Proteção de dados

LGPD e Inteligência Artificial

Guia prático e profundo da Lei Geral de Proteção de Dados aplicada a sistemas, produtos e usos de IA no Brasil.

Lei nº 13.709/2018

Lei Geral de Proteção de Dados Pessoais

Regula o tratamento de dados pessoais — inclusive em meios digitais — por pessoa física ou jurídica de direito público ou privado, com objetivo de proteger direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade.

Em vigor desde
18 de setembro de 2020 (sanções desde 1º de agosto de 2021)
Regulador
ANPD — Autoridade Nacional de Proteção de Dados
Multa máxima
2% do faturamento (até R$ 50 mi por infração)
Por que isso importa para IA

Toda IA que coleta, treina com, infere sobre ou gera dados pessoais está sob a LGPD. Prompts contendo CPF, e-mail, conversas, áudio de voz, imagens de rostos ou prontuários são dados pessoais — e exigem base legal, finalidade, transparência e segurança.

10 Princípios da LGPD (Art. 6º)

1

Finalidade

Tratamento para propósitos legítimos, específicos, explícitos e informados ao titular.

Em IA: Usar prompts para suporte ao cliente — não para treinar modelos sem aviso.
2

Adequação

Compatibilidade do tratamento com as finalidades informadas.

Em IA: Dados de cadastro não devem virar perfil de marketing sem nova base.
3

Necessidade

Limitação ao mínimo necessário para alcançar a finalidade.

Em IA: Não pedir CPF para um chatbot que só responde dúvidas públicas.
4

Livre acesso

Garantia de consulta facilitada e gratuita sobre forma, duração e integralidade dos dados.

Em IA: Painel onde o usuário vê tudo o que a IA armazenou sobre ele.
5

Qualidade dos dados

Exatidão, clareza, relevância e atualização conforme a finalidade.

Em IA: Modelos preditivos com dados desatualizados produzem decisões injustas.
6

Transparência

Informações claras, precisas e facilmente acessíveis sobre o tratamento.

Em IA: Avisar que a resposta foi gerada por IA e que o prompt pode ser revisado.
7

Segurança

Medidas técnicas e administrativas para proteger os dados.

Em IA: Criptografia, controle de acesso, isolamento de tenants, logs auditáveis.
8

Prevenção

Adoção de medidas para prevenir danos.

Em IA: Filtros de PII em prompts antes de enviar para LLM externo.
9

Não discriminação

Impossibilidade de tratamento para fins discriminatórios ilícitos ou abusivos.

Em IA: Score de crédito por IA não pode penalizar por raça, gênero ou CEP.
10

Responsabilização e prestação de contas

Demonstração de adoção de medidas eficazes e capazes de comprovar a observância.

Em IA: Manter RIPD, registros de tratamento e relatórios para a ANPD.

10 Bases Legais (Art. 7º e 11)

Todo tratamento de dados pessoais precisa de pelo menos uma base legal. Em IA, é o ponto de partida do projeto.

Consentimento

Manifestação livre, informada e inequívoca do titular.

Quando usar: Marketing, perfilamento opcional, uso de dados sensíveis fora de hipóteses específicas.

Execução de contrato

Necessário para executar contrato do qual o titular é parte.

Quando usar: Login, faturamento, entrega de serviço contratado.

Obrigação legal ou regulatória

Cumprimento de obrigação imposta ao controlador.

Quando usar: Emissão de nota fiscal, retenção fiscal, KYC bancário.

Execução de políticas públicas

Pela administração pública para política prevista em lei.

Quando usar: Programas sociais, saúde pública.

Estudos por órgão de pesquisa

Garantida sempre que possível a anonimização.

Quando usar: Pesquisa científica, treinamento de modelos com dados anonimizados.

Legítimo interesse

Interesses legítimos do controlador ou de terceiros, exceto se prevalecerem direitos do titular.

Quando usar: Antifraude, segurança da rede, métricas internas — exige teste de balanceamento (LIA).

Proteção ao crédito

Tratamento para proteção ao crédito conforme legislação pertinente.

