IBGIA - Instituto Brasileiro de Governança em Inteligência Artificial
PB-2026-002

IA e LGPD: Gaps Regulatórios e Propostas de Harmonização

Thiago AlmeidaMarço 2026IBGIA Working Paper Series

IA e LGPD: Gaps Regulatórios e Propostas de Harmonização

Série: IBGIA Policy Briefs Número: PB-2026-002 Data: Março de 2026

Autor: Thiago Almeida Coordenador de Pesquisa e Publicações, IBGIA

Contato: [email protected] | ibgia.org

Resumo Executivo

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e o Projeto de Lei de Inteligência Artificial (PL 2.338/2023) regulam dimensões complementares, porém nem sempre harmônicas, do ecossistema digital brasileiro. Este policy brief identifica os principais gaps regulatórios entre os dois marcos normativos, analisa riscos de sobreposição e lacuna, e propõe recomendações concretas para harmonização. A análise é dirigida a parlamentares, gestores públicos e profissionais de compliance que precisam navegar simultaneamente as exigências de proteção de dados e governança de IA.

1. Introdução

A LGPD foi promulgada em 2018 com foco na proteção de dados pessoais, estabelecendo princípios, bases legais e direitos dos titulares. O PL de IA, em tramitação desde 2023, busca regular o desenvolvimento e uso de sistemas de Inteligência Artificial. Ambos os marcos impactam diretamente organizações que processam dados pessoais por meio de sistemas automatizados — ou seja, virtualmente toda aplicação de IA em contextos reais.

O desafio regulatório reside no fato de que a LGPD foi desenhada antes da disseminação massiva de IA generativa e de modelos de linguagem em larga escala. Alguns de seus princípios fundamentais — como minimização de dados, finalidade específica e consentimento informado — enfrentam tensões conceituais quando aplicados a sistemas de IA contemporâneos.

2. Mapeamento dos Gaps Regulatórios

2.1 Base Legal para Treinamento de Modelos

LGPD: Exige base legal para tratamento de dados pessoais (art. 7º), incluindo consentimento, legítimo interesse ou cumprimento de obrigação legal. O princípio da finalidade (art. 6º, I) exige que o tratamento seja realizado para propósitos legítimos, específicos e informados ao titular.

PL de IA: Não aborda explicitamente a questão da base legal para treinamento de modelos de IA com dados pessoais. Foca na classificação de risco e governança do sistema em operação.

Gap identificado: Não há definição clara sobre qual base legal se aplica ao uso de dados pessoais coletados da internet para treinamento de modelos de IA. O legítimo interesse, base mais utilizada pelo setor, carece de parâmetros específicos para o contexto de machine learning. A ANPD publicou guia sobre IA e proteção de dados em 2023, mas sem força normativa vinculante.

2.2 Direito de Explicação vs. Decisão Automatizada

LGPD: O art. 20 garante ao titular o direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado, incluindo acesso a informações sobre os critérios e procedimentos utilizados.

PL de IA: Estabelece direito de explicação mais amplo, abrangendo decisões tomadas ou significativamente influenciadas por IA, não apenas decisões "unicamente" automatizadas.

Gap identificado: Há sobreposição parcial com potencial conflito. A LGPD limita o direito de revisão a decisões "unicamente" automatizadas, enquanto o PL de IA é mais abrangente. Na prática, muitas organizações operam em zona cinzenta — decisões formalmente humanas, mas substancialmente determinadas por algoritmos. Os dois marcos podem gerar obrigações contraditórias quanto ao escopo do direito de explicação.

2.3 Avaliação de Impacto: DPIA vs. AIA

LGPD: Prevê o Relatório de Impacto à Proteção de Dados Pessoais (RIPD/DPIA), regulamentado pela ANPD, focado nos riscos ao titular dos dados.

PL de IA: Exige Avaliação de Impacto Algorítmico (AIA) para sistemas de alto risco, focada em vieses, discriminação, transparência e impactos sociais.

