GitHub Copilot coleta seu código privado: como proteger
A partir de 24 de abril, GitHub usa código de repositórios privados para treinar IA. Veja como desabilitar, o que muda no workflow e implicações LGPD para freelancer.
Por Vitor Morais
Fundador do MochaLabz ·
A partir de 24 de abril de 2026, o GitHub passou a usar dados de interação do Copilot Free, Pro e Pro+ — incluindo snippets de código, inputs, outputs e padrões de navegação de sessões ativas em repositórios privados — para treinar e melhorar seus modelos de IA. A mudança é opt-in automático: quem não agir ativo continua contribuindo com dados. Para freelancer que guarda código de cliente em repo privado, isso levanta questão imediata de confidencialidade e, dependendo do contrato, de LGPD.
Mudança ativa desde 24 de abril
O GitHub deu 30 dias de aviso prévio antes de ativar a coleta. Se você leu este artigo depois do dia 24 e não desabilitou a configuração, seus dados já estão sendo coletados. O opt-out é retroativo apenas para sessões futuras.
O que exatamente o GitHub coleta do seu Copilot
A política cobre usuários dos planos Free, Pro e Pro+. O que entra no pipeline de treinamento: snippets de código aceitos ou rejeitados, o contexto enviado ao modelo (janela de contexto local), sugestões geradas, padrões de navegação dentro do editor e dados de sessão. O ponto crítico: a coleta acontece mesmo em repositórios privados, não apenas em repos públicos como era antes.
Na prática, se você tem um repo privado com lógica de negócio de um cliente — regras de precificação, estrutura de banco, integrações com APIs internas — e usa o Copilot nesse contexto, trechos desse código podem ser usados para melhorar os modelos. Não é necessariamente malicioso, mas viola a expectativa razoável de que código privado permanece privado. E, se seu contrato com o cliente inclui cláusula de confidencialidade, você pode estar em descumprimento.
- Snippets de código: trechos que o Copilot vê como contexto para gerar sugestões.
- Inputs e outputs: o que você digitou e o que o modelo sugeriu, incluindo sugestões rejeitadas.
- Padrões de navegação: quais arquivos você abriu, em que ordem, quanto tempo ficou em cada um.
- Sessões em repos privados: não há distinção entre repo público e privado na coleta.
Como desabilitar a coleta de dados no GitHub Copilot
O opt-out fica nas configurações da conta GitHub, não no editor. O caminho é: GitHub.com → Settings → Copilot → Policies → Allow GitHub to use my data for product improvements. Desmarque essa opção. A mudança é imediata para sessões futuras. Em organizações, o administrador pode desabilitar globalmente para todos os membros via Organization Settings → Copilot → Policies.
Verificar configuração via GitHub CLI (gh)
# Instale gh se não tiver: https://cli.github.com
# Listar configurações do Copilot da sua conta
gh api /user/copilot_internal/user_settings
# A resposta inclui:
# "telemetry_enabled": true <- precisa virar false
# Não há CLI nativo para alterar; use a UI de SettingsSe você gerencia um time pequeno ou tem seats de organização GitHub, o fluxo correto é desabilitar pelo painel da organização antes de qualquer configuração individual. A configuração da org sobrepõe a do usuário — então membros não conseguem reativar se o admin bloqueou. Para freelancer solo sem org, basta a configuração pessoal.
Copilot Business e Enterprise não são afetados da mesma forma
Os planos Business e Enterprise têm contrato de processamento de dados diferente e, por padrão, não usam dados de clientes para treinar modelos. Se você fatura acima do limite MEI e pode justificar o custo, considerar o upgrade resolve o problema estruturalmente — não apenas via opt-out manual.
Implicações LGPD para freelancer que trabalha com código de cliente
A LGPD (Lei 13.709/2018) exige que o tratamento de dados pessoais tenha base legal e finalidade específica. Código de software em si não é dado pessoal por padrão — mas pode conter dados pessoais embutidos: CPFs em seeds de banco, e-mails hardcoded, dados de usuário em fixtures de teste. Se o Copilot envia esses trechos para treinamento, você pode estar transferindo dados pessoais de terceiros para o GitHub/Microsoft sem consentimento ou base legal adequada.
Para freelancer, o risco prático é contratual antes de ser regulatório. Se o contrato com o cliente tem cláusula de confidencialidade ou restrição de ferramentas de terceiros (comum em contratos com empresas médias e grandes), usar o Copilot sem opt-out pode configurar inadimplemento contratual. Não é necessário esperar uma multa da ANPD — o cliente pode rescindir ou exigir indenização com base na cláusula de confidencialidade.
- Verifique seu contrato: existe cláusula de confidencialidade de código ou restrição de ferramentas de terceiros?
- Revise os repos que você abre com Copilot ativo: separe repos de cliente de repos pessoais.
- Nunca coloque dados reais em fixtures: CPF, e-mail e telefone de usuário em seeds é risco independente do Copilot.
- Documente o opt-out: se você desabilitou a coleta, guarde screenshot com data como evidência de boa-fé.
- Informe o cliente se relevante: em contratos enterprise-grade, transparência proativa vale mais que silêncio.
O artigo de checklist LGPD para site pequeno cobre o básico de compliance para quem opera como MEI ou ME. Mas código de cliente envolve uma camada extra: você processa dados como operador (não controlador), o que muda a responsabilidade — e a exposição.
Alternativas ao Copilot que não treinam em seus dados
Se o opt-out não resolve porque o cliente exige garantia contratual, ou porque você simplesmente não quer depender de configuração manual, existem alternativas viáveis. A mais imediata é rodar um modelo local — como mostramos no guia de Copilot local com Gemma e Mistral no laptop. Zero dados enviados para fora da máquina, custo marginal zero depois do setup, e desempenho aceitável para tarefas de autocompletar e refatoração simples.
| Ferramenta | Treina em dados do usuário? | Repos privados seguros? | Observação |
|---|---|---|---|
| GitHub Copilot Free/Pro/Pro+ | Sim (desde 24/04) | Não por padrão | Opt-out disponível nas settings |
| GitHub Copilot Business/Enterprise | Não por contrato | Sim | Custo mensal por seat |
| Cursor (padrão) | Não (privacy mode disponível) | Sim com privacy mode | Privacy mode desativa telemetria |
| Copilot local (Gemma/Mistral) | Não (100% local) | Sim | Requer hardware adequado |
| Continue.dev + modelo local | Não (100% local) | Sim | Open source, integra Ollama |
O Cursor merece atenção especial aqui. A ferramenta tem um Privacy Mode explícito que desativa o envio de código para os servidores deles e impede uso em treinamento. Para freelancer que precisa de garantia contratual, ativar o Privacy Mode no Cursor e documentar isso é mais robusto do que confiar em opt-out do GitHub que pode mudar de política novamente. O Continue.dev com Ollama é a opção totalmente open source: você escolhe o modelo, roda local e nenhum byte sai da máquina.
Como adaptar o workflow sem perder produtividade
Desabilitar a coleta de dados não desabilita o Copilot — ele continua funcionando normalmente. O que muda é que o GitHub não usa suas interações para melhorar os modelos futuros. Na prática, seu autocomplete do dia a dia não piora em nada imediato. A perda, se houver, é marginal: você não contribui para melhorias futuras, mas também não se beneficia de nenhuma vantagem exclusiva por contribuir.
Para quem quer uma camada adicional de proteção sem trocar de ferramenta, a estratégia mais prática é a separação por perfil: crie um perfil de editor exclusivo para projetos de cliente (com Copilot desabilitado ou em modo restrito) e outro para projetos pessoais e open source. No VS Code, isso se faz via Profiles — cada perfil tem suas próprias extensões e configurações. Assim você mantém o benefício do Copilot onde o risco é baixo e elimina onde o risco é alto.
- Opt-out imediato: GitHub Settings → Copilot → desmarcar coleta de dados.
- Auditar repos abertos: quais repos têm código de cliente? Copilot está ativo nesses projetos?
- Criar perfil VS Code separado: um perfil para cliente (sem Copilot ou com modelo local), outro para projetos pessoais.
- Documentar o opt-out com screenshot: data e configuração visível, guarda no Notion ou em pasta do projeto.
- Revisar contratos novos: incluir cláusula explicitando quais ferramentas de IA são usadas e como código é tratado.
- Considerar upgrade para Business se você tem vários clientes enterprise e precisa de garantia contratual formal.
Copilot em repos públicos sempre coletou
A coleta de dados em repositórios públicos não é novidade — ela existe desde o lançamento do Copilot. O que mudou agora é a extensão para repos privados nos planos Free, Pro e Pro+. Se você já tinha opt-out ativo antes de abril, você estava protegido para repos públicos mas a nova política cobre privados também. Vale re-verificar a configuração mesmo que você tenha feito opt-out no passado.
O que incluir no contrato de freelancer sobre ferramentas de IA
A forma mais limpa de resolver isso estruturalmente é no contrato, antes de começar o projeto. Uma cláusula simples cobre: quais ferramentas de IA são usadas no desenvolvimento, se código do cliente é ou não enviado para terceiros, e qual o procedimento em caso de mudança de política das ferramentas. Não precisa ser jurídico complexo — clareza é suficiente para a maioria dos clientes.
Cláusula sugerida para contrato de desenvolvimento
## Ferramentas de IA e Confidencialidade de Código
O prestador utiliza ferramentas de assistência por inteligência artificial
(incluindo, mas não se limitando a, GitHub Copilot, Cursor e/ou modelos
locais) no processo de desenvolvimento.