Quando usar: Análise de risco e bureaus de crédito.

Proteção da vida

Proteção da vida ou incolumidade física do titular ou de terceiros.

Quando usar: Emergências médicas.

Tutela da saúde

Procedimento por profissionais ou autoridades sanitárias.

Quando usar: Atendimento médico, pesquisa em saúde.

Exercício regular de direitos

Em processo judicial, administrativo ou arbitral.

Quando usar: Defesa em processos.

Direitos do titular (Art. 18 e 20)

Art. 18, I

Confirmação da existência de tratamento

Saber se seus dados estão sendo tratados.

Art. 18, II

Acesso aos dados

Obter cópia dos dados pessoais tratados.

Art. 18, III

Correção

Corrigir dados incompletos, inexatos ou desatualizados.

Art. 18, IV

Anonimização, bloqueio ou eliminação

Anonimizar, bloquear ou eliminar dados desnecessários, excessivos ou tratados em desconformidade.

Art. 18, V

Portabilidade

Levar seus dados para outro fornecedor.

Art. 18, VI

Eliminação de dados consentidos

Apagar dados tratados com base em consentimento.

Art. 18, VII

Informação sobre compartilhamento

Saber com quais entidades públicas e privadas seus dados foram compartilhados.

Art. 18, VIII

Informação sobre não consentir

Saber as consequências de não fornecer consentimento.

Art. 18, IX

Revogação do consentimento

Revogar consentimento a qualquer momento.

Art. 20

Revisão de decisões automatizadas

Solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses — central para IA.

Dados pessoais sensíveis (Art. 5º, II e Art. 11)

Recebem proteção reforçada. Em IA, modelos de visão (rosto), voz (clonagem) e saúde (diagnóstico) operam quase sempre com dados sensíveis.

  • Origem racial ou étnica
  • Convicção religiosa
  • Opinião política
  • Filiação a sindicato ou organização religiosa, filosófica ou política
  • Dado referente à saúde
  • Dado referente à vida sexual
  • Dado genético
  • Dado biométrico (face, voz, digital)

Principais riscos da IA sob a LGPD

Uso de prompts para treinar modelos

alto

Conversas com IA generativa podem ser usadas para treinar futuros modelos, expondo dados pessoais e segredos comerciais.

Mitigações
  • · Usar contas Enterprise/API com opt-out de treino
  • · Filtrar PII antes de enviar
  • · Política interna proibindo dados sensíveis em ferramentas públicas

Memorização de dados pelo modelo

alto

LLMs podem memorizar e regurgitar trechos de dados de treino, inclusive PII.

Mitigações
  • · Differential privacy
  • · Auditoria de outputs
  • · Sanitização de dataset de treino

Decisão automatizada sem revisão humana

crítico

Crédito, recrutamento, fraude e moderação por IA sem revisão violam o Art. 20 da LGPD.

Mitigações
  • · Human-in-the-loop
  • · Canal de contestação
  • · Documentação dos critérios
  • · RIPD obrigatório

Viés algorítmico e discriminação

alto

Modelos amplificam vieses dos dados, podendo violar o princípio de não discriminação.

Mitigações
  • · Auditoria de fairness
  • · Datasets balanceados
  • · Métricas por grupo
  • · Comitê de ética

Transferência internacional de dados

médio

Maioria das APIs de IA processa dados fora do Brasil — exige base legal específica (Art. 33).

Mitigações
  • · Cláusulas contratuais padrão
  • · Países com nível adequado
  • · Consentimento específico
  • · Avaliar provedores nacionais

Deepfakes e dados biométricos

crítico

Geração de imagem/voz de pessoas reais sem consentimento — dado pessoal sensível (Art. 11).

Mitigações
  • · Consentimento explícito
  • · Marca d'água/C2PA
  • · Banco de vozes/rostos autorizados

Prompt injection e exfiltração

alto

Atacantes podem extrair dados de outros usuários via instruções maliciosas.

