Voltar ao site SAFIE →
LGPD e proteção de dados em IA

LGPD e IA: o que sua empresa precisa saber

Por · · 4 min de leitura
LGPD e IA: o que sua empresa precisa saber

A inteligência artificial opera, na maioria dos casos, com dados. Dados de clientes, dados de comportamento, dados de saúde, dados financeiros. Quando esses dados identificam ou podem identificar uma pessoa natural, a LGPD entra em cena, independentemente de o tratamento ser feito por um humano ou por um algoritmo.

Essa é uma distinção que ainda causa confusão no mercado. Muitos founders e CTOs entendem a LGPD como uma lei para formulários de cadastro e e-mails de marketing. Na prática, ela regula qualquer operação de tratamento de dados pessoais, o que inclui treinamento de modelos, inferência, personalização de produtos e tomada de decisão automatizada.

Este artigo explica como a LGPD se aplica a sistemas de IA, quais são as obrigações concretas das empresas e onde estão os maiores riscos regulatórios para quem desenvolve ou usa inteligência artificial no Brasil.

Contexto jurídico e regulatório

O que a LGPD diz sobre IA

A LGPD (Lei nº 13.709/2018) não menciona inteligência artificial de forma explícita. Mas seu artigo 20 trata diretamente de decisões automatizadas: o titular de dados tem direito a solicitar revisão humana de decisões tomadas exclusivamente por meios automatizados que afetem seus interesses, como avaliação de crédito, seleção em processos seletivos ou análise de perfil de consumo.

Esse dispositivo é central para qualquer empresa que usa IA para tomar ou influenciar decisões sobre pessoas. A empresa precisa ser capaz de explicar os critérios utilizados pelo modelo e, quando solicitado, oferecer revisão humana. Isso exige documentação técnica do sistema, algo que muitos times de engenharia ainda não produzem de forma sistemática.

Além do artigo 20, as bases legais do artigo 7º precisam ser observadas em cada etapa do ciclo de vida do dado. Treinar um modelo com dados de clientes exige uma base legal válida, como consentimento, legítimo interesse ou execução de contrato. Usar esses dados para finalidades diferentes das originalmente informadas ao titular configura desvio de finalidade, proibido pelo artigo 6º, inciso I.

A Autoridade Nacional de Proteção de Dados (ANPD), criada pelo Decreto nº 8.771/2016 e estruturada pela Lei nº 13.853/2019, já sinalizou em seu Plano Estratégico 2023-2026 que a regulação de IA é uma prioridade. A autarquia tem competência para fiscalizar, aplicar sanções e editar normas complementares, o que inclui futuros regulamentos específicos para sistemas automatizados de decisão.

Impacto prático

Para uma startup de IA, a conformidade com a LGPD começa na fase de design do produto, não depois do lançamento. O princípio da privacidade desde a concepção (privacy by design), previsto no artigo 46, parágrafo 2º, obriga as empresas a adotar medidas técnicas e administrativas antes de iniciar o tratamento de dados. Isso significa mapear quais dados o modelo vai consumir, com qual finalidade e com qual base legal, antes de escrever a primeira linha de código do pipeline de dados.

Na prática operacional, três pontos concentram os maiores riscos: (1) uso de dados pessoais para treinar modelos sem base legal adequada, especialmente quando os dados foram coletados por terceiros; (2) ausência de mecanismo de revisão humana para decisões automatizadas que afetam os titulares; e (3) falta de registro das operações de tratamento, exigido pelo artigo 37 para controladores e operadores. A multa por infração pode chegar a 2% do faturamento do grupo no Brasil no último exercício, limitada a R$ 50 milhões por infração, conforme o artigo 52.

Para CTOs e times de engenharia, a implicação é concreta: é necessário implementar um sistema de gestão de dados que registre quais datasets foram usados no treinamento, qual a origem de cada dado, qual a base legal aplicável e por quanto tempo os dados serão retidos. Ferramentas de MLOps que incluem rastreabilidade de dados (data lineage) não são apenas boas práticas de engenharia, são requisitos regulatórios.

Considerações finais

A LGPD não é um obstáculo ao desenvolvimento de IA no Brasil. É um conjunto de regras que, quando incorporadas desde o início do produto, geram vantagem competitiva real: redução de risco regulatório, maior confiança de clientes corporativos (especialmente no mercado B2B, onde compliance é critério de fornecedor) e melhor posicionamento para expansão internacional, já que as exigências da LGPD são compatíveis com o GDPR europeu.

Founders e gestores que tratam conformidade como etapa do roadmap, e não como custo burocrático, constroem produtos mais resilientes e empresas com menor exposição a sanções que podem comprometer rodadas de investimento e contratos estratégicos. O momento de agir é na concepção do produto, não na véspera de uma fiscalização.

Perguntas frequentes

A LGPD se aplica ao treinamento de modelos de IA com dados públicos?

Depende. Dados públicos não são necessariamente dados de uso livre para qualquer finalidade. Se os dados identificam pessoas naturais, a LGPD se aplica independentemente da origem. O uso de dados coletados de fontes públicas para treinar modelos exige base legal válida (geralmente legítimo interesse, conforme o artigo 7º, inciso IX) e deve respeitar a finalidade original da coleta. A ANPD ainda não editou regulamento específico sobre o tema, mas o entendimento dominante entre especialistas é que dados pessoais públicos continuam protegidos pela LGPD.

O que é tomada de decisão automatizada e quais são as obrigações legais?

É qualquer decisão tomada exclusivamente por sistemas automáticos, sem intervenção humana, que produza efeitos jurídicos ou afete significativamente o titular dos dados. Exemplos incluem concessão de crédito por algoritmo, triagem de currículos por IA e precificação dinâmica baseada em perfil. O artigo 20 da LGPD garante ao titular o direito de solicitar revisão humana e obter informações sobre os critérios e procedimentos usados. A empresa precisa ser capaz de explicar como o modelo funciona e designar uma pessoa responsável por essa revisão.

Qual base legal usar para treinar modelos de IA com dados de clientes?

A escolha da base legal depende da relação entre a empresa e o titular dos dados. Para dados coletados em contexto contratual, a execução de contrato (artigo 7º, inciso V) pode ser suficiente se o treinamento for necessário para a prestação do serviço contratado. Para usos mais amplos, o legítimo interesse (artigo 7º, inciso IX) exige um teste de ponderação documentado. O consentimento (artigo 7º, inciso I) é a base mais frágil para IA porque pode ser revogado a qualquer momento, o que cria incerteza sobre os dados já usados no treinamento. Em todos os casos, a finalidade precisa ser informada ao titular.

O que é privacy by design e como aplicar em produtos de IA?

Privacy by design é o princípio de incorporar proteção de dados desde a concepção do produto, previsto no artigo 46, parágrafo 2º da LGPD. Na prática, significa definir quais dados são estritamente necessários antes de construir o pipeline (princípio da minimização), documentar bases legais e finalidades antes de coletar dados, implementar controles de acesso e anonimização desde o início da arquitetura, e criar mecanismos de exclusão e portabilidade de dados desde a versão inicial do sistema. Para times de IA, isso se traduz em adicionar requisitos de privacidade nas especificações técnicas do produto, junto com requisitos funcionais.

Quais são as penalidades previstas na LGPD para empresas de IA que descumprirem a lei?

As sanções estão no artigo 52 da LGPD e incluem: advertência com prazo para adoção de medidas corretivas; multa simples de até 2% do faturamento do grupo econômico no Brasil no último exercício, limitada a R$ 50 milhões por infração; multa diária com o mesmo limite; publicização da infração; bloqueio dos dados pessoais envolvidos; e eliminação dos dados. A ANPD pode aplicar essas sanções cumulativamente. Para startups em fase inicial, o risco reputacional e o bloqueio de dados podem ser mais impactantes do que a multa financeira, pois podem inviabilizar o produto.

Decisão jurídica ou contábil pendente?

A SAFIE atende founders e gestores com acesso direto aos sócios — jurídico e contabilidade integrados sob o mesmo teto. Conversamos para entender o caso antes de qualquer recomendação.

Falar com a SAFIE
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.