LGPD e IA nas empresas: o que muda e como se preparar

Academia ISO · 17 de julho de 2026 · Inteligência artificial

As empresas adotaram a inteligência artificial mais rápido do que estruturaram como controlá-la. E quase toda IA útil funciona com um combustível que a lei protege: dados pessoais. É aí que a LGPD entra na conversa — e onde muitas organizações estão expostas sem perceber. Este artigo explica como a Lei Geral de Proteção de Dados se aplica ao uso de IA, o que vem pela frente com o PL 2338 e como se preparar sem travar a inovação.

Por que IA e LGPD andam juntas?

Um sistema de IA aprende e opera a partir de dados. Quando esses dados identificam ou permitem identificar uma pessoa — clientes, candidatos, colaboradores — todo o tratamento passa a estar sob a LGPD. Isso vale para treinar um modelo, para alimentá-lo em produção e, cada vez mais, para o uso de IA generativa: colar dados de clientes num chatbot externo é um tratamento (e muitas vezes uma transferência) de dados pessoais que a empresa precisa justificar.

O que a LGPD exige de quem usa IA

O PL 2338 e o futuro Marco Legal da IA

O Brasil caminha para uma regulação específica de inteligência artificial. O PL 2338 propõe um marco baseado em risco: quanto maior o risco do sistema (por exemplo, os que afetam direitos fundamentais), mais obrigações de governança, documentação e avaliação de impacto. A direção é clara e converge com a europeia: não basta cumprir a LGPD sobre os dados; será preciso governar o ciclo de vida do próprio sistema de IA. As empresas que só começarem a se organizar quando a lei for aprovada chegarão atrasadas.

Os riscos concretos que preocupam

RiscoExemplo
Vazamento por IA generativaColaborador cola dados de clientes numa ferramenta pública e eles saem do controle da empresa
Viés e discriminaçãoModelo de triagem que reproduz vieses históricos e prejudica grupos protegidos
Decisão automatizada opacaNegar crédito sem conseguir explicar o porquê ao titular
Base legal inexistenteTreinar modelos com dados coletados para outra finalidade

Como se preparar: governança em vez de improviso

Resolver isso caso a caso não escala. O caminho é ter um sistema de gestão que trate IA e privacidade de forma estruturada. Duas normas internacionais dão exatamente essa espinha dorsal: a ISO/IEC 42001, primeira norma certificável de gestão de inteligência artificial (o AIMS), que exige mapear os sistemas de IA, avaliar seus riscos e impactos e definir controles ao longo do ciclo de vida; e a ISO/IEC 27701, focada em privacidade, que operacionaliza a LGPD dentro do sistema de gestão. Juntas, cobrem os dois lados do problema: o dado (privacidade) e o sistema que o usa (IA). Se você ainda está entendendo a norma de IA, comece por o que é a ISO 42001.

Aprenda a governar a IA da sua empresa: no curso Gestor ISO/IEC 42001 — Do Zero ao Implementador você aprende a implantar um sistema de gestão de IA que trata riscos, decisões automatizadas e conformidade — a estrutura que a LGPD já cobra e que o Marco Legal da IA vai exigir.