LGPD e IA no Marketing: Riscos e Obrigações

Por SAFIE · 10 de junho de 2026 · 4 min de leitura

A MIT Technology Review Brasil publicou uma análise relevante: enquanto a maioria das empresas ainda usa IA para acelerar tarefas isoladas, as organizações mais avançadas estão transformando o marketing inteiro em um sistema operacional de decisões rápidas. Segmentação, personalização, alocação de verbas e disparo de campanhas passam a ser definidos por algoritmos, não por equipes humanas.

Esse salto operacional tem uma consequência direta que poucos founders estão avaliando com seriedade: quanto mais autônomo e centralizado o sistema de IA, maior o volume de dados pessoais processados, e maior a exposição regulatória sob a Lei Geral de Proteção de Dados (Lei nº 13.709/2018).

Este artigo explora o que essa transformação significa do ponto de vista jurídico e prático para startups de IA, diretores de marketing e tecnologia, e os profissionais que os assessoram.

Contexto jurídico e regulatório

O que a LGPD exige quando a IA assume o marketing

A LGPD não foi criada pensando em IA, mas ela se aplica integralmente a qualquer operação de tratamento de dados pessoais, incluindo aquelas conduzidas por algoritmos. O artigo 5º, inciso X, define "tratamento" de forma ampla: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento e eliminação. Um sistema de IA de marketing faz tudo isso simultaneamente.

O ponto crítico está no artigo 20 da LGPD, que garante ao titular o direito de solicitar revisão humana de decisões tomadas exclusivamente por meios automatizados que afetem seus interesses. Quando a IA define quem recebe uma oferta de crédito, qual produto é exibido primeiro ou qual usuário é excluído de uma campanha, a empresa precisa ter mecanismos para explicar e revisar essas decisões. Isso impõe uma obrigação técnica e jurídica simultânea.

A base legal para o tratamento de dados em contexto de marketing digital é outro ponto sensível. O consentimento (art. 7º, inciso I) é a opção mais comum, mas a ANPD, em seu Guia Orientativo sobre Bases Legais, já sinalizou que consentimento obtido de forma genérica em termos de uso extensos pode ser considerado inválido. O legítimo interesse (art. 7º, inciso IX) é uma alternativa, mas exige documentação de um teste de balanceamento formal, demonstrando que o interesse do controlador não viola direitos fundamentais do titular.

Para sistemas de IA que processam dados em larga escala ou que utilizam dados sensíveis, como saúde, localização precisa ou comportamento financeiro, o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) pode se tornar obrigatório por determinação da ANPD, conforme o artigo 38 da lei. A Resolução CD/ANPD nº 2/2022 já estabelece o regime simplificado para agentes de pequeno porte, mas startups em crescimento rápido frequentemente saem desse regime sem perceber.

Impacto prático

Para CTOs e founders que estão construindo ou adquirindo sistemas de IA para marketing, o primeiro impacto prático é a necessidade de um mapeamento de dados (data mapping) atualizado. Sem saber exatamente quais dados pessoais entram no modelo, onde são armazenados, por quanto tempo e com quem são compartilhados, a empresa não consegue nem iniciar uma defesa regulatória consistente. Ferramentas como OneTrust, Privacidade.com.br ou planilhas estruturadas internas são o ponto de partida mínimo.

O segundo impacto é contratual. Quando a startup usa plataformas de terceiros como CRMs, DSPs ou ferramentas de automação integradas à IA, ela está compartilhando dados pessoais com operadores. O artigo 37 da LGPD exige que o controlador mantenha registro das atividades de tratamento, e o artigo 26 exige cláusulas contratuais específicas com operadores. Contratos de SaaS genéricos, muitas vezes em inglês, raramente atendem a esses requisitos sem aditivos.

