LGPD e proteção de dados em IA: o que sua empresa precisa saber

Por SAFIE · 1 de junho de 2026 · 4 min de leitura

Toda empresa que desenvolve ou opera sistemas de inteligência artificial no Brasil, e que processa dados de pessoas físicas, está sujeita à Lei Geral de Proteção de Dados Pessoais (Lei n° 13.709/2018). Isso inclui modelos de linguagem, sistemas de recomendação, ferramentas de análise preditiva, reconhecimento facial, triagem de crédito e qualquer outra aplicação que use dados de pessoas identificadas ou identificáveis.

A LGPD não foi criada especificamente para IA, mas seus princípios e obrigações se aplicam diretamente a como esses sistemas coletam, processam, armazenam e compartilham dados. A Autoridade Nacional de Proteção de Dados (ANPD) tem publicado orientações progressivas sobre o tema, sinalizando que a fiscalização vai se intensificar.

Este artigo explica o que a LGPD exige de sistemas de IA, quais são as obrigações práticas para founders, CTOs e gestores, e como estruturar a conformidade de forma funcional, sem paralisar o desenvolvimento do produto.

Contexto jurídico e regulatório

O que a LGPD exige de sistemas de IA

O artigo 5° da LGPD define dado pessoal como qualquer informação relacionada a pessoa natural identificada ou identificável. Na prática, isso inclui nomes, e-mails, endereços IP, comportamentos de navegação, vozes, imagens e padrões de comportamento usados para treinar ou alimentar modelos de IA.

Para que o tratamento seja lícito, a empresa precisa se enquadrar em uma das dez bases legais previstas no artigo 7°. As mais usadas em IA são: consentimento do titular, legítimo interesse do controlador e cumprimento de obrigação contratual. Cada base tem requisitos específicos. O consentimento, por exemplo, precisa ser livre, informado, inequívoco e revogável a qualquer momento (art. 8°).

O artigo 20 trata especificamente de decisões automatizadas. Ele garante ao titular o direito de solicitar revisão humana de decisões tomadas exclusivamente por sistemas automatizados que afetem seus interesses, como concessão de crédito, admissão em emprego ou classificação de risco. A empresa deve ser capaz de explicar os critérios e os procedimentos usados para tomar essas decisões, o que impõe requisitos técnicos diretos sobre a explicabilidade dos modelos.

Privacy by design e avaliação de impacto

O princípio da privacidade desde a concepção (privacy by design), previsto no artigo 46 da LGPD, exige que medidas técnicas e organizacionais de proteção de dados sejam incorporadas ao produto desde as fases de arquitetura e desenvolvimento. Não basta adicionar um aviso de privacidade depois que o sistema está no ar.

Para tratamentos de alto risco, a ANPD pode exigir a realização de um Relatório de Impacto à Proteção de Dados Pessoais (RIPD), previsto no artigo 38. Sistemas de IA que processam dados sensíveis (saúde, biometria, origem racial, dados de crianças) ou que tomam decisões automatizadas com impacto significativo sobre titulares são candidatos naturais a esse requisito. A Resolução CD/ANPD n° 2/2022 estabelece critérios para identificar operações de alto risco.

O encarregado de dados (DPO) tem papel central nesse contexto. Empresas que tratam dados em larga escala ou de forma sistêmica devem designar formalmente esse profissional e publicar seus dados de contato, conforme o artigo 41. Em startups de IA com estrutura enxuta, é comum contratar um DPO externo, o que é admitido pela legislação.

Impacto prático

Para founders e CTOs, a conformidade com a LGPD afeta diretamente o ciclo de vida do produto. O mapeamento de dados (data mapping) precisa cobrir todas as etapas do pipeline: coleta, limpeza, rotulagem, treinamento, inferência e descarte. Cada etapa pode envolver um controlador ou operador diferente, com responsabilidades distintas.

Empresas que usam APIs de terceiros para treinamento ou inferência (como provedores de LLMs ou serviços de enriquecimento de dados) precisam formalizar contratos de operação de dados conforme o artigo 39 da LGPD. O controlador responde pelos atos do operador perante o titular e a ANPD. Isso significa que terceirizar o processamento não elimina a responsabilidade jurídica da empresa contratante.