As seguintes garantias se aplicam:
1. Código pertencente ao contratante não será processado por ferramentas
que utilizem dados de usuário para treinamento de modelos, salvo
mediante autorização prévia e por escrito do contratante.
2. O prestador manterá configurações de opt-out ativas em todas as
ferramentas que ofereçam essa opção, e documentará essas configurações
mediante solicitação.
3. Em caso de mudança de política por parte de qualquer ferramenta
utilizada, o prestador notificará o contratante em até 5 dias úteis
e adotará medida alternativa compatível.
4. Dados pessoais eventualmente presentes no código (incluindo dados
de teste) serão tratados conforme a LGPD e não serão expostos a
sistemas de terceiros sem base legal adequada.Esse tipo de cláusula também serve como diferencial competitivo. Clientes que já foram queimados por vazamento de código ou por algum incidente de dados percebem valor imediato em um freelancer que pensa nesses detalhes antes de ser questionado. Para quem quer se aprofundar na parte de segurança de infraestrutura como um todo, o artigo de segurança mínima para solopreneur indie cobre as cinco camadas essenciais sem overkill operacional.
Perguntas frequentes
O GitHub Copilot usa código de repositórios privados para treinar modelos?+
Sim, a partir de 24 de abril de 2026, para usuários dos planos Free, Pro e Pro+. A coleta inclui snippets de código, inputs, outputs e padrões de navegação de sessões ativas, mesmo em repositórios privados. O opt-out está disponível em GitHub Settings → Copilot → Policies. Planos Business e Enterprise têm contrato diferente e não treinam modelos com dados de clientes por padrão.
Como desabilitar a coleta de dados do GitHub Copilot?+
Acesse github.com, vá em Settings → Copilot → Policies e desmarque a opção que permite ao GitHub usar seus dados para melhoria de produto. A mudança é imediata para sessões futuras. Se você gerencia uma organização, o admin pode desabilitar globalmente em Organization Settings → Copilot → Policies, o que sobrepõe a configuração individual dos membros.
Usar o GitHub Copilot com código de cliente viola a LGPD?+
Depende do que está no código. Se o repositório contém dados pessoais embutidos (CPFs em fixtures, e-mails hardcoded, dados reais de usuário), enviar esses trechos para treinamento pode violar a LGPD por falta de base legal. Além disso, se o contrato com o cliente tem cláusula de confidencialidade, usar ferramentas que processam código em servidores de terceiros sem autorização pode configurar inadimplemento contratual independentemente da LGPD.
Qual alternativa ao Copilot não envia código para terceiros?+
A alternativa mais robusta é rodar um modelo de linguagem localmente via Ollama com Continue.dev ou similar. Nenhum dado sai da máquina. O Cursor também oferece um Privacy Mode explícito que desativa telemetria e uso em treinamento, sendo uma opção intermediária — mantém infraestrutura em nuvem mas com garantia contratual de privacidade. Modelos locais como Gemma ou Mistral funcionam bem para autocomplete e refatoração mesmo em hardware de laptop moderno.
Desabilitar a coleta piora o desempenho do Copilot?+
Não imediatamente. O opt-out impede que suas interações sejam usadas para treinar modelos futuros, mas o modelo que você usa hoje não muda. O Copilot continua funcionando com a mesma qualidade de sugestões. A única "perda" é não contribuir para melhorias futuras — o que dificilmente é perceptível individualmente, já que o treinamento agrega dados de milhões de usuários.
Preciso informar meu cliente que uso o GitHub Copilot?+
Depende do contrato. Se existe cláusula de confidencialidade de código ou restrição de ferramentas de terceiros, a resposta é sim — e você precisa garantir que o Copilot esteja com opt-out ativo ou usar uma alternativa local. Para novos contratos, o mais limpo é incluir cláusula explícita sobre ferramentas de IA usadas no desenvolvimento. Isso evita ambiguidade e demonstra profissionalismo para clientes que valorizam segurança de dados.
Artigos relacionados
LGPD para Sites: Checklist Completo de Adequação (2026)
Guia LGPD para sites brasileiros: 30+ itens de checklist, bases legais explicadas, multas reais aplicadas pela ANPD, prioridade de implementação por fase e ferramentas recomendadas.
Banner de Cookies LGPD: Como Implementar Corretamente em 2026
Guia completo: opt-in granular, categorias certas, Google Consent Mode v2, implementação em Next.js e WordPress, registro de consentimento, dark patterns proibidos e ferramentas pagas vs open source.
Copilot local com Gemma 4 no laptop: sem pagar por token
Como rodar Gemma 4 ou Mistral offline como copilot de código no VS Code em 2026. Setup em menos de 30 min, sem enviar código para a nuvem.
Segurança indie: 5 camadas que seu SaaS precisa (sem overkill)
Guia prático de segurança pra solopreneur. Quais defesas você realmente precisa, quanto custam e onde não vale investir tempo agora.