IA no setor público e LGPD: como adotar inteligência artificial com uso responsável

O governo federal brasileiro já possui mais de 200 projetos de inteligência artificial em andamento. A Receita Federal recuperou R$ 12,5 bilhões com auxílio de IA. O TSE regulamentou o uso de IA nas eleições de 2026. Chatbots atendem cidadãos em portais estaduais e municipais. Algoritmos priorizam filas de atendimento, detectam fraudes em licitações e classificam processos administrativos.

A adoção de IA no setor público brasileiro é uma realidade — e está acelerando. Mas cada uma dessas aplicações envolve dados pessoais de cidadãos, decisões que afetam direitos fundamentais e uma obrigação de transparência que vai além do que se exige do setor privado. A LGPD (Lei nº 13.709/2018) se aplica integralmente à administração pública, e o Art. 20 garante ao cidadão o direito de questionar decisões automatizadas que afetem seus interesses.

Este artigo analisa como o setor público pode adotar inteligência artificial mantendo conformidade com a LGPD — cobrindo desde os riscos específicos até um framework prático de governança para órgãos públicos.

Como a inteligência artificial já é usada no setor público brasileiro?

A IA no governo brasileiro não é mais projeto-piloto. Está operacional em órgãos de todas as esferas, com aplicações que vão de atendimento ao cidadão até fiscalização tributária.

Receita Federal: referência em IA governamental

A Receita Federal é, possivelmente, o órgão público brasileiro mais avançado no uso de IA. Em fevereiro de 2026, publicou a Portaria RFB nº 647, que estabelece sua Política de Inteligência Artificial — definindo princípios, diretrizes e salvaguardas para o uso responsável de sistemas de IA. Entre as aplicações ativas estão:

Classificação e julgamento de processos administrativos fiscais, com IA auxiliando na análise e agilizando decisões sobre contenciosos
Detecção de fraude aduaneira, com liberação mais ágil nas alfândegas e aeroportos
Chatbot com IA generativa sobre a Reforma Tributária, lançado em fevereiro de 2026 para atendimento ao público externo

Um ponto fundamental da Portaria 647: ela determina que sistemas de IA não podem substituir, condicionar ou vincular decisões administrativas — a competência decisória permanece exclusivamente com o agente público. Essa é exatamente a postura que a LGPD exige.

Outras aplicações no governo

TSE: regulamentação do uso de IA em propagandas eleitorais para 2026, proibindo deepfakes e restringindo o uso de robôs para contato direto com eleitores
Secretarias estaduais de Fazenda: IA para auditoria fiscal, cruzamento de dados e identificação de sonegação
INSS e programas sociais: triagem de benefícios, análise de elegibilidade, detecção de irregularidades
Prefeituras: chatbots de atendimento, priorização de filas em postos de saúde, análise de demandas por serviços públicos

O Plano Brasileiro de Inteligência Artificial prevê a capacitação de 115 mil servidores públicos para uso de IA até 2026, com investimento de R$ 390 milhões anunciado pelo governo federal.

Quais são os riscos específicos da IA no setor público para a LGPD?

O setor público não é um empregador qualquer de IA. Quando um algoritmo decide sobre a vida do cidadão no contexto governamental, os riscos são amplificados por três fatores: assimetria de poder, escala de impacto e dificuldade de contestação.

Decisões automatizadas sobre direitos fundamentais

No setor privado, uma decisão algorítmica pode negar crédito ou ajustar um preço. No setor público, pode:

Negar ou suspender benefícios sociais (Bolsa Família, BPC, auxílio-doença)
Gerar multas e autuações fiscais automaticamente
Priorizar ou postergar atendimento em saúde pública
Classificar risco de processos administrativos, influenciando prazos e rigor de análise
Identificar suspeitos em sistemas de vigilância com reconhecimento facial

Cada uma dessas decisões afeta diretamente os interesses do titular de dados — ativando o Art. 20 da LGPD.

Assimetria de poder Estado–cidadão

Quando o cidadão questiona uma decisão automatizada de uma empresa, pode trocar de fornecedor. Quando questiona uma decisão do Estado, não tem alternativa. O governo é, muitas vezes, o único provedor do serviço. Isso torna a conformidade com a LGPD no setor público não apenas uma obrigação legal, mas uma questão de direitos fundamentais.

