Decisões Automatizadas na LGPD: Art. 20 e Direito à Revisão
Este post faz parte da série LGPD Comentada, que analisa todos os artigos da Lei Geral de Proteção de Dados. Veja todos os posts da série.
A LGPD não apenas garante ao titular o direito de saber quais dados uma organização possui sobre ele — ela também define prazos concretos para que essa resposta chegue e estabelece um dos dispositivos mais relevantes da lei para a era da inteligência artificial: o direito à revisão de decisões automatizadas. Os Arts. 19 e 20 são, respectivamente, o mecanismo de execução dos direitos do titular e a principal barreira normativa contra o uso opaco de algoritmos que afetam a vida das pessoas.
Este post analisa ambos os artigos em profundidade: como funcionam os prazos, quais formatos de resposta são exigidos, o que mudou com a Lei 13.853/2019 e como a jurisprudência já está aplicando o Art. 20 a casos concretos envolvendo plataformas digitais e score de crédito.
Art. 19 — Prazos e formatos para confirmação e acesso a dados
O Art. 19 é o dispositivo que transforma os direitos do Art. 18 em obrigações com prazo. Sem ele, o direito de acesso seria uma promessa sem mecanismo de cobrança.
O texto legal
"Art. 19. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:"
"I – em formato simplificado, imediatamente; ou"
"II – por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular."
O artigo cria duas modalidades de resposta com prazos distintos:
Formato simplificado (imediato): Uma confirmação rápida — "sim, tratamos seus dados" ou "não, não há dados seus em nossa base". Essa resposta deve ser fornecida imediatamente, o que na prática significa no ato da solicitação ou em tempo razoavelmente curto.
Declaração completa (até 15 dias): Uma resposta detalhada que deve incluir a origem dos dados, os critérios utilizados no tratamento, a finalidade e, se for o caso, a inexistência de registro. O prazo de 15 dias é contado a partir da data do requerimento.
Na prática
A distinção entre as duas modalidades gera dúvidas frequentes. O formato simplificado não exige detalhamento — basta confirmar ou negar a existência de dados. Já a declaração completa é um documento estruturado, que exige que a organização saiba rastrear a origem de cada dado, documentar as finalidades de cada tratamento e identificar com quem os dados foram compartilhados.
Organizações que não mantêm um inventário atualizado de atividades de tratamento terão dificuldade em cumprir o prazo de 15 dias. É aqui que o registro de operações (Art. 37) se conecta diretamente com o atendimento ao titular: sem um mapeamento de dados organizado, responder no prazo se torna inviável.
Parágrafos complementares
O §1º determina que os dados pessoais devem ser armazenados em formato que favoreça o exercício do direito de acesso. Na prática, isso significa que a organização não pode alegar dificuldade técnica para não fornecer os dados — o sistema deve ser desenhado para permitir a extração.
O §2º garante ao titular a escolha entre receber os dados por meio eletrônico, seguro e idôneo ou em formato impresso. A opção é do titular, não do controlador.
O §3º trata de um direito adicional: quando o tratamento é baseado em consentimento ou em execução de contrato, o titular pode solicitar uma cópia eletrônica integral de seus dados pessoais, em formato que permita a utilização subsequente — inclusive por outro controlador. Este parágrafo é o embrião normativo da portabilidade de dados no Brasil, ainda pendente de regulamentação detalhada pela ANPD.
O §4º confere à ANPD competência para estabelecer prazos diferenciados por setor, reconhecendo que diferentes indústrias têm complexidades distintas. Até o momento, a ANPD não publicou regulamentação setorial específica sobre prazos, valendo o prazo geral de 15 dias.
Erros comuns no cumprimento do Art. 19
| Erro | Consequência | Correção |
|---|---|---|
| Não distinguir entre resposta simplificada e declaração completa | Atraso na resposta simplificada (que deveria ser imediata) | Criar dois fluxos distintos no canal de atendimento |
| Contar o prazo de 15 dias a partir do recebimento pelo DPO, não do requerimento | Extrapolação do prazo legal | Automatizar o registro da data do requerimento como marco inicial |
| Fornecer dados em formato que o titular não consegue ler (ex: planilha técnica codificada) | Descumprimento do §2º — formato não idôneo | Oferecer relatório legível em PDF ou formato equivalente |
| Negar acesso alegando "segredo comercial" sem justificativa | Exercício abusivo da exceção | Segredo comercial protege critérios e algoritmos, não os dados pessoais em si |
Art. 20 — Direito à revisão de decisões automatizadas
Se o Art. 19 é operacional, o Art. 20 é o dispositivo mais carregado de implicações para o futuro da relação entre pessoas e algoritmos. Ele estabelece o direito do titular de questionar decisões que foram tomadas exclusivamente com base em tratamento automatizado de dados.
O texto legal
"Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade."
"§1º O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial."
"§2º Em caso de não oferecimento de informações de que trata o §1º deste artigo baseado na observância de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais."
A polêmica da revisão "humana"
O Art. 20, em sua redação original no texto aprovado pelo Congresso Nacional, previa expressamente o direito à revisão por pessoa natural — ou seja, exigia que um ser humano analisasse a decisão algorítmica. Essa expressão foi removida pela Medida Provisória nº 869, de dezembro de 2018, posteriormente convertida na Lei 13.853, de 8 de julho de 2019.
A remoção da palavra "humana" (ou "por pessoa natural") foi uma das alterações mais debatidas da LGPD. Na prática, o texto vigente permite que a revisão seja feita por outro sistema automatizado — o que levanta a questão: faz sentido revisar uma decisão de algoritmo com outro algoritmo?
A doutrina se divide. Uma corrente argumenta que a remoção esvazia o direito de revisão, pois sem intervenção humana o titular fica à mercê da lógica do sistema. Outra corrente sustenta que a lei não proíbe a revisão humana — apenas deixou de exigi-la como obrigatória, cabendo à ANPD regulamentar os critérios. A ANPD, entre novembro de 2024 e janeiro de 2025, coletou 124 contribuições em tomada de subsídios sobre inteligência artificial e revisão de decisões automatizadas, sinalizando que a regulamentação está em curso.
O que são "decisões automatizadas" para a LGPD
O Art. 20 não define o conceito de decisão automatizada, mas o caput deixa claro o escopo: decisões que afetem os interesses do titular, incluindo aquelas que definem perfis pessoais, profissionais, de consumo, de crédito ou aspectos da personalidade. Na prática, isso abrange:
- Score de crédito — algoritmos que calculam a probabilidade de inadimplência e determinam aprovação ou rejeição de crédito
- Perfilamento para publicidade — segmentação automatizada que define quais ofertas o consumidor recebe
- Decisões de plataformas digitais — descredenciamento de motoristas de aplicativo, remoção de conteúdo, suspensão de contas
- Triagem automatizada de currículos — seleção ou exclusão de candidatos por IA em processos seletivos
- Precificação dinâmica — algoritmos que ajustam preços com base no perfil do consumidor
- Decisões administrativas automatizadas — concessão ou negativa de benefícios sociais por sistemas do governo
Jurisprudência: o caso dos motoristas de aplicativo
O STJ consolidou um precedente relevante sobre o Art. 20 no julgamento do REsp 2.135.783/DF (Terceira Turma, relatora Ministra Nancy Andrighi, julgado em 18 de junho de 2024). O caso envolvia um motorista de aplicativo que teve seu perfil desativado unilateralmente pela plataforma, sem notificação prévia e sem oportunidade de defesa.
A Ministra Nancy Andrighi reconheceu que as análises de perfil realizadas por plataformas digitais "decorrem de decisões automatizadas, uma vez que a inteligência artificial vem ganhando espaço no processamento de dados em geral, inclusive os pessoais". O tribunal entendeu que o conjunto de informações analisado no processo de descredenciamento constitui dados pessoais — atraindo, portanto, a aplicação da LGPD e do Art. 20.
A decisão estabeleceu que o motorista tem direito a ser notificado dos motivos da remoção e a exercer defesa, solicitando revisão da decisão automatizada. A plataforma pode suspender imediatamente o perfil em caso de ato grave, mas deve garantir o exercício posterior do direito de defesa visando a reativação.
Score de crédito e o Art. 20
O score de crédito é talvez a aplicação mais disseminada de decisões automatizadas no Brasil. Bureaus como Serasa e Boa Vista calculam pontuações que determinam se milhões de brasileiros obtêm ou não acesso a crédito, financiamentos e até contratos de aluguel.
O STJ tem jurisprudência consolidada sobre a legalidade do credit scoring — já em 2014, o tribunal reconheceu a legitimidade do sistema, mas impôs limites com base no Código de Defesa do Consumidor: dever de informação, transparência sobre os critérios utilizados e vedação ao uso de dados discriminatórios.
Com a LGPD, o Art. 20 adicionou uma camada normativa importante: o titular pode solicitar revisão da decisão, e o controlador deve fornecer informações claras sobre os critérios e procedimentos utilizados (§1º). Se o controlador alegar segredo comercial para não revelar os critérios, a ANPD pode realizar auditoria para verificar aspectos discriminatórios (§2º).
A relação com a regulamentação de IA no Brasil
O Art. 20 da LGPD foi concebido antes da explosão da IA generativa, mas sua redação abrange qualquer decisão baseada em tratamento automatizado — o que inclui modelos de linguagem, sistemas de recomendação e agentes autônomos.
