Um banco que nega crédito com base em dados e algoritmos. Um e-commerce que utiliza chatbots para apresentar ofertas. Um aeroporto que adota reconhecimento facial como medida de segurança e celeridade operacional. Esses exemplos, cada vez mais presentes no cotidiano, revelam uma tensão inevitável: como compatibilizar inteligência artificial com os limites e princípios da LGPD.
Na prática, o avanço da IA pressiona os contornos da lei. Se a LGPD consolidou bases como finalidade, transparência e segurança, a inteligência artificial opera de modo muito mais dinâmico, lidando com volumes massivos de dados e gerando resultados que nem sempre podem ser plenamente explicados. O contraste é evidente quando se examinam três pontos nevrálgicos: a definição da base legal adequada para o tratamento, a exigência de transparência em modelos que funcionam como caixas-pretas e o direito à revisão humana em decisões automatizadas.
Casos concretos já demonstram essas fricções. Instituições financeiras, ao precificar crédito por meio de algoritmos, são cobradas a explicar critérios. Empresas que utilizam chatbots precisam esclarecer finalidades e limites de uso. O reconhecimento facial, cada vez mais comum em empresas e órgãos públicos, levanta questões especialmente sensíveis ao lidar com dados biométricos. A LGPD, nesses cenários, funciona como filtro de legitimidade e como parâmetro de confiança no uso da tecnologia.
LEIA MAIS: Como garantir a proteção dos dados durante a reestruturação empresarial?
A Autoridade Nacional de Proteção de Dados já começou a aplicar sanções, mas até agora os valores foram módicos quando comparados ao teto previsto pelo legislador — multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração. O contraste entre a expectativa criada e a realidade observada demonstra que a ANPD optou por um início pedagógico, mas esse movimento não deve ser interpretado como sinal de complacência: o caminho natural é a elevação progressiva do rigor sancionatório, sobretudo em setores de alto risco.
O debate internacional reforça a urgência de um posicionamento mais claro. A União Europeia, com o AI Act, avança para classificar sistemas de IA de acordo com o risco e impor regras proporcionais ao impacto potencial. O Brasil, por sua vez, ainda não definiu como integrará a LGPD às novas exigências de governança algorítmica. Permaneceremos em uma regulação fragmentada, dependente de casos concretos e da atuação casuística da ANPD, ou caminharemos para um modelo normativo mais abrangente?
É justamente aqui que a questão da governança de IA se impõe. Não basta pensar em conformidade legal ou em técnicas de anonimização e segurança da informação. O que está em jogo é o desenho de mecanismos institucionais capazes de auditar, revisar e limitar os usos da inteligência artificial em consonância com valores constitucionais. A LGPD abriu a porta, mas não é suficiente. O Brasil precisará decidir se quer apenas reagir às inovações, corrigindo desvios a posteriori, ou se será capaz de construir um sistema de governança antecipatória, que dê previsibilidade às empresas e segurança aos titulares.
A provocação final é inevitável: até que ponto estamos preparados para que a inteligência artificial não apenas respeite a LGPD, mas seja regida por um modelo de governança que assegure, de forma contínua, direitos fundamentais? A próxima década mostrará se o país será capaz de se antecipar à tecnologia ou se continuará correndo atrás dela, em um jogo sempre desigual.
VEJA TAMBÉM: Mapa de Temas Prioritários (MTP): o que esperar da proteção de dados até 2025?
FAQ – LGPD, Inteligência Artificial e Governança
- A LGPD proíbe o uso de inteligência artificial no Brasil?
Não. A LGPD não veda o uso da IA, mas impõe que todo tratamento de dados observe princípios como finalidade, necessidade, transparência e segurança. O desafio não é “usar ou não IA”, mas garantir que ela opere dentro dos limites da lei. - Qual é o maior desafio da IA frente à LGPD?
A explicabilidade. Muitos algoritmos operam como verdadeiras “caixas-pretas”, o que dificulta a compreensão sobre como chegam às decisões. Isso colide com o direito à informação previsto na LGPD e pressiona empresas a adotarem mecanismos de supervisão humana. - O que acontece se uma decisão automatizada prejudicar o titular?
O art. 20 da LGPD assegura ao cidadão o direito de solicitar revisão por pessoa natural de decisões exclusivamente automatizadas. Assim, instituições financeiras, seguradoras e empresas de tecnologia devem combinar IA com supervisão humana, sob pena de responsabilização. - A ANPD já aplicou multas relevantes?
Sim, mas em valores inferiores ao teto estabelecido pela lei. A LGPD prevê multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração. Até o momento, a ANPD aplicou sanções mais modestas, em linha com uma estratégia pedagógica inicial, mas o rigor tende a aumentar à medida que o mercado amadurece. - Qual é o papel do PL 2338/2023?
O projeto de lei em discussão no Senado busca estabelecer um marco regulatório específico para a inteligência artificial no Brasil, inspirado no AI Act europeu. Ele pretende classificar riscos, criar obrigações proporcionais e introduzir requisitos de governança. Se aprovado, complementará a LGPD ao tratar de aspectos não contemplados pela lei de dados pessoais. - Como implementar a governança de IA na prática?
A governança pode ser estruturada com base em normas internacionais já consolidadas, como os frameworks da ISO (ex.: ISO/IEC 42001, voltada a sistemas de gestão de IA) e do NIST (AI Risk Management Framework). Essas referências oferecem metodologias para auditoria, mitigação de riscos, monitoramento de vieses e alinhamento ético da tecnologia. - O futuro da LGPD será suficiente para lidar com a IA?
Provavelmente não. A LGPD é peça central, mas não encerra todas as questões trazidas pela inteligência artificial. A tendência é que a governança de IA exija um mosaico de instrumentos: legislação (como o PL 2338), regulamentações da ANPD e adesão a padrões internacionais (ISO, NIST), de forma a alinhar inovação e proteção de direitos fundamentais.
* Paulo Vinícius de Carvalho Soares é sócio e Data Protection Officer na LBCA, Mestre em Direito Civil pela PUC-SP, Especialista em Direito de Internet pela FGV.