LGPD e proteção de dados em IA: guia prático

Por SAFIE · 1 de junho de 2026 · 4 min de leitura

Toda empresa que desenvolve ou opera um sistema de inteligência artificial no Brasil, e que processa dados de pessoas físicas identificadas ou identificáveis, está sujeita à Lei Geral de Proteção de Dados Pessoais (LGPD, Lei nº 13.709/2018). Não existe isenção para startups, para modelos em fase de treinamento ou para soluções B2B.

O ponto de partida é reconhecer que IA e dados pessoais são praticamente inseparáveis. Modelos de linguagem, sistemas de recomendação, ferramentas de análise preditiva e automações de RH, todos eles consomem, geram ou transformam dados que podem identificar uma pessoa. Cada uma dessas operações é, tecnicamente, um tratamento de dados pessoais sujeito à lei.

Este artigo explica, de forma direta, como a LGPD se estrutura em relação à IA, quais são as obrigações concretas para founders e CTOs, e o que acontece quando essas regras não são cumpridas.

Contexto jurídico e regulatório

O que diz a LGPD sobre IA

A LGPD não menciona inteligência artificial de forma explícita, mas suas regras se aplicam a qualquer operação de tratamento de dados pessoais, incluindo coleta, armazenamento, uso, compartilhamento e eliminação. O artigo 5º, inciso X, define tratamento de forma ampla o suficiente para abranger o treinamento de modelos e a inferência automatizada.

O artigo 20 é especialmente relevante para IA. Ele assegura ao titular o direito de solicitar revisão de decisões tomadas exclusivamente com base em tratamento automatizado, incluindo decisões que afetem seus interesses, como avaliação de crédito, contratação ou precificação personalizada. A empresa deve ser capaz de explicar os critérios usados e, quando solicitado, realizar revisão por pessoa natural.

As bases legais previstas no artigo 7º determinam sob qual fundamento o dado pode ser tratado. As mais usadas em IA são o consentimento (inciso I), o legítimo interesse do controlador (inciso IX) e a execução de contrato (inciso V). Cada base impõe obrigações diferentes: o consentimento exige clareza e possibilidade de revogação; o legítimo interesse exige que o interesse do controlador não se sobreponha aos direitos do titular.

Dados sensíveis e IA: atenção redobrada

O artigo 11 impõe requisitos mais rígidos para dados sensíveis, definidos no artigo 5º, inciso II: dados sobre saúde, biometria, origem racial, convicções religiosas, opinião política, dados genéticos e vida sexual. Sistemas de reconhecimento facial, análise de sentimentos em voz e ferramentas de triagem em saúde operam diretamente nessa categoria.

Para tratar dados sensíveis, as hipóteses legais são mais restritas. Na maior parte dos casos, exige-se consentimento específico e destacado, ou enquadramento em uma das exceções do artigo 11, como tutela da saúde em contexto médico. Usar dados sensíveis como insumo de treinamento sem base legal adequada é uma das infrações mais graves previstas na lei.

A Autoridade Nacional de Proteção de Dados (ANPD) já sinalizou, em documentos como o Guia Orientativo de Cookies e em suas resoluções normativas, que tratamentos automatizados de alto risco, incluindo uso de IA em decisões que afetam direitos, são objeto de atenção prioritária na fiscalização.

Impacto prático

Para founders e CTOs, o primeiro passo é o mapeamento de dados (também chamado de data mapping ou ROPA, Records of Processing Activities). É necessário identificar quais dados pessoais o sistema coleta, de onde vêm, para que são usados, por quanto tempo ficam armazenados e com quem são compartilhados. Sem esse mapeamento, é impossível demonstrar conformidade.

O segundo ponto crítico é a base legal. Muitas startups de IA operam com a suposição de que o consentimento resolve tudo. Não resolve. O consentimento precisa ser granular, informado e revogável. Se o modelo for retreinado com dados coletados sob um consentimento anterior, é necessário avaliar se o novo uso está coberto pelo escopo original. Bases como legítimo interesse podem ser mais adequadas em alguns contextos B2B, mas exigem uma avaliação de impacto documentada.

O terceiro ponto é a responsabilidade pela cadeia de dados. Quando uma startup usa APIs de terceiros, conjuntos de dados públicos ou dados fornecidos por clientes empresariais, ela pode ser enquadrada como operadora (artigo 5º, inciso VII) ou como controladora (artigo 5º, inciso VI), dependendo do grau de controle sobre as decisões de tratamento. Essa distinção define quem responde perante a ANPD e perante os titulares. Contratos de processamento de dados, previstos no artigo 37, são obrigatórios entre controladores e operadores.

Considerações finais

LGPD e IA não são temas paralelos. São temas que se cruzam em cada pipeline de dados, em cada modelo treinado e em cada decisão automatizada que afeta uma pessoa. Empresas que tratam conformidade como item de checklist, resolvido com um aviso de privacidade genérico no site, estão expostas a sanções administrativas, responsabilização civil e, principalmente, perda de confiança de clientes e investidores.

A conformidade bem estruturada, com base legal adequada, governança documentada e mecanismos de exercício de direitos funcionando, não é apenas uma obrigação legal. É um ativo competitivo, especialmente para empresas que pretendem crescer, levantar capital ou atender clientes no mercado europeu, onde o GDPR impõe padrões ainda mais exigentes.

Perguntas frequentes

Toda empresa de IA no Brasil precisa seguir a LGPD?

Sim. Qualquer empresa que trate dados pessoais de pessoas físicas localizadas no Brasil está sujeita à LGPD, independentemente de porte, estágio de desenvolvimento ou modelo de negócio. O artigo 3º da lei define o escopo territorial de forma ampla, alcançando inclusive empresas com sede no exterior que ofereçam serviços a usuários brasileiros.

Posso usar dados públicos para treinar meu modelo de IA sem me preocupar com a LGPD?

Não necessariamente. Dado público não é sinônimo de dado de uso irrestrito. Se o dado identifica ou pode identificar uma pessoa física, ele é dado pessoal e está sujeito à LGPD, independentemente de ser público. O uso de dados públicos para treinamento de IA exige base legal adequada, como o legítimo interesse, devidamente documentado e submetido ao teste de balanceamento previsto no artigo 10.

O que é o artigo 20 da LGPD e por que ele importa para sistemas de IA?

O artigo 20 garante ao titular o direito de solicitar revisão de decisões tomadas exclusivamente por meios automatizados que afetem seus interesses. Isso inclui concessão de crédito, contratação, precificação e outras decisões geradas por modelos de IA. A empresa deve ser capaz de explicar os critérios utilizados e, quando solicitado, submeter a decisão à revisão por uma pessoa natural.

Qual é a multa máxima que a ANPD pode aplicar por descumprimento da LGPD?

O artigo 52 da LGPD prevê multa de até 2% do faturamento da empresa no Brasil, limitada a R$ 50 milhões por infração. Além da multa, a ANPD pode aplicar advertência, publicização da infração, bloqueio ou eliminação dos dados e suspensão parcial do banco de dados por até seis meses.

Qual é a diferença entre controlador e operador na LGPD e como isso afeta startups de IA?

O controlador é quem decide o que será feito com os dados e para qual finalidade. O operador é quem trata os dados em nome do controlador, seguindo suas instruções. Uma startup que processa dados de clientes de uma empresa contratante pode ser operadora. Se ela também define como esses dados alimentam seu modelo, pode ser controladora. Essa distinção define responsabilidades legais distintas e exige contrato específico entre as partes, conforme o artigo 37 da LGPD.