LGPD e IA no Brasil

LGPD não desapareceu com a chegada da IA generativa. A Lei 13.709/2018 aplica-se a qualquer tratamento de dado pessoal de pessoa natural no Brasil, incluindo o que acontece quando uma empresa envia dado pra modelo de linguagem, treina modelo próprio com dado interno ou aplica decisão automatizada baseada em IA. Empresa que adota IA sem revisar a aderência à LGPD constrói passivo silencioso. Esse texto resume o que importa pra projeto corporativo, com foco em decisão prática.

A demanda por entendimento dessa interseção tem aumentado conforme a adoção corporativa de IA generativa avança e os reguladores brasileiros sinalizam fiscalização. Empresas chegam ao tema "IA" frequentemente via fundação regulatória LGPD, não o contrário.

A LGPD aplica quando

Três cenários comuns que disparam aplicação da LGPD em projeto de IA.

O primeiro é envio de dado pessoal pra API de modelo externo. Quando a empresa envia nome, CPF, email, histórico de compra ou qualquer dado que identifique pessoa natural pra ChatGPT, Claude, Gemini ou outro fornecedor, está realizando transferência internacional de dado (modelos rodam tipicamente em servidor fora do Brasil) e tratamento de dado pessoal por terceiro. Ambos exigem base legal e documentação.

O segundo é treinamento de modelo com dado interno. Quando a empresa faz fine-tuning ou treinamento de modelo próprio usando histórico de cliente, transação, conversa de atendimento ou outro dado pessoal, o tratamento precisa de base legal e o titular precisa ser informado sobre essa finalidade no momento da coleta ou de forma agregada via política de privacidade clara.

O terceiro é decisão automatizada que afete o titular. Aprovação de crédito, classificação de risco, recomendação de produto, priorização em fila de atendimento, segmentação que muda preço. Todos disparam o Art. 20 da LGPD, que garante ao titular direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dado pessoal.

As bases legais aplicáveis

LGPD lista dez bases legais para tratamento de dado pessoal. Em projeto de IA, três aparecem com frequência.

A primeira é consentimento. Útil quando o tratamento é específico e o titular pode dizer não sem consequência operacional. Difícil em casos onde o tratamento é estrutural pro serviço (todo cliente passa por classificação de risco, por exemplo). O Art. 8 da Lei 13.709/2018 define que consentimento exige manifestação livre, informada, inequívoca e específica, e a renovação é necessária quando a finalidade muda.

A segunda é execução de contrato ou de procedimentos preliminares. Útil quando o tratamento é necessário pra cumprir o contrato com o titular. Aprovação de crédito pra contratação de serviço financeiro cabe; segmentação pra marketing pode não caber.

A terceira é legítimo interesse, com avaliação obrigatória de necessidade, finalidade, balanceamento contra direitos do titular, e adoção de medidas que atenuem o impacto. É a base legal mais usada em projeto de IA corporativo, e a mais sujeita a questionamento. ANPD tem se posicionado de forma crescente sobre limites do legítimo interesse em casos de tratamento massivo de dado.

Cada projeto de IA precisa identificar a base legal aplicável antes do entrada em produção e documentar a decisão. Sem essa documentação, o tratamento é nulo, e o passivo é da empresa.

Decisão automatizada e Art. 20

O Art. 20 garante ao titular o direito de solicitar revisão de decisão tomada unicamente com base em tratamento automatizado que afete seus interesses. Aprovação de crédito, oferta personalizada, priorização em atendimento, classificação de elegibilidade. Quando a IA decide e o impacto recai sobre o titular, ele tem direito a pedir revisão, e a empresa precisa ter processo definido pra atender.

Pontos práticos do Art. 20:

1. A lei não especifica se a revisão deve ser humana. O Art. 20 exige existência de revisão, mas a redação alterada em 2019 não impôs revisão humana explícita. Posição doutrinária está dividida, e a ANPD tem sinalizado preferência por revisão humana em casos de alto impacto. Essa interpretação tem ganho peso na prática regulatória.

2. A empresa precisa fornecer informação clara sobre os critérios e procedimentos quando o titular pedir. Algoritmo proprietário pode invocar segredo comercial, e isso não exime de explicar a lógica geral.

3. Auditoria interna é obrigatória pra modelos que tomam decisão de impacto. Documentação de treinamento, dataset, métricas, testes de viés, aprovação por instância adequada.

ANPD publicou em 2024 documento técnico sobre IA e LGPD reforçando que decisão automatizada que afete direitos do titular exige governança específica, e que modelos generativos não são exceção a essa regra.

Anonimização e dado sintético

LGPD não se aplica a dado anonimizado, definido no Art. 5 como "dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento". Anonimização verdadeira tira o dado do escopo da LGPD.

A questão prática é que anonimização robusta é difícil. Latanya Sweeney (2002) demonstrou que a combinação de CEP, data de nascimento e gênero identifica unicamente cerca de 87% da população dos Estados Unidos. Estudo posterior de Montjoye et al (2013) confirmou padrão similar pra dados de mobilidade urbana. Anonimização ingênua (remover nome e CPF) não basta.

Em projeto de IA, três caminhos válidos:

A. Pseudonimização, com chave de re-identificação separada e protegida. O dado segue protegido pela LGPD, mas o risco fica menor.

B. Anonimização robusta, com técnicas como k-anonimato, l-diversidade, t-closeness ou differential privacy. Tira o dado do escopo da LGPD, e exige expertise técnica.

C. Dado sintético, gerado a partir de dado real com técnicas que preservam distribuição estatística sem reproduzir indivíduo. Útil pra treinamento de modelo, exige validação de qualidade e ausência de leakage.

ANPD e o cenário regulatório

A ANPD (Autoridade Nacional de Proteção de Dados) publicou em 2024 e 2025 uma série de documentos orientativos sobre IA e proteção de dados, sinalizando aumento de fiscalização. O Plano de Fiscalização da ANPD inclui IA como prioridade, com foco em decisão automatizada, transparência e legítimo interesse.

Em paralelo, o PL 2.338/2023, o "Marco Regulatório da IA" no Brasil, está em tramitação. O texto incorpora elementos do EU AI Act europeu, que classifica decisões em saúde, crédito, educação e justiça como alto risco e impõe requisitos de auditoria, transparência e governança. Em 2026, o cenário ainda evolui, e empresa que opera IA precisa acompanhar atualizações da ANPD e da legislação setorial específica (Banco Central pra serviços financeiros, ANS pra saúde, Anatel pra telecom).

Como desenhar projeto LGPD-compliant

Cinco passos antes de aprovar piloto de IA que toque em dado pessoal.

1. Mapeamento. Quais dados pessoais entram no modelo, em qual etapa, processados por qual fornecedor, em qual jurisdição? Sem mapeamento, não há aderência possível.

2. Base legal. Qual base legal sustenta o tratamento? Consentimento, contrato, legítimo interesse, ou outra? Documentação escrita, aprovada pela área jurídica e pelo DPO da empresa.

3. Avaliação de impacto. Em casos de tratamento massivo ou de alto risco, fazer Relatório de Impacto à Proteção de Dados (RIPD), conforme Art. 38 da LGPD.

4. Direitos do titular. Como a empresa atende pedido de acesso, correção, portabilidade, oposição e revisão de decisão automatizada? Processo precisa estar definido antes do entrada em produção.

5. Governança contínua. Revisão periódica de modelos, monitoramento de viés, auditoria de decisões e atualização da documentação quando o tratamento mudar.

Onde a teoria não bate com a prática

Empresa que adota ChatGPT corporativo sem revisar política de privacidade dos fornecedores está em risco. Mesmo com acordo comercial proibindo uso de dado pra treinamento, há transferência internacional, há tratamento por terceiro, há requisitos de informação ao titular. Termo de uso padrão de ferramenta gratuita raramente cobre o que LGPD exige.

Empresa que faz fine-tuning com dado de cliente sem informar a finalidade está tratando dado pessoal pra finalidade não comunicada. Risco direto de notificação ANPD e de questionamento por titular informado.

Empresa que toma decisão automatizada sem oferecer canal de revisão está descumprindo o Art. 20 mesmo quando ninguém pediu revisão ainda. A obrigação é estrutural, não reativa.

A frase que vale carregar pra reunião com a área jurídica: IA não é exceção à LGPD. Cada projeto precisa de base legal, documentação, avaliação de impacto e governança proporcional ao risco. Empresa que opera IA bem trata aderência regulatória como parte do desenho desde o início do projeto. Aprofundamento em governança no eixo Privacidade e Compliance do Radar e no eixo Governança e Qualidade.

Referências

• Brasil (2018). Lei Geral de Proteção de Dados Pessoais — Lei 13.709/2018.
• ANPD (2024). Radiografia do uso de IA em empresas.
• Senado Federal (2023). PL 2.338/2023 — Marco Regulatório da Inteligência Artificial.
• European Commission (2024). EU AI Act.
• Sweeney, L. (2002). k-Anonymity: A Model for Protecting Privacy. International Journal on Uncertainty, Fuzziness and Knowledge-based Systems.
• de Montjoye, Y. et al (2013). Unique in the Crowd: The privacy bounds of human mobility. Scientific Reports.