Opacidade institucional

Órgãos públicos historicamente resistem a explicar critérios de decisão, invocando sigilo administrativo ou complexidade técnica. Com IA, essa opacidade se multiplica: o gestor pode genuinamente não saber como o algoritmo chegou àquela conclusão. E isso não é defesa válida perante a LGPD.

O que diz o Art. 20 da LGPD sobre decisões automatizadas no governo?

O Art. 20 da LGPD é o dispositivo central para qualquer discussão sobre IA e direitos do cidadão. Ele se aplica integralmente ao setor público, sem exceção.

O texto do Art. 20

"O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade."

O § 1º complementa: o controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.

O § 2º estabelece que, em caso de recusa em fornecer essas informações com base em segredo comercial ou industrial, a ANPD poderá realizar auditoria para verificação de aspectos discriminatórios no tratamento automatizado.

Implicações práticas para o setor público

Para órgãos governamentais, o Art. 20 gera obrigações concretas:

Canal de revisão: todo cidadão afetado por decisão automatizada deve ter mecanismo acessível para solicitar revisão humana
Explicabilidade: o órgão deve ser capaz de explicar, em linguagem clara, como o algoritmo chegou àquela decisão
Documentação dos critérios: os parâmetros e pesos do modelo devem estar documentados antes da implantação
Revisão humana substantiva: a revisão não pode ser apenas formal — o servidor deve ter autonomia e informação suficiente para alterar a decisão do algoritmo

A exceção do "segredo comercial e industrial" do § 1º é de aplicação restrita no setor público. Órgãos governamentais estão sujeitos à Lei de Acesso à Informação (Lei nº 12.527/2011), que impõe transparência como regra e sigilo como exceção. Invocar segredo comercial de um fornecedor de IA para negar explicação a um cidadão é, no mínimo, juridicamente questionável.

Para uma análise completa do Art. 20 e suas implicações, consulte nosso artigo sobre decisões automatizadas e LGPD: direitos e obrigações.

Por que o RIPD é obrigatório para IA no setor público?

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) não é opcional quando o setor público utiliza IA. A LGPD, em seu Art. 38, prevê que a ANPD poderá determinar ao controlador a elaboração de relatório de impacto referente a suas operações de tratamento de dados — e tratamento automatizado com potencial de afetar direitos fundamentais é exatamente o cenário de maior risco.

O que o RIPD deve conter para sistemas de IA

Um RIPD adequado para IA no setor público vai além do modelo genérico. Deve documentar:

Finalidade específica do sistema de IA e base legal para o tratamento
Dados pessoais utilizados no treinamento e na operação do modelo
Lógica do algoritmo: tipo de modelo, variáveis de entrada, critérios de decisão
Análise de viés: testes realizados para identificar discriminação algorítmica
Medidas de mitigação: como o órgão pretende corrigir vieses identificados
Mecanismo de revisão humana: como decisões podem ser contestadas e revertidas
Avaliação de proporcionalidade: se o uso de IA é necessário e proporcional à finalidade
Plano de monitoramento contínuo: como o desempenho e a equidade do modelo serão acompanhados

RIPD como ferramenta de governança, não apenas compliance

O RIPD não deve ser visto como documento burocrático para arquivo. Quando bem elaborado, funciona como ferramenta de governança: obriga o órgão a pensar nos riscos antes de implantar, documenta decisões para prestação de contas futura e cria uma baseline para monitoramento contínuo.

Para orientações detalhadas sobre elaboração de RIPD para sistemas de IA, consulte nosso guia sobre RIPD para sistemas de inteligência artificial.

O cidadão tem direito de saber que foi avaliado por um algoritmo?

Sim. A transparência algorítmica é, simultaneamente, um requisito da LGPD, um princípio constitucional da administração pública e uma diretriz de todos os frameworks internacionais de IA responsável.

