IBGIA - Instituto Brasileiro de Governança em Inteligência Artificial
PB-2026-021

IA e Proteção do Consumidor: Guia para Empresas sobre Práticas Abusivas Algorítmicas e Compliance com o CDC

André Nakamura, Thiago AlmeidaMarço 2026IBGIA Working Paper Series

IA e Proteção do Consumidor: Guia para Empresas sobre Práticas Abusivas Algorítmicas e Compliance com o CDC

Instituto Brasileiro de Governança em IA (IBGIA) Série Policy Briefs | Março 2026 Autores: André Nakamura, Thiago Almeida

Resumo Executivo

O Código de Defesa do Consumidor (CDC, Lei 8.078/1990) foi promulgado antes de qualquer sistema de recomendação algorítmica, precificação dinâmica ou chatbot de atendimento existir. Ainda assim, seus princípios — transparência, não-abusividade, informação adequada, proteção contra práticas discriminatórias — aplicam-se diretamente aos sistemas de IA que hoje medeiam relações de consumo de 180 milhões de brasileiros.

O problema é que a maioria das empresas não sabe disso. E o PROCON, SENACON e o Judiciário estão começando a aprender.

Este guia mapeia as práticas algorítmicas que configuram infrações ao CDC, oferece checklist de conformidade para equipes de produto e jurídico, e analisa as primeiras decisões administrativas e judiciais brasileiras envolvendo IA e direitos do consumidor.

1. O CDC na Era Algorítmica: Princípios que Nunca Mudaram

1.1 Os Cinco Princípios do CDC Mais Relevantes para IA

1. Transparência (art. 4º, caput): A relação de consumo deve ser baseada em boa-fé e equilíbrio. Quando o consumidor não sabe que está interagindo com um algoritmo, ou que o preço que vê é diferente do que outra pessoa vê, há opacidade incompatível com esse princípio.

2. Informação adequada e clara (art. 6º, III): Direito à informação "adequada e clara sobre os diferentes produtos e serviços, com especificação correta de quantidade, características, composição, qualidade, tributos incidentes e preço, bem como sobre os riscos que apresentam." Algoritmos que ocultam critérios de oferta ou personalização de preço podem violar esse dispositivo.

3. Proteção contra práticas abusivas (art. 39): O rol do art. 39 é exemplificativo — "entre outras" práticas abusivas. Práticas algorítmicas não listadas em 1990 podem ser enquadradas como abusivas quando exploram vulnerabilidades do consumidor ou criam assimetria injusta.

4. Proteção contra publicidade enganosa e abusiva (arts. 37-38): Publicidade enganosa inclui "qualquer modalidade de informação ou comunicação de caráter publicitário, inteira ou parcialmente falsa, ou, por qualquer outro modo, mesmo por omissão, capaz de induzir em erro." Algoritmos de recomendação que apresentam opções pagas como "melhores resultados" sem disclosure podem se enquadrar aqui.

5. Vedação à discriminação (art. 39, IV e art. 6º, VIII): É proibida prática abusiva que "prevaleça da fraqueza ou ignorância do consumidor." Discriminação de preço por perfil demográfico, cobrar mais de consumidores mais pobres pelo mesmo produto, e segmentação que explora vulnerabilidades específicas (saúde mental, vício, urgência) são potencialmente abusivas.

1.2 O que Mudou: A Digitalização das Relações de Consumo

O que mudou desde 1990 não são os princípios, mas a escala e a invisibilidade das práticas:

  • Preços personalizados baseados em perfil de consumidor eram impossíveis no varejo físico; em e-commerce são rotina
  • Padrões de dark patterns — interfaces que induzem o consumidor a escolhas contrárias ao seu interesse — são projetadas por equipes de UX/growth
  • Recomendações algorítmicas apresentam opções pagas ou de maior margem como "melhores resultados" sem disclosure
  • Chatbots de atendimento resolvem menos do que parecem, criando barreiras ao exercício de direitos (cancelamento, reclamação)

2. Práticas Algorítmicas que Violam o CDC

2.1 Precificação Discriminatória Algorítmica

O que é: sistemas que cobram preços diferentes para o mesmo produto baseando-se em perfil do consumidor — localização, dispositivo usado, histórico de compras, renda estimada.

