Blog

IA e LGPD: O que Você Precisa Saber sobre Regulação

7 min de leitura

Você implementou IA no atendimento ao cliente. Está usando ChatGPT para analisar dados de vendas. Configurou um chatbot que coleta informações dos visitantes do site. Tudo funcionando. Até que alguém pergunta: “isso está de acordo com a LGPD?”

Resumo rápido: A LGPD (Lei 13.709/2018) não menciona “inteligência artificial” explicitamente. Se sua IA toma uma decisão que afeta um indivíduo — e essa decisão é baseada em dados pessoais — o titular tem direito de pedir explicação e revisão humana.

A maioria dos empreendedores brasileiros que usam IA não faz ideia de onde pisam do ponto de vista regulatório. E não é por negligência — é porque o cenário é confuso. A LGPD foi escrita antes da explosão da IA generativa. O Marco Legal da IA ainda está em tramitação. E a ANPD (Autoridade Nacional de Proteção de Dados) ainda está construindo orientações específicas.

Mas “o cenário é confuso” não é desculpa que segura multa. Neste artigo, vou mapear o que já é lei, o que está em formação e o que você precisa fazer agora para usar IA sem criar bomba jurídica. Para o contexto mais amplo de regulação digital, veja a análise sobre regulação digital no Brasil.

O que a LGPD já diz sobre uso de IA

A LGPD (Lei 13.709/2018) não menciona “inteligência artificial” explicitamente. Mas seus princípios se aplicam diretamente a qualquer sistema que processe dados pessoais — incluindo sistemas de IA.

Decisões automatizadas: o artigo 20

O artigo 20 da LGPD garante ao titular de dados o direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais. Isso inclui: perfil de crédito gerado por IA, precificação dinâmica baseada em perfil do usuário, aprovação ou negação automática de cadastro, segmentação para ofertas diferenciadas.

Se sua IA toma uma decisão que afeta um indivíduo — e essa decisão é baseada em dados pessoais — o titular tem direito de pedir explicação e revisão humana. Você precisa ter mecanismo para atender esse pedido.

Base legal: por que você coleta esses dados?

Toda coleta e tratamento de dados pessoais exige base legal. As mais comuns para IA em negócios: consentimento (o titular autorizou), legítimo interesse (você demonstra que o uso é razoável e proporcional) ou execução de contrato (o tratamento é necessário para prestar o serviço contratado).

O problema: muitas empresas coletam dados para uma finalidade (processar pedido) e depois usam esses mesmos dados para treinar modelos, segmentar ofertas ou alimentar chatbots — sem informar o titular. Isso é desvio de finalidade, e a LGPD proíbe.

Transparência e explicabilidade

A LGPD exige que o titular saiba que seus dados estão sendo tratados, para qual finalidade e por quem. Se seu chatbot de IA coleta informações durante o atendimento, o cliente precisa saber. Se você usa dados de navegação para personalizar ofertas com IA, isso deve estar na política de privacidade — em linguagem clara, não em juridiquês que ninguém lê.

“Segundo a ANPD, o princípio da transparência exige que informações sobre o tratamento de dados sejam disponibilizadas de forma clara e acessível ao titular. Sistemas de IA não são exceção — são, na verdade, casos onde a transparência é ainda mais necessária pela complexidade do tratamento.”

ANPD, Guia Orientativo sobre Tratamento de Dados Pessoais por IA, 2025

O Marco Legal da IA no Brasil: onde estamos

O PL 2338/2023, que propõe o Marco Legal da Inteligência Artificial no Brasil, está em tramitação avançada. O projeto adota abordagem baseada em risco — similar ao AI Act europeu — classificando sistemas de IA em categorias de risco e exigindo medidas proporcionais.

Classificação por risco

  • Risco excessivo: sistemas proibidos (manipulação subliminar, scoring social generalizado).
  • Alto risco: sistemas usados em decisões sobre crédito, emprego, saúde, segurança pública. Exigem avaliação de impacto, transparência reforçada e supervisão humana.
  • Risco limitado: sistemas com obrigações de transparência (informar que o conteúdo foi gerado por IA, por exemplo).
  • Risco mínimo: sem obrigações específicas adicionais.

O que muda para PMEs

A maioria dos usos de IA em PMEs — chatbots, geração de conteúdo, análise de dados, automação de marketing — cairá na categoria de risco limitado ou mínimo. As obrigações serão proporcionais: informar que o conteúdo é gerado por IA, manter registro dos sistemas utilizados, garantir que o uso não discrimina.

Para e-commerce, o cenário mais sensível é precificação dinâmica e scoring de clientes. Se sua IA decide preço ou condições com base em perfil do consumidor, a exigência de transparência e não-discriminação será maior.

Riscos reais que empreendedores estão correndo agora

1. Enviar dados de clientes para APIs de IA sem consentimento

Quando você cola dados de clientes no ChatGPT para análise, esses dados são processados nos servidores da OpenAI — potencialmente fora do Brasil. Isso configura transferência internacional de dados, que a LGPD regula. A OpenAI, Anthropic e Google têm políticas de não usar dados de API para treinamento, mas o consentimento do titular para esse processamento nem sempre está coberto.

