LGPD e IA: obrigações reais para startups em 2026

Por SAFIE · 20 de maio de 2026 · 4 min de leitura

O Startupi publicou, em início de 2026, uma análise sobre as seis tendências que devem acelerar a transformação corporativa no Brasil ao longo do ano. Entre os vetores destacados, a adoção de inteligência artificial em processos de negócio aparece como o principal motor de mudança nas organizações brasileiras, independentemente do porte ou setor.

O que a reportagem não aprofunda, e que é crítico para qualquer empresa que opere com IA no Brasil, é o peso regulatório que acompanha essa aceleração. A Lei Geral de Proteção de Dados (Lei nº 13.709/2018, a LGPD) não é uma formalidade de compliance: ela impõe obrigações concretas sobre como dados pessoais são coletados, armazenados, processados e utilizados para treinar ou alimentar sistemas de IA.

Este artigo apresenta o que mudou no ambiente regulatório, o que a ANPD tem sinalizado e quais são as obrigações práticas para founders, CTOs e gestores que desenvolvem ou contratam soluções de IA em 2026.

Contexto jurídico e regulatório

O que a LGPD diz sobre IA e decisões automatizadas

A LGPD não menciona "inteligência artificial" de forma explícita, mas seu artigo 20 trata diretamente de decisões tomadas exclusivamente por meios automatizados. Esse dispositivo garante ao titular o direito de solicitar revisão humana de decisões que afetem seus interesses, como crédito negado por algoritmo, demissão gerada por sistema de RH ou recusa de seguro por modelo preditivo.

O mesmo artigo obriga o controlador a fornecer informações claras sobre os critérios e procedimentos utilizados na decisão automatizada. Na prática, isso significa que sistemas de IA que impactam pessoas precisam de documentação explicável, o que cria um conflito direto com modelos de caixa-preta (black box) amplamente usados no mercado.

Além do artigo 20, o artigo 7º lista as bases legais para tratamento de dados pessoais. Para IA, as mais relevantes são o consentimento (inciso I), o legítimo interesse (inciso IX) e a execução de contrato (inciso V). Cada base tem requisitos distintos e não são intercambiáveis: usar a base errada já configura infração, mesmo que o dado tenha sido coletado de forma aparentemente legítima.

ANPD e o avanço da fiscalização em 2026

A Autoridade Nacional de Proteção de Dados (ANPD) publicou seu Plano Estratégico 2023-2026, no qual consta expressamente a regulamentação de IA e decisões automatizadas como prioridade. Em 2025, a autoridade abriu consulta pública sobre tratamento de dados em IA generativa, sinalizando que orientações normativas específicas devem ser publicadas ainda em 2026.

A ANPD também já aplicou suas primeiras sanções administrativas. O caso da Telekall Infoservice, multada em 2023, estabeleceu precedente sobre a seriedade do órgão fiscalizador. Para 2026, o órgão ampliou sua estrutura de fiscalização e reduziu o tempo médio de resposta a processos administrativos, segundo informações do próprio site da ANPD (gov.br/anpd).

Outro ponto relevante é a Resolução CD/ANPD nº 2/2022, que regulamenta o tratamento de dados por agentes de pequeno porte. Startups de IA enquadradas como microempresas ou empresas de pequeno porte têm obrigações simplificadas em alguns pontos, mas não estão isentas das regras básicas de base legal, transparência e segurança de dados.

Impacto prático

Para founders e CTOs, o primeiro impacto prático é sobre a origem dos dados usados para treinar modelos. Dados raspados da internet, comprados de terceiros ou coletados via formulários sem aviso adequado podem não ter base legal válida sob a LGPD. Isso compromete não apenas o compliance, mas a própria viabilidade comercial do produto: clientes enterprise e investidores institucionais exigem evidências de que o pipeline de dados está em conformidade.

O segundo impacto envolve contratos com fornecedores de IA. Quando uma empresa contrata uma API de IA (como modelos de linguagem de grandes fornecedores internacionais), ela assume a posição de controladora dos dados pessoais que insere nessa API. O artigo 26 da LGPD exige que o controlador celebre contrato com o operador prevendo obrigações de proteção de dados. Contratos que não trazem essas cláusulas deixam a empresa exposta em caso de vazamento ou uso indevido pelo fornecedor.

O terceiro ponto é sobre o Relatório de Impacto à Proteção de Dados Pessoais (RIPD), previsto no artigo 38 da LGPD. Para sistemas de IA que processam dados sensíveis (saúde, biometria, origem racial, dados de crianças) ou que tomam decisões automatizadas com impacto significativo, o RIPD deixa de ser recomendação e passa a ser obrigação. Ter esse documento atualizado é também um elemento de defesa em processos administrativos e judiciais.

Considerações finais

A aceleração da IA corporativa no Brasil em 2026, apontada pelo Startupi, não ocorre num vácuo regulatório. A LGPD está em vigor, a ANPD está operacional e os riscos de não conformidade são financeiros, reputacionais e contratuais. Empresas que tratam compliance de dados como etapa posterior ao lançamento do produto estão construindo sobre fundação instável.

O caminho prático é integrar privacidade desde a concepção do sistema (privacy by design, previsto no artigo 46 da LGPD), documentar bases legais para cada fluxo de dados e revisar contratos com fornecedores de tecnologia. Isso não é custo: é proteção de ativo e condição de acesso a mercados mais exigentes.

Perguntas frequentes

A LGPD se aplica a dados usados para treinar modelos de IA?

Sim. Se os dados de treinamento incluírem informações de pessoas identificadas ou identificáveis, a LGPD se aplica integralmente. É necessário ter base legal válida para coletar e processar esses dados, mesmo que o objetivo final seja treinar um modelo e não armazenar os dados de forma individual.

Minha startup usa a API do ChatGPT ou de outro LLM externo. Preciso de contrato de proteção de dados com o fornecedor?

Sim. Ao enviar dados pessoais para uma API de terceiro, sua empresa atua como controladora e o fornecedor como operador. O artigo 26 da LGPD exige cláusulas contratuais que vinculem o operador às instruções do controlador e imponham obrigações de segurança. Contratos padrão de alguns fornecedores já incluem cláusulas de DPA (Data Processing Agreement), mas é preciso verificar se estão adequados à LGPD.

O que é o RIPD e quando minha empresa de IA é obrigada a fazer?

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é um documento que descreve os processos de tratamento de dados e avalia riscos para os titulares. Ele é obrigatório quando o tratamento pode gerar riscos elevados, como em sistemas com decisões automatizadas, uso de dados sensíveis (saúde, biometria) ou processamento em larga escala. A ANPD pode solicitá-lo a qualquer momento.

Quais são as multas previstas na LGPD para empresas de IA que descumprirem a lei?

As sanções administrativas da LGPD (artigo 52) incluem advertência, multa simples de até 2% do faturamento do grupo econômico no Brasil no último exercício, limitada a R$ 50 milhões por infração, e multa diária com o mesmo teto. Também são previstas publicização da infração, bloqueio e eliminação dos dados envolvidos, além de suspensão do banco de dados.

Startups pequenas têm obrigações menores com a LGPD?

A Resolução CD/ANPD nº 2/2022 traz algumas flexibilizações para microempresas e EPPs, como dispensa do DPO formal em certos casos e simplificação de algumas obrigações documentais. Porém, as regras fundamentais (base legal, transparência, segurança e direitos dos titulares) se aplicam a todos os agentes de tratamento, independentemente do porte.