Voltar ao site SAFIE →
LGPD e proteção de dados em IA

LGPD e IA: o que sua startup precisa saber

Por · · 4 min de leitura
LGPD e IA: o que sua startup precisa saber

Um levantamento publicado pela MIT Technology Review Brasil revelou algo que muitos gestores de tecnologia já sentiam, mas poucos conseguiam nomear: enquanto países vizinhos travam disputas por orçamento para projetos de IA, as empresas brasileiras enfrentam uma barreira mais profunda. A questão central não é quanto dinheiro existe, mas quais dados podem ser usados e como.

Essa barreira silenciosa tem nome e endereço legal: a Lei Geral de Proteção de Dados (LGPD), combinada com a ausência de políticas internas de governança de dados aptas a suportar o treinamento, a operação e a auditoria de sistemas de inteligência artificial. Não é um problema de tecnologia. É um problema de conformidade jurídica e estruturação contábil-operacional.

Este artigo analisa o que esse cenário significa na prática para founders, CTOs, advogados e contadores que atuam com empresas de IA no Brasil, e quais obrigações concretas já estão vigentes em 2026.

Contexto jurídico e regulatório

A LGPD como ponto de partida obrigatório

A Lei 13.709/2018 (LGPD) estabelece as bases legais para o tratamento de dados pessoais no Brasil. Qualquer sistema de IA que processe dados de pessoas naturais, seja para treinar modelos, gerar recomendações ou tomar decisões automatizadas, está submetido a essa lei. Não há exceção para startups ou empresas em estágio inicial.

O artigo 7º da LGPD lista as hipóteses legais que autorizam o tratamento de dados. Para IA, as mais relevantes são consentimento (inciso I), legítimo interesse (inciso IX) e execução de contrato (inciso V). O problema é que cada hipótese exige documentação, revisão periódica e, no caso do legítimo interesse, um teste de proporcionalidade formal antes do uso dos dados.

O artigo 20 da LGPD vai além: garante ao titular o direito de solicitar revisão humana de decisões tomadas exclusivamente por meios automatizados. Para empresas de IA que usam modelos preditivos em crédito, seleção de pessoal ou precificação, isso não é detalhe. É obrigação operacional que precisa estar mapeada no produto desde a concepção.

O papel da ANPD e o risco sancionatório real

A Autoridade Nacional de Proteção de Dados (ANPD) tem intensificado sua atuação regulatória. Em 2025, a autarquia publicou a Resolução CD/ANPD nº 15, que aprofundou as diretrizes sobre relatórios de impacto à proteção de dados (RIPD), instrumento obrigatório em situações de tratamento de alto risco. Sistemas de IA que processam dados sensíveis (saúde, biometria, comportamento) ou que realizam decisões automatizadas em larga escala se enquadram nessa categoria.

As sanções previstas no artigo 52 da LGPD incluem advertência, multa de até 2% do faturamento do grupo econômico no Brasil no último exercício, limitada a R$ 50 milhões por infração, e até a proibição do tratamento dos dados. Para uma startup em fase de crescimento, a proibição de tratar dados é, na prática, uma ordem de encerramento de atividades.

Além da ANPD, o Marco Legal da IA (PL 2338/2023, aprovado pelo Senado em dezembro de 2024 e em tramitação na Câmara) criará camadas adicionais de obrigação para sistemas classificados como de alto risco. Empresas que já operam nesse segmento precisam acompanhar o texto final, pois ele trará requisitos de transparência, registro e auditabilidade que vão além da LGPD.

Impacto prático

Para founders e CTOs, o primeiro passo concreto é realizar um mapeamento de dados (data mapping) de todos os fluxos que alimentam os modelos de IA da empresa. Isso inclui dados de treinamento, dados de inferência em produção e logs de decisão. Sem esse inventário, é impossível saber quais bases legais estão sendo usadas e quais brechas de conformidade existem.