O PL 2.338/2023 (Marco Legal da IA), já aprovado pelo Senado Federal, tramita na Câmara dos Deputados, com expectativa de votação em 2026. O projeto propõe um sistema de governança para inteligência artificial que complementará o Art. 20 da LGPD com regras específicas sobre transparência algorítmica, classificação de risco e direitos dos afetados por sistemas de IA.
A convergência entre LGPD e Marco Legal da IA é inevitável: o Art. 20 já oferece o direito de revisão, mas a regulamentação de IA poderá definir com mais precisão quando a revisão humana é obrigatória, quais sistemas são considerados de alto risco e quais padrões de explicabilidade devem ser observados.
O papel da ANPD na fiscalização algorítmica
O §2º do Art. 20 confere à ANPD um poder relevante: quando o controlador se recusa a fornecer informações sobre os critérios da decisão automatizada sob alegação de segredo comercial, a autoridade pode realizar auditoria para verificação de aspectos discriminatórios.
Esse dispositivo é especialmente importante diante do viés algorítmico — sistemas de IA treinados com dados históricos podem reproduzir e amplificar discriminações por raça, gênero, idade ou condição socioeconômica. A ANPD publicou em novembro de 2024 o "Radar Tecnológico" sobre IA generativa, sinalizando atenção ao tema. Em novembro de 2024, a autoridade também abriu tomada de subsídios sobre tratamento automatizado de dados pessoais e IA, que recebeu 124 contribuições — a regulamentação específica sobre transparência algorítmica e viés está em desenvolvimento na agenda regulatória 2025-2026.
Decisões automatizadas na prática: como se preparar
Inventário de decisões automatizadas
O primeiro passo é identificar quais processos da organização envolvem decisões tomadas exclusivamente com base em tratamento automatizado. Muitas organizações utilizam sistemas automatizados sem perceber que estão sujeitas ao Art. 20 — desde filtros de e-mail que rejeitam candidaturas até modelos de risco que bloqueiam transações financeiras.
Transparência algorítmica
O §1º do Art. 20 exige que o controlador forneça "informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados". Isso não significa revelar o código-fonte do algoritmo, mas explicar em linguagem acessível:
- Quais dados alimentam a decisão
- Qual lógica geral o sistema utiliza
- Quais fatores mais influenciam o resultado
- Quais são os possíveis outcomes da decisão
Canal de revisão
A organização deve estabelecer um procedimento claro para receber e processar pedidos de revisão de decisões automatizadas. O canal pode ser o mesmo utilizado para os demais direitos do titular (Art. 18), mas o fluxo interno deve envolver profissionais capacitados para avaliar se a decisão algorítmica foi adequada.
Documentação e RIPD
Tratamentos de dados que envolvem decisões automatizadas com impacto significativo sobre titulares devem ser documentados em detalhe e, idealmente, acompanhados de Relatório de Impacto à Proteção de Dados (RIPD). O RIPD deve contemplar: os dados utilizados, a lógica do tratamento automatizado, os riscos de discriminação e as medidas de mitigação adotadas.
Erros comuns e controvérsias
| Erro | Risco | Correção |
|---|---|---|
| Não identificar quais processos envolvem decisões automatizadas | Descumprimento do Art. 20 sem saber | Mapear todos os processos que usam algoritmos para tomar decisões sobre pessoas |
| Alegar segredo comercial como pretexto para não fornecer nenhuma informação | A ANPD pode determinar auditoria (§2º) | Fornecer explicação geral dos critérios, preservando apenas detalhes técnicos proprietários |
| Tratar decisões "parcialmente automatizadas" como fora do escopo do Art. 20 | Risco interpretativo — tribunais podem ampliar | Aplicar transparência mesmo a decisões com componente automatizado relevante |
| Não oferecer canal efetivo para pedidos de revisão | Violação do direito do titular | Criar processo documentado com prazos e responsáveis |
Conclusão
Os Arts. 19 e 20 representam a ponte entre direitos abstratos e exercício concreto. O Art. 19 garante que os direitos do titular não fiquem no papel — estabelecendo prazos, formatos e a obrigação de manter dados acessíveis. O Art. 20 vai além: cria um mecanismo de controle sobre decisões algorítmicas que, em muitos casos, determinam se uma pessoa recebe crédito, mantém seu emprego ou consegue alugar um imóvel.
Com a expansão da inteligência artificial em todos os setores, o Art. 20 se torna cada vez mais relevante. A questão não é mais se algoritmos tomarão decisões sobre pessoas — é se as pessoas terão como questionar, compreender e revisar essas decisões. A LGPD garante que sim, ao menos no plano normativo. A regulamentação da ANPD e a aprovação do Marco Legal da IA determinarão como esse direito funcionará na prática.
A Confidata automatiza o mapeamento de decisões automatizadas no inventário de atividades de tratamento, com alertas para processos que exigem documentação de critérios algorítmicos e canal de revisão. Conheça nossa plataforma.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.