Voltar ao site SAFIE →
LGPD e proteção de dados em IA

LGPD e proteção de dados em IA: guia prático

Por · · 5 min de leitura
LGPD e proteção de dados em IA: guia prático

A Lei Geral de Proteção de Dados Pessoais (LGPD), em vigor desde setembro de 2020, não traz um capítulo específico sobre inteligência artificial. Isso não significa que o tema esteja fora do seu alcance. Qualquer sistema de IA que colete, armazene, processe ou utilize dados de pessoas naturais identificadas ou identificáveis está sujeito às obrigações da lei.

Para startups e empresas que desenvolvem produtos baseados em IA, essa realidade tem impacto direto: modelos de linguagem, sistemas de recomendação, ferramentas de análise preditiva e qualquer solução que use dados de clientes, usuários ou colaboradores precisa estar estruturada dentro das regras da LGPD desde o início do projeto.

Este artigo apresenta, de forma objetiva, os principais pontos de atenção jurídica e prática para quem desenvolve ou opera sistemas de IA no Brasil.

Contexto jurídico e regulatório

O que a LGPD exige de sistemas de IA

A LGPD define dado pessoal como qualquer informação relacionada a pessoa natural identificada ou identificável (art. 5º, I). Isso inclui nomes, e-mails, IPs, geolocalização, comportamento de navegação e, em muitos casos, dados inferidos por algoritmos, como perfis de crédito, preferências ou tendências de saúde.

Sistemas de IA que treinam modelos com esses dados precisam identificar uma base legal válida para cada operação de tratamento. As bases mais utilizadas por empresas de tecnologia são: consentimento (art. 7º, I), execução de contrato (art. 7º, V), legítimo interesse (art. 7º, IX) e cumprimento de obrigação legal (art. 7º, II). A escolha errada da base legal é uma das falhas mais comuns encontradas em auditorias de conformidade.

Quando o sistema de IA utiliza dados sensíveis, como informações de saúde, biometria, origem racial ou dados de crianças, as exigências são ainda mais rígidas. O art. 11 da LGPD limita as hipóteses de tratamento e exige, na maioria dos casos, consentimento específico e destacado do titular.

Decisões automatizadas e o direito à explicação

O art. 20 da LGPD é um dos dispositivos mais relevantes para empresas de IA. Ele garante ao titular o direito de solicitar revisão de decisões tomadas exclusivamente com base em tratamento automatizado, incluindo aquelas que afetem seus interesses, como aprovação de crédito, triagem de currículos ou precificação personalizada.

A empresa controladora é obrigada a fornecer informações claras sobre os critérios e procedimentos utilizados. Isso impacta diretamente a arquitetura de modelos de IA: sistemas do tipo "caixa preta", sem nenhuma capacidade de explicabilidade, podem ser incompatíveis com esse direito. A Autoridade Nacional de Proteção de Dados (ANPD) ainda não publicou regulamentação específica sobre IA, mas já sinalizou que o tema está na sua agenda regulatória.

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD), previsto no art. 38 da LGPD, é outro instrumento essencial. A ANPD pode exigir sua elaboração sempre que o tratamento de dados apresentar riscos elevados aos titulares, o que frequentemente se aplica a sistemas de IA que tomam decisões automatizadas em escala.

Responsabilidade do controlador e do operador

A LGPD distingue controlador (quem define as finalidades e os meios do tratamento) do operador (quem realiza o tratamento em nome do controlador). Em um produto de IA desenvolvido por uma startup e usado por uma empresa cliente, a startup pode ser operadora. Já se ela define como os dados são usados para treinar o modelo, torna-se controladora, com responsabilidades proporcionalmente maiores.

Essa distinção tem impacto direto na redação de contratos, especialmente nas cláusulas de DPA (Data Processing Agreement). Contratos que não estabelecem claramente essas responsabilidades expõem ambas as partes a riscos regulatórios e de responsabilidade civil perante os titulares dos dados.

Impacto prático

Para founders e CTOs, a conformidade com a LGPD em produtos de IA não é uma tarefa exclusiva do jurídico. Ela começa na arquitetura do produto. Conceitos como privacy by design e privacy by default, previstos no art. 46 da LGPD, exigem que a proteção de dados seja incorporada ao sistema desde a fase de desenvolvimento, e não adicionada como camada posterior.

Na prática, isso significa: mapear todos os dados utilizados no treinamento e operação do modelo; definir e documentar a base legal para cada finalidade de tratamento; implementar mecanismos técnicos para atender aos direitos dos titulares (acesso, correção, exclusão e portabilidade); e garantir que terceiros que recebem dados tenham obrigações contratuais equivalentes. A ausência de qualquer um desses elementos é um ponto de autuação em caso de fiscalização da ANPD.

As sanções previstas no art. 52 da LGPD incluem advertência, multa de até 2% do faturamento do grupo econômico no Brasil no último exercício (limitada a R$ 50 milhões por infração), publicização da infração e bloqueio ou eliminação dos dados. Para startups em estágio inicial, o risco reputacional pode ser mais grave do que a multa em si, especialmente quando a base de confiança com clientes e investidores está sendo construída.

Considerações finais

A LGPD não é um obstáculo ao desenvolvimento de IA no Brasil. É um marco que define as condições mínimas de confiança para que produtos baseados em dados possam crescer com sustentabilidade. Empresas que tratam a conformidade como parte da engenharia do produto, e não como burocracia jurídica, saem na frente tanto na relação com clientes corporativos quanto em processos de due diligence para captação de investimento.

O momento de estruturar a governança de dados é antes do lançamento, não depois da autuação. Founders, CTOs e advogados que atuam no setor de tecnologia precisam trabalhar juntos para garantir que os sistemas de IA estejam em conformidade desde a primeira linha de código.

Perguntas frequentes

A LGPD se aplica ao treinamento de modelos de IA com dados públicos?

Sim, se esses dados forem de pessoas naturais identificadas ou identificáveis. Dados disponíveis publicamente na internet não são automaticamente de uso livre para qualquer finalidade. A coleta e uso precisam ser compatíveis com a finalidade original da publicação e ter uma base legal válida na LGPD, geralmente legítimo interesse ou consentimento, dependendo do contexto.

O que é o RIPD e quando minha empresa de IA precisa elaborar um?

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é um documento que descreve os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos dos titulares. A ANPD pode exigi-lo sempre que o tratamento envolver riscos elevados, o que inclui sistemas de IA que tomam decisões automatizadas, processam dados sensíveis ou operam em larga escala. Elaborar o RIPD proativamente é uma boa prática de governança.

Minha startup pode usar o legítimo interesse como base legal para treinar modelos de IA?

Pode, mas com cautela. O uso do legítimo interesse (art. 7º, IX da LGPD) exige um teste de balanceamento: os interesses da empresa precisam prevalecer sobre os direitos e expectativas dos titulares dos dados. Para dados sensíveis, essa base não é permitida. A ANPD ainda não regulamentou os critérios específicos para IA, então a documentação interna do raciocínio jurídico é fundamental para demonstrar boa-fé em caso de questionamento.

Como garantir o direito à explicação em modelos de IA que tomam decisões automatizadas?

O art. 20 da LGPD exige que o controlador forneça informações claras sobre critérios e procedimentos de decisões automatizadas que afetem os titulares. Na prática, isso pode ser implementado com técnicas de IA explicável (XAI), logs de decisão, documentação dos fatores considerados pelo modelo e canais de atendimento para revisão humana. Modelos completamente opacos, sem nenhuma capacidade de explicação, apresentam risco regulatório elevado.

Qual a diferença entre controlador e operador em um contrato de IA SaaS?

O controlador é quem decide por que e como os dados são tratados. O operador executa o tratamento por instrução do controlador. Em um SaaS de IA, a empresa cliente que insere dados de seus usuários tende a ser controladora. A startup que processa esses dados dentro da plataforma tende a ser operadora. Se a startup usar esses dados para treinar ou melhorar seus próprios modelos, passa a ser também controladora desse tratamento específico, com obrigações legais adicionais.

Decisão jurídica ou contábil pendente?

A SAFIE atende founders e gestores com acesso direto aos sócios — jurídico e contabilidade integrados sob o mesmo teto. Conversamos para entender o caso antes de qualquer recomendação.

Falar com a SAFIE
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.