O que as empresas devem observar ao usar IA no Tratamento de Dados Pessoais?

21 de maio de 2025

Por Julia Barbosa, João Victor e Sergio Lourenço

O uso de ferramentas baseadas em inteligência artificial (IA) tem se expandido de forma acelerada no contexto empresarial brasileiro, especialmente na oferta de serviços, atendimento ao consumidor, Central de Ajuda etc. Com a popularização de modelos generativos, como o ChatGPT, Claude, Gemini e outros sistemas de IA, surgem novas oportunidades de automação, eficiência e escalabilidade. Porém, também se intensificam os riscos relacionados as operações das quais integram tais sistemas, em especial quanto ao tocante da Lei Geral de Proteção de Dados (Lei nº 13.709/2018. “LGPD”).

Empresas que empregam ferramentas de IA, seja no atendimento automatizado, na personalização de conteúdos e serviços, ofertas de marketing, coleta e mapeamento de perfis e currículos, precisam considerar que essas ferramentas processam volumes massivos de informações que, muitas vezes, envolvem dados pessoais e/ou sensíveis, dados comportamentais e até inferenciais. A depender do contexto, o simples uso da IA já pode configurar uma atividade de alto risco para a empresa.

A aplicação mais comum de IA no cenário corporativo atual é o uso de chatbots e assistentes virtuais, que operam modelos generativos para interpretar perguntas, realizar análises, oferecer respostas e interagir com os consumidores e clientes, assim como analisar arquivos (como currículos e perfis de redes sociais). Ao fazer isso, essas ferramentas:

  • Coletam dados diretamente inseridos pelo titular (ex.: nome, CPF, dados de contato);
  • Inferem preferências, hábitos ou interesses com base no histórico de interação; e
  • Em alguns casos, tomam decisões automatizadas — como recomendar produtos ou aplicar filtros preditivos para atendimento.

Essas operações, embora inovadoras, enquadram-se em operações de tratamento de dados pessoais e estão sujeitas a todos os princípios da LGPD, em especial:

  • Finalidade (art. 6º, I): o uso dos dados deve ser compatível com o propósito informado;
  • Transparência (art. 6º, VI): o titular deve ser informado sobre o uso da IA e seu funcionamento;
  • Não discriminação (art. 6º, IX): o tratamento não pode gerar vieses ou decisões que afetem negativamente determinados grupos; e
  • Responsabilização e prestação de contas (art. 6º, X): a empresa deve demonstrar a adoção de medidas eficazes de governança de dados.

Adicionalmente, quando a IA for utilizada para decisões automatizadas que afetem interesses do titular (como crédito, contratação, ou exclusão de serviços), a LGPD assegura o direito à revisão humana (art. 20), assim como a explicação clara dos critérios adotados para a tomada de decisão.

Uma das práticas mais críticas envolvendo IA diz respeito a análise de perfil (profiling), que visa identificar padrões de comportamento e segmentar usuários com base em ações realizadas. Essa técnica, comum em marketing digital e concessão de crédito, pode levar à criação de perfis comportamentais complexos e altamente sensíveis.

A Autoridade Nacional de Proteção de Dados (ANPD) já se manifestou, em seu Guia Orientativo sobre Agentes de Tratamento, que o tratamento de dados por sistemas de perfilhamento demanda cautela redobrada, especialmente quando envolvem decisões automatizadas. Além disso, os artigos 11 e 12 da LGPD, que impõem requisitos adicionais quando o tratamento envolver dados sensíveis ou for baseado em inferências não fornecidas diretamente pelo titular.

Hipóteses legais: é possível tratar dados com IA?

Sim, mas não sem cuidado. O uso de IA para fins comerciais geralmente não se sustenta com base no consentimento genérico ou na base legal do “legítimo interesse” sem uma avaliação de impacto sólida.

As principais hipóteses legais aplicáveis, dependendo do caso, são:

  • Consentimento (art. 7º, I) – quando o uso da IA é opcional e envolve dados sensíveis ou tratamento que o titular pode recusar;
  • Execução de contrato (art. 7º, V) – se a IA for essencial para prestação de serviço contratado; e
  • Legítimo interesse (art. 7º, IX) – desde que respaldado por Relatório de Impacto à Proteção de Dados Pessoais (RIPD) e observando a razoabilidade da expectativa do titular.

O que as empresas devem fazer?

Diante desse cenário, é essencial que empresas adotem medidas proativas para garantir a conformidade do uso de IA com a LGPD, entre elas:

  • Mapeamento detalhado dos fluxos de dados nas interações com IA identificando tipos de dados, finalidades e riscos associados;
  • Transparência ao titular de dados, com políticas de privacidade claras e aviso sobre uso de IA no atendimento;
  • Implementação de revisão humana, sempre que a decisão automatizada possa impactar os direitos e interesses do consumidor;
  • Auditoria de algoritmos, para garantir que não há vieses ou discriminação nas respostas ou decisões tomadas pela IA;
  • Elaboração de Relatório de Impacto à Proteção de Dados Pessoais (RIPD) em todos os casos de tratamento com perfilhamento ou decisão automatizada;
  • Capacitação interna de times de TI, jurídico e atendimento sobre os limites legais do uso de IA.

A ANPD, em conjunto com o CADE, o Ministério Público e o sistema judiciário, tende a desempenhar um papel mais ativo diante da popularização da IA. A própria Resolução da OCDE sobre Inteligência Artificial e as diretrizes do Regulamento sobre Inteligência Artificial da União Europeia (AI Act) reforçam a necessidade de uma governança robusta.

Considerações Finais

Ainda que a tecnologia avance mais rápido do que a regulação, isso não exime as empresas de responsabilidade. O uso de IA generativa dentro das operações das empresas, em especial no atendimento ao consumidor e na análise de perfil exige responsabilidade técnica, jurídica e uma atuação ética.

A busca por inovação deve caminhar ao lado da proteção de direitos fundamentais, sob risco de comprometer a confiança do consumidor, atrair sanções relevantes e impedir avanços significativos na legislação de IA.

Nosso escritório está à disposição para orientar sua empresa na implementação de Políticas de Inteligência Artificial e Treinamentos, garantindo conformidade e segurança no uso de novas tecnologias. Entre em contato para saber mais.

Referências:

Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD) – https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

Guia Orientativo da ANPD sobre Agentes de Tratamento – ANPD, 2021 – https://www.gov.br/anpd/pt-br/centrais-de-conteudo/materiais-educativos-e-publicacoes/2021.05.27GuiaAgentesdeTratamento_Final.pdf

AI Act – Parlamento Europeu, 2024 – https://www.europarl.europa.eu/topics/en/article/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence#ai-regulation-in-europe-the-first-comprehensive-framework-4

OECD – Recommendation of the Council on Artificial Intelligence (2019)https://legalinstruments.oecd.org/en/instruments/oecd-legal-0449

Resolução CD/ANPD nº 2, de 27 de janeiro de 2022 – https://www.gov.br/anpd/pt-br/acesso-a-informacao/institucional/atos-normativos/regulamentacoes_anpd/resolucao-cd-anpd-no-2-de-27-de-janeiro-de-2022

Mais recentes
Due Diligence reversa: como proteger sua empresa antes de fechar uma parceria
O que as empresas devem observar ao usar IA no Tratamento de Dados Pessoais?
NR-1 e os Fatores de Risco Psicossociais – Atualizações 2025
STJ confirma direito a créditos de IPI sobre insumos mesmo com produto final não tributado
Regulamentação da IA no Brasil: o que esperar do marco legal em análise na Câmara
Conheça a lei do “Novo” empréstimo consignado

Relacionados

Todas Notícias