Voltar ao site SAFIE →
LGPD e proteção de dados em IA

LGPD e IA: o que sua empresa precisa saber

Por · · 4 min de leitura
LGPD e IA: o que sua empresa precisa saber

A inteligência artificial processa dados em escala e velocidade incompatíveis com a revisão humana tradicional. Isso cria uma tensão direta com a LGPD, que exige controle, transparência e finalidade definida para cada tratamento de dados pessoais.

Para startups e empresas que desenvolvem produtos de IA, a pergunta não é se a LGPD se aplica, mas como ela se aplica a cada camada do sistema: coleta de dados de treinamento, inferência em produção, decisões automatizadas e compartilhamento com terceiros.

Este artigo apresenta os principais pontos de atenção jurídica e prática para quem constrói ou opera sistemas de IA no Brasil.

Contexto jurídico e regulatório

O que a LGPD exige de sistemas de IA

A LGPD (Lei 13.709/2018) não menciona inteligência artificial explicitamente. Ela regula o "tratamento de dados pessoais", conceito amplo que abrange coleta, armazenamento, uso, compartilhamento e eliminação de qualquer informação relacionada a pessoa natural identificada ou identificável.

Sistemas de IA que treinam sobre histórico de comportamento, imagens, vozes, localização ou qualquer dado vinculável a uma pessoa estão dentro do escopo da lei. A ANPD (Autoridade Nacional de Proteção de Dados) confirmou esse entendimento em seu Guia Orientativo de Inteligência Artificial, publicado em 2024.

Bases legais e finalidade

O artigo 7º da LGPD lista dez hipóteses que legitimam o tratamento de dados. Para IA, as mais utilizadas são: consentimento (inciso I), execução de contrato (inciso V) e legítimo interesse do controlador (inciso IX).

O consentimento, quando usado, precisa ser livre, informado, inequívoco e específico para a finalidade declarada. Usar dados coletados para uma finalidade e treiná-los em um modelo para outra finalidade configura desvio de finalidade, vedado pelo artigo 6º, inciso I.

O legítimo interesse, por sua vez, exige que a empresa realize um "teste de balanceamento": documentar que o interesse perseguido não prevalece sobre os direitos e liberdades fundamentais do titular.

Decisões automatizadas: o artigo 20

O artigo 20 da LGPD garante ao titular o direito de solicitar revisão humana de decisões tomadas unicamente com base em tratamento automatizado. Isso inclui perfis criados por algoritmos de crédito, saúde, trabalho ou consumo.

A empresa deve ser capaz de explicar os critérios e procedimentos usados na decisão. Modelos de caixa-preta sem nenhuma camada de explicabilidade criam risco jurídico direto. A ANPD ainda não publicou regulamentação específica do artigo 20, mas indicou que o fará como prioridade regulatória.

Dados sensíveis e treinamento de modelos

O artigo 11 impõe restrições reforçadas ao tratamento de dados sensíveis: origem racial, saúde, biometria, convicção religiosa, opinião política, entre outros. Modelos treinados com esse tipo de dado exigem consentimento específico e destacado, ou enquadramento em uma das hipóteses restritivas do próprio artigo 11.

Datasets públicos não são automaticamente livres de restrições. Se o dado é pessoal e sensível, a origem pública não elimina a obrigação de ter base legal adequada para o uso em treinamento.

Impacto prático

Para founders e CTOs, o primeiro passo é mapear o fluxo de dados do produto: de onde vêm os dados de treinamento, quem são os titulares, qual a base legal para cada tratamento e quem são os operadores e suboperadores envolvidos. Esse mapeamento é o ponto de partida do relatório de impacto à proteção de dados (RIPD), previsto no artigo 38 da LGPD.

O RIPD é obrigatório para tratamentos que, por sua natureza, escopo ou finalidade, possam gerar risco elevado aos titulares. Sistemas de IA que tomam decisões sobre pessoas quase sempre se enquadram nessa categoria. Não é um documento burocrático: é a ferramenta que protege a empresa em caso de investigação da ANPD.

Na prática, empresas de IA precisam implementar pelo menos quatro controles: (1) política de privacidade clara sobre o uso de dados em modelos; (2) mecanismo funcional para exercício dos direitos dos titulares (acesso, correção, eliminação); (3) processo documentado de revisão humana para decisões automatizadas relevantes; e (4) contratos de processamento de dados (DPA) com todos os fornecedores que processam dados pessoais em nome da empresa.

Considerações finais

A LGPD não foi desenhada para IA, mas se aplica a ela de forma integral. Empresas que constroem produtos sobre dados pessoais sem governança de privacidade assumem risco regulatório, reputacional e contratual. A ANPD tem estrutura crescente de fiscalização e já aplicou multas e advertências a empresas de diferentes portes.

Investir em compliance de dados desde a fase de produto não é custo: é proteção de receita, requisito para contratos com grandes clientes e diferencial em rodadas de investimento. Estruturar isso com apoio jurídico especializado é mais barato do que remediar depois de uma autuação ou vazamento.

Perguntas frequentes

A LGPD se aplica ao treinamento de modelos de IA com dados públicos?

Sim. A origem pública dos dados não elimina a incidência da LGPD se os dados forem pessoais (vinculáveis a pessoa identificada ou identificável). O uso de dados públicos para treinamento de IA ainda exige base legal adequada, respeito à finalidade original da coleta e, no caso de dados sensíveis, enquadramento no artigo 11 da lei.

O que é o artigo 20 da LGPD e como ele afeta produtos de IA?

O artigo 20 garante ao titular o direito de solicitar revisão humana de decisões tomadas exclusivamente por tratamento automatizado que afetem seus interesses. Produtos de IA que usam modelos para decidir sobre crédito, emprego, saúde ou acesso a serviços precisam ter um processo documentado de revisão humana e capacidade de explicar os critérios usados na decisão.

Qual a multa máxima que a ANPD pode aplicar por violação à LGPD?

A LGPD prevê multa de até 2% do faturamento da empresa no Brasil, limitada a R$ 50 milhões por infração (artigo 52). A ANPD pode aplicar sanções progressivas: advertência, publicização da infração, bloqueio dos dados e multa. O valor considera a gravidade, a boa-fé e a adoção de mecanismos de segurança.

Startups em fase inicial precisam ter um DPO (encarregado de dados)?

A LGPD exige a indicação de um encarregado para todos os controladores e operadores de dados pessoais (artigo 41). A ANPD publicou resolução (CD/ANPD nº 2/2022) prevendo dispensa ou simplificação para agentes de tratamento de pequeno porte, mas startups que tratam dados sensíveis ou em larga escala não se enquadram nessa dispensa. É recomendável ter ao menos um responsável formal designado desde o início.

Como tratar dados de clientes para melhorar um modelo de IA sem violar a LGPD?

É preciso ter base legal específica para esse uso. O contrato com o cliente deve prever expressamente o uso dos dados para aperfeiçoamento do modelo, ou a empresa deve obter consentimento separado para essa finalidade. Usar dados de produção para retreinar modelos sem previsão contratual ou consentimento configura desvio de finalidade, vedado pelo artigo 6º, inciso I, da LGPD.

Decisão jurídica ou contábil pendente?

A SAFIE atende founders e gestores com acesso direto aos sócios — jurídico e contabilidade integrados sob o mesmo teto. Conversamos para entender o caso antes de qualquer recomendação.

Falar com a SAFIE
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.