2. Chatbot que coleta dados sem aviso

Chatbots de IA que pedem nome, e-mail, CPF ou dados de pedido durante a conversa estão coletando dados pessoais. Se a política de privacidade do site não menciona esse processamento, e se não há aviso antes da coleta, há descumprimento da LGPD.

3. Personalização que discrimina

IA que oferece preços diferentes, condições diferentes ou experiências diferentes com base em perfil do consumidor pode configurar discriminação. Se a diferenciação é baseada em dados como localização, gênero ou idade sem justificativa objetiva, o risco jurídico é concreto.

4. Conteúdo gerado por IA sem supervisão

Descrições de produto, e-mails marketing e respostas de suporte gerados por IA podem conter informações falsas, promessas enganosas ou dados desatualizados. Se um cliente toma decisão com base em informação falsa gerada pela sua IA, a responsabilidade é da empresa — não da ferramenta.

“Segundo Babi Tonhela, CEO da Marketera e do Marketek, a IA é ferramenta, não escudo legal. Se o chatbot da sua empresa promete algo que você não cumpre, a responsabilidade é sua. LGPD ou não, a regra é a mesma: quem opera o sistema responde pelo resultado.”

Babi Tonhela, CEO da Marketera e do Marketek

Checklist prático: IA + LGPD para PMEs

Você não precisa de um departamento jurídico para começar. Precisa de bom senso estruturado.

  1. Mapeie os dados pessoais que fluem para ferramentas de IA. Quais dados de clientes você envia para ChatGPT, Claude, Make, chatbots? Liste tudo.
  2. Verifique a base legal de cada fluxo. Tem consentimento? É legítimo interesse documentado? É necessário para o contrato?
  3. Atualize a política de privacidade. Mencione que usa IA para [finalidades específicas], quais dados são processados e quais ferramentas são utilizadas. Linguagem clara.
  4. Avise antes de coletar. Chatbot deve informar que é IA e que dados da conversa serão processados. Banner de cookies deve incluir processamento por IA se aplicável.
  5. Use APIs, não interfaces públicas, para dados sensíveis. APIs da OpenAI e Anthropic têm políticas de não treinamento com dados enviados. Colar dados na interface do ChatGPT gratuito não tem a mesma garantia.
  6. Mantenha supervisão humana em decisões que afetam clientes. Preço, crédito, aprovação de cadastro — se IA decide, humano deve poder revisar.
  7. Documente. Quais sistemas de IA você usa, para que, desde quando, quem é responsável. Esse registro será exigido quando o Marco Legal da IA entrar em vigor.

Para entender como IA se aplica de forma completa ao e-commerce dentro desse contexto regulatório, consulte o guia de IA para e-commerce e PMEs.

Perguntas frequentes sobre IA e LGPD

Posso usar ChatGPT com dados de clientes?

Pode, com cuidados. Use a API (não a interface gratuita) para dados pessoais. Verifique se os termos da OpenAI garantem não uso de dados para treinamento. Garanta que sua política de privacidade informa esse processamento e que existe base legal para ele. Evite enviar dados sensíveis (saúde, financeiros, biométricos) sem necessidade comprovada.

Meu chatbot de IA precisa informar que é IA?

O Marco Legal da IA (quando aprovado) vai exigir transparência: o usuário deve saber que está interagindo com um sistema de IA. Mesmo antes da lei, é boa prática. Consumidores que descobrem que foram “enganados” por um bot têm reação negativa — e podem reclamar no Procon com base no Código de Defesa do Consumidor.

Qual o risco real de multa por uso de IA em descumprimento da LGPD?

A ANPD pode aplicar multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração. Em 2025, as primeiras multas foram aplicadas no Brasil. A fiscalização ainda está em fase de maturação, mas o risco é crescente — e a reputação é afetada antes mesmo de qualquer multa.

Precificação dinâmica com IA é ilegal?

Não é ilegal em si. Mas se a diferenciação de preço é baseada em características pessoais (e não em fatores objetivos como volume de compra ou momento da oferta), pode configurar prática abusiva sob o Código de Defesa do Consumidor e tratamento discriminatório sob a LGPD. O critério deve ser objetivo e documentado.

Conclusão: regulação não é obstáculo — é regra do jogo

A LGPD e o futuro Marco Legal da IA não existem para impedir inovação. Existem para garantir que inovação não passe por cima de direitos. E, para empreendedores, compliance não é custo — é diferencial competitivo. Clientes confiam mais em empresas que tratam seus dados com respeito.

O cenário regulatório de IA no Brasil ainda está em construção. Mas os princípios já estão claros: transparência, finalidade, proporcionalidade e responsabilidade. Empreendedor que internaliza esses princípios agora não vai precisar correr para se adaptar quando a lei chegar. Já vai estar pronto. 🏛️

[cta_newsletter]

Tags:
Compartilhar:

Deixe um comentário

Seu e-mail não será publicado. Campos obrigatórios marcados com *

Leia também

Artigos relacionados