Dois anúncios do GitHub esta semana, aparentemente em direções opostas, capturam essa tensão com clareza.
O anúncio que gerou 232 votos negativos
Em 25 de março de 2026, o GitHub atualizou sua Política de Privacidade e os Termos de Serviço. A mudança central: a partir de 24 de abril de 2026, dados de interação de usuários Copilot Free, Pro e Pro+ passarão a ser usados para treinar modelos de IA, salvo opt-out explícito.
Os dados cobertos incluem prompts, sugestões aceitas, trechos de código e contexto associado. O GitHub é explícito: “Se um usuário tem suas configurações definidas para permitir treinamento em seus dados de interação, trechos de código de repositórios privados podem ser coletados e usados para treinamento enquanto o usuário está ativamente usando o Copilot naquele repositório.”
A recepção na comunidade foi imediata e majoritariamente negativa. A discussão aberta no GitHub Community acumulou 232 votos negativos. De 39 comentários publicados no momento em que a notícia circulou, apenas um representante do próprio GitHub apoiou a mudança publicamente.
As críticas se concentram em três pontos. Primeiro, é opt-out em vez de opt-in — nos países da União Europeia, onde opt-in é o padrão exigido pelo GDPR para esse tipo de uso, há questionamentos jurídicos genuínos sobre a conformidade. Segundo, não existe controle por repositório, é tudo ou nada na conta. Terceiro, a configuração não é óbvia: críticos descrevem o posicionamento do toggle como um “dark pattern”.
Para fazer o opt-out, o caminho é: perfil → Copilot settings → “Allow GitHub to use my data for AI model training” → desabilitar.
Usuários do Copilot Business e Copilot Enterprise estão isentos pela natureza dos seus contratos. Estudantes e professores também.
O que está por trás da mudança
A justificativa do GitHub é transparente. Mario Rodriguez, Chief Product Officer, afirmou que modelos treinados em dados de interação real de desenvolvedores mostraram “maiores taxas de aceitação em múltiplos idiomas” comparados a modelos treinados apenas em código público.
Existe uma lógica econômica clara também. A Microsoft está investindo aproximadamente US$ 145 bilhões em infraestrutura de IA em 2026. Uma base de mais de 100 milhões de desenvolvedores é um dos ativos de dados mais valiosos do portfólio. O GitHub é, dentro da Microsoft, uma das maiores fontes de dados de comportamento real de desenvolvimento.
O padrão já é familiar: planos de entrada gratuitos ou de baixo custo financiam o produto com dados, enquanto planos corporativos pagam dinheiro em vez de dados. Não é diferente do que a maioria das plataformas de consumo faz há anos, só que agora o dado em questão é código potencialmente proprietário.
O outro movimento: data residency e FedRAMP
Enquanto o anúncio de treinamento gerava controvérsia, o GitHub publicou outro comunicado que passou relativamente mais despercebido, mas que pode ser mais relevante para o mercado corporativo.
O Copilot data residency para EUA e UE e conformidade FedRAMP passou para disponibilidade geral. O que isso significa na prática:
Administradores de empresas e organizações podem agora ativar uma política que restringe o Copilot a usar apenas modelos cujo processamento de dados fica dentro de uma região geográfica específica, EUA ou UE. Para clientes do governo americano, os hosts de modelo e a infraestrutura atendem aos padrões FedRAMP Moderate.
Os modelos disponíveis na launch incluem GPT-5.4, Claude Sonnet 4.6, Claude Opus 4.6 e outros, com suporte a todos os recursos geralmente disponíveis do Copilot: agent mode, sugestões inline, chat, cloud agent, code review, pull request summaries e Copilot CLI.
Regiões adicionais como Japão e Austrália estão no roadmap para mais adiante em 2026.
A distinção entre os dois anúncios é reveladora: para usuários individuais de planos básicos, os dados viram combustível para treinamento. Para clientes empresariais que pagam mais, os dados ficam dentro de um perímetro controlado, em uma região especificada, em conformidade com regulações locais.
A dimensão de governança que está virando argumento de venda
O que esses dois movimentos revelam, vistos juntos, é uma segmentação de mercado que está se tornando cada vez mais explícita na indústria de IA.
Em um polo, a proposta para consumidores e desenvolvedores individuais: acesso a ferramentas poderosas em troca de contribuição de dados para treinamento. Em outro polo, a proposta para empresas: controle total sobre os dados processados, garantias contratuais de que código proprietário não alimenta modelos concorrentes, e conformidade com regulações locais.
Essa segmentação tem implicações para a decisão de compra corporativa.
Propriedade intelectual em risco. Código que passa por um assistente de IA e potencialmente alimenta treinamento pode vazar padrões arquiteturais, lógica de negócio proprietária, algoritmos de detecção de fraude, estratégias de precificação. Para empresas em setores competitivos ou regulados, isso não é teórico — é uma questão de compliance real.
Auditoria e rastreabilidade. Regulações como DORA para serviços financeiros na Europa exigem que empresas mantenham controle auditável sobre ferramentas de terceiros que processam dados. Um copilot que não oferece rastreabilidade de processamento dificulta essa conformidade.
Pressão de clientes B2B. Empresas que vendem para outras empresas (especialmente em saúde, finanças, defesa e setor público) estão começando a receber questionamentos de clientes sobre a cadeia de dados das ferramentas de desenvolvimento. “Seu código é processado por quem? Onde? Pode treinar modelos de terceiros?” São perguntas que chegam em processos de due diligence e RFPs.
BYOK e modelos locais: a outra frente de controle
Além de data residency, o GitHub expandiu outras capacidades de controle que respondem à mesma demanda.
BYOK (Bring Your Own Key) permite que empresas usem suas próprias chaves de criptografia para dados do Copilot, o que significa que mesmo que o GitHub acesse os dados, não consegue descriptografá-los sem a chave que a empresa controla.
Modelos locais no Copilot CLI e VS Code permitem que times rodem modelos dentro da própria infraestrutura, sem que código ou prompts saiam do ambiente da empresa. A qualidade pode ser menor do que modelos frontier hospedados externamente, mas o isolamento pode ser o trade-off certo para determinados contextos.
Essas opções posicionam o Copilot em um espectro de controle: de uso padrão com dados na nuvem do GitHub, passando por data residency em região controlada, até execução completamente local sem dados externos.
Conclusão: O que isso muda no mercado de copilots
A competição no mercado de assistentes de código passou por três fases: a fase dos modelos (quem tem o melhor modelo?), a fase das features (quem tem mais integrações, suporta mais linguagens, tem melhor UX?), e agora está entrando na fase de governança.
Nessa terceira fase, perguntas que nunca foram centrais para a decisão de compra ganham peso:
- Onde seus dados são processados?
- Quem pode ver as interações?
- Seu código pode ser usado para treinar modelos que competidores usarão?
- Você pode auditar o que o modelo faz com seus dados?
- Você pode revogar acesso ou apagar dados históricos?
Competidores como GitLab já estão usando esse ângulo explicitamente: a empresa não treina modelos de IA em código de clientes em nenhum plano, e proíbe contratualmente que fornecedores de IA usem dados de clientes para seus próprios propósitos.
Para times de tecnologia que estão avaliando ou renovando contratos de copilots, 2026 é um bom momento para adicionar perguntas de governança ao processo de avaliação. A qualidade do modelo importa. Mas quem controla os dados, e como, está deixando de ser letra miúda para virar critério de seleção.
