Inteligência Artificial13 min de leitura

Regulamentação de IA no Brasil: impactos na proteção de dados pessoais

Equipe Confidata·
Compartilhar

A inteligência artificial está transformando setores inteiros da economia brasileira — de sistemas bancários a plataformas de saúde, de processos seletivos a ferramentas jurídicas. Com essa transformação, cresce a pressão por regras claras que equilibrem inovação e proteção dos direitos dos cidadãos.

No Brasil, a regulamentação da IA ainda está se consolidando. Mas isso não significa vazio jurídico: a LGPD já se aplica a qualquer sistema de IA que trate dados pessoais, e a ANPD tem exercido seu papel regulatório crescente. Para além da LGPD, o PL 2338/2023 — o chamado Marco Legal da IA — tramita no Congresso e pode transformar obrigações para empresas de todos os setores.

Este artigo oferece um panorama atualizado do cenário regulatório de IA no Brasil e o que as organizações precisam fazer para se preparar.

Por que a LGPD já é o marco regulatório da IA com dados pessoais

A primeira afirmação que precisa ser feita é clara: não existe lacuna regulatória para IA que trata dados pessoais no Brasil. A LGPD se aplica sempre que um sistema de IA coleta, utiliza, armazena, compartilha ou produz decisões com base em dados pessoais — o que engloba a grande maioria dos sistemas de IA em uso comercial.

Os princípios da LGPD (Art. 6°) se traduzem diretamente em requisitos para IA:

  • Finalidade: O sistema de IA deve ser treinado e operado para finalidades específicas e legítimas, informadas ao titular
  • Adequação: Os dados utilizados devem ser compatíveis com as finalidades declaradas
  • Necessidade: O modelo deve usar apenas os dados necessários para sua função
  • Transparência: O titular tem direito a saber que seus dados são usados em sistemas automatizados
  • Não discriminação: Sistemas de IA não podem produzir resultados discriminatórios ilícitos (Art. 6°, IX)
  • Prevenção: Controladores devem adotar medidas para prevenir danos decorrentes do tratamento

O Art. 20 é a peça mais específica: garante ao titular o direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado, além de obrigar o controlador a explicar os critérios utilizados.

Em resumo: toda empresa que usa IA com dados pessoais já está sujeita à LGPD. Cumprir a LGPD é o passo mínimo obrigatório — independentemente de qualquer legislação específica de IA.

PL 2338/2023: o Marco Legal da IA

O Projeto de Lei 2338/2023 é a principal proposta legislativa de regulamentação da inteligência artificial no Brasil. Apresentado pelo Senado Federal, o PL foi aprovado pelo Senado em 10 de dezembro de 2024 e encaminhado à Câmara dos Deputados, onde ainda aguarda análise e votação.

Status atual (março de 2026): O PL 2338/2023 ainda não é lei. Está em análise na Câmara dos Deputados. As informações abaixo descrevem o texto aprovado pelo Senado, que pode ser modificado pela Câmara antes da sanção presidencial.

Abordagem baseada em risco

O PL 2338 adota uma abordagem baseada em risco, similar ao modelo europeu do EU AI Act. Sistemas de IA são classificados em categorias conforme o risco que representam para direitos e segurança:

Práticas proibidas (risco inaceitável):

  • Sistemas que manipulam comportamento humano de forma subliminar ou enganosa
  • Sistemas de pontuação social (social scoring) pelo poder público
  • Uso de reconhecimento biométrico em espaços públicos de forma indiscriminada para fins de vigilância em massa (com exceções)
  • Sistemas que exploram vulnerabilidades de grupos específicos

Alto risco:

  • Infraestrutura crítica (energia, água, transportes)
  • Processos educacionais e de acesso ao mercado de trabalho
  • Concessão de crédito e serviços financeiros
  • Sistemas de saúde e segurança
  • Administração de justiça
  • Serviços públicos essenciais

Sistemas de alto risco têm obrigações adicionais: avaliação de conformidade, documentação técnica, supervisão humana, robustez e acurácia, e transparência para usuários e autoridades.

Risco limitado: Sistemas com obrigações de transparência (ex: chatbots devem informar que o usuário está interagindo com IA).

Risco mínimo: A maioria dos sistemas de IA (filtros de spam, recomendação de conteúdo, etc.) — sem obrigações específicas adicionais.

