Voltar ao site SAFIE →
LGPD e proteção de dados em IA

LGPD e proteção de dados em IA: o guia prático

Por · · 4 min de leitura
LGPD e proteção de dados em IA: o guia prático

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) não menciona inteligência artificial em nenhum de seus artigos. Ainda assim, ela regula diretamente qualquer operação que envolva dados pessoais, e sistemas de IA raramente funcionam sem eles.

Modelos de linguagem, algoritmos de recomendação, sistemas de reconhecimento facial, ferramentas de análise preditiva: todos processam dados de pessoas identificadas ou identificáveis. Isso os coloca sob o guarda-chuva da LGPD, independentemente do nome que se dê à tecnologia.

Para founders, CTOs e gestores de produto, entender essa relação não é uma questão acadêmica. É uma exigência operacional. Este artigo explica o que a lei exige, onde estão os riscos concretos e o que fazer para reduzir a exposição jurídica da sua empresa.

Contexto jurídico e regulatório

O que a LGPD exige de sistemas de IA

A LGPD define "tratamento" de dados de forma ampla: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação (art. 5º, X). Treinar um modelo de IA com dados pessoais é, juridicamente, tratamento.

Para que esse tratamento seja lícito, a empresa precisa enquadrá-lo em uma das dez bases legais do art. 7º da LGPD. As mais usadas em contexto de IA são: consentimento do titular, legítimo interesse do controlador e cumprimento de obrigação legal. A escolha da base não é livre, ela precisa corresponder à finalidade real do tratamento e ser documentada.

O art. 20 da LGPD traz uma regra especialmente relevante para IA: o titular tem direito de solicitar revisão de decisões tomadas exclusivamente com base em tratamento automatizado. Isso inclui decisões sobre perfil pessoal, profissional, de consumo e de crédito. A empresa deve ser capaz de oferecer revisão humana quando solicitado, o que exige arquitetura de sistemas e processos internos preparados para isso.

Dados sensíveis merecem atenção redobrada. A LGPD classifica como sensíveis os dados sobre origem racial, convicção religiosa, opinião política, saúde, vida sexual, dado genético ou biométrico (art. 11). Sistemas de IA que processam imagens, voz ou comportamento podem capturar esses dados indiretamente. O tratamento de dados sensíveis exige base legal específica e, em regra, consentimento explícito ou enquadramento em hipótese do art. 11, II.

O papel da ANPD na regulação de IA

A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão competente para fiscalizar o cumprimento da LGPD e pode aplicar sanções que chegam a 2% do faturamento da empresa no último exercício, limitadas a R$ 50 milhões por infração (art. 52). A autoridade também publica regulamentos setoriais e guias interpretativos que complementam a lei.

A ANPD já sinalizou interesse específico em IA, com iniciativas de mapeamento de riscos e consultas públicas sobre o tema. Empresas que desenvolvem ou usam IA com dados pessoais devem acompanhar as publicações da autoridade, disponíveis em gov.br/anpd, para antecipar exigências regulatórias em discussão.

Impacto prático

Na prática, a conformidade com a LGPD em sistemas de IA começa na fase de concepção do produto. O princípio da privacidade desde a concepção (privacy by design), previsto no art. 46 da LGPD, exige que medidas de proteção sejam integradas ao desenvolvimento, não adicionadas depois como correção.

Três pontos concentram os maiores riscos operacionais. Primeiro, o uso de dados de terceiros para treinamento de modelos sem verificação da origem e da base legal que autorizou aquele uso. Segundo, a ausência de política de retenção e exclusão de dados: a LGPD exige que dados sejam eliminados ao término do tratamento, salvo exceções legais (art. 16). Terceiro, a falta de um canal funcional para atendimento aos direitos dos titulares, incluindo acesso, correção, portabilidade e oposição ao tratamento.

Para empresas B2B que fornecem IA como serviço, há uma camada adicional: a relação controlador-operador. Quando sua empresa processa dados pessoais por conta de um cliente, ela assume o papel de operadora e precisa de contrato com cláusulas específicas de proteção de dados (art. 39). Esse contrato é também uma proteção para o fornecedor: sem ele, a responsabilidade pode recair integralmente sobre quem opera o sistema.

Considerações finais

A LGPD não foi desenhada para IA, mas se aplica a ela com toda a força. Empresas que tratam dados pessoais em sistemas automatizados sem governança adequada assumem riscos jurídicos, financeiros e reputacionais que podem ser evitados com estruturação adequada desde o início.

O caminho prático envolve quatro pilares: mapear os dados que o sistema usa, definir e documentar a base legal de cada tratamento, garantir mecanismos de exercício de direitos pelos titulares e nomear um encarregado de dados (DPO) com capacidade real de resposta. Esses pilares não eliminam toda a incerteza regulatória, mas reduzem significativamente a exposição da empresa e demonstram boa-fé perante a ANPD.

Perguntas frequentes

Minha startup usa dados públicos para treinar IA. A LGPD ainda se aplica?

Sim. A LGPD se aplica a qualquer dado pessoal, independentemente de ser público ou não. Dados disponíveis na internet podem ser pessoais se permitirem identificar uma pessoa. O fato de serem públicos não cria uma base legal automática para uso em treinamento de modelos. É preciso verificar se existe finalidade compatível e base legal adequada para esse uso específico.

O que é o direito de revisão de decisão automatizada e como atender a ele?

O art. 20 da LGPD garante ao titular o direito de pedir revisão humana de decisões tomadas exclusivamente por sistemas automatizados que afetem seus interesses. Para atender a esse direito, sua empresa precisa: identificar quais decisões do sistema se enquadram nessa hipótese, criar um processo interno de revisão por pessoa humana qualificada e disponibilizar canal claro para o titular fazer a solicitação.

Preciso de DPO (encarregado de dados) na minha startup de IA?

A LGPD exige a indicação de um encarregado de dados para controladores e operadores (art. 41). A ANPD publicou a Resolução CD/ANPD nº 2/2022, que dispensa a obrigação formal para microempresas e empresas de pequeno porte, desde que não tratem dados sensíveis em larga escala. Startups de IA que processam dados biométricos, de saúde ou de comportamento em volume significativo não se beneficiam dessa dispensa e devem nomear um DPO.

Como funciona a responsabilidade quando ofereço IA como serviço para outras empresas?

Quando você processa dados pessoais de clientes de outra empresa, você é operador e seu cliente é o controlador. A LGPD exige contrato entre as partes com cláusulas que definem finalidade, obrigações de segurança e hipóteses de responsabilidade (art. 39). Sem esse contrato, a distinção de papéis fica juridicamente fragilizada e o operador pode responder solidariamente por danos causados ao titular.

Qual é a multa máxima que a ANPD pode aplicar por violação da LGPD?

O art. 52 da LGPD prevê multa de até 2% do faturamento da pessoa jurídica de direito privado no seu último exercício, excluídos os tributos, limitada a R$ 50 milhões por infração. Além da multa, a ANPD pode aplicar advertência, publicização da infração, bloqueio ou eliminação dos dados e suspensão parcial do funcionamento do banco de dados por até seis meses.

Decisão jurídica ou contábil pendente?

A SAFIE atende founders e gestores com acesso direto aos sócios — jurídico e contabilidade integrados sob o mesmo teto. Conversamos para entender o caso antes de qualquer recomendação.

Falar com a SAFIE
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.