Voltar ao site SAFIE →
LGPD e proteção de dados em IA

LGPD e IA: obrigações reais para startups

Por · · 4 min de leitura
LGPD e IA: obrigações reais para startups

Um artigo publicado pelo Startupi em maio de 2026, assinado por Lilian Primo, coloca em pauta o momento atual do empreendedorismo baseado em inteligência aplicada: sistemas que não apenas automatizam tarefas, mas tomam decisões, geram conteúdo e inferem comportamentos a partir de dados. O texto parte do diagnóstico de que empreender com IA exige uma nova postura operacional e estratégica.

O que o artigo não desenvolve, e que merece atenção imediata de founders e gestores, é o lado jurídico dessa equação. Toda aplicação de IA que processa dados de pessoas físicas no Brasil está sujeita à Lei Geral de Proteção de Dados (Lei nº 13.709/2018). Não há exceção para startups, para modelos em fase beta ou para sistemas que rodam em nuvem estrangeira.

Este artigo aprofunda o que isso significa na prática: quais dispositivos da LGPD incidem diretamente sobre sistemas de IA, o que a Autoridade Nacional de Proteção de Dados (ANPD) tem exigido e quais medidas concretas reduzem o risco jurídico sem travar o desenvolvimento do produto.

Contexto jurídico e regulatório

O que a LGPD diz sobre inteligência artificial

A LGPD não menciona inteligência artificial pelo nome, mas seus dispositivos incidem de forma direta sobre qualquer sistema que trate dados pessoais. O artigo 5º, inciso X, define "tratamento" de forma ampla: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração.

Um modelo de IA que recebe dados de usuários, os processa para gerar previsões ou classificações e os armazena para retreinamento realiza tratamento de dados pessoais em múltiplas etapas simultaneamente. Cada etapa exige base legal adequada, conforme o artigo 7º da LGPD.

O ponto mais sensível para startups de IA está no artigo 20, que trata de decisões automatizadas. A lei garante ao titular o direito de solicitar revisão de decisões tomadas exclusivamente por meios automatizados que afetem seus interesses, inclusive decisões destinadas a definir perfil pessoal, profissional, de consumo e de crédito. Sistemas de scoring, recomendação, triagem de currículos e análise de risco de crédito por IA estão diretamente expostos a esse dispositivo.

ANPD: o que já está sendo cobrado

A ANPD publicou em 2023 o "Relatório de Estudo Preliminar sobre Inteligência Artificial e Proteção de Dados Pessoais", que mapeou os principais riscos do uso de IA sob a ótica da LGPD. O documento destacou: viés algorítmico, falta de transparência sobre o uso de dados no treinamento de modelos e ausência de mecanismos para exercício de direitos pelos titulares.

Em 2024, a ANPD iniciou o Programa de Dossiê Temático sobre IA, com consulta pública concluída. O órgão sinalizou que tratamento de dados sensíveis em sistemas de IA (saúde, biometria, origem racial, convicção religiosa) será objeto de fiscalização prioritária. Empresas que operam nesses segmentos sem base legal robusta ou sem relatório de impacto à proteção de dados (RIPD) estão em posição de maior vulnerabilidade.

As transferências internacionais de dados também estão no radar. Startups que utilizam APIs de modelos como GPT-4, Gemini ou Claude processam dados pessoais de usuários brasileiros em infraestrutura estrangeira. O artigo 33 da LGPD exige que transferências internacionais atendam a condições específicas, incluindo cláusulas contratuais padrão aprovadas pela ANPD ou existência de nível de proteção adequado no país destinatário. A ANPD ainda não publicou lista de países com nível adequado, o que torna as cláusulas contratuais o mecanismo mais utilizável no momento.

Impacto prático

Para founders e CTOs, o primeiro impacto prático é no design do produto. Privacidade por design (artigo 46, parágrafo 2º da LGPD) não é opcional: o sistema precisa ser construído desde o início com controles de minimização de dados, anonimização onde possível e mecanismos para atender solicitações de exclusão ou portabilidade. Corrigir isso depois do lançamento custa mais e expõe a empresa durante o período de ajuste.