Evidências no mercado brasileiro:

  • Pesquisa IDEC (2024): passagens aéreas no mesmo voo custavam até 34% mais para usuários acessando por iPhone vs. Android em determinadas buscas
  • Plataformas de delivery: taxa de entrega calculada por algoritmo que considera CEP do destino como proxy de renda
  • Seguros de saúde suplementar: prêmios ajustados por algoritmo usando dados comportamentais de apps de saúde

Enquadramento CDC:

  • Art. 39, X: é prática abusiva "elevar sem justa causa o preço de produtos ou serviços"
  • Art. 6º, II: direito à igualdade nas contratações
  • Potencial enquadramento como discriminação racial quando CEP é proxy de raça (art. 39, IV)

O que empresas devem fazer:

  • Documentar critérios de personalização de preço
  • Garantir que nenhuma variável proxy de raça, gênero ou deficiência seja usada
  • Divulgar ao consumidor que preços podem variar e os fatores gerais considerados

2.2 Dark Patterns Algorítmicos

O que é: interfaces projetadas algoritmicamente para induzir o consumidor a ações contrárias ao seu interesse — assinaturas difíceis de cancelar, cobranças automáticas camufladas, opt-outs escondidos.

Exemplos documentados no Brasil:

  • Confirmshaming: botão de recusa escrito como "Não, prefiro pagar mais caro" — assimetria intencional
  • Roach motel: processo de cancelamento com 8-12 etapas, ligação obrigatória, horário restrito
  • Hidden subscription: produto gratuito que converte em assinatura paga após 30 dias com notificação insuficiente
  • Urgency manipulation: "Apenas 2 unidades restantes" quando há estoque normal — gerado por algoritmo para aumentar conversão

Enquadramento CDC:

  • Art. 39, III: é prática abusiva "enviar ou entregar ao consumidor, sem solicitação prévia, qualquer produto ou serviço"
  • Art. 37, §1º: publicidade enganosa por omissão
  • Art. 51, IV: nulidade de cláusula que coloque o consumidor em desvantagem exagerada

Decisões recentes:

  • PROCON-SP (2024): autuação de plataforma de streaming por processo de cancelamento com mais de 5 etapas — R$ 8,7 milhões
  • TJ-SP (2025): condenação de e-commerce por "urgência falsa" algorítmica em R$ 15.000 de danos morais por consumidor afetado

2.3 Recomendações Algorítmicas Pagas sem Disclosure

O que é: sistemas de busca e recomendação que apresentam resultados pagos ou de maior margem como "melhores opções" sem identificação clara de que são patrocinados ou priorizados por interesse comercial.

Exemplos:

  • Marketplaces que priorizam produtos próprios ou de vendedores que pagam mais em "resultados de busca" sem identificação
  • Plataformas de comparação de seguros/crédito que apresentam parceiros como "melhores opções" sem revelar o critério
  • Apps de saúde que recomendam médicos por algoritmo que considera pagamento dos profissionais, não apenas qualidade

Enquadramento CDC:

  • Art. 36: "A publicidade deve ser veiculada de tal forma que o consumidor, fácil e imediatamente, a identifique como tal"
  • CONAR: Código Brasileiro de Autorregulamentação Publicitária, art. 28: conteúdo pago deve ser identificado
  • SENACON: nota de orientação (2023) sobre identificação de conteúdo patrocinado em plataformas digitais

O que empresas devem fazer:

  • Identificar claramente resultados patrocinados vs. orgânicos ("Patrocinado", "Anúncio")
  • Documentar os critérios de ranqueamento orgânico
  • Não usar dados do histórico de compras para priorizar resultados de maior margem sem disclosure

2.4 Chatbots que Bloqueiam Exercício de Direitos

O que é: sistemas de atendimento automatizado que criam barreiras para o consumidor exercer direitos legais — cancelamento, devolução, reclamação, exercício de garantia.