Do ponto de vista contábil e financeiro, os custos de conformidade com a LGPD em operações de IA precisam ser provisionados. Isso abrange honorários de DPO (Data Protection Officer), que é obrigatório nos termos do artigo 41 da LGPD, custos de auditoria de modelos, implementação de ferramentas de gestão de consentimento e eventual adequação de contratos com fornecedores de dados e provedores de nuvem. Esses itens devem aparecer no orçamento de produto e no pitch para investidores como linha de compliance, não como surpresa.

Para advogados e contadores que assessoram essas empresas, o momento de atuar é antes do lançamento do produto, não após a primeira notificação da ANPD. Due diligences em rodadas de investimento já incluem, em 2026, checklist específico de conformidade com LGPD e avaliação do RIPD. Empresas sem essa documentação perdem valuation e, em alguns casos, travam o fechamento do deal.

Considerações finais

A barreira silenciosa que a MIT Technology Review Brasil identificou nas empresas brasileiras tem solução técnica e jurídica conhecida. O problema é que poucos times de produto tratam conformidade de dados como requisito de engenharia. Em IA, dado é insumo. Insumo sem rastreabilidade legal é passivo, não ativo.

Startups que estruturarem sua governança de dados agora, com base na LGPD, no RIPD e nos requisitos que o Marco Legal da IA vai consolidar, estarão em posição competitiva melhor frente a investidores, clientes enterprise e parceiros internacionais. Conformidade não é custo. É condição de escala.

Perguntas frequentes

Minha startup de IA precisa de um DPO desde o início?

Sim. O artigo 41 da LGPD exige a indicação de um Encarregado (DPO) por qualquer controlador ou operador de dados, independentemente do porte. Para startups de IA, que tipicamente processam grandes volumes de dados, a indicação é obrigatória e deve ser formalizada e publicada no site ou política de privacidade da empresa.

Posso usar dados públicos para treinar meu modelo de IA sem restrições?

Não necessariamente. Dados publicamente disponíveis ainda podem ser dados pessoais nos termos da LGPD. O uso para treinamento de IA exige base legal adequada, especialmente se os dados identificam ou permitem identificar pessoas. O legítimo interesse é a hipótese mais utilizada, mas exige o teste de proporcionalidade documentado antes do uso.

O que é um RIPD e quando ele é obrigatório para projetos de IA?

O Relatório de Impacto à Proteção de Dados (RIPD) é um documento que mapeia riscos de uma operação de tratamento de dados. Ele é obrigatório quando o tratamento envolve dados sensíveis, decisões automatizadas em larga escala ou monitoramento sistemático de titulares. A Resolução CD/ANPD nº 15, de 2025, detalhou os critérios. A maioria dos sistemas de IA em produção se enquadra nessa obrigação.

Como o Marco Legal da IA vai mudar as obrigações das empresas brasileiras?

O PL 2338/2023, aprovado pelo Senado em dezembro de 2024, classifica sistemas de IA por nível de risco. Sistemas de alto risco (saúde, crédito, segurança pública, seleção de pessoal) terão obrigações adicionais de transparência, registro, auditabilidade e responsabilidade. O texto ainda tramita na Câmara, mas empresas que já operam nesses segmentos devem se preparar agora.

Qual é a multa máxima que a ANPD pode aplicar por descumprimento da LGPD?

A multa máxima é de 2% do faturamento do grupo econômico no Brasil no último exercício fiscal, limitada a R$ 50 milhões por infração, conforme o artigo 52 da LGPD. Além da multa, a ANPD pode determinar a suspensão ou proibição total do tratamento dos dados envolvidos, o que, para empresas de IA, pode inviabilizar a operação do produto.

Decisão jurídica ou contábil pendente?

A SAFIE atende founders e gestores com acesso direto aos sócios — jurídico e contabilidade integrados sob o mesmo teto. Conversamos para entender o caso antes de qualquer recomendação.

Falar com a SAFIE
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.