Voltar ao site SAFIE →
LGPD e proteção de dados em IA

LGPD e proteção de dados em IA: guia prático

Por · · 4 min de leitura
LGPD e proteção de dados em IA: guia prático

Toda empresa que desenvolve ou opera sistemas de inteligência artificial no Brasil trata dados pessoais em alguma etapa do processo, seja no treinamento de modelos, na inferência em tempo real ou no armazenamento de logs de uso. Isso significa que a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) se aplica diretamente a essas operações, sem exceção.

O problema é que muitas startups e equipes de tecnologia tratam a LGPD como uma formalidade de compliance a ser resolvida depois do lançamento do produto. Essa abordagem gera passivos jurídicos que comprometem rodadas de investimento, contratos enterprise e, em casos mais graves, a continuidade do negócio.

Este artigo explica, de forma prática, como a LGPD se aplica a sistemas de IA, quais são os pontos de maior risco e o que sua empresa precisa estruturar para operar com segurança jurídica.

Contexto jurídico e regulatório

A LGPD se aplica a IA? Sim, e de forma abrangente

A LGPD define dado pessoal como "informação relacionada a pessoa natural identificada ou identificável" (art. 5º, I). Isso inclui nome, e-mail, CPF, IP, comportamento de navegação, voz, imagem facial e qualquer outro dado usado para treinar ou alimentar um modelo de IA.

O tratamento desses dados, conforme o art. 5º, X, abrange coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação e avaliação. Ou seja, praticamente todas as etapas do pipeline de IA estão dentro do escopo da lei.

Bases legais e o risco do uso indiscriminado de dados

A LGPD exige que cada operação de tratamento tenha uma base legal válida (art. 7º). As mais usadas em contextos de IA são o consentimento (inciso I), o legítimo interesse (inciso IX) e o cumprimento de obrigação legal (inciso II). O erro frequente é usar dados coletados para uma finalidade, como cadastro em plataforma, e reutilizá-los para treinar modelos sem amparo legal específico para essa finalidade adicional.

Esse ponto é crítico porque a ANPD (Autoridade Nacional de Proteção de Dados) já sinalizou, em sua Resolução CD/ANPD nº 2/2022 e em notas técnicas posteriores, que o desvio de finalidade é uma das principais irregularidades identificadas em auditorias. A base do legítimo interesse, embora flexível, exige documentação robusta do Relatório de Impacto à Proteção de Dados (RIPD) para ser sustentada.

Decisões automatizadas e o art. 20 da LGPD

O art. 20 da LGPD garante ao titular o direito de solicitar revisão de decisões tomadas exclusivamente por meios automatizados que afetem seus interesses. Isso inclui decisões de crédito, contratação, precificação personalizada e qualquer output de IA que impacte direitos individuais.

A empresa deve ser capaz de explicar a lógica do processo, os critérios utilizados e as medidas disponíveis para revisão humana. Modelos de caixa-preta sem nenhuma camada de explicabilidade violam esse dispositivo. A ANPD ainda não publicou regulamentação específica sobre IA, mas o art. 20 já é aplicável e pode fundamentar reclamações e sanções.

Impacto prático

Para founders e CTOs, o ponto de partida é mapear todos os fluxos de dados pessoais dentro do produto de IA: de onde os dados vêm, para qual finalidade são usados, onde ficam armazenados e com quem são compartilhados. Esse mapeamento, chamado de inventário de dados ou RoPA (Records of Processing Activities), é o documento base para qualquer estrutura de conformidade.

Sem esse mapeamento, é impossível responder a uma solicitação de titular no prazo legal de 15 dias úteis (conforme o art. 18 da LGPD), auditar um fornecedor de dados de treinamento ou demonstrar conformidade a um investidor em due diligence. Empresas que passam por processos de M&A ou captação de venture capital séries A em diante são quase invariavelmente questionadas sobre sua documentação de proteção de dados.