Gap identificado: As duas avaliações possuem sobreposição significativa, mas escopos distintos. Uma organização que utiliza IA para processar dados pessoais precisará realizar ambas as avaliações, potencialmente duplicando esforços. Não há orientação sobre como integrar ou unificar os dois instrumentos.

2.4 Consentimento e Transparência

LGPD: Exige consentimento livre, informado e inequívoco para tratamento de dados pessoais (quando esta for a base legal utilizada), com informação clara sobre finalidade.

PL de IA: Exige transparência sobre o uso de IA, incluindo informar quando uma decisão é tomada ou influenciada por sistema de IA.

Gap identificado: O PL de IA não especifica se a informação sobre uso de IA deve integrar a política de privacidade (LGPD) ou constituir obrigação autônoma. Há risco de fragmentação da informação ao titular, que precisaria consultar múltiplos documentos para compreender como seus dados são tratados e como a IA afeta as decisões.

2.5 Governança e Responsáveis

LGPD: Estabelece a figura do Encarregado de Proteção de Dados (DPO), com atribuições definidas.

PL de IA: Prevê designação de responsável por governança de IA, com atribuições de supervisão e compliance.

Gap identificado: As duas funções podem gerar sobreposição ou, pior, silos organizacionais. Em organizações menores, a mesma pessoa acumulará ambas as funções sem orientação sobre como integrá-las. Em organizações maiores, há risco de governança fragmentada entre DPO e responsável de IA.

3. Riscos da Não-Harmonização

A ausência de harmonização entre os dois marcos gera riscos concretos:

  1. Insegurança jurídica: Organizações enfrentam obrigações potencialmente conflitantes, com risco de não-conformidade involuntária
  2. Custo regulatório duplicado: DPIA e AIA separados, DPO e responsável de IA separados, políticas de transparência separadas
  3. Arbitragem regulatória: Possibilidade de organizações explorarem lacunas entre os dois marcos para evitar obrigações
  4. Fragmentação da proteção: Cidadão precisa acionar mecanismos diferentes (ANPD para dados, autoridade de IA para algoritmos) para problemas interconectados
  5. Dificuldade de enforcement: Autoridades reguladoras com competências sobrepostas podem gerar conflitos de jurisdição

4. Recomendações

4.1 Para o Legislativo

  • Harmonizar definições: Garantir que os conceitos de "decisão automatizada" (LGPD) e "decisão por IA" (PL de IA) sejam compatíveis e complementares
  • Unificar avaliações de impacto: Permitir que um único instrumento de avaliação atenda simultaneamente às exigências de DPIA e AIA, evitando duplicação
  • Definir competências claras: Estabelecer limites precisos de atuação entre ANPD e futura autoridade de IA, com mecanismo de coordenação obrigatório

4.2 Para a ANPD

  • Publicar guia vinculante sobre tratamento de dados pessoais para treinamento de IA, definindo parâmetros para uso de legítimo interesse nesse contexto
  • Coordenar com a futura autoridade de IA desde a fase de regulamentação, evitando normas conflitantes
  • Estabelecer sandbox regulatório conjunto para testar modelos de compliance integrado

4.3 Para Organizações

  • Integrar governança de dados e IA: Unificar ou coordenar as funções de DPO e responsável por IA, evitando silos
  • Adotar avaliação de impacto integrada: Desenvolver modelo único que cubra riscos de proteção de dados e algorítmicos simultaneamente
  • Mapear intersecções: Identificar todos os pontos de contato entre tratamento de dados pessoais e uso de IA na organização, criando visão unificada de compliance

4.4 Para a Sociedade Civil

  • Monitorar a tramitação do PL de IA com atenção específica à harmonização com a LGPD
  • Participar das audiências públicas para evidenciar gaps práticos enfrentados por organizações e cidadãos
  • Produzir análises técnicas que demonstrem os custos e riscos da não-harmonização

