LGPD e proteção de dados em IA: guia prático

Por SAFIE · 11 de maio de 2026 · 4 min de leitura

Desenvolver ou operar um sistema de inteligência artificial no Brasil significa, quase inevitavelmente, tratar dados pessoais. Dados de usuários, históricos de comportamento, registros de voz, imagens, localização e até padrões de digitação são insumos comuns em modelos de IA. Todos eles estão sob o alcance da Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018.

A LGPD não foi criada com foco em IA, mas seus princípios se aplicam integralmente a qualquer operação de tratamento de dados, independentemente da tecnologia utilizada. Isso inclui coleta, armazenamento, uso em treinamento de modelos, inferência em tempo real e compartilhamento com terceiros.

Este artigo explica, de forma direta, o que a LGPD exige das empresas que trabalham com IA, quais são os pontos de maior risco regulatório e como construir uma estrutura de conformidade funcional, sem burocracia excessiva.

Contexto jurídico e regulatório

O que a LGPD exige de sistemas de IA

A LGPD define dado pessoal como qualquer informação que identifique ou possa identificar uma pessoa natural (art. 5º, I). Modelos de IA treinados com histórico de compras, textos gerados por usuários ou registros de interação se enquadram diretamente nessa definição, mesmo quando os dados parecem anonimizados.

A lei exige que todo tratamento de dados pessoais tenha uma base legal válida (art. 7º). As mais utilizadas por empresas de IA são o consentimento do titular, o legítimo interesse do controlador e o cumprimento de obrigação legal. Cada base tem requisitos distintos e não são intercambiáveis: usar consentimento de forma genérica para cobrir múltiplas finalidades é uma das irregularidades mais comuns apontadas pela Autoridade Nacional de Proteção de Dados (ANPD).

Para dados sensíveis (art. 5º, II), como dados de saúde, biométricos, origem racial ou étnica e convicções religiosas, as exigências são ainda mais rígidas. O tratamento exige consentimento específico e destacado ou, em casos excepcionais, enquadramento em hipóteses taxativas do art. 11. Sistemas de IA em saúde, RH com reconhecimento facial ou análise de crédito com dados comportamentais precisam de atenção redobrada neste ponto.

Decisões automatizadas e o direito de revisão

O art. 20 da LGPD garante ao titular o direito de solicitar revisão de decisões tomadas exclusivamente com base em tratamento automatizado, incluindo aquelas que afetem seus interesses. Isso cobre, diretamente, outputs de modelos de IA usados em concessão de crédito, triagem de candidatos, precificação dinâmica e moderação de conteúdo.

A ANPD publicou, em 2023, o documento "IA e Proteção de Dados" como parte de sua agenda regulatória, sinalizando que o tema é prioritário para a autoridade. Embora o Brasil ainda não tenha uma lei específica para IA no nível de aplicação da LGPD, o Projeto de Lei nº 2.338/2023, aprovado pelo Senado Federal em dezembro de 2024, cria um marco regulatório complementar que reforça deveres de transparência e avaliação de impacto em sistemas de IA de alto risco.

A responsabilidade recai sobre o controlador (quem decide como os dados são usados) e pode se estender ao operador (quem processa os dados por conta do controlador). Em arquiteturas de IA com múltiplos fornecedores de API, modelos de terceiros e infraestrutura em nuvem, mapear quem é controlador e quem é operador em cada etapa do pipeline é obrigação legal, não apenas boa prática.

Impacto prático

Para founders e CTOs, o ponto de partida é o mapeamento de dados: identificar quais dados pessoais entram no sistema, em qual etapa, com qual finalidade e por quanto tempo ficam armazenados. Esse inventário é a base para o Registro das Operações de Tratamento (art. 37 da LGPD) e para a elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), exigido quando o tratamento pode gerar riscos elevados aos titulares.

Empresas que utilizam dados de terceiros para treinar modelos, como dados públicos coletados via scraping ou bases licenciadas, precisam verificar se as condições de uso originais permitem esse tipo de tratamento. Consentimento dado para uma finalidade não cobre automaticamente o uso para treinamento de IA. Esse ponto tem gerado disputas regulatórias em diversas jurisdições e é um vetor de risco relevante no Brasil.

A multa máxima por infração é de 2% do faturamento do grupo econômico no Brasil no último exercício, limitada a R$ 50 milhões por infração (art. 52). Além das sanções administrativas, há risco de ação coletiva por parte de titulares afetados e de responsabilização civil por danos morais e materiais. Para startups em estágio inicial, o impacto reputacional de um incidente de vazamento ou de uma autuação pública pela ANPD pode ser mais danoso do que a multa em si.

Considerações finais

A conformidade com a LGPD em sistemas de IA não é um projeto pontual. É uma estrutura contínua que envolve governança de dados, revisão de contratos com fornecedores, treinamento de equipes técnicas e monitoramento de mudanças regulatórias. Quanto mais cedo essa estrutura for construída, menor o custo de manutenção e maior a segurança jurídica para captar investimento, fechar contratos corporativos e operar em setores regulados.

Empresas que tratam a proteção de dados como diferencial competitivo, e não como custo de conformidade, tendem a criar produtos mais confiáveis e relações mais sólidas com usuários e parceiros. No mercado de IA, onde confiança é um ativo escasso, isso tem valor econômico real.

Perguntas frequentes

A LGPD se aplica a dados usados para treinar modelos de IA?

Sim. O uso de dados pessoais para treinar modelos de IA é uma operação de tratamento nos termos do art. 5º, X da LGPD. Isso exige base legal válida, finalidade determinada e, em muitos casos, um Relatório de Impacto à Proteção de Dados Pessoais (RIPD). Dados anonimizados ficam fora do escopo da lei, mas a ANPD pode questionar se a anonimização é tecnicamente irreversível.

O que é o direito de revisão de decisão automatizada e como ele afeta sistemas de IA?

O art. 20 da LGPD garante ao titular o direito de pedir revisão humana de decisões tomadas exclusivamente por sistemas automatizados que afetem seus interesses. Isso se aplica a sistemas de IA usados em crédito, contratação, precificação e outros contextos de impacto direto. Empresas precisam ter um processo operacional para atender essas solicitações dentro de prazos razoáveis.

Qual é a diferença entre controlador e operador em uma arquitetura de IA com múltiplos fornecedores?

O controlador é quem decide a finalidade e os meios do tratamento. O operador é quem processa os dados por conta do controlador. Em pipelines de IA com APIs de terceiros, provedores de nuvem e parceiros de dados, cada relação precisa ser formalizada em contrato com cláusulas de proteção de dados. A falta de contratos adequados é uma das principais vulnerabilidades jurídicas de startups de IA.

Dados públicos coletados da internet podem ser usados para treinar modelos de IA?

Não automaticamente. O fato de um dado estar publicamente acessível não significa que seu uso para treinamento de IA seja permitido pela LGPD. A finalidade original da coleta precisa ser compatível com o novo uso, e o titular deve ter razoável expectativa de que seus dados seriam usados dessa forma. Scraping de dados pessoais para treinamento sem base legal é um risco regulatório relevante no Brasil.

Quais são as penalidades que a ANPD pode aplicar a empresas de IA?

A ANPD pode aplicar advertência, multa simples de até 2% do faturamento do grupo no Brasil (limitada a R$ 50 milhões por infração), multa diária, publicização da infração, bloqueio e eliminação dos dados tratados irregularmente, além de suspensão parcial ou total das atividades de tratamento. As sanções estão previstas no art. 52 da LGPD e a ANPD já iniciou processos administrativos sancionatórios desde 2023.