Direitos garantidos

O PL assegura aos cidadãos:

  • Explicabilidade: Direito a receber explicação sobre decisões automatizadas que afetem seus interesses
  • Contestação: Direito de contestar decisões de IA e ter revisão por pessoa humana
  • Não discriminação: Proteção contra uso de IA para fins discriminatórios
  • Transparência: Direito de saber quando está interagindo com sistema de IA

Princípios orientadores

O texto do PL estabelece princípios que devem orientar o desenvolvimento e o uso de IA no Brasil:

  • Desenvolvimento humano e centrado na pessoa
  • Transparência
  • Explicabilidade
  • Robustez, segurança e precisão
  • Privacidade e proteção de dados
  • Não discriminação, equidade e justiça
  • Responsabilização e prestação de contas
  • Participação e supervisão humana

Governança

O PL prevê um sistema de governança com múltiplos atores: um Conselho Nacional de IA como órgão consultivo, e um sistema regulatório setorial onde cada autoridade competente — ANPD, BACEN, ANS, ANVISA, etc. — regulamenta a IA em seu setor, respeitando as diretrizes gerais da lei.

EU AI Act: a referência internacional

Para entender para onde a regulamentação brasileira tende a ir, é fundamental conhecer o EU AI Act — o Regulamento (UE) 2024/1689 da União Europeia sobre IA.

Publicado no Diário Oficial da UE em 12 de julho de 2024 e vigente desde 1° de agosto de 2024, o EU AI Act é o primeiro marco regulatório abrangente de IA do mundo. Suas características principais:

  • Abordagem de risco (proibido → alto risco → risco limitado → risco mínimo)
  • Proibições absolutas para sistemas de risco inaceitável (scoring social, manipulação subliminar, exploração de vulnerabilidades)
  • Obrigações para sistemas de alto risco: avaliação de conformidade, registros, transparência, supervisão humana, gestão de risco
  • Modelos de uso geral (como GPT-4, Gemini): obrigações de transparência e, para modelos com risco sistêmico, avaliações adicionais
  • Sanções: até €35 milhões ou 7% do faturamento global para violações mais graves

Por que importa para o Brasil?

  1. Influência direta no PL 2338: O texto aprovado pelo Senado brasileiro foi explicitamente inspirado no modelo europeu
  2. Alcance extraterritorial: O EU AI Act se aplica a sistemas de IA colocados no mercado europeu ou cujos efeitos se produzem na UE — empresas brasileiras que exportam serviços digitais ou têm usuários na Europa podem estar sujeitas ao regulamento
  3. Parcerias internacionais: Empresas que participam de cadeias globais precisam compreender o framework europeu para contratos e due diligence

ISO/IEC 42001:2023: o padrão de gestão de IA

Publicada em dezembro de 2023, a ISO/IEC 42001 é a norma internacional para Sistemas de Gestão de Inteligência Artificial (SGAI). Ela fornece requisitos e diretrizes para que organizações demonstrem que desenvolvem, fornecem e usam IA de forma responsável.

A norma cobre:

  • Estabelecimento de políticas de IA
  • Gestão de riscos e impactos de IA
  • Ciclo de vida do sistema de IA (da concepção ao descarte)
  • Monitoramento e melhoria contínua
  • Transparência e prestação de contas

A ISO 42001 não substitui obrigações legais — é uma ferramenta de gestão. Mas para empresas que querem demonstrar governança de IA de forma estruturada e verificável (para clientes, parceiros ou reguladores), a certificação pode ser um diferencial significativo.

O papel da ANPD na regulação de IA

A ANPD, como autoridade responsável pela implementação da LGPD, tem atuado cada vez mais na fronteira entre proteção de dados e IA.

Tomada de Subsídios sobre IA (2023-2024): A ANPD abriu consulta pública sobre IA em novembro de 2023, encerrada em janeiro de 2024. O processo coletou subsídios da sociedade civil, setor privado e academia para orientar posicionamentos regulatórios.

Nota Técnica n° 12/2025: Publicada em maio de 2025, a nota aborda especificamente o Art. 20 da LGPD e decisões automatizadas. Estabelece orientações sobre o escopo do direito de revisão, as obrigações de transparência e como o regulador interpreta o dispositivo.

A tendência é de crescente atuação da ANPD no tema, com possibilidade de regulamentações específicas complementares ao PL 2338 — especialmente sobre decisões automatizadas, uso de dados pessoais em treinamento de modelos e transferências internacionais de dados para sistemas de IA.

Direitos dos titulares no contexto de IA

Independentemente do Marco Legal da IA, os titulares já possuem direitos relevantes que se aplicam a sistemas de IA:

Direito à informação (Art. 9°): Saber que seus dados são utilizados, para qual finalidade, e os critérios usados em decisões automatizadas.

Direito de acesso (Art. 18, I e II): Confirmar a existência do tratamento e acessar os dados utilizados.

Direito à revisão (Art. 20): Solicitar revisão humana de decisões automatizadas que afetem seus interesses. O controlador deve responder ao pedido e informar os critérios da decisão.

Direito de oposição (Art. 18, VII): Opor-se a tratamentos realizados com fundamento em legítimo interesse, quando houver violação à LGPD.