As sanções previstas no artigo 52 incluem advertência, multa de até 2% da receita bruta no Brasil (limitada a R$ 50 milhões por infração), bloqueio ou eliminação dos dados e publicização da infração. Além do impacto financeiro, a publicidade negativa e a perda de confiança de clientes e investidores costumam ser os danos mais duradouros para empresas de tecnologia.

Considerações finais

A LGPD não é um obstáculo ao desenvolvimento de IA. É um conjunto de regras que, quando incorporado ao processo de engenharia desde o início, melhora a qualidade dos dados, reduz riscos técnicos e aumenta a confiança de clientes e parceiros. Empresas que tratam conformidade como requisito técnico, e não como tarefa jurídica de última hora, constroem produtos mais robustos e relações comerciais mais sólidas.

O ponto central para qualquer empresa de IA é este: se o sistema usa dados de pessoas físicas para qualquer finalidade, a LGPD se aplica. Mapear os dados, definir as bases legais, documentar as decisões e preparar os mecanismos de resposta ao titular são ações concretas que podem e devem ser implementadas em paralelo ao desenvolvimento do produto.

Perguntas frequentes

A LGPD se aplica ao treinamento de modelos de IA com dados públicos?

Sim. O fato de os dados serem públicos não os torna de livre uso para qualquer finalidade. A LGPD exige base legal válida e compatibilidade entre a finalidade original da coleta e o novo uso. Dados obtidos de redes sociais, por exemplo, foram coletados com uma finalidade específica. Usá-los para treinar modelos de IA exige análise jurídica sobre qual base legal sustenta esse tratamento, especialmente o legítimo interesse (art. 7°, IX), que precisa ser fundamentado em um teste de balanceamento documentado.

Minha startup usa um modelo de IA de terceiros (API). Quem é responsável pela LGPD?

Depende de como a relação está estruturada. Se sua empresa define as finalidades e os meios do tratamento, ela é a controladora e responde perante o titular. O provedor da API, se apenas executa instruções, é operador. O artigo 39 exige que controlador e operador firmem contrato com cláusulas de proteção de dados. Se o provedor também define finalidades próprias com os dados, ele pode ser um controlador independente, o que muda completamente o regime de responsabilidade.

O que é o direito à revisão de decisão automatizada e como implementá-lo?

O artigo 20 da LGPD garante ao titular solicitar revisão humana de decisões tomadas exclusivamente por meios automatizados que afetem seus interesses. Isso inclui concessão de crédito, triagem de candidatos e classificação de risco. Na prática, a empresa precisa manter um processo documentado de revisão manual, ser capaz de explicar os critérios usados pelo modelo e responder ao titular em prazo razoável. Modelos de caixa-preta sem nenhuma explicabilidade criam risco jurídico direto nesse ponto.

Quando é obrigatório fazer o Relatório de Impacto à Proteção de Dados (RIPD)?

A ANPD pode exigir o RIPD para operações de alto risco, definidas na Resolução CD/ANPD n° 2/2022. Sistemas de IA que processam dados sensíveis (saúde, biometria, dados de crianças), que realizam monitoramento em larga escala ou que tomam decisões automatizadas com impacto significativo estão nessa categoria. Mesmo quando não exigido formalmente, o RIPD é uma boa prática que documenta a análise de riscos e demonstra responsabilidade corporativa (accountability) perante a ANPD e clientes.

Empresa de IA de pequeno porte precisa ter DPO (encarregado de dados)?

A LGPD exige a designação de encarregado para todos os controladores e operadores, sem distinção de porte (art. 41). A ANPD, pela Resolução CD/ANPD n° 2/2022, flexibilizou algumas obrigações para agentes de pequeno porte, mas a indicação do DPO não foi dispensada integralmente. O encarregado pode ser uma pessoa física contratada como prestador de serviço (DPO externo), o que é a solução mais comum para startups. O importante é formalizar a designação e publicar os dados de contato.

Fontes e referências

Brasil. Lei n° 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais). Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
ANPD. Resolução CD/ANPD n° 2, de 27 de janeiro de 2022 (Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte). Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/resolucao-cd-anpd-no-2-de-27-de-janeiro-de-2022.pdf
ANPD. Guia Orientativo: Bases Legais para Tratamento de Dados Pessoais, 2021. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-orientativo-bases-legais.pdf
ANPD. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, 2021. Disponível em: https://www.gov.br/anpd/pt-br
European Data Protection Board (EDPB). Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement, 2022. Disponível em: https://edpb.europa.eu (referência comparativa ao GDPR como framework análogo)