Fundamentação legal da transparência algorítmica no setor público

A obrigação de transparência vem de múltiplas fontes:

LGPD, Art. 6º, VI: princípio da transparência — garantia de informações claras, precisas e facilmente acessíveis sobre o tratamento
LGPD, Art. 20, § 1º: direito a informações sobre critérios e procedimentos da decisão automatizada
Constituição Federal, Art. 37: a administração pública obedecerá aos princípios de legalidade, impessoalidade, moralidade, publicidade e eficiência
Lei de Acesso à Informação (Lei nº 12.527/2011): transparência ativa e passiva como regra da administração pública

O que "transparência algorítmica" significa na prática

Transparência algorítmica não exige publicar o código-fonte do modelo. Exige que o órgão seja capaz de:

Informar que IA está sendo utilizada na decisão que afeta o cidadão
Explicar os critérios gerais que o algoritmo considera (variáveis de entrada, fatores de peso)
Justificar a decisão específica quando solicitado pelo titular (Art. 20)
Documentar as limitações conhecidas do sistema
Publicar métricas de desempenho e equidade do modelo

A Portaria RFB nº 647/2026 da Receita Federal é um bom exemplo: estabelece transparência e supervisão humana como pilares centrais de sua política de IA, exigindo que sistemas de IA nunca substituam a competência decisória do agente público.

Como o viés algorítmico afeta políticas públicas e populações vulneráveis?

O viés algorítmico é, possivelmente, o risco mais grave da IA no setor público. Quando um algoritmo discrimina no setor privado, o impacto é individual. Quando discrimina em políticas públicas, o impacto é sistêmico — afetando desproporcionalmente populações que já são vulneráveis.

Como viés entra em sistemas de IA governamentais

O viés não surge por má-fé. Surge de dados históricos que refletem desigualdades estruturais:

Dados de fiscalização podem refletir policiamento desproporcional em regiões periféricas, fazendo o algoritmo "aprender" que pessoas dessas regiões são mais propensas a irregularidades
Dados de concessão de benefícios podem conter vieses de raça, gênero ou localização geográfica acumulados ao longo de décadas de decisões humanas
Dados de saúde podem sub-representar populações indígenas, quilombolas ou rurais, gerando modelos que funcionam pior para essas populações
Reconhecimento facial apresenta taxas de erro sistematicamente maiores para pessoas negras — problema amplamente documentado internacionalmente

Impacto desproporcional em minorias

Quando o governo usa IA com viés para:

Priorizar filas de atendimento: populações vulneráveis podem ser sistematicamente relegadas ao final da fila
Detectar fraude em benefícios sociais: falsos positivos recaem desproporcionalmente sobre os mais pobres
Alocar recursos de fiscalização: bairros periféricos podem receber fiscalização desproporcional
Triagem de processos: cidadãos de determinados perfis podem ter seus processos classificados como "alto risco" sem justificativa substantiva

A LGPD proíbe o tratamento discriminatório ilícito ou abusivo (Art. 6º, IX — princípio da não discriminação). Para o setor público, o Art. 20, § 2º permite que a ANPD realize auditoria para verificar aspectos discriminatórios no tratamento automatizado.

Para aprofundar neste tema, consulte nosso artigo sobre viés algorítmico e discriminação na LGPD.

Qual é o estado atual da regulamentação de IA no Brasil?

O Brasil está construindo seu marco regulatório de IA em múltiplas frentes simultâneas: legislativa, regulatória e estratégica.

PL 2338/2023: o Marco Legal da IA

O Projeto de Lei nº 2.338/2023 é o principal instrumento legislativo para regulamentação da IA no Brasil. Aprovado pelo Senado Federal em dezembro de 2024, o PL segue em tramitação na Câmara dos Deputados, com expectativa de votação em 2026.

O PL 2338/2023 propõe:

Classificação de risco para sistemas de IA (incluindo IA de alto risco em decisões governamentais)
Obrigações proporcionais ao risco: quanto maior o risco, mais rigorosas as exigências
Sistema Nacional de Regulação e Governança de IA (SIA), vinculado à ANPD
Sandbox regulatório para ambientes controlados de teste
Medidas obrigatórias para mitigação de vieses, segurança e explicabilidade

Para o setor público, o PL é particularmente relevante: sistemas de IA utilizados em decisões sobre acesso a serviços públicos, benefícios sociais e fiscalização serão classificados como alto risco, sujeitos às obrigações mais rigorosas.

Para uma visão completa sobre o panorama regulatório, consulte nosso artigo sobre regulamentação de IA no Brasil e proteção de dados.

EBIA e o Plano Brasileiro de Inteligência Artificial

A Estratégia Brasileira de Inteligência Artificial (EBIA), instituída pela Portaria MCTI nº 4.617/2021, define nove eixos prioritários para IA no Brasil — incluindo governança, legislação, uso ético e qualificação profissional. A EBIA foi atualizada em 2024 com o Plano Brasileiro de Inteligência Artificial (PBIA), que criou o Observatório Brasileiro de Inteligência Artificial (OBIA) e prevê investimentos concretos.

Em outubro de 2025, a Comissão de Ciência e Tecnologia do Senado debateu nova atualização da EBIA, com foco em metas mais ambiciosas e alinhamento com o marco regulatório em tramitação.

Sandbox regulatório da ANPD

A ANPD lançou em 2025 seu primeiro Piloto de Ambiente Regulatório Experimental (Sandbox) em IA e Proteção de Dados. O programa:

Selecionou três projetos focados em transparência algorítmica
Teve fase de nivelamento com apoio da Universidade de São Paulo
Está em fase de testagem supervisionada, com previsão de conclusão em dezembro de 2026
Visa gerar subsídios práticos para a regulamentação definitiva

O sandbox é particularmente importante para o setor público: seus resultados vão informar como a ANPD regulará transparência e explicabilidade — temas centrais para qualquer órgão que use IA em decisões sobre cidadãos.

O que dizem os frameworks internacionais sobre IA responsável no governo?

O Brasil não está regulando IA no vazio. Existem frameworks internacionais consolidados que servem como referência — e a própria EBIA foi construída sobre esses alicerces.

Princípios da OCDE sobre IA (2019)

A Recomendação do Conselho da OCDE sobre Inteligência Artificial, adotada em maio de 2019, estabelece cinco princípios que o Brasil adotou como base para a EBIA:

Crescimento inclusivo e bem-estar: IA deve beneficiar pessoas e o planeta
Valores centrados no ser humano e equidade: respeito ao estado de direito, direitos humanos e diversidade
Transparência e explicabilidade: divulgação responsável sobre sistemas de IA
Robustez, segurança e proteção: gerenciamento de riscos ao longo do ciclo de vida
Prestação de contas (accountability): organizações e indivíduos são responsáveis pelo funcionamento adequado dos sistemas de IA

Recomendação da UNESCO sobre Ética da IA (2021)

Em novembro de 2021, a Conferência Geral da UNESCO adotou a Recomendação sobre a Ética da Inteligência Artificial — o primeiro instrumento normativo global sobre o tema, adotado por 193 países, incluindo o Brasil. Destaques:

Proibição expressa de pontuação social (social scoring) e vigilância em massa
Foco em direitos humanos e dignidade como limites inegociáveis
Avaliação de impacto ético como pré-requisito para implantação
Proteção de grupos vulneráveis contra discriminação algorítmica

Aplicação prática no setor público brasileiro

Para gestores públicos, a convergência desses frameworks com a LGPD e o PL 2338/2023 aponta uma direção clara: qualquer sistema de IA que afete direitos do cidadão deve ser transparente, explicável, auditável, não discriminatório e sujeito a supervisão humana. Não há espaço regulatório para "caixa preta".

Para um framework completo de governança de IA alinhado a essas diretrizes, consulte nosso artigo sobre governança de IA e proteção de dados.

Como adotar IA no setor público mantendo conformidade com a LGPD?

A conformidade não é inimiga da inovação. Órgãos como a Receita Federal demonstram que é possível extrair valor real da IA mantendo rigor regulatório. A chave é incorporar governança desde o início — não como camada burocrática posterior.

Boas práticas para adoção responsável

Antes da implantação:

Realizar RIPD específico para o sistema de IA, documentando finalidade, dados utilizados, lógica do modelo e riscos identificados
Testar o modelo para viés antes de colocá-lo em produção, com métricas de equidade por grupos demográficos
Definir base legal clara para o tratamento de dados (Art. 7º ou Art. 11 da LGPD, conforme o caso)
Mapear todas as decisões que o sistema pode gerar e classificar quais ativam o Art. 20

Durante a operação:

Manter supervisão humana real — não apenas formal — em decisões que afetam direitos do cidadão
Implementar canal acessível para o cidadão solicitar revisão de decisões automatizadas
Monitorar continuamente o desempenho e a equidade do modelo, com alertas para desvios
Registrar logs de decisões automatizadas para auditoria e prestação de contas

Continuamente:

Retreinar modelos periodicamente com dados atualizados, verificando se vieses não foram amplificados
Atualizar o RIPD quando houver mudança significativa no modelo ou nos dados
Capacitar servidores que interagem com o sistema para entender seus limites e vieses
Publicar relatórios periódicos de transparência sobre o uso de IA pelo órgão

Framework de governança de IA para órgãos públicos

Este framework sintetiza as obrigações legais (LGPD, PL 2338/2023), diretrizes internacionais (OCDE, UNESCO) e boas práticas em um modelo prático para órgãos públicos.

