IA e LGPD: como usar inteligência artificial na empresa sem riscos
Danilo Gato
Autor
Resposta rápida
Usar IA na empresa sem violar a LGPD exige três cuidados principais: (1) nunca colar dado pessoal de terceiro — CPF, e-mail, currículo, prontuário, contrato — num prompt de ferramenta pública sem necessidade e sem base legal pra isso; (2) lembrar que enviar prompt pra ChatGPT, Claude ou Gemini é, tecnicamente, uma transferência internacional de dados (os servidores ficam fora do Brasil), o que exige atenção ao Artigo 33 da LGPD; (3) ter uma política interna simples dizendo o que pode e o que não pode entrar em prompt. A multa da LGPD chega a 2% do faturamento da empresa, limitada a R$ 50 milhões por infração — e a ANPD colocou IA como um dos 4 eixos prioritários de fiscalização pro biênio 2026-2027. Não é teoria: é risco real e crescente.
Por que usar IA na empresa é, na prática, transferência internacional de dados?
Grande parte das empresas trata “colar um texto no ChatGPT” como algo trivial — mas juridicamente não é. Os servidores da OpenAI, Anthropic e Google ficam fora do Brasil (em geral EUA ou Europa). Quando você manda um prompt com dado pessoal — nome de cliente, e-mail, histórico de atendimento — a empresa está, na prática, exportando dado pessoal pra outro país. Isso cai direto no Capítulo V da LGPD (Artigo 33), que trata especificamente de transferência internacional de dados.
A regra geral: essa transferência só é permitida se o país de destino tiver nível de proteção adequado reconhecido pela ANPD, ou se existir instrumento contratual específico (cláusulas-padrão, garantias contratuais) entre a empresa e o fornecedor da IA. Segundo um levantamento da FGV de 2025, nenhuma das sete principais plataformas de IA generativa usadas no Brasil está plenamente adequada à LGPD — o que não significa “não usar IA”, mas sim “usar com cuidado sobre o que entra no prompt”.
Que dados NUNCA devem entrar num prompt de IA pública?
Regra prática, sem economês: se o dado identifica uma pessoa específica e você não tem autorização/base legal clara pra tratar aquele dado daquela forma, ele não entra no prompt de uma ferramenta de IA de uso geral. Isso inclui:
- CPF, RG, dados bancários ou de cartão
- Currículo completo de candidato (nome + histórico + contato) colado pra “resumir” ou “comparar”
- Prontuário médico, laudo, dado de saúde de qualquer pessoa
- Contrato com nome de cliente, valor e cláusula específica
- Print de conversa de WhatsApp com cliente identificável
- Dado de criança/adolescente (a ANPD colocou isso como eixo prioritário de fiscalização 2026-2027)
Se a tarefa exige usar informação real (ex.: triagem de currículo, como vimos no artigo sobre ChatGPT por área), a saída mais segura é anonimizar antes: trocar nome por “Candidato A”, remover contato direto, manter só o que é relevante pra avaliação.
Como aplicar a LGPD na prática ao usar IA no trabalho (checklist)
Não precisa virar departamento jurídico pra fazer isso direito. Um checklist prático:
- Defina o que pode e o que não pode ir pra IA. Lista curta, objetiva, sem juridiquês — a maior parte dos erros é falta de regra clara, não má-fé.
- Prefira contas corporativas/empresariais das ferramentas de IA, quando disponível — costumam ter termos de retenção de dados mais rígidos que a conta pessoal gratuita.
- Anonimize antes de colar. Troque nome próprio por identificador genérico sempre que a tarefa permitir.
- Verifique se o fornecedor da IA tem DPA (Data Processing Agreement) ou cláusulas de transferência internacional — geralmente disponível na página de termos/privacidade da empresa (OpenAI, Anthropic, Google Cloud/Microsoft todas publicam isso).
- Documente a decisão. Se a empresa decidiu usar IA pra determinada tarefa, registre por escrito a base legal e o cuidado tomado — em caso de fiscalização, ter isso documentado já reduz muito o risco.
- Treine quem usa. A maioria dos vazamentos por IA não é ataque hacker, é colaborador colando dado sensível sem saber que isso é risco.
Exemplo real de risco: o RH que colou currículos inteiros no ChatGPT
Pra tirar do abstrato: imagina um RH que recebe 40 currículos pra uma vaga e cola todos, com nome completo, telefone e e-mail, direto numa conta gratuita de IA pública pedindo “faça um ranking dos melhores”. Três problemas de LGPD nessa cena só: (1) os dados desses 40 candidatos acabaram de ser transferidos pra servidor fora do Brasil sem base legal clara pra esse uso específico; (2) se a empresa usar esse ranking automático pra decidir quem é chamado pra entrevista, os candidatos reprovados têm direito de pedir revisão humana da decisão (Artigo 20 da LGPD); (3) não existe consentimento nem finalidade informada aos candidatos de que o currículo deles seria processado por uma IA de terceiro.
A correção é simples e não trava o trabalho: anonimizar antes de colar (trocar nome por “Candidato 1”, remover contato direto), garantir que a decisão final de quem avança é humana, e — se possível — usar conta corporativa em vez de gratuita. O ganho de produtividade da IA continua, só o risco jurídico some.
O que a ANPD está fiscalizando em 2026-2027 sobre IA?
A ANPD publicou o Mapa de Temas Prioritários do biênio 2026-2027 (Resolução CD/ANPD nº 30/2025), em vigor desde dezembro de 2025, definindo quatro eixos de fiscalização prioritária — e um deles é especificamente “aplicação de inteligência artificial e tecnologias emergentes”. Os outros três eixos são proteção dos direitos dos titulares, dados de crianças e adolescentes, e tratamento de dados pelo Poder Público.
A agência também publicou a Nota Técnica nº 12/2025, dedicada ao direito de revisão de decisões automatizadas (Artigo 20 da LGPD) — ou seja, se sua empresa usa IA pra tomar decisão que afeta uma pessoa (aprovar/recusar crédito, triagem de currículo automática, etc.), essa pessoa tem direito de pedir revisão humana da decisão. Isso muda o jogo pra quem usa IA em processos como seleção de candidatos ou análise de crédito: a decisão final não pode ser 100% automática sem opção de revisão.
Na prática, a ANPD está deixando de ser uma agência “de orientação” e virando uma agência “de fiscalização” de verdade — com poder de multa e, em casos extremos, de determinar suspensão de operação.
Preciso de um DPO ou política formal de uso de IA?
Depende do tamanho e do risco da operação, mas a tendência regulatória para 2026 caminha pra tornar isso praticamente obrigatório em empresas que tratam volume relevante de dado pessoal. A orientação prática da ANPD é que toda organização que usa IA crie uma política corporativa definindo responsabilidades, critérios de aprovação de novas ferramentas de IA, e classificação de risco por tipo de uso — com privacidade e segurança pensadas desde o início (privacy by design), não como remendo depois que já vazou algo. Se sua empresa ainda não tem essa política, o guia de política de uso de IA na empresa detalha como montar uma do zero.
O que fazer se um dado sensível for compartilhado por engano com a IA?
Primeiro: não entre em pânico, mas também não ignore. Documente o que aconteceu (qual dado, qual ferramenta, quando). Verifique nos termos do fornecedor se há como solicitar exclusão do prompt/histórico — a maioria das plataformas grandes oferece isso. Avalie o nível de risco: um CPF isolado sem mais contexto é diferente de um contrato inteiro com dado financeiro. Se o incidente for relevante (volume de dados, dado sensível, risco real ao titular), a LGPD prevê comunicação à ANPD e aos titulares afetados em prazo razoável — quanto antes a empresa perceber e agir, menor o risco de penalidade.
Leia também
- Política de uso de IA na empresa: como criar (governança, riscos e boas práticas)
- ChatGPT é seguro? Privacidade e proteção de dados ao usar IA no trabalho
- ChatGPT no trabalho: guia prático por área (RH, marketing, vendas e financeiro)
Este artigo é conteúdo educativo sobre LGPD e IA, não substitui orientação jurídica formal — pra decisões específicas do seu negócio, consulte um advogado especializado em proteção de dados.