Direito à eliminação (Art. 18, VI): Solicitar eliminação dos dados pessoais utilizados no treinamento ou operação de modelos, quando o tratamento for baseado em consentimento.

O que as empresas precisam fazer agora

Não é necessário esperar o Marco Legal da IA para agir. As obrigações já existentes e a trajetória regulatória clara indicam um conjunto de medidas que toda organização deve iniciar:

1. Inventariar sistemas de IA com dados pessoais

Identificar todos os sistemas, modelos e ferramentas de IA que processam dados pessoais — incluindo soluções de terceiros (SaaS, APIs, plataformas de nuvem). Para cada sistema, mapear:

  • Que dados são usados
  • Que decisões o sistema toma
  • Quais grupos populacionais são afetados
  • Qual é a base legal para o tratamento

2. Implementar Art. 20 da LGPD

Garantir que sistemas de decisão automatizada:

  • Sejam documentados com os critérios utilizados
  • Tenham processo definido para responder a pedidos de revisão humana
  • Informem o titular quando uma decisão automatizada é tomada (quando aplicável)

3. Avaliar quais sistemas serão "alto risco" sob o PL 2338

Com base no texto aprovado pelo Senado, identificar antecipadamente quais sistemas da organização podem se enquadrar na categoria de alto risco. Isso permite iniciar a preparação com antecedência, incluindo documentação técnica, avaliações de conformidade e processos de supervisão humana.

4. Implementar privacy by design nos projetos de IA

Novos projetos de IA devem, desde a concepção, incluir:

  • Análise de impacto (RIPD) quando há alto risco
  • Avaliação de viés e fairness
  • Minimização dos dados utilizados
  • Mecanismos de explicabilidade

5. Revisar contratos com fornecedores de IA

Se a organização usa plataformas de IA de terceiros que tratam dados pessoais, os contratos devem incluir:

  • Cláusulas de proteção de dados (DPA — Data Processing Agreement)
  • Responsabilidades sobre conformidade com LGPD e regulamentações aplicáveis
  • Mecanismos para atender pedidos de revisão e portabilidade

6. Monitorar o PL 2338 na Câmara

A Câmara pode modificar o texto aprovado pelo Senado. Acompanhar as alterações propostas e adaptar o planejamento de conformidade conforme o texto avança.

Tendências regulatórias para os próximos anos

O cenário regulatório de IA continuará evoluindo rapidamente. Algumas tendências a observar:

Regulamentação setorial: BACEN, ANS, ANATEL e outros reguladores setoriais devem publicar diretrizes específicas sobre IA em seus setores, especialmente após a aprovação do Marco Legal.

Maior fiscalização da ANPD sobre IA: A ANPD tem indicado que decisões automatizadas e sistemas de IA são áreas prioritárias de fiscalização nos próximos ciclos.

Convergência internacional: O EU AI Act está influenciando outros países além do Brasil — China, Reino Unido, Canadá e EUA também têm propostas em andamento. Empresas com operações globais precisarão navegar múltiplos frameworks.

Accountability e explicabilidade como padrão: A expectativa do mercado e dos reguladores é que sistemas de IA sejam cada vez mais auditáveis e explicáveis. Soluções de "caixa preta" enfrentarão crescente pressão regulatória e reputacional.

Conclusão: antecipação é vantagem competitiva

A regulamentação de IA no Brasil está chegando — seja pela LGPD, que já se aplica, seja pelo Marco Legal que tramita no Congresso. Empresas que aguardam a publicação da lei para iniciar a adequação terão uma desvantagem significativa em relação àquelas que já estruturaram sua governança de IA hoje.

O caminho mais seguro é combinar o cumprimento rigoroso da LGPD (especialmente o Art. 20) com a adoção de boas práticas internacionais (ISO 42001, referências do EU AI Act) e o acompanhamento ativo do avanço do PL 2338 na Câmara.

Para entender o que a ANPD espera das organizações na fiscalização de IA e proteção de dados nos próximos anos, acesse nosso material especial.

Baixe o eBook "ANPD: O que esperar da fiscalização em 2026" e prepare-se para o novo cenário regulatório de IA.

Compartilhar
#regulamentação IA#Marco Legal da IA#PL 2338/2023#LGPD inteligência artificial#EU AI Act Brasil#proteção de dados IA

Artigos relacionados

LGPD e ChatGPT nas Empresas — Riscos, Controles e Política de UsoInteligência Artificial · 15 minIA na Educação: Como Escolas Podem Usar ChatGPT Sem Violar a LGPDInteligência Artificial · 14 minIA generativa no ambiente corporativo: riscos de privacidade e complianceInteligência Artificial · 13 minIA e LGPD: como usar inteligência artificial sem violar a privacidadeInteligência Artificial · 13 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista