IBGIA - Instituto Brasileiro de Governança em Inteligência Artificial
Notas Técnicas

LGPD e Inteligência Artificial: os gaps regulatórios

A LGPD oferece uma base importante para a proteção de dados no contexto da IA, mas apresenta lacunas significativas. Analisamos os principais gaps regulatórios e as possibilidades de interpretação extensiva.

Por André Nakamura21 de fevereiro de 202611 min de leitura

LGPD e Inteligência Artificial: os gaps regulatórios

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD) é reconhecida como uma das legislações de proteção de dados mais completas do mundo. Inspirada no Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR), a LGPD estabeleceu um framework robusto para o tratamento de dados pessoais no Brasil, com princípios, direitos dos titulares, bases legais, obrigações dos agentes de tratamento e um órgão de fiscalização dedicado — a Autoridade Nacional de Proteção de Dados (ANPD).

Contudo, a LGPD foi concebida e aprovada antes da explosão da IA generativa e da adoção massiva de sistemas de Inteligência Artificial em processos decisórios automatizados. Embora contenha disposições relevantes para o contexto de IA, a lei apresenta lacunas significativas que demandam atenção legislativa, regulamentária e interpretativa.

Esta nota técnica analisa os principais gaps regulatórios na interseção entre a LGPD e a Inteligência Artificial, avalia as possibilidades de interpretação extensiva dentro do marco legal existente e identifica áreas que demandam ação complementar.

O que a LGPD já oferece

Antes de analisar as lacunas, é importante reconhecer as disposições da LGPD que são diretamente aplicáveis ao contexto de IA.

Princípios fundamentais (Art. 6º)

Os princípios elencados no Art. 6º da LGPD — finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização — constituem uma base axiológica sólida para a governança de IA. Em particular, os princípios de não discriminação e transparência são diretamente relevantes para a mitigação de vieses algorítmicos e para a explicabilidade de decisões automatizadas.

Direito à revisão de decisões automatizadas (Art. 20)

O Art. 20 da LGPD estabelece que o titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

Esse dispositivo é particularmente relevante para o contexto de IA, pois garante ao titular o direito de contestar decisões algorítmicas que o afetem diretamente.

Relatório de Impacto à Proteção de Dados Pessoais — RIPD (Art. 38)

O Art. 38 prevê que a ANPD poderá determinar ao controlador a elaboração de Relatório de Impacto à Proteção de Dados Pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados. Embora não seja específico para IA, o RIPD pode ser aplicado a sistemas de IA que processam dados pessoais, especialmente quando envolvem dados sensíveis ou decisões automatizadas.

Bases legais para tratamento de dados (Art. 7º e 11)

As bases legais da LGPD — consentimento, execução de contrato, legítimo interesse, entre outras — aplicam-se ao tratamento de dados por sistemas de IA. A base do legítimo interesse (Art. 10), em particular, exige uma ponderação entre os interesses do controlador e os direitos do titular, o que pode servir como mecanismo de avaliação proporcional do uso de IA.

Os gaps identificados

Gap 1: Ausência de obrigação proativa de avaliação de impacto algorítmico

A LGPD prevê o RIPD, mas não estabelece uma obrigação proativa de avaliação de impacto especificamente voltada para sistemas de IA. O RIPD é focado na proteção de dados pessoais e pode ser determinado pela ANPD, mas não cobre adequadamente dimensões como vieses algorítmicos, equidade, segurança do sistema e impactos sociais mais amplos.

Frameworks internacionais, como o EU AI Act, exigem avaliações de impacto que vão além da proteção de dados, abrangendo direitos fundamentais de forma mais ampla. A ausência de uma obrigação semelhante na legislação brasileira deixa uma lacuna significativa, especialmente para sistemas de IA classificados como de alto risco.

Recomendação: A regulamentação infralegal ou o futuro Marco Legal de IA deveria instituir uma Avaliação de Impacto de Inteligência Artificial (AIIA), complementar ao RIPD, que abranja dimensões técnicas, éticas, jurídicas e sociais do uso de sistemas de IA.

Gap 2: Limitações do direito à revisão de decisões automatizadas

O Art. 20 da LGPD, embora importante, apresenta limitações significativas no contexto de IA:

a) Restrição a decisões "unicamente" automatizadas. O dispositivo se aplica apenas a decisões tomadas "unicamente com base em tratamento automatizado". Na prática, muitos sistemas de IA operam em modo de assistência humana, onde o algoritmo gera uma recomendação e um ser humano toma a decisão final. Se a participação humana for meramente formal (rubber-stamping), o titular pode ficar desprotegido, pois tecnicamente a decisão não foi "unicamente" automatizada.

b) Ausência de direito à explicação. O Art. 20, §1º, prevê que o controlador deverá fornecer informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, "observados os segredos comercial e industrial". A ressalva dos segredos comercial e industrial pode ser utilizada para limitar substancialmente o acesso à informação sobre o funcionamento do sistema, esvaziando na prática o direito à explicação.

c) Revisão humana vs. revisão algorítmica. A redação original do Art. 20 previa explicitamente a revisão "por pessoa natural". Essa expressão foi vetada pelo Presidente da República na sanção da lei, deixando aberta a possibilidade de que a "revisão" seja realizada por outro sistema automatizado — o que, evidentemente, comprometeria a efetividade do direito.

Recomendação: A regulamentação do Art. 20 pela ANPD deveria estabelecer critérios objetivos para: (i) a caracterização de "decisão unicamente automatizada" em contextos de IA assistida; (ii) o nível de detalhamento exigido na explicação dos critérios e procedimentos; e (iii) a exigência de revisão humana efetiva, e não meramente formal.

Gap 3: Insuficiência no tratamento de dados de treinamento

A LGPD regula o "tratamento" de dados pessoais, conceito que abrange a coleta, uso, armazenamento, compartilhamento e eliminação de dados. No entanto, a lei não aborda de forma específica as complexidades do uso de dados pessoais para treinamento de modelos de IA, que levantam questões particulares.

a) Finalidade e adequação. Dados coletados para uma finalidade específica podem ser reutilizados para treinamento de modelos de IA? A resposta depende da interpretação dos princípios de finalidade e adequação, mas a lei não oferece orientação clara sobre esse ponto.

b) Consentimento e viabilidade. Em muitos casos, o treinamento de modelos de IA exige volumes massivos de dados, tornando impraticável a obtenção de consentimento individual de cada titular. As bases legais alternativas — como o legítimo interesse — podem ser aplicáveis, mas a ausência de orientação específica gera insegurança jurídica.

c) Anonimização e IA. A LGPD estabelece que dados anonimizados não são considerados dados pessoais. Contudo, a capacidade de reidentificação por sistemas de IA cada vez mais sofisticados coloca em xeque a efetividade das técnicas de anonimização existentes.

d) Dados sintéticos. O uso de dados sintéticos — gerados artificialmente a partir de padrões extraídos de dados reais — como alternativa ao uso de dados pessoais para treinamento de IA é uma prática emergente que a LGPD não aborda.

Recomendação: A ANPD deveria publicar guia orientativo sobre o tratamento de dados pessoais para treinamento de modelos de IA, abordando bases legais aplicáveis, medidas de mitigação e boas práticas.

Gap 4: Ausência de requisitos específicos de transparência algorítmica

A LGPD estabelece o princípio da transparência (Art. 6º, VI), mas não detalha obrigações específicas de transparência algorítmica para sistemas de IA. Questões como a publicação de documentação técnica sobre modelos, a divulgação de métricas de desempenho e equidade, a comunicação sobre limitações conhecidas e a notificação sobre o uso de IA em interações com o público não são adequadamente cobertas pela lei.

O EU AI Act, em contraste, estabelece obrigações detalhadas de transparência, incluindo a obrigação de informar o usuário quando ele interage com um sistema de IA e de rotular conteúdo gerado por IA (deepfakes e conteúdo sintético).

Recomendação: A legislação complementar ou a regulamentação infralegal deveria estabelecer obrigações mínimas de transparência algorítmica, proporcionais ao nível de risco do sistema de IA.

Gap 5: Lacunas na governança de IA por fornecedores e terceiros

A LGPD estabelece a distinção entre controlador e operador de dados, e prevê obrigações de ambos. Contudo, a cadeia de valor da IA é frequentemente mais complexa do que essa dicotomia sugere. Um modelo de IA pode ser desenvolvido por uma empresa (provedor do modelo), customizado por outra (integrador), implantado por uma terceira (implantador) e utilizado por uma quarta (usuário final). A atribuição de responsabilidades nessa cadeia não é clara sob a LGPD.

Recomendação: O futuro Marco Legal de IA deveria estabelecer uma cadeia clara de responsabilidades para cada ator na cadeia de valor da IA, com obrigações proporcionais ao grau de controle e influência de cada um sobre o comportamento do sistema.

Gap 6: Proteção insuficiente contra discriminação algorítmica

O princípio da não discriminação está presente na LGPD (Art. 6º, IX), mas a lei não estabelece mecanismos concretos para a verificação e a mitigação de vieses discriminatórios em sistemas de IA. Não há obrigação de testes de equidade, auditorias de viés ou monitoramento contínuo de métricas de fairness.

A vulnerabilidade de determinados grupos populacionais brasileiros — populações negras, indígenas, comunidades LGBTQIA+, pessoas com deficiência, populações de baixa renda — a vieses algorítmicos é particularmente aguda e demanda proteção regulatória específica.

Recomendação: A regulamentação deveria exigir, para sistemas de IA de alto risco, a realização de avaliações de viés e equidade, com métricas definidas e resultados documentados.

O papel da ANPD

A Autoridade Nacional de Proteção de Dados tem um papel crucial na mitigação dos gaps identificados, mesmo antes da aprovação do Marco Legal de IA. Suas competências regulamentárias e interpretativas permitem:

  • A publicação de guias orientativos sobre o tratamento de dados pessoais por sistemas de IA.
  • A regulamentação detalhada do Art. 20 (decisões automatizadas).
  • A definição de parâmetros para a elaboração de RIPDs envolvendo IA.
  • A atuação fiscalizatória em casos de uso abusivo de IA que envolvam dados pessoais.
  • A cooperação com outros órgãos reguladores (como o CADE, o SENACON e os órgãos de defesa do consumidor) em matérias interseccionais.

A ANPD já sinalizou interesse nessa agenda, tendo publicado em 2024 uma análise preliminar sobre regulação de IA e proteção de dados. A continuidade e o aprofundamento dessa linha de trabalho são essenciais.

Considerações finais

A LGPD não é — e não pretendia ser — uma lei de regulação de Inteligência Artificial. Ela é uma legislação de proteção de dados pessoais que, por sua abrangência e seus princípios, oferece uma base relevante para a governança de IA, mas não substitui a necessidade de regulação específica.

Os gaps identificados nesta nota técnica não são falhas da LGPD, mas reflexo da rápida evolução tecnológica e da necessidade de complementação legislativa e regulamentária. O PL 2338/2023, quando aprovado, deverá endereçar muitas dessas lacunas. Mas enquanto esse marco regulatório não se concretiza, é fundamental que a ANPD, as organizações e a sociedade civil atuem para maximizar as proteções já disponíveis e preparar o terreno para um ecossistema regulatório robusto e coerente.

A proteção de dados e a governança de IA são agendas complementares e interdependentes. O Brasil tem a oportunidade de construir um modelo integrado que aproveite a maturidade da LGPD como fundação para uma governança de IA efetiva e adaptada à realidade nacional.

Referências

  • BRASIL. Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD).
  • BRASIL. Projeto de Lei nº 2338/2023. Dispõe sobre o uso da Inteligência Artificial. Senado Federal, 2023.
  • ANPD. Análise Preliminar — Inteligência Artificial e Proteção de Dados Pessoais. Autoridade Nacional de Proteção de Dados, 2024.
  • EUROPEAN COMMISSION. Regulation (EU) 2024/1689 — AI Act. Official Journal of the European Union, 2024.
  • EUROPEAN COMMISSION. Regulation (EU) 2016/679 — General Data Protection Regulation (GDPR). Official Journal of the European Union, 2016.
  • WACHTER, S.; MITTELSTADT, B.; FLORIDI, L. Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation. International Data Privacy Law, v. 7, n. 2, p. 76-99, 2017.
  • VEALE, M.; BINNS, R.; EDWARDS, L. Algorithms that Remember: Model Inversion Attacks and Data Protection Law. Philosophical Transactions of the Royal Society A, v. 376, 2018.
  • BIONI, B. R. Proteção de Dados Pessoais: A Função e os Limites do Consentimento. 3ª ed. Rio de Janeiro: Forense, 2022.
  • DONEDA, D. Da Privacidade à Proteção de Dados Pessoais. 3ª ed. São Paulo: Thomson Reuters, 2021.

André Nakamura é diretor técnico do IBGIA — Instituto Brasileiro de Governança em Inteligência Artificial, especialista em proteção de dados e governança algorítmica.

LGPDproteção de dadosinteligência artificialregulaçãoANPD
CompartilharLinkedInWhatsApp
Newsletter

Receba nossas publicações no seu e-mail

Assine a newsletter do IBGIA e seja o primeiro a receber artigos, relatórios e notas técnicas sobre governança de IA no Brasil.

100% gratuitoSem spam, cancele quando quiser

Leia Tambem

ArtigosO Futuro da Regulação de IA na América LatinaUma análise comparativa dos marcos regulatórios de Inteligência Artificial em desenvolvimento no Brasil, México, Chile, ...Ler artigoArtigosIA Generativa e Governança Corporativa: Desafios e OportunidadesA adoção acelerada de ferramentas de IA generativa nas organizações traz benefícios significativos de produtividade, mas...Ler artigoRelatóriosPanorama 2026: tendências em governança de IA no mundoUm mapeamento das principais tendências globais em governança de IA para 2026: regulação, padrões técnicos, governança c...Ler artigo
Veja nas NotíciasAcompanhe lançamentos de publicações e novidades do IBGIA
Voltar para publicações

Receba nossas publicações

Assine nossa newsletter para receber artigos, relatórios e notas técnicas diretamente no seu e-mail.

Análises exclusivas sobre governança de IA

Receba análises, alertas regulatórios e frameworks práticos sobre IA no Brasil. Toda semana no seu email — gratuito.