LGPD e IA nas empresas: o que muda e como se preparar
As empresas adotaram a inteligência artificial mais rápido do que estruturaram como controlá-la. E quase toda IA útil funciona com um combustível que a lei protege: dados pessoais. É aí que a LGPD entra na conversa — e onde muitas organizações estão expostas sem perceber. Este artigo explica como a Lei Geral de Proteção de Dados se aplica ao uso de IA, o que vem pela frente com o PL 2338 e como se preparar sem travar a inovação.
Por que IA e LGPD andam juntas?
Um sistema de IA aprende e opera a partir de dados. Quando esses dados identificam ou permitem identificar uma pessoa — clientes, candidatos, colaboradores — todo o tratamento passa a estar sob a LGPD. Isso vale para treinar um modelo, para alimentá-lo em produção e, cada vez mais, para o uso de IA generativa: colar dados de clientes num chatbot externo é um tratamento (e muitas vezes uma transferência) de dados pessoais que a empresa precisa justificar.
O que a LGPD exige de quem usa IA
- Base legal: todo tratamento precisa de uma das hipóteses do art. 7º (consentimento, legítimo interesse, execução de contrato, etc.). "Porque melhora o modelo" não é base legal.
- Finalidade e minimização: usar só os dados necessários para o propósito declarado — e não guardar tudo "por via das dúvidas" para treinar futuros modelos.
- Transparência: informar o titular sobre o tratamento de forma clara.
- Revisão de decisões automatizadas (art. 20): o titular tem direito a solicitar a revisão de decisões tomadas unicamente por tratamento automatizado que afetem seus interesses — crédito, triagem de currículos, precificação.
- Segurança: medidas técnicas e administrativas para proteger os dados, inclusive contra o vazamento por meio das próprias ferramentas de IA.
O PL 2338 e o futuro Marco Legal da IA
O Brasil caminha para uma regulação específica de inteligência artificial. O PL 2338 propõe um marco baseado em risco: quanto maior o risco do sistema (por exemplo, os que afetam direitos fundamentais), mais obrigações de governança, documentação e avaliação de impacto. A direção é clara e converge com a europeia: não basta cumprir a LGPD sobre os dados; será preciso governar o ciclo de vida do próprio sistema de IA. As empresas que só começarem a se organizar quando a lei for aprovada chegarão atrasadas.
Os riscos concretos que preocupam
| Risco | Exemplo |
|---|---|
| Vazamento por IA generativa | Colaborador cola dados de clientes numa ferramenta pública e eles saem do controle da empresa |
| Viés e discriminação | Modelo de triagem que reproduz vieses históricos e prejudica grupos protegidos |
| Decisão automatizada opaca | Negar crédito sem conseguir explicar o porquê ao titular |
| Base legal inexistente | Treinar modelos com dados coletados para outra finalidade |
Como se preparar: governança em vez de improviso
Resolver isso caso a caso não escala. O caminho é ter um sistema de gestão que trate IA e privacidade de forma estruturada. Duas normas internacionais dão exatamente essa espinha dorsal: a ISO/IEC 42001, primeira norma certificável de gestão de inteligência artificial (o AIMS), que exige mapear os sistemas de IA, avaliar seus riscos e impactos e definir controles ao longo do ciclo de vida; e a ISO/IEC 27701, focada em privacidade, que operacionaliza a LGPD dentro do sistema de gestão. Juntas, cobrem os dois lados do problema: o dado (privacidade) e o sistema que o usa (IA). Se você ainda está entendendo a norma de IA, comece por o que é a ISO 42001.
Aprenda a governar a IA da sua empresa: no curso Gestor ISO/IEC 42001 — Do Zero ao Implementador você aprende a implantar um sistema de gestão de IA que trata riscos, decisões automatizadas e conformidade — a estrutura que a LGPD já cobra e que o Marco Legal da IA vai exigir.