Do ponto de vista contábil, as empresas precisam considerar o custo de conformidade como investimento recorrente, não como projeto pontual. Isso inclui DPO (Encarregado de Proteção de Dados), que pode ser interno ou terceirizado; auditorias periódicas de sistemas de IA; e provisionamento contábil para passivos regulatórios. Uma sanção da ANPD de 2% do faturamento bruto do último exercício pode representar um valor significativo para uma startup em fase de crescimento, e precisa estar no radar do CFO e dos investidores.

Considerações finais

A transformação do marketing em sistema operacional de IA é inevitável para empresas que querem competir. O que não é opcional é tratar a conformidade com a LGPD como parte da arquitetura do sistema, não como uma camada adicionada depois. Privacy by design, previsto no artigo 46 da LGPD, deixou de ser recomendação técnica para se tornar critério de avaliação regulatória.

Founders, CTOs e os advogados e contadores que os assessoram precisam atuar de forma integrada. A pergunta não é mais "o jurídico aprovou?", mas sim "o sistema foi construído para ser auditável, explicável e reversível desde o início?" Quem responder essa pergunta cedo ganha vantagem competitiva. Quem responder depois de uma notificação da ANPD paga muito mais, em dinheiro e em reputação.

Perguntas frequentes

Minha startup usa IA para segmentar clientes. Preciso de consentimento expresso para isso?

Não necessariamente. A LGPD oferece dez bases legais para tratamento de dados. O consentimento é uma delas, mas o legítimo interesse pode ser aplicado para fins de marketing direto, desde que você documente um teste de balanceamento demonstrando que o interesse comercial não viola direitos dos titulares. A ANPD ainda não publicou regulamentação específica sobre legítimo interesse, então a recomendação atual é manter documentação robusta e estar preparado para revisão.

O que é o RIPD e quando minha empresa de IA é obrigada a fazê-lo?

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é um documento que descreve os processos de tratamento de dados que podem gerar riscos às liberdades civis e direitos fundamentais. A ANPD pode solicitá-lo a qualquer momento (art. 38 da LGPD). Sistemas de IA que processam dados em larga escala, usam dados sensíveis ou tomam decisões automatizadas com efeitos significativos sobre pessoas são os casos de maior risco e onde a elaboração preventiva do RIPD é mais recomendada.

Como funciona o direito de revisão humana previsto no artigo 20 da LGPD?

Quando um sistema de IA toma uma decisão que afeta o titular de dados, como negar uma oferta, bloquear um usuário ou priorizar ou desprioritizar conteúdo, o titular pode solicitar revisão por uma pessoa humana. A empresa precisa ter um processo operacional para receber esse pedido, revisá-lo e responder dentro de prazo razoável. Sistemas de IA que não registram os critérios usados nas decisões tornam essa revisão tecnicamente impossível, o que por si só é uma irregularidade.

Contratos de SaaS internacionais (como Google, Meta ou HubSpot) cobrem as exigências da LGPD?

Parcialmente. Grandes plataformas têm cláusulas de proteção de dados em seus termos, mas elas geralmente são moldadas pelo GDPR europeu ou pela legislação americana. Para fins de LGPD, a empresa brasileira que usa essas ferramentas é o controlador e responde perante a ANPD. Isso significa que você precisa verificar se o contrato com o fornecedor contém as cláusulas exigidas pelo art. 26 da LGPD para operadores, e se a transferência internacional de dados tem salvaguardas adequadas conforme o art. 33.

Qual o valor máximo das multas que a ANPD pode aplicar por violação da LGPD?

A LGPD prevê sanções administrativas de até 2% do faturamento da empresa no Brasil no último exercício, limitadas a R$ 50 milhões por infração (art. 52, inciso II). Além da multa, a ANPD pode aplicar advertência, publicização da infração, bloqueio ou eliminação dos dados pessoais envolvidos e suspensão parcial do banco de dados. Para startups, a publicização e o bloqueio de dados podem ser mais prejudiciais operacionalmente do que a multa em si.