Uma reportagem do Startupi publicada em junho de 2026 colocou em pauta um alerta que muitos founders de tecnologia preferem ignorar: uma única decisão técnica, tomada no momento de escrever código, pode ser o gatilho de um processo regulatório capaz de comprometer anos de construção de empresa. O título é provocador, mas a premissa é real.
O artigo do Startupi discute como práticas de desenvolvimento de software, especialmente em sistemas com inteligência artificial, criam exposições jurídicas invisíveis ao olhar técnico, mas perfeitamente visíveis para reguladores e auditores. Coleta excessiva de dados, ausência de base legal para tratamento, falta de registro de operações: cada um desses pontos pode transformar uma feature em um passivo.
No Brasil, a Lei Geral de Proteção de Dados (Lei nº 13.709/2018, a LGPD) é o marco regulatório central para esse debate. Combinada com as resoluções da Autoridade Nacional de Proteção de Dados (ANPD) e as diretrizes emergentes para IA, ela forma um conjunto normativo que ainda é subestimado por grande parte do ecossistema de startups.
Contexto jurídico e regulatório
O que a LGPD exige de sistemas de IA
A LGPD não cita inteligência artificial de forma explícita, mas seus princípios se aplicam integralmente a qualquer sistema que trate dados pessoais, o que inclui praticamente todos os modelos de ML e IA em produção. O artigo 6º da lei estabelece dez princípios: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização.
Para sistemas de IA, o princípio da necessidade é especialmente crítico. Ele determina que o tratamento deve ser limitado ao mínimo necessário para a finalidade declarada. Modelos treinados com conjuntos de dados amplos, sem recorte claro de finalidade, frequentemente violam esse princípio sem que o time técnico perceba.
O artigo 20 da LGPD traz uma obrigação específica para decisões automatizadas: o titular dos dados tem direito a solicitar revisão de decisões tomadas exclusivamente por meios automatizados que afetem seus interesses. Isso inclui scoring de crédito, análise de risco, recomendações algorítmicas e sistemas de triagem. Empresas que operam esses sistemas precisam ter processos documentados para atender essas solicitações.
ANPD e o novo ciclo de fiscalização
A ANPD publicou em 2023 o Regulamento de Dosimetria e Aplicação de Sanções Administrativas (Resolução CD/ANPD nº 4/2023), que estruturou como as multas são calculadas. A penalidade máxima é de 2% da receita bruta da empresa no Brasil no último exercício, limitada a R$ 50 milhões por infração. Para startups em fase de crescimento, isso pode representar um valor desproporcional ao caixa disponível.
Em 2025, a ANPD abriu seu primeiro ciclo sistemático de fiscalização em setores de alto risco, com foco em saúde, financeiro e tecnologia. Empresas de IA que processam dados sensíveis, como biometria, dados de saúde ou informações sobre crianças, estão no grupo de maior exposição. A Resolução CD/ANPD nº 2/2022, que trata das hipóteses de tratamento de dados de crianças e adolescentes, é frequentemente ignorada por produtos de consumo com IA.
Além das sanções administrativas da ANPD, há o risco de responsabilidade civil. O artigo 42 da LGPD determina que o controlador e o operador respondem solidariamente por danos causados a titulares. Em modelos SaaS com múltiplos clientes, o operador (a startup) pode ser acionado por danos causados pelo uso inadequado dos dados pelo controlador (o cliente), se não houver contratos de processamento de dados adequados, os chamados DPAs (Data Processing Agreements).
Impacto prático
Para founders e CTOs, o ponto de partida é a documentação. O Registro das Operações de Tratamento de Dados (ROTD) é obrigatório para empresas com mais de 250 funcionários ou que realizem tratamento de alto risco, conforme a Resolução CD/ANPD nº 5/2023. Mas mesmo abaixo desse limiar, a ausência de documentação em due diligences de M&A e captação de investimento tem derrubado negociações. Fundos de venture capital com portfólios globais já exigem evidências de conformidade com LGPD como condição para term sheet.
No aspecto contábil, os passivos contingentes relacionados a proteção de dados precisam ser avaliados e, quando aplicável, provisionados. O CPC 25 (Provisões, Passivos Contingentes e Ativos Contingentes) exige que as empresas reconheçam provisões quando há obrigação presente, probabilidade de saída de recursos e possibilidade de estimativa confiável. Processos administrativos em andamento na ANPD ou ações civis de titulares se enquadram nessa análise. Auditores têm cobrado esse ponto com mais frequência desde 2025.
Para advogados e contadores que atendem startups de IA, o trabalho preventivo envolve três frentes: revisar contratos com clientes para incluir DPAs adequados, mapear as bases legais utilizadas para cada operação de tratamento e avaliar se o Encarregado de Proteção de Dados (DPO) está formalmente designado e com canal de comunicação publicado, conforme exige o artigo 41 da LGPD. Essas três medidas, relativamente simples de implementar, reduzem de forma significativa a exposição da empresa em uma eventual fiscalização.
Considerações finais
A narrativa de que conformidade com LGPD é custo sem retorno perdeu sustentação. Em 2026, ela é critério de acesso a contratos enterprise, requisito em processos de certificação e fator de precificação de risco em rodadas de captação. Startups de IA que tratam a privacidade como camada de engenharia, e não como burocracia jurídica, constroem vantagem competitiva real.
A próxima linha de código pode, de fato, quebrar uma empresa. Mas a boa notícia é que o risco é evitável, desde que founders, CTOs e seus assessores jurídicos e contábeis falem a mesma língua antes do deploy, e não depois do processo administrativo.