Mitigações
  • · Isolamento por tenant
  • · Guardrails
  • · Sanitização de inputs
  • · Princípio do menor privilégio em tools

Shadow AI

alto

Funcionários colando dados sensíveis em IAs públicas sem aprovação.

Mitigações
  • · Política clara de uso de IA
  • · DLP
  • · Oferecer alternativa corporativa
  • · Treinamento

Alucinação envolvendo pessoas reais

médio

Modelos podem inventar fatos sobre pessoas identificáveis — risco de difamação e dado incorreto.

Mitigações
  • · RAG com fontes
  • · Disclaimers
  • · Direito de correção facilitado

Retenção excessiva de logs

médio

Armazenar prompts indefinidamente viola necessidade e finalidade.

Mitigações
  • · Política de retenção
  • · Anonimização após N dias
  • · Logs separados por finalidade

Checklist de conformidade para projetos de IA

Governança

  • Nomear DPO (Encarregado) e divulgar contato
  • Política de Privacidade pública e clara
  • Política interna de uso de IA
  • Registro de operações de tratamento (ROPA)
  • Comitê de IA / privacidade

Bases legais

  • Mapear cada uso de IA e sua base legal
  • Teste de legítimo interesse (LIA) quando aplicável
  • Consentimento granular, livre e revogável quando exigido
  • Atenção redobrada a dados sensíveis (Art. 11)

Transparência

  • Informar que a interação é com IA
  • Explicar finalidade do uso de prompts e dados
  • Divulgar provedores de IA usados (subcontratados)
  • Disponibilizar canal para exercício de direitos

Segurança técnica

  • Criptografia em trânsito e em repouso
  • Controle de acesso e MFA
  • Filtros automáticos de PII em prompts
  • Isolamento de dados entre clientes
  • Plano de resposta a incidentes (comunicar ANPD em prazo razoável)

Específico para IA

  • RIPD (Relatório de Impacto) para casos de alto risco
  • Human-in-the-loop em decisões com efeito relevante
  • Direito à revisão de decisão automatizada (Art. 20)
  • Auditoria de viés e fairness
  • Avaliação de fornecedor de IA: política de uso de dados, retenção e treino

Fornecedores e contratos

  • DPA (Data Processing Agreement) com cada provedor de IA
  • Cláusulas de transferência internacional
  • Direito de auditoria
  • Obrigação de notificar incidentes

Sanções administrativas (Art. 52)

  • 1Advertência com prazo para adoção de medidas corretivas
  • 2Multa simples de até 2% do faturamento (limitada a R$ 50 milhões por infração)
  • 3Multa diária
  • 4Publicização da infração
  • 5Bloqueio dos dados pessoais
  • 6Eliminação dos dados pessoais
  • 7Suspensão parcial do funcionamento do banco de dados (até 12 meses)
  • 8Suspensão do exercício da atividade de tratamento (até 12 meses)
  • 9Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados

LGPD × GDPR × EU AI Act

TemaLGPD (BR)GDPR (UE)EU AI Act
EscopoBrasil — dados de pessoas no território nacionalUnião Europeia — residentes da UEUE — sistemas de IA classificados por risco
Multa máxima2% do faturamento, até R$ 50 mi por infração4% do faturamento global, até €20 miAté 7% do faturamento global ou €35 mi
AutoridadeANPDAutoridades nacionais (CNIL, ICO, AEPD...)AI Office + autoridades nacionais
Decisão automatizadaDireito de revisão (Art. 20)Direito de não ser submetido (Art. 22)Proibições para alto risco
IA generativaAplicação por princípios (sem norma específica)Idem + diretrizes EDPBObrigações específicas para modelos de propósito geral

Recursos oficiais

ANPD
Site oficial da Autoridade Nacional de Proteção de Dados.
Texto da Lei 13.709/2018
Versão consolidada no Planalto.
Estudos da ANPD sobre IA
Publicações e estudos da ANPD sobre IA generativa e dados pessoais.
Marco Legal da IA (PL 2.338/2023)
Projeto em tramitação no Congresso brasileiro.