Ferramentas como ChatGPT, Copilot, Claude e Gemini já fazem parte do cotidiano corporativo. Elas escrevem textos, analisam documentos, geram códigos e atendem clientes. Mas há um problema crescente: colaboradores usam IA generativa sem qualquer orientação de privacidade ou segurança, expondo dados pessoais e colocando a empresa em risco real de infringir a LGPD, além de sofrer incidentes de segurança e violações de dados pessoais com alto impacto regulatório e reputacional.

Segundo estudo da MIT Technology Review Brasil (2025), 90% das empresas brasileiras já utilizam IA generativa para aumentar eficiência, mas apenas 22% possuem governança adequada. Esse dado mostra que a inovação avança mais rápido do que a conformidade. A Autoridade Nacional de Proteção de Dados (ANPD) já se posicionou claramente sobre o tema, com o Radar Tecnológico – IA Generativa e a Nota Técnica nº 27/2024, que questionou o uso, pela Meta, de dados pessoais, inclusive de não usuários, para treinar modelos de IA. O recado é simples: IA generativa não está fora do alcance da LGPD.

Onde a IA aparece (mesmo quando a empresa acha que não usa IA)

• Colaboradores colando documentos internos em prompts;

• Marketing criando campanhas e segmentações com IA;

• RH triando currículos e avaliando desempenho;

• Chatbots conectados a históricos de clientes;

• Times de produto treinando modelos com dados internos;

• Quase sempre há dados pessoais envolvidos e isso aciona obrigações legais imediatas.

Principais riscos no uso de IA generativa

Vazamento acidental: Alguém envia dados pessoais à IA sem perceber. Planilhas, contratos e informações internas viram potenciais incidentes.

Treinamento com dados pessoais sem base legal: A NT nº 27/2024 foi clara: treinar IA com dados pessoais exige base legal adequada. Consentimentos vagos e legítimo interesse mal justificado não bastam.

Opacidade e decisões automatizadas: Modelos generativos dificultam explicar como o dado foi utilizado, afetando transparência e o direito do titular à revisão de decisões automatizadas (art. 20 da LGPD).

Novos riscos de segurança: IA pode gerar códigos vulneráveis, revelar padrões sensíveis e potencializar ataques como deepfakes e engenharia social.

Três perguntas obrigatórias antes de usar IA

1)      Qual a finalidade exata do uso de IA?

2)      Quais dados pessoais realmente preciso usar? É possível anonimizar ou sintetizar?

3)      Qual é a base legal?

Se não houver resposta clara, não é seguro avançar sem análise aprofundada.

Como usar IA generativa em conformidade com a LGPD

Crie uma política interna de uso de IA

Defina o que pode ou não ser enviado às ferramentas, quando usar versões corporativas e como reportar uso indevido.

Minimize dados pessoais

Prefira exemplos fictícios, dados anonimizados ou bases sintéticas para testes.

Revise contratos de IA

Verifique cláusulas sobre treinamento com seus dados, segurança da informação, transferências internacionais e suporte ao exercício dos direitos dos titulares.

Faça Relatórios de Impacto à Proteção de Dados Pessoais (RIPD)

Projetos que envolvem dados pessoais sensíveis, tratamento em larga escala ou base legal de legