IA e LGPD: como adotar com segurança jurídica

A inteligência artificial já ocupa espaço no planejamento de quem responde pela tecnologia das empresas, e o interesse cresce na mesma medida em que surgem aplicações concretas em atendimento, suporte e análise de dados. O entusiasmo, porém, costuma esbarrar em na dúvida sobre o que a Lei Geral de Proteção de Dados permite quando o sistema processa informações pessoais. A hesitação tem fundamento, afinal, a IA depende de grandes volumes de dados para operar e parte considerável deles identifica pessoas. Na maioria dos casos, o que falta não é disposição para avançar, mas um entendimento claro de onde a legislação impõe limites e onde apenas exige método. Este artigo organiza a discussão em perguntas objetivas, da permissão legal ao ponto de partida prático, para que a decisão de adotar IA se apoie em critério.

A EMPRESA PODE ADOTAR IA TRATANDO DADOS PESSOAIS SEM DESCUMPRIR A LGPD?

A LGPD não proíbe o uso de inteligência artificial sobre dados pessoais. Ela condiciona esse uso a um conjunto de exigências que giram em torno de finalidade definida, transparência e controle por parte de quem é dono dos dados. Na prática, isso significa informar quais dados são coletados, com que propósito e por quanto tempo permanecerão armazenados, além de manter esses dados identificáveis e passíveis de remoção individual quando o titular solicitar. A literatura jurídica sobre o tema reforça que sistemas de IA em conformidade são aqueles cujos dados continuam acessíveis individualmente, o que preserva o direito do titular de corrigir ou excluir suas informações mesmo depois de elas integrarem uma base de treinamento.

Algoritmos de IA tendem a se beneficiar de grandes volumes de dados e de armazenamento prolongado, porque padrões históricos sustentam previsões mais precisas, enquanto a LGPD exige limitação da coleta à finalidade declarada e transparência na comunicação. Resolver essa tensão depende de governança sobre o ciclo de vida dos dados. Quando os dados são tratados com base legal adequada, finalidade clara e mecanismos de exclusão funcionais, a tecnologia opera dentro da lei sem perder eficiência. Vale registrar ainda que a própria IA pode atuar a favor da conformidade, identificando em grandes bases quais dados já não precisam ser retidos.

O QUE MUDA NA RESPONSABILIDADE DA EMPRESA QUANDO UMA IA DECIDE OU APOIA DECISÕES SOBRE PESSOAS?

O ponto de maior contato entre inteligência artificial e proteção de dados está nas decisões automatizadas, tratadas no artigo 20 da LGPD. A lei assegura ao titular o direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses, incluindo aquelas destinadas a definir perfis pessoais ou profissionais. Para a empresa, a responsabilidade central recai sobre a capacidade de explicar o resultado, já que o controlador precisa demonstrar a lógica do tratamento e responder por suas consequências. Quando uma ferramenta de IA passa a triar atendimentos, ordenar a fila de chamados ou apoiar a concessão de crédito, cada uma dessas operações entra no escopo desse direito.

A interpretação desse artigo ainda está em construção no Judiciário brasileiro, o que adiciona uma camada de incerteza que merece atenção. Entre 2020 e 2024, 456 decisões analisaram a aplicação do artigo 20, com concentração no Tribunal de Justiça de São Paulo e pedidos de perícia mais frequentes na esfera trabalhista, onde se discute desde o acesso ao código fonte até o reconhecimento da chamada subordinação algorítmica. Essa falta de critérios consolidados aumenta a insegurança jurídica, inclusive sobre a proteção da propriedade intelectual envolvida nos algoritmos. Para quem decide adotar IA, a consequência é direta: documentar a finalidade do tratamento, manter registro da lógica das decisões e garantir um canal de revisão funcionam como proteção contra litígio e como base de uma operação defensável.

COMO AVALIAR SE UMA FERRAMENTA DE IA DE TERCEIROS É CONFIÁVEL QUANTO À PROTEÇÃO DE DADOS?

A área de tecnologia escolhe e contrata ferramentas com frequência, e a confiabilidade de uma solução de IA quanto à proteção de dados pode ser avaliada antes da assinatura do contrato. Um roteiro mínimo consiste em verificar se a ferramenta disponibiliza política de privacidade clara e em português, se identifica o controlador e o encarregado pela proteção de dados com canal de contato acessível, se descreve as medidas técnicas e administrativas de segurança em vez de apenas declará-las, se explicita a transferência internacional de dados com país de destino e mecanismo de proteção, e se informa eventual uso de raspagem de dados com a base legal correspondente. Esses pontos derivam de obrigações objetivas da LGPD e funcionam como um patamar abaixo do qual a transparência fica comprometida. Verificá-los no momento da seleção evita descobrir lacunas depois que a ferramenta já está integrada à operação.