5. Modelo de Avaliação de Impacto Integrada

O IBGIA propõe a adoção de um modelo integrado de avaliação de impacto que unifique DPIA e AIA em um único instrumento. Os componentes essenciais incluem:

| Dimensão | Escopo LGPD (DPIA) | Escopo PL de IA (AIA) | Integração Proposta | |----------|-------------------|-----------------------|---------------------| | Dados | Tipos, volume, base legal | Dados de treinamento e operação | Inventário unificado de dados | | Riscos | Riscos ao titular | Vieses, discriminação, impacto social | Matriz de riscos integrada | | Transparência | Política de privacidade | Informação sobre uso de IA | Documento único de transparência | | Direitos | Acesso, retificação, exclusão | Explicação, contestação, revisão humana | Canal unificado de direitos | | Governança | DPO, processos internos | Responsável de IA, supervisão humana | Comitê integrado de governança | | Monitoramento | Revisão periódica | Auditoria algorítmica | Programa unificado de compliance |

O IBGIA Working Paper WP-2026-002 detalhará a metodologia completa para implementação deste modelo.

Conclusão

A harmonização entre LGPD e marco regulatório de IA não é apenas desejável — é necessária para a efetividade de ambos os marcos normativos. Os gaps identificados neste policy brief demonstram que a regulação fragmentada gera insegurança jurídica, custos desnecessários e lacunas de proteção. As recomendações apresentadas oferecem caminhos concretos para legisladores, reguladores e organizações construírem um ecossistema regulatório coerente, que proteja os direitos dos cidadãos sem sufocar a inovação responsável.

Referências

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União, 2018.

BRASIL. Projeto de Lei nº 2.338, de 2023. Marco Legal da Inteligência Artificial. Senado Federal, 2023.

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Análise preliminar do PL 2338/2023. ANPD, 2023.

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Guia orientativo sobre tratamento de dados pessoais e Inteligência Artificial. ANPD, 2023.

BIONI, B.; ZANATTA, R. Proteção de dados e inteligência artificial: perspectivas para o Brasil. Data Privacy Brasil, 2024.

EUROPEAN COMMISSION. Proposal for a Regulation laying down harmonised rules on Artificial Intelligence (AI Act). COM/2021/206 final, 2021.

ICO — INFORMATION COMMISSIONER'S OFFICE. Guidance on AI and Data Protection. ICO, 2023.

MENDES, L. S. Proteção de dados e inteligência artificial: desafios regulatórios. Revista de Direito, Estado e Telecomunicações, v. 15, n. 1, 2023.

OECD. Recommendation of the Council on Artificial Intelligence. OECD/LEGAL/0449, 2019.

UNIÃO EUROPEIA. Regulamento (UE) 2024/1689 do Parlamento Europeu e do Conselho (EU AI Act). Jornal Oficial da União Europeia, 2024.

IBGIA Policy Briefs — Série de documentos executivos para formuladores de políticas públicas.

Como citar: ALMEIDA, T. IA e LGPD: gaps regulatórios e propostas de harmonização. IBGIA Policy Brief, PB-2026-002, março 2026.

CompartilharLinkedInWhatsApp

Leia Tambem

ArtigosO Futuro da Regulação de IA na América LatinaUma análise comparativa dos marcos regulatórios de Inteligência Artificial em desenvolvimento no Brasil, México, Chile, ...Ler artigoArtigosIA Generativa e Governança Corporativa: Desafios e OportunidadesA adoção acelerada de ferramentas de IA generativa nas organizações traz benefícios significativos de produtividade, mas...Ler artigoRelatóriosPanorama 2026: tendências em governança de IA no mundoUm mapeamento das principais tendências globais em governança de IA para 2026: regulação, padrões técnicos, governança c...Ler artigo
Veja nas NotíciasAcompanhe lançamentos de publicações e novidades do IBGIA
Voltar para Working Papers