EnglishKoreanPortugueseSpanish
EnglishKoreanPortugueseSpanish

O que o Dia Nacional da Proteção de Dados revela sobre a governança de IA?

O que o Dia Nacional da Proteção de Dados revela sobre a governança de IA?

No Dia Nacional da Proteção de Dados, instituído para fortalecer a cultura de proteção de dados e incentivar boas práticas de governança no Brasil, o cenário regulatório revela uma realidade que muitas organizações ainda não assimilaram: a fiscalização da inteligência artificial já é presente, não futura. Em 2026, refletir sobre proteção de dados significa, necessariamente, refletir também sobre governança de inteligência artificial.

Se há alguns anos a principal preocupação das empresas era estruturar programas de conformidade com a LGPD, hoje esse programa precisa necessariamente incorporar a governança dos sistemas de inteligência artificial utilizados na organização. 

Há uma narrativa confortável que circula nos departamentos jurídicos e de tecnologia de muitas empresas brasileiras: a de que, enquanto o marco legal de inteligência artificial não for aprovado, não há muito o que fazer além de acompanhar a tramitação legislativa. Essa narrativa é equivocada e potencialmente custosa.

O que 2026 deixou claro é que a Agência Nacional de Proteção de Dados (ANPD) não aguardou o Congresso. Valendo-se das competências que a LGPD já lhe confere, a Agência se consolidou como reguladora de fato dos sistemas de IA que envolvem dados pessoais. E o fez com instrumentos concretos: um mapa de prioridades de fiscalização, um sandbox regulatório em operação e intervenções administrativas que geraram precedentes relevantes.

A ANPD como reguladora de IA

Em dezembro de 2025, a ANPD publicou o Mapa de Temas Prioritários para o biênio 2026-2027 e incluiu inteligência artificial e tecnologias emergentes como um dos quatro eixos de fiscalização, ao lado de direitos dos titulares, proteção de crianças no ambiente digital e tratamento de dados pelo poder público.

A inclusão não é simbólica. No eixo de IA, a ANPD deixa claro que sistemas de inteligência artificial que envolvam dados pessoais estarão sujeitos a avaliação rigorosa quanto a: 

  • Transparência — o titular sabe que está interagindo com IA? 
  • Mitigação de vieses — o sistema discrimina grupos protegidos? 
  • Segurança da informação — os dados usados para treinar ou alimentar a IA estão protegidos? 
  • E impactos sobre direitos dos titulares — decisões automatizadas respeitam o artigo 20 da LGPD?

Paralelamente à agenda de fiscalização, o sandbox regulatório de IA da ANPD já se encontra em fase de operação com empresas selecionadas, e as lições aprendidas durante o sandbox servirão de base para a regulamentação definitiva de IA pela Agência. Trata-se de um mecanismo inédito no Brasil: a Agência de proteção de dados construindo jurisprudência administrativa sobre IA em tempo real, junto ao mercado, antes mesmo de qualquer lei específica.

LEIA TAMBÉM:

Como a IA está redefinindo o dever de informar na medicina

O que o caso Grok revelou?

O episódio mais emblemático desse novo momento regulatório foi a atuação da ANPD sobre o sistema Grok, da plataforma X. A ANPD adotou medidas sucessivas no chamado ‘caso Grok’, envolvendo a manipulação de fotografias reais para inserção de pessoas em contextos íntimos e sexualizados pela ferramenta de IA integrada à plataforma X. 

Após a publicação da Nota Técnica 1/2026, em conjunto com o Ministério Público Federal e a Secretaria Nacional do Consumidor, os órgãos determinaram que o X implementasse imediatamente medidas técnicas capazes de impedir a geração de conteúdos sexualizados.

O que torna o caso relevante para além de sua gravidade específica é a tese jurídica que ele consolidou. A ANPD afirmou que funcionalidades de IA capazes de alterar a representação de pessoas reais passam a ser enquadradas como tratamento de dados pessoais, inclusive sensíveis, exigindo controles técnicos efetivos desde a concepção da tecnologia, não sendo suficientes políticas internas ou remoções posteriores de conteúdo.

Essa posição tem implicações que vão muito além do caso concreto. Ela desloca o critério de conformidade: não basta ter uma política interna proibindo o uso indevido. O sistema precisa, desde sua arquitetura, ser incapaz de produzir resultados ilícitos de forma sistemática. Governança declaratória deixa de ser suficiente.

O instrumento já existente: o artigo 20 da LGPD

Enquanto o marco legal de IA tramita na Câmara, o artigo 20 da LGPD assume papel central ao assegurar ao titular o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado, sendo o único dispositivo de direito material da LGPD com previsão expressa de auditoria pela ANPD em caso de descumprimento.

A ANPD avançou concretamente nesse tema: a Nota Técnica nº 12/2025 consolidou 124 contribuições recebidas na Tomada de Subsídios sobre decisões automatizadas, sinalizando o caminho para a regulamentação do artigo 20 — que deverá definir critérios para o grau de explicabilidade exigível por tipo de decisão.

Esse é o ponto de maior exposição atual para empresas que usam IA em processos decisórios — concessão de crédito, triagem de candidatos, precificação, atendimento automatizado. A ANPD colocou inteligência artificial e tecnologias emergentes entre os quatro temas prioritários de fiscalização para o biênio 2026-2027, o que significa que empresas estão usando IA em escala, mas muitas ainda não têm governança, transparência e revisão humana adequadas.

O impacto no ecossistema de proteção de dados

A principal consequência prática desse cenário é que programas de privacidade e programas de governança de inteligência artificial deixam de caminhar separadamente. A maturidade em proteção de dados passa, cada vez mais, pela maturidade na gestão dos sistemas de IA utilizados pela organização. 

Empresas que operam sistemas de IA com dados pessoais devem tratar a adequação à LGPD não como etapa preparatória para uma futura lei de IA, mas como obrigação corrente e exigível. Isso implica revisar bases legais de tratamento, elaborar RIPDs específicos para sistemas automatizados, documentar critérios de decisão e estruturar canais efetivos de resposta ao exercício de direitos pelos titulares.

Temas como reutilização de dados, inferência de dados sensíveis e delimitação de responsabilidades ao longo da cadeia de IA tendem a ganhar centralidade em 2026, especialmente diante da dificuldade prática de exercício de direitos por titulares em sistemas automatizados.

A cadeia de responsabilidade é um ponto particularmente sensível. O PL 2338/2023, quando aprovado, deverá prever responsabilidade solidária entre desenvolvedores e usuários de sistemas de IA em determinadas circunstâncias. Mas mesmo antes disso, a LGPD já distribui obrigações entre controladores e operadores — e empresas que contratam soluções de IA de terceiros sem cláusulas contratuais adequadas estão acumulando exposição invisível.

O que fazer agora?

O Dia Nacional da Proteção de Dados é uma oportunidade concreta para que organizações revisitem sua maturidade em governança de dados à luz do cenário de IA. Algumas ações imediatas:

  • Inventariar todos os sistemas de IA em uso que envolvam dados pessoais, incluindo ferramentas contratadas de terceiros. Muitas empresas desconhecem a extensão do próprio ecossistema tecnológico;
  • Mapear quais desses sistemas tomam ou influenciam decisões sobre pessoas. Esses são os que se enquadram no escopo do artigo 20 da LGPD e que estarão no radar da fiscalização da ANPD;
  • Verificar se as bases legais de tratamento cobrem adequadamente o uso de IA. Bases genéricas, políticas de privacidade desatualizadas e consentimentos que não mencionam processamento automatizado são fontes de risco imediatas;
  • Estruturar processos de resposta ao exercício de direitos. O direito à explicação de decisões automatizadas precisa ter um fluxo operacional, não apenas uma previsão em política interna;
  • Revisar contratos com fornecedores de tecnologia. A distribuição de responsabilidades entre quem desenvolve e quem opera sistemas de IA precisa estar refletida em obrigações contratuais claras.

O Dia Nacional da Proteção de Dados nasceu como uma data de conscientização. Em 2026, ele encontra um cenário em que a conscientização não é mais suficiente. A ANPD já está atuando. A LGPD já se aplica. O que falta, em muitas organizações, é conformidade.

Post Relacionados