Inteligência Artificial15 min de leitura

Viés algorítmico e discriminação: implicações da LGPD e como mitigar

Equipe Confidata·
Compartilhar

Algoritmos tomam decisões que afetam vidas: aprovam ou reprovam crédito, selecionam candidatos, definem preços de seguro, recomendam tratamentos médicos e determinam quem recebe benefícios sociais. Quando esses algoritmos operam com viés, eles podem reproduzir e amplificar discriminações históricas em escala industrial — e de forma invisível.

Para DPOs e times de TI, o tema não é apenas ético: é jurídico. A LGPD proíbe o uso discriminatório de dados, garante ao titular o direito de questionar decisões automatizadas e impõe ao controlador a obrigação de transparência sobre os critérios utilizados. Este artigo explica o que é viés algorítmico, quais são as implicações legais no Brasil e como as organizações podem agir para mitigar o problema.

O que é viés algorítmico

Viés algorítmico é um erro sistemático introduzido em um algoritmo ou modelo de aprendizado de máquina que produz resultados injustos, imprecisos ou discriminatórios para determinados grupos populacionais — geralmente grupos já vulneráveis ou historicamente marginalizados.

O viés raramente é intencional. Na maioria dos casos, ele surge como subproduto de escolhas técnicas aparentemente neutras: a seleção dos dados de treinamento, as variáveis incluídas no modelo, a métrica de otimização escolhida ou a forma como o sucesso do modelo é avaliado.

Principais tipos de viés

Viés histórico: Os dados de treinamento refletem discriminações do passado. Se uma empresa sempre contratou homens para cargos de liderança, um algoritmo treinado com esses dados tenderá a privilegiar candidatos homens. O modelo "aprende" a discriminação histórica como se fosse uma característica relevante.

Viés de representação: Alguns grupos populacionais estão sub-representados nos dados de treinamento. Sistemas de reconhecimento facial treinados predominantemente com imagens de pessoas brancas apresentam taxas de erro significativamente maiores para pessoas negras — especialmente mulheres negras. Pesquisas do MIT Media Lab documentaram essa disparidade em sistemas comerciais amplamente utilizados.

Viés de medição: As mesmas variáveis medem coisas diferentes para grupos distintos. O CEP, por exemplo, é uma variável aparentemente neutra, mas correlaciona-se fortemente com raça e condição socioeconômica em muitas cidades brasileiras. Incluí-lo em um modelo de crédito pode introduzir discriminação racial indireta.

Viés de agregação: Usar um único modelo para populações heterogêneas ignora diferenças importantes. Um modelo de diagnóstico treinado majoritariamente com dados de homens pode ter desempenho inferior para mulheres.

Viés de implantação: O ambiente onde o modelo é usado difere daquele em que foi treinado. Um modelo de análise de risco treinado com dados de grandes centros pode não funcionar adequadamente em regiões com perfis socioeconômicos distintos.

Como o viés se manifesta na prática

Os impactos concretos do viés algorítmico são documentados em diversas áreas:

Crédito e financiamento: Algoritmos de scoring de crédito que usam variáveis proxy (como profissão, endereço ou padrão de consumo) podem reprovar sistematicamente grupos vulneráveis, mesmo quando eles apresentam capacidade de pagamento equivalente a grupos aprovados.

Recrutamento e seleção: Ferramentas automatizadas de triagem de currículos podem penalizar candidatos cujo histórico inclui lacunas profissionais (mais comuns em mulheres que interromperam a carreira para cuidar de filhos) ou que cursaram universidades menos tradicionais.

Planos de saúde e seguros: Modelos de precificação que correlacionam saúde com variáveis socioeconômicas podem resultar em preços mais elevados para populações já em desvantagem.

Reconhecimento facial: Sistemas usados por segurança pública ou controle de acesso com maior taxa de erro para grupos específicos geram erros com consequências graves — desde recusa de acesso até identificações incorretas em investigações criminais.

Concessão de benefícios: Algoritmos de seleção para programas sociais podem excluir justamente os mais necessitados se os critérios de elegibilidade não forem calibrados adequadamente.

LGPD e decisões automatizadas: o Art. 20

O artigo central da LGPD para o tema é o Art. 20, que estabelece direitos específicos em relação a decisões automatizadas:

"Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade."

O direito abrange qualquer decisão tomada unicamente com base em tratamento automatizado — sem intervenção humana relevante. Inclui:

  • Aprovação ou reprovação de crédito
  • Seleção automatizada de candidatos
  • Definição de preços personalizados
  • Avaliação de risco de seguros
  • Triagem de elegibilidade para benefícios

§1° — Transparência obrigatória: O controlador deve fornecer ao titular, quando solicitado, informações claras e adequadas sobre os critérios e procedimentos utilizados na decisão automatizada, observados os segredos comercial e industrial.

§2° — Direito de revisão: O controlador deve fornecer, quando solicitado, revisão da decisão por pessoa natural.

O veto ao §3° e suas implicações

O texto original do PL 53/2018 continha um §3° que tornaria obrigatória a revisão humana para certas categorias de decisões automatizadas (especialmente aquelas que afetassem dados sensíveis). Esse dispositivo foi vetado pelo Presidente da República antes da promulgação da lei.

Na prática, o veto significa que:

  • Revisão humana não é obrigatória por padrão — apenas quando o titular solicita
  • O controlador precisa ter capacidade técnica e humana para processar pedidos de revisão, mas não precisa implementar revisão automática em toda decisão
  • O ônus de provocar a revisão recai sobre o titular

Isso não significa que o veto eliminou as obrigações. O controlador ainda deve:

  1. Informar ao titular que uma decisão automatizada foi tomada
  2. Descrever os critérios utilizados quando solicitado
  3. Processar o pedido de revisão humana quando o titular o solicitar
  4. Garantir que a decisão não seja discriminatória

O princípio da não discriminação: Art. 6°, IX

Além do Art. 20, o princípio da não discriminação estabelecido no Art. 6°, IX da LGPD é fundamental:

"não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos."

O princípio não proíbe toda diferenciação — diferenciações legítimas baseadas em critérios objetivos e legais são permitidas. O que é vedado é a discriminação ilícita (baseada em categorias proibidas como raça, gênero, religião) ou abusiva (desproporcional, sem justificativa razoável ou que viola a dignidade do titular).

Discriminação proxy: Um dos desafios mais complexos é a chamada discriminação indireta ou por proxy — quando o algoritmo não usa diretamente variáveis sensíveis, mas utiliza variáveis que funcionam como proxies para elas. O uso de CEP como variável em modelos de crédito, por exemplo, pode resultar em discriminação racial indireta mesmo sem nenhuma menção explícita à raça nos dados.

Sob a LGPD, o resultado discriminatório importa tanto quanto a intenção. Se o tratamento produz efeitos discriminatórios ilícitos, viola o Art. 6°, IX — independentemente de os dados sensíveis terem sido utilizados diretamente.

Dados sensíveis e algoritmos: proteção reforçada

O Art. 11 da LGPD estabelece proteção reforçada para dados sensíveis, incluindo dados sobre origem racial ou étnica, opinião política, saúde, orientação sexual e outros.

O Art. 11, §1° é especialmente relevante: proíbe o uso de dados sensíveis para fins discriminatórios ilícitos ou abusivos. Isso significa que, além das restrições já existentes para tratamento de dados sensíveis, há uma vedação adicional ao seu uso discriminatório.

Atenção especial: Um algoritmo que processa dados sensíveis e gera resultados discriminatórios viola simultaneamente o Art. 6°, IX e o Art. 11, §1°. Essa dupla violação pode resultar em sanções mais severas e em maior dificuldade para demonstrar conformidade.

Responsabilidades do controlador

O controlador é o principal responsável pela conformidade de seus sistemas de decisão automatizada. Suas obrigações incluem:

Transparência proativa: Informar na política de privacidade e nos canais de atendimento que decisões automatizadas são tomadas, as categorias de dados utilizadas e como o titular pode solicitar revisão.

Capacidade de resposta: Estruturar processos humanos para revisar decisões quando solicitado. Isso requer que o código e os modelos sejam documentados o suficiente para que revisores humanos possam compreender e questionar a lógica.

Due diligence em terceiros: Quando o sistema de decisão automatizada é fornecido por terceiro (banco de scoring, plataforma de recrutamento, sistema de reconhecimento), o controlador ainda é responsável pelo tratamento. O contrato com o operador (Art. 39) deve incluir garantias de não-discriminação e suporte para cumprimento do Art. 20.

Relatório de Impacto à Proteção de Dados (RIPD): Para tratamentos com alto risco de discriminação, o RIPD deve incluir avaliação específica de viés e medidas de mitigação. A ANPD pode solicitar o RIPD a qualquer momento.

Como mitigar o viés algorítmico: boas práticas

Antes do desenvolvimento

  • Definir claramente a finalidade: Qual é o objetivo do modelo? Quais grupos populacionais ele afeta? Há risco de impacto desproporcional em grupos protegidos?
  • Auditar os dados de treinamento: Os dados são representativos da população que o modelo vai atender? Há sub-representação de grupos? Os dados históricos refletem discriminações passadas?
  • Selecionar variáveis com critério: Eliminar ou controlar variáveis que funcionam como proxies para características protegidas (raça, gênero, origem étnica, etc.)

Durante o desenvolvimento

  • Métricas de fairness: Além da acurácia geral, medir o desempenho separadamente para grupos protegidos. Métricas como equalized odds, demographic parity e calibration ajudam a identificar disparidades antes do lançamento.
  • Documentação do modelo (Model Cards): Documentar hipóteses, limitações conhecidas, dados de treinamento, desempenho por grupo e casos de uso pretendidos.
  • Diversidade nas equipes: Times homogêneos tendem a ter pontos cegos sobre impactos em grupos que não conhecem. Diversidade de perspectivas no desenvolvimento é um controle de qualidade.

Após o lançamento

  • Monitoramento contínuo: Viés pode surgir ou se intensificar com o tempo, à medida que a distribuição dos dados muda. Implementar pipelines de monitoramento que acompanhem métricas de fairness em produção.
  • Canal de contestação: Criar processo claro e acessível para que titulares contestem decisões e solicitem revisão humana.
  • Auditoria periódica: Revisões regulares do modelo, incluindo auditoria externa quando o sistema tem alto impacto.

ISO/IEC 42001:2023 e governança de IA

Publicada em dezembro de 2023, a ISO/IEC 42001 é o primeiro padrão internacional para Sistemas de Gestão de Inteligência Artificial (SGAI). Ela fornece uma estrutura para que organizações demonstrem que desenvolvem e operam IA de forma responsável, incluindo:

  • Políticas de IA alinhadas à missão organizacional
  • Avaliação e gestão de riscos de IA (incluindo viés e discriminação)
  • Ciclo de vida do sistema de IA com controles em cada etapa
  • Monitoramento pós-lançamento
  • Melhoria contínua

A ISO 42001 não substitui as obrigações da LGPD, mas fornece uma estrutura gerencial que facilita a demonstração de conformidade — especialmente para empresas que precisam comprovar governança de IA para clientes corporativos, reguladores ou parceiros internacionais.

O papel da ANPD na regulação de IA

A Autoridade Nacional de Proteção de Dados (ANPD) tem se posicionado como reguladora relevante no tema de IA e decisões automatizadas.

A Nota Técnica n° 12/2025, publicada em maio de 2025, aborda especificamente o Art. 20 da LGPD e questões relacionadas às decisões automatizadas. O documento orienta sobre o escopo do direito de revisão, as obrigações de transparência do controlador e a interpretação do dispositivo diante da evolução tecnológica.

A ANPD também conduziu uma Tomada de Subsídios sobre IA, encerrada em janeiro de 2024, para subsidiar a elaboração de diretrizes setoriais. A expectativa é que regulamentações mais específicas sobre IA e proteção de dados sejam publicadas nos próximos anos.

As organizações que operam sistemas de decisão automatizada devem acompanhar de perto as publicações da ANPD e estar preparadas para demonstrar conformidade quando fiscalizadas.

Conclusão: conformidade e responsabilidade andam juntas

O viés algorítmico não é apenas uma questão técnica — é uma questão de direitos fundamentais. Na medida em que algoritmos tomam decisões que afetam acesso a crédito, emprego, saúde e serviços essenciais, as organizações que os desenvolvem e operam assumem responsabilidade pelos seus efeitos.

A LGPD fornece o arcabouço legal: direito de revisão (Art. 20), princípio de não discriminação (Art. 6°, IX) e proteção reforçada de dados sensíveis (Art. 11). Cumprir essas obrigações não é apenas evitar sanções — é construir sistemas que tratam todos os titulares com igual respeito e dignidade.

Para organizações que querem estar preparadas para a fiscalização crescente da ANPD sobre IA e decisões automatizadas, o próximo passo é entender o que o regulador brasileiro espera nesse cenário.

Baixe o eBook "ANPD: O que esperar da fiscalização em 2026" e antecipe-se às exigências do regulador.

Compartilhar
#viés algorítmico#discriminação#LGPD#decisões automatizadas#inteligência artificial#Art. 20#proteção de dados

Artigos relacionados

IA e LGPD: como usar inteligência artificial sem violar a privacidadeInteligência Artificial · 13 minDecisões automatizadas e LGPD: direitos do titular e obrigações da organizaçãoInteligência Artificial · 12 minComo a ANPD Vai Regular a IA no Brasil — O Que Esperar em 2026-2027Inteligência Artificial · 14 minComo fazer RIPD para sistemas de inteligência artificialInteligência Artificial · 14 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista