IA e LGPD: como usar inteligência artificial sem violar a privacidade

Inteligência artificial e dados pessoais são praticamente inseparáveis. Sistemas de IA aprendem com dados — e esses dados frequentemente incluem informações pessoais. Quando uma organização usa IA para recomendar produtos, avaliar crédito, filtrar currículos, detectar fraudes ou automatizar atendimento, ela está tratando dados pessoais. E onde há tratamento de dados pessoais, a LGPD se aplica.

O ponto crítico que muitas organizações ainda não assimilaram é este: a tecnologia usada não muda a obrigação. Um sistema de IA que processa dados pessoais está sujeito à LGPD da mesma forma que um sistema legado. Não há exceção para IA.

Como a LGPD se aplica a sistemas de IA

A LGPD define tratamento de dados pessoais como "toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração" (Art. 5º, X).

Sistemas de IA realizam todas essas operações — especialmente processamento e avaliação ou controle da informação. Não há dúvida de que estão no escopo da lei.

Os três momentos em que a IA processa dados pessoais

1. Treinamento do modelo

Para treinar um modelo de machine learning, é necessário um conjunto de dados. Se esse dataset contém dados pessoais — nomes, comportamentos, histórico de compras, prontuários, transações financeiras —, o treinamento é uma atividade de tratamento sujeita à LGPD.

Isso inclui modelos treinados internamente e o uso de dados pessoais para fazer fine-tuning de modelos de linguagem amplos (LLMs).

Atenção crítica: dados usados para treinamento precisam de base legal. Se os dados foram coletados com consentimento "para envio de newsletter", esse consentimento não cobre o uso para treinamento de modelos de IA.

2. Inferência (uso do modelo)

Quando o modelo já treinado processa um dado novo para gerar uma previsão, classificação ou decisão, ele realiza inferência. Essa também é uma atividade de tratamento de dados pessoais — se o dado de entrada é pessoal, a inferência está sujeita à LGPD.

Exemplos: usar IA para analisar o currículo de um candidato, para calcular o risco de crédito de um cliente, para recomendar conteúdo baseado no comportamento do usuário.

3. Resultado e decisão

O output do sistema de IA — a previsão, recomendação ou decisão — frequentemente se refere a uma pessoa específica. Quando esse output é usado para tomar decisões que afetam o titular, o Art. 20 da LGPD entra em cena.

Art. 20: o direito de revisão de decisões automatizadas

O Art. 20 da LGPD é a disposição central sobre IA e proteção de dados no Brasil:

"O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade."

Quando o Art. 20 se aplica

O artigo se aplica a decisões que cumprem dois requisitos cumulativos:

1. Tomadas unicamente com base em tratamento automatizado: a decisão foi gerada por um algoritmo sem revisão humana substantiva. Se um humano revisou a recomendação do sistema antes de decidir, o Art. 20 pode não se aplicar — mas "revisão pro forma" sem real avaliação independente provavelmente não afasta a aplicação.

2. Que afetem os interesses do titular: decisões sobre crédito, emprego, seguros, acesso a serviços, preços diferenciados, perfil de risco.

O que o titular pode pedir

O titular pode solicitar ao controlador:

Revisão da decisão (nova análise por um humano competente)
Informações sobre os critérios e procedimentos usados pelo algoritmo

O Art. 20, §1º exige que o controlador forneça, sempre que solicitado, "informações claras e adequadas a respeito dos critérios e dos procedimentos usados para a decisão automatizada" — respeitando segredos comerciais e industriais.

Decisões automatizadas de alto impacto: onde o risco é maior

As hipóteses de maior risco jurídico e regulatório são:

Decisão automatizada	Risco
Concessão ou negação de crédito	Impacto direto e imediato sobre o titular
Seleção ou eliminação de candidatos em processo seletivo	Impacto profissional relevante
Cálculo de prêmio de seguro por perfil comportamental	Discriminação por dados inferidos
Recomendação de preços diferenciados por perfil	Possível violação do princípio da não discriminação (Art. 6º, IX)
Flagging automatizado de condutas suspeitas	Impacto reputacional e consequências disciplinares
Cálculo de risco de inadimplência sem revisão humana	Perfilamento com base em dados de terceiros

Perfilamento e o Art. 12, §2º

O Art. 12, §2º da LGPD cria uma regra importante para sistemas de IA que geram perfis comportamentais:

"Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada."

Isso significa que dados que, isoladamente, poderiam ser considerados anônimos — padrões de navegação, preferências, comportamento em plataformas — tornam-se dados pessoais quando usados para criar um perfil vinculado a um indivíduo identificado ou identificável.

Sistemas de IA de recomendação, sistemas de análise de comportamento do consumidor e plataformas de marketing digital que criam perfis individuais estão, portanto, processando dados pessoais e estão plenamente sujeitos à LGPD — mesmo que os dados de entrada pareçam anônimos.

IA generativa no ambiente corporativo: riscos específicos

A adoção de ferramentas de IA generativa (assistentes de escrita, chatbots, geradores de código, ferramentas de análise de documentos) em ambientes corporativos introduz riscos de privacidade que muitas organizações subestimam.

Risco 1: Inserção de dados pessoais em prompts

Colaboradores que usam ferramentas de IA generativa — mesmo plataformas como ChatGPT, Gemini, Copilot — podem inserir dados pessoais nos prompts sem perceber: "Analise esse e-mail do cliente João Silva, CPF 123.456.789-09...". Esses dados são enviados ao provedor da ferramenta, processados fora do ambiente controlado da organização e, dependendo dos termos de serviço, podem ser usados para treinar modelos.

Medida: política clara sobre o que pode e o que não pode ser inserido em ferramentas de IA generativa; treinamento da equipe; uso de versões corporativas com termos de privacidade adequados e DPA firmado.

Risco 2: Ausência de DPA com o provedor de IA

Se o provedor de IA é um operador (processa dados em nome da organização), é necessário um contrato de processamento de dados (DPA) nos termos do Art. 39 da LGPD. A ausência de DPA deixa o controlador exposto à responsabilidade solidária por qualquer incidente com os dados transmitidos.

Verificar os termos de serviço do provedor: a ferramenta usa dados enviados para treinar modelos? Se sim, como isso é compatibilizado com a LGPD?

Risco 3: Alucinações com dados pessoais

Sistemas de IA generativa podem "alucinar" — gerar informações falsas mas plausíveis sobre pessoas reais. Se um sistema interno usa IA generativa para responder perguntas sobre clientes ou colaboradores, e gera informações incorretas sobre uma pessoa real, isso pode configurar violação da qualidade dos dados (Art. 6º, V da LGPD) e gerar responsabilidade civil.

Risco 4: Viés algorítmico e violação do Art. 6º, IX

O princípio da não discriminação (Art. 6º, IX) da LGPD proíbe o tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos. Sistemas de IA que reproduzem vieses históricos nos dados de treinamento podem gerar decisões discriminatórias — por exemplo, um modelo de seleção de candidatos que aprende padrões de contratação históricos enviesados por gênero ou origem étnica.

O que a ANPD está fazendo sobre IA

IA como eixo prioritário 2026-2027

A inteligência artificial e as tecnologias emergentes são um dos quatro eixos do Mapa de Temas Prioritários da ANPD para 2026-2027 (Resoluções CD/ANPD Nº 30 e 31/2025). Isso significa maior fiscalização, orientações específicas e potencial para sanções relacionadas ao uso inadequado de IA.

Nota técnica sobre decisões automatizadas

A ANPD publicou orientações sobre o Art. 20 da LGPD como parte da Agenda Regulatória 2025-2026, e a regulamentação específica de decisões automatizadas por IA está em desenvolvimento. Organizações que usam sistemas de IA para decisões que afetam titulares devem acompanhar essas publicações.

Marco Legal de IA (PL 2.338/2023)

O Projeto de Lei nº 2.338/2023, que cria o marco legal para desenvolvimento e uso de inteligência artificial no Brasil, estava em fase de apreciação na Câmara dos Deputados no início de 2026. O projeto, baseado em gestão de risco, classifica sistemas de IA por nível de risco e estabelece obrigações proporcionais — incluindo requisitos de transparência, explicabilidade e direitos dos afetados.

Quando aprovado, o marco legal de IA operará em complemento à LGPD, não em substituição: as obrigações de proteção de dados pessoais da LGPD continuarão vigentes para qualquer sistema de IA que processe dados pessoais.

Checklist: usando IA de forma conforme à LGPD

Antes de implementar um sistema de IA

Mapeie os dados pessoais usados no treinamento: têm base legal para esse uso específico?
O sistema tomará decisões automatizadas que afetam titulares? Se sim, mapeie o mecanismo de revisão humana.
Elabore o RIPD se o sistema processar dados em larga escala ou dados sensíveis.
Se o provedor de IA é um operador, formalize o DPA.
Atualize o inventário de atividades de tratamento (ROPA) com a nova atividade.
Avalie o risco de viés algorítmico, especialmente se o sistema tomar decisões de emprego, crédito ou acesso a serviços.

Ao usar ferramentas de IA generativa

Existe política interna sobre o que pode ser inserido nos prompts?
Os colaboradores foram treinados sobre não inserir dados pessoais em ferramentas não aprovadas?
A versão corporativa da ferramenta tem DPA adequado?
Os termos de serviço do provedor são compatíveis com a LGPD (dados não são usados para treino sem consentimento explícito)?

Para decisões automatizadas existentes

O titular pode solicitar revisão humana da decisão?
A organização consegue explicar os critérios e procedimentos da decisão automatizada ao titular?
O aviso de privacidade informa sobre a existência de decisões automatizadas e o direito de revisão?

O que o titular pode exigir da sua organização

Quando uma decisão automatizada afeta um titular — negação de crédito por score, não seleção em processo seletivo por triagem de IA, bloqueio de conta por sistema de fraude —, o titular tem o direito, pelo Art. 20, de exigir:

Revisão por um ser humano da decisão tomada pelo algoritmo
Explicação sobre os critérios utilizados pelo sistema para chegar àquela decisão
Informação sobre os dados que alimentaram o sistema naquele caso específico (direito de acesso, Art. 18, II)

A organização deve ter processos definidos para responder a essas solicitações dentro do prazo do Art. 19 (até 15 dias para resposta completa).

Conclusão

A LGPD já regula IA — há cinco anos. O que está mudando é a intensidade do uso de IA, a capacidade de fiscalização da ANPD e a expectativa regulatória sobre transparência e explicabilidade.

Organizações que usam IA de forma responsável — com base legal clara para os dados de treinamento, mecanismos de revisão de decisões automatizadas, avaliação de viés e DPAs com provedores — estão bem posicionadas para os próximos anos. As que não estão precisam agir agora, antes que o tema se torne prioritário de fiscalização.

A IA não é uma zona livre de regulação. É um ambiente de tratamento de dados pessoais como qualquer outro — com as mesmas obrigações, a mesma accountability e os mesmos riscos.

A Confidata ajuda sua organização a mapear e documentar o uso de IA em atividades de tratamento de dados pessoais, incluindo o registro de decisões automatizadas e a gestão dos direitos dos titulares relacionados ao Art. 20 da LGPD.