Evidências:

  • Pesquisa IBGE/IDEC (2025): 68% dos consumidores que tentaram cancelar serviço via chatbot reportaram dificuldade; 41% desistiram antes de concluir
  • Tempo médio de atendimento: 23 minutos via chatbot vs. 7 minutos via atendente humano para cancelamentos
  • Padrão documentado: chatbot "não entende" pedidos de cancelamento e direciona para "ofertas de retenção"

Enquadramento CDC:

  • Art. 6º, VII: direito à facilitação da defesa de seus direitos
  • Art. 43: direito de acesso a informações cadastrais e histórico de compras
  • Decreto 11.034/2022 (SAC): tempo máximo de espera e obrigatoriedade de opção de atendimento humano em até 60 segundos

Decisões recentes:

  • SENACON (2025): processo administrativo contra empresa de telecomunicações por chatbot que não transferia para atendente humano — multa de R$ 12,1 milhões
  • STJ (2024): decisão em recurso repetitivo fixando que empresa não pode negar atendimento humano quando consumidor solicita expressamente

2.5 Profiling e Exploração de Vulnerabilidades

O que é: uso de algoritmos para identificar consumidores em situação de vulnerabilidade (endividamento, problemas de saúde mental, dependência) e direcionar ofertas que exploram essa vulnerabilidade.

Exemplos:

  • Apps de jogos de azar que identificam padrões de dependência e aumentam frequência de notificações push
  • Plataformas de crédito que identificam momento de desespero financeiro e oferecem crédito a taxas maiores
  • Algoritmos de e-commerce que identificam que consumidor está comprando às 3h da manhã (padrão associado a compulsão) e apresenta mais opções de parcelamento

Enquadramento CDC:

  • Art. 39, IV: é prática abusiva "prevalecer-se da fraqueza ou ignorância do consumidor, tendo em vista sua idade, saúde, conhecimento ou condição social"
  • Resolução BACEN 4.966 (crédito responsável): vedação ao crédito predatório

3. Checklist de Compliance CDC para Produtos de IA

3.1 Para Produtos de E-Commerce e Marketplace

  • [ ] Algoritmo de precificação documentado: nenhuma variável proxy de raça, gênero ou deficiência
  • [ ] Resultados patrocinados identificados de forma "fácil e imediata" (art. 36 CDC)
  • [ ] Processo de cancelamento com no máximo 3 etapas e disponível 24/7
  • [ ] Chatbot transfere para atendente humano em até 60 segundos quando solicitado (Decreto SAC)
  • [ ] "Urgência" e "escassez" algorítmicas baseadas em dados reais, documentadas
  • [ ] Dark patterns auditados anualmente por equipe de UX com mandato de compliance

3.2 Para Produtos Financeiros (Crédito, Seguros)

  • [ ] Algoritmo de scoring não usa variáveis proxy de raça ou gênero
  • [ ] Consumidor informado de que decisão foi automatizada e tem direito à explicação (LGPD art. 20)
  • [ ] Taxa de juros personalizada não viola limites do BACEN nem configura abusividade CDC
  • [ ] Oferta de crédito não direcionada a consumidores identificados como em situação de vulnerabilidade financeira extrema
  • [ ] Processo de reclamação e contestação acessível e resolvido em prazo razoável

3.3 Para Plataformas de Serviços e Assinaturas

  • [ ] Assinatura gratuita que converte em paga: aviso claro 7 dias antes, opt-in ativo (não opt-out)
  • [ ] Cancelamento com processo simples, disponível pelo mesmo canal de contratação
  • [ ] Aumento de preço: aviso prévio de 30 dias com opção de cancelamento sem ônus
  • [ ] Algoritmo de retenção (conterofertas em cancelamento) não usa dados de saúde mental ou vulnerabilidade

3.4 Para Atendimento ao Cliente com IA

  • [ ] Chatbot se identifica como IA desde o primeiro contato (LGPD + boa-fé CDC)
  • [ ] Opção de atendimento humano disponível em até 60 segundos
  • [ ] Chatbot não cria barreiras adicionais para exercício de direitos (cancelamento, devolução, reclamação)
  • [ ] Histórico de atendimento por IA é acessível ao consumidor
  • [ ] Taxa de resolução do chatbot monitorada; KPI de abandono como alerta de dark pattern

4. O Que Esperar do Ambiente Regulatório 2026-2028

4.1 Movimentos Regulatórios em Curso

SENACON: processo de revisão do Decreto SAC para incluir obrigações específicas sobre chatbots de IA — previsão de publicação de nova regulação em 2026.

