primeira coisa que muitos decisores não sabem é que o comportamento de bots externos em reuniões do Microsoft Teams é configurável no nível do tenant. Existe um conjunto de controles administrativos, vinculados às políticas de reunião e de lobby, que define se bots externos podem ou não entrar, em que condições, com qual modo de acesso, e o que acontece quando um deles tenta participar de uma reunião organizada por alguém da sua empresa.
Isso significa que a decisão não precisa ficar pulverizada na mão de cada organizador, no calor de cada chamada. Pode ser tomada uma vez, com critério, pela área certa, e aplicada de forma consistente a toda a organização.
O ponto é que, no padrão de fábrica, a maioria dos tenants vive uma configuração permissiva. Não porque alguém escolheu assim, mas porque ninguém revisou. E enquanto ninguém revisa, o controle real está na mão do gerente que organizou a reunião das 9h30.
Por que delegar ao organizador não é governança
A arquitetura atual da maioria das empresas brasileiras pode ser resumida assim: a decisão de admitir ou não um bot externo numa reunião corporativa é tomada, na prática, pelo organizador, no instante em que o lobby abre.
Esse organizador é, quase sempre, um gerente de área pressionado pela agenda. Ele não recebeu treinamento sobre bots externos. Não tem critério escrito para consultar. Não sabe a diferença entre um assistente que respeita a LGPD e um que não respeita. Não tem como avaliar, em três segundos, onde aquele fornecedor armazena dados e sob qual jurisdição.
Mesmo que esse gerente acerte hoje, na próxima reunião ele pode errar. E mesmo que toda a organização acertasse por sorte durante um mês, ainda assim faltariam três elementos que definem governança de verdade:
- Critério escrito. Sem uma política formal, cada decisão é uma opinião individual. Não há como auditar opinião.
- Consistência. O que o gerente A admite na segunda, o gerente B bloqueia na terça, e o gerente C nem percebe na quarta. O comportamento da empresa fica imprevisível para o jurídico, para o DPO e para o cliente que assinou um contrato de confidencialidade com você.
- Trilha de auditoria. Se ninguém registra quem admitiu o quê, não há resposta possível para a pergunta que mais cedo ou mais tarde aparece: quais bots externos estiveram nas nossas reuniões nos últimos 90 dias, e o que eles ouviram?
Delegar ao organizador, sem política e sem trilha, não é descentralização. É ausência de governança disfarçada de autonomia.
O que significa ter governança real
Governança de bots externos no Teams, quando feita com método, tem quatro camadas que conversam entre si.
A primeira é a política desenhada. Uma decisão tomada pela combinação certa de áreas, normalmente TI, Segurança da Informação, DPO e Jurídico, sobre quais classes de bots externos são aceitáveis, em quais tipos de reunião, sob quais condições. É um documento curto, mas escrito. Sem ele, nada do que vem depois se sustenta.
A segunda é a aplicação no tenant. A política sai do papel e vira configuração. Os controles administrativos do Teams passam a refletir a decisão tomada: detecção de bots externos ativa, modo de acesso ajustado, políticas de reunião e de lobby alinhadas com o que o Jurídico aprovou. A partir desse ponto, o comportamento da empresa para de depender da memória do organizador.
A terceira é a conexão com a LGPD. Bots externos transcrevem reuniões que tratam de dados pessoais quase sempre: clientes, funcionários, candidatos, contrapartes. Para que essa captura seja legítima, é preciso base legal definida, comunicação clara aos titulares e contrato de tratamento com o fornecedor do bot quando ele for autorizado. Governança que não conversa com a LGPD é metade do trabalho, e é justamente a metade que aparece numa fiscalização.
A quarta é o monitoramento. Trilha de auditoria que o DPO consegue consultar quando precisa: quais bots tentaram entrar, quais foram admitidos, em quais reuniões, por quem. Sem esse registro, a empresa fica refém da boa-fé. Com ele, há resposta para investigar incidente, atender titular ou demonstrar conformidade.
As quatro camadas se sustentam mutuamente. Política sem aplicação é teatro. Aplicação sem política é configuração ao acaso. Política aplicada sem LGPD é risco regulatório. E nada disso fecha sem trilha de auditoria.
De risco difuso para política aplicada
O ponto de chegada é razoavelmente simples de descrever, ainda que dê trabalho para construir: a decisão sobre quem ouve as reuniões da empresa deixa de ser tomada reunião a reunião, por pessoas diferentes, com critérios diferentes, sem registro. Passa a ser uma política escrita, aplicada no tenant, alinhada com a LGPD e auditável pelo DPO.
Esse é um trabalho pontual, com começo, meio e fim. Não é um projeto longo nem uma camada permanente de serviço. É um engajamento de governança: diagnóstico do estado atual do tenant, desenho da política com as áreas certas, aplicação dos controles administrativos no ambiente, alinhamento com a LGPD e orientação aos organizadores. Quando termina, a empresa tem o assunto resolvido e documentado.
A Memory conduz esse engajamento como parceira Microsoft, traduzindo a configuração técnica em linguagem de risco e conformidade para que TI, DPO e Jurídico cheguem juntos a uma decisão que se sustenta. Se a sua organização ainda está deixando esse assunto na mão do organizador da próxima reunião, vale conversar sobre como transformar isso em política aplicada. Comece em ["url campanha"].
Se faz sentido transformar essa decisão de risco difuso em política aplicada, conheça o engajamento pontual de governança da Memory.
Continue lendo
DLP para prompts do Copilot: como impedir que dados sensíveis saiam do seu ambiente
Como implantar DLP nos prompts do Copilot para evitar que colaboradores enviem dados sensíveis a serviços externos, mantendo produtividade, gerando trilha de auditoria para jurídico e TI e garantindo conformidade com LGPD.
Fernando Rabello · 19 de jun. de 2026 Credenciais Seguras Azure — Key Vault Q2
Relato prático da Memory sobre a migração de tokens de automação para Azure Key Vault: passos, ganhos operacionais e pontos de atenção; uma tarde que separou risco de exposição de credenciais de um modelo seguro.
Fernando Rabello · 17 de jun. de 2026 Agent 365: como dar identidade e acesso gerenciado aos agentes de IA da sua empresa
Como identificar e controlar agentes de IA não gerenciados usando Agent 365 e Microsoft Entra: organização de identidades, políticas de acesso, auditoria e passos práticos para reduzir riscos operacionais, jurídicos e financeiros.
Fernando Rabello · 16 de jun. de 2026