Pilar 1: Governança institucional

Designar responsável pelo uso de IA no órgão (pode ser o DPO ou comitê específico)
Criar política interna de IA (vide Portaria RFB nº 647/2026 como referência)
Estabelecer processo de aprovação para novos sistemas de IA
Definir critérios de classificação de risco (alto, médio, baixo) para cada aplicação

Pilar 2: Avaliação de impacto

Elaborar RIPD antes da implantação de qualquer sistema de IA que trate dados pessoais
Incluir análise de viés e discriminação no RIPD
Documentar a lógica do algoritmo, variáveis de entrada e critérios de decisão
Avaliar proporcionalidade: o uso de IA é necessário e proporcional à finalidade?

Pilar 3: Transparência e explicabilidade

Informar o cidadão quando IA é utilizada em decisões que o afetam
Manter documentação acessível sobre critérios gerais do algoritmo
Ser capaz de explicar decisões específicas quando solicitado (Art. 20, § 1º)
Publicar relatórios periódicos sobre uso de IA e métricas de desempenho

Pilar 4: Equidade e não discriminação

Testar modelos para viés antes da implantação, com métricas por grupos demográficos
Monitorar continuamente indicadores de equidade durante a operação
Estabelecer procedimento para correção quando viés for identificado
Documentar testes realizados e resultados obtidos

Pilar 5: Supervisão humana e revisão

Garantir que decisões de alto impacto tenham revisão humana substantiva
Implementar canal acessível para cidadãos solicitarem revisão (Art. 20)
Treinar servidores para revisar e, quando necessário, reverter decisões algorítmicas
Manter autonomia decisória do servidor público — IA como suporte, não como substituto

Pilar 6: Segurança e ciclo de vida

Proteger dados de treinamento e modelos contra acesso não autorizado
Estabelecer processo de monitoramento contínuo de performance e equidade
Definir critérios para retreino, atualização e eventual desativação do modelo
Manter registros de auditoria de todas as decisões automatizadas

Checklist de conformidade: IA no setor público e LGPD

Use este checklist para avaliar se seu órgão está preparado para adotar IA com conformidade:

Fundamentos legais:

Base legal definida para o tratamento de dados pelo sistema de IA (Art. 7º ou Art. 11)
RIPD elaborado e documentado antes da implantação
Mecanismo de revisão humana implementado conforme Art. 20
Encarregado (DPO) designado e ciente do uso de IA

Transparência:

Cidadão é informado quando IA participa de decisões que o afetam
Critérios gerais do algoritmo estão documentados e acessíveis
Órgão é capaz de explicar decisões específicas quando solicitado

Equidade:

Testes de viés realizados antes da implantação
Monitoramento contínuo de indicadores de equidade
Procedimento de correção documentado para vieses identificados

Governança:

Política interna de IA aprovada e publicada
Processo de aprovação para novos sistemas de IA
Capacitação de servidores que operam ou supervisionam o sistema
Registros de auditoria mantidos para prestação de contas

A adoção de IA no setor público brasileiro é inevitável — e desejável, quando feita com responsabilidade. Os benefícios são reais: serviços mais eficientes, fiscalização mais precisa, atendimento mais ágil. Mas esses benefícios só se sustentam se houver governança adequada. Um algoritmo que discrimina cidadãos vulneráveis ou que toma decisões opacas sobre direitos fundamentais não é inovação — é risco institucional.

A LGPD, o PL 2338/2023, os princípios da OCDE e da UNESCO, e iniciativas como o sandbox da ANPD convergem para uma mesma mensagem: IA responsável não é opcional. É o único caminho viável.

O Confidata oferece ferramentas especializadas para gestão de conformidade com a LGPD, incluindo módulos de inventário de atividades de tratamento, RIPD, gestão de riscos e governança — tudo o que um órgão público precisa para adotar IA com segurança jurídica e transparência. Se sua organização está implementando ou planejando adotar sistemas de inteligência artificial, conheça como o Confidata pode estruturar sua governança de dados desde o primeiro dia.