ANPD: orientação sobre decisões automatizadas em relações de consumo esperada para 2026 — deve clarificar quando art. 20 LGPD exige revisão humana obrigatória.

PL 2338/2023: quando aprovado, sistemas de IA em e-commerce, crédito e serviços de assinatura podem ser classificados como alto risco, trazendo obrigações adicionais.

Judiciário: crescente volume de ações coletivas sobre práticas algorítmicas — MPF e MPE com atribuição de investigar. Tendência de danos morais coletivos por prática algorítmica sistêmica (não apenas caso a caso).

4.2 Tendências Internacionais que Chegam ao Brasil

EU Digital Services Act (DSA): obriga plataformas a explicar sistemas de recomendação e oferecer opção sem personalização algorítmica. Empresas globais já adaptando para Europa podem replicar para Brasil.

FTC (EUA): ação de enforcement contra dark patterns algorítmicos crescente desde 2022 — precedentes que influenciam SENACON e PROCON.

OCDE: diretrizes de proteção ao consumidor digital (2022) recomendadas como referência para países membros e candidatos (Brasil é candidato à OCDE).

5. Recomendações por Papel na Organização

Para CEOs e Diretores de Produto

  1. Auditar todas as features de conversão do produto contra a lista de dark patterns do CDC
  2. Incluir "test de abusividade CDC" no processo de aprovação de novas features de IA
  3. Definir KPIs de customer experience que penalizem barreiras ao exercício de direitos (ex.: taxa de abandono no processo de cancelamento)

Para Equipes Jurídicas e de Compliance

  1. Revisar termos de uso e políticas de privacidade contra os cinco princípios CDC identificados neste guia
  2. Mapear todas as decisões algorítmicas que afetam consumidores e verificar se existe mecanismo de contestação
  3. Monitorar jurisprudência PROCON/SENACON/STJ sobre IA em relações de consumo — campo em rápida evolução

Para Equipes de UX e Produto

  1. Realizar auditoria de dark patterns usando frameworks internacionais (Deceptive Design, EFF's "Deceived by Design")
  2. Documentar racional de design para decisões que afetam fluxos de cancelamento, opt-out e reclamação
  3. Implementar testes A/B de "consumer-friendly design" — evidências crescentes de que reduzir atrito aumenta lifetime value

Para Investidores e Conselhos

  1. Incluir exposição a práticas abusivas algorítmicas no mapeamento de riscos regulatórios e reputacionais do portfólio
  2. Exigir relatório anual de compliance CDC-IA das empresas do portfólio
  3. Atenção a empresas com alto volume de reclamações no Consumidor.gov.br sobre cancelamento e atendimento — sinal de alerta de dark patterns

6. Conclusão

O CDC brasileiro tem 35 anos e é um dos marcos regulatórios mais avançados do mundo em proteção ao consumidor. O que falta não é uma nova lei — é a aplicação consistente dos princípios existentes às práticas algorítmicas atuais.

Empresas que investirem em "CDC-compliance de IA" agora estarão à frente da curva regulatória. As que esperarem a primeira multa ou ação coletiva para agir pagarão um custo muito maior — em reputação, em litígios e na confiança de consumidores que, cada vez mais, escolhem com quem querem fazer negócio.

Sobre o IBGIA

O Instituto Brasileiro de Governança em IA (IBGIA) é uma organização independente dedicada à pesquisa e promoção da governança responsável de inteligência artificial no Brasil.

Contato: [email protected] | Site: ibgia.org

CompartilharLinkedInWhatsApp

Leia Tambem

ArtigosO Futuro da Regulação de IA na América LatinaUma análise comparativa dos marcos regulatórios de Inteligência Artificial em desenvolvimento no Brasil, México, Chile, ...Ler artigoArtigosIA Generativa e Governança Corporativa: Desafios e OportunidadesA adoção acelerada de ferramentas de IA generativa nas organizações traz benefícios significativos de produtividade, mas...Ler artigoRelatóriosPanorama 2026: tendências em governança de IA no mundoUm mapeamento das principais tendências globais em governança de IA para 2026: regulação, padrões técnicos, governança c...Ler artigo
Veja nas NotíciasAcompanhe lançamentos de publicações e novidades do IBGIA
Voltar para Working Papers