Do ponto de vista operacional, a adoção de Privacy by Design, conceito previsto no art. 46, § 2º da LGPD, reduz o custo de adequação ao longo do tempo. Isso significa incorporar controles de privacidade desde a arquitetura do sistema: anonimização de dados de treinamento sempre que possível, minimização de coleta, separação entre ambientes de produção e desenvolvimento, e controle de acesso granular aos datasets. Empresas que fazem isso desde o início gastam menos para se adequar do que aquelas que tentam retrofitar conformidade em cima de sistemas já em produção.

Considerações finais

A LGPD não é um obstáculo ao desenvolvimento de IA no Brasil: é o framework dentro do qual esse desenvolvimento precisa acontecer. Empresas que estruturam sua governança de dados com seriedade ganham vantagem competitiva real, porque conseguem fechar contratos com grandes clientes, passar due diligences e demonstrar maturidade institucional a investidores.

A ANPD está em processo de regulamentação específica sobre inteligência artificial e já manifestou interesse em alinhar esse trabalho ao AI Act europeu. Quem constrói sua base de conformidade agora, seguindo o que a LGPD já exige hoje, estará em posição muito mais confortável quando essa regulamentação específica for publicada.

Perguntas frequentes

Dados usados para treinar modelos de IA precisam seguir a LGPD?

Sim. Se os dados de treinamento incluírem informações de pessoas identificadas ou identificáveis, a LGPD se aplica. Isso inclui textos, imagens, áudios e qualquer outro dado que permita identificar um indivíduo direta ou indiretamente. A anonimização genuína (irreversível) retira os dados do escopo da lei, mas precisa ser tecnicamente comprovável.

Qual base legal usar para treinar um modelo de IA com dados de clientes?

Depende da finalidade original da coleta e da relação com o titular. O consentimento é a base mais segura, mas exige que o titular tenha sido informado especificamente sobre o uso para treinamento de IA. O legítimo interesse pode ser usado, mas requer RIPD documentado e deve ser balanceado contra os direitos do titular. Usar dados coletados para uma finalidade diferente sem nova base legal configura desvio de finalidade, vedado pelo art. 6º, I da LGPD.

O que é o art. 20 da LGPD e como ele afeta produtos de IA?

O art. 20 garante ao titular o direito de solicitar revisão humana de decisões tomadas exclusivamente por meios automatizados que afetem seus interesses. Produtos de IA que tomam ou influenciam decisões sobre pessoas, como aprovação de crédito, triagem de candidatos ou personalização de preços, precisam ter um mecanismo documentado de revisão humana e ser capazes de explicar os critérios usados.

Qual é a multa máxima que a ANPD pode aplicar por violação da LGPD?

A LGPD prevê sanções de até 2% do faturamento da empresa no Brasil, limitadas a R$ 50 milhões por infração (art. 52, II). Além da multa, a ANPD pode determinar bloqueio ou eliminação dos dados, publicização da infração e suspensão do banco de dados. As sanções são aplicadas de forma graduada, considerando a gravidade e a boa-fé da empresa.

Uma startup em estágio inicial precisa ter DPO (Encarregado de Dados)?

A LGPD exige a indicação de um encarregado (art. 41), mas a ANPD, por meio da Resolução CD/ANPD nº 2/2022, flexibilizou essa obrigação para agentes de pequeno porte, definidos como microempresas, empresas de pequeno porte, startups e pessoas jurídicas de direito privado que não realizem tratamento de alto risco. Mesmo assim, é recomendável designar formalmente alguém responsável pela proteção de dados desde cedo, pois a ausência de governança é fator negativo em due diligences.

Decisão jurídica ou contábil pendente?

A SAFIE atende founders e gestores com acesso direto aos sócios — jurídico e contabilidade integrados sob o mesmo teto. Conversamos para entender o caso antes de qualquer recomendação.

Falar com a SAFIE
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.