O segundo impacto é contratual. Todo contrato com clientes que envolva processamento de dados pessoais deve prever as responsabilidades de controlador e operador, nos termos do artigo 39 da LGPD. Se a startup é operadora (processa dados por conta do cliente), precisa agir conforme as instruções do controlador e não pode usar esses dados para treinar seus próprios modelos sem autorização expressa. Esse ponto é frequentemente ignorado em contratos de SaaS B2B e gera litígios.

O terceiro impacto é financeiro e regulatório. As sanções previstas no artigo 52 da LGPD chegam a 2% do faturamento da empresa no Brasil no último exercício, limitadas a R$ 50 milhões por infração. Para startups em fase inicial, mesmo sanções menores podem comprometer rodadas de investimento: investidores institucionais incluem due diligence de privacidade em seus processos desde 2023, especialmente em deals acima de R$ 5 milhões.

Considerações finais

O momento descrito pelo Startupi como "era da inteligência aplicada" é real e irreversível. Mas empreender com IA no Brasil sem uma estrutura mínima de conformidade com a LGPD é construir sobre terreno instável. As exigências regulatórias não esperam o produto atingir escala: elas incidem desde o primeiro dado pessoal tratado.

A boa notícia é que conformidade com a LGPD e velocidade de desenvolvimento não são incompatíveis. Startups que integram privacidade ao fluxo de produto desde cedo tendem a ter menos retrabalho, contratos mais sólidos e maior credibilidade com clientes corporativos e investidores. O custo de implementar controles cedo é significativamente menor do que o custo de remediar uma notificação da ANPD ou um incidente de segurança com dados de usuários.

Perguntas frequentes

Minha startup de IA precisa ter um DPO (encarregado de dados)?

A LGPD exige a indicação de um encarregado de dados por todo controlador ou operador que realize tratamento de dados pessoais (artigo 41). A ANPD, por meio da Resolução CD/ANPD nº 2/2022, dispensou agentes de tratamento de pequeno porte da obrigação de indicação formal, mas não os dispensou das demais obrigações da lei. Se sua startup trata dados sensíveis ou em grande volume, a indicação é recomendada independentemente do porte.

Posso usar dados de clientes para treinar meu modelo de IA?

Não automaticamente. O uso de dados pessoais para treinamento de modelos exige base legal própria (artigo 7º da LGPD) e, se a startup é operadora, exige autorização expressa do controlador (o cliente). Dados anonimizados, nos termos do artigo 12 da LGPD, estão fora do escopo da lei e podem ser utilizados com mais liberdade, desde que a anonimização seja tecnicamente irreversível.

O que é o RIPD e quando minha startup de IA precisa fazer um?

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é exigido pelo artigo 38 da LGPD quando o tratamento pode gerar riscos às liberdades civis e aos direitos fundamentais dos titulares. Sistemas de IA que tomam decisões automatizadas, processam dados sensíveis ou realizam monitoramento em larga escala se enquadram nessa exigência. A ANPD pode solicitar o RIPD a qualquer momento.

Como regularizar o uso de APIs de IA estrangeiras (OpenAI, Google, Anthropic) sob a LGPD?

O mecanismo mais seguro hoje é a inclusão de cláusulas contratuais padrão nos contratos com esses fornecedores, cobrindo as obrigações do artigo 33 da LGPD sobre transferência internacional de dados. Verifique também os termos de uso e data processing agreements (DPAs) oferecidos pelos provedores, que em geral já preveem conformidade com regulações de privacidade internacionais, incluindo o GDPR europeu, que serve de referência técnica.

Qual a diferença entre controlador e operador na LGPD e por que importa para startups de IA?

O controlador decide o quê e por quê os dados são tratados. O operador executa o tratamento por conta do controlador. Uma startup de IA que vende software B2B geralmente é operadora dos dados dos clientes de seu cliente. Isso limita o uso que pode fazer desses dados e exige que siga as instruções do controlador. Já uma startup de IA que define diretamente como os dados dos usuários finais são usados é controladora, com responsabilidades mais amplas perante a ANPD.

Decisão jurídica ou contábil pendente?

A SAFIE atende founders e gestores com acesso direto aos sócios — jurídico e contabilidade integrados sob o mesmo teto. Conversamos para entender o caso antes de qualquer recomendação.

Falar com a SAFIE
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.