O cuidado se justifica diante das evidências disponíveis. Um levantamento recente sobre as plataformas de IA generativa mais usadas no Brasil constatou que nenhuma atendeu integralmente a esse conjunto mínimo de critérios, com falhas que vão da ausência de versão em português à omissão sobre o mecanismo e os países de destino das transferências internacionais. Há ainda a questão da soberania sobre os dados, uma vez que as ferramentas mais populares ficam sediadas fora do país e, com elas, parte da capacidade de controlar e fiscalizar o tratamento escapa da jurisdição nacional. Avaliar um fornecedor por esses critérios não elimina o risco, mas torna a decisão consciente e documentável, o que importa quando a empresa precisa responder por escolhas de terceiros.

COMO REDUZIR O RISCO DE RESULTADOS DISCRIMINATÓRIOS OU POUCO CONFIÁVEIS?

A IA aprende a partir dos padrões presentes nos dados que recebe, e essa é a origem do problema. Quando a base de treinamento carrega vieses já existentes, o sistema tende a reproduzi-los nos resultados. Há casos documentados que ilustram o ponto, como algoritmos de previsão para policiamento que reproduziram discriminação racial, ou aplicações de classificação de imagens que rotularam pessoas de forma ofensiva em razão da cor da pele. A literatura sobre o tema identifica diferentes fontes de viés, que vão da amostragem com representatividade comprometida até a ampliação de distorções pelos próprios dados de treinamento, passando pelo preconceito de quem desenha o sistema.

Existe ainda um segundo risco, próprio da IA generativa, conhecido como alucinação. Nesse fenômeno, o modelo inventa informações ou fundamenta conclusões em premissas falsas, chegando a apresentar citações que não existem. O risco se agrava porque parte considerável das pessoas não consegue distinguir uma informação verdadeira de uma fabricada pela máquina. Um estudo internacional sobre o tema apontou que, entre os países avaliados, apenas a Finlândia tinha mais de 80% da população capaz de identificar conteúdo falso gerado por IA. Para uma empresa, isso significa que um resultado equivocado pode circular como se fosse confiável, com impacto na operação e na credibilidade.

A mitigação começa por reconhecer onde o risco mora, ou seja, nos dados e na forma de uso, e não em uma suposta vontade própria da tecnologia. Como o desenvolvedor escolhe o tipo de dado analisado, o algoritmo e a finalidade do tratamento, boa parte da distorção pode ser endereçada nessas etapas. Curadoria das bases, validação dos resultados antes de colocá-los em produção e supervisão humana sobre as decisões formam a tríade que reduz a exposição. Esse acompanhamento humano deixa de ser uma formalidade e passa a funcionar como salvaguarda contra resultados que comprometeriam pessoas e a reputação da empresa.

POR ONDE COMEÇAR A ADOTAR IA COM GOVERNANÇA ANTES DE ESCALAR

Antes da escolha da ferramenta vêm os dados e a governança sobre eles. O ponto de partida consiste em compreender a origem das informações, as transformações que sofrem, onde ficam armazenadas e quem responde por elas ao longo do percurso. Esse mapeamento sustenta qualquer decisão posterior, porque define a base legal do tratamento e os controles necessários para manter a conformidade. Sem essa clareza inicial, mesmo a ferramenta mais avançada opera sobre um terreno frágil.

O caminho recomendado evita a tentação de aplicar IA em vários processos ao mesmo tempo. Começar por um único processo bem delimitado permite medir o impacto, ajustar a abordagem e acumular aprendizado antes de expandir para outras áreas. Um escopo restrito reduz o risco, facilita a supervisão e gera evidências concretas sobre o retorno da iniciativa. A partir desse piloto controlado, a ampliação acontece com previsibilidade.

Esse encadeamento conversa com a forma como conduzimos projetos. A jornada começa pelo diagnóstico do cenário atual, segue para o desenho da solução ideal com foco em ganho concreto de desempenho, avança para a execução validada junto ao cliente e se mantém na sustentação contínua. Essa estrutura mantém a iniciativa de IA dentro de uma governança que acompanha o crescimento da operação, incorporando novas demandas e melhorias ao longo do tempo. O resultado é uma adoção previsível, auditável e alinhada à maturidade de cada empresa.

PRIMEIRO PASSO COM MÉTODO

Adotar IA com segurança jurídica depende menos de pressa e mais de método. A Amber — empresa de consultoria e implementação de tecnologia — acompanha empresas nesse percurso desde o diagnóstico dos processos e dos dados até a sustentação contínua da solução, com governança de dados, controles de acesso e práticas alinhadas à LGPD em cada etapa.

Atuamos de forma consultiva e independente de fornecedor, o que significa indicar e implementar a solução mais adequada ao contexto de cada operação. Se a sua área já considera aplicar inteligência artificial e quer fazê-lo sobre uma base sólida, fale com a Amber.

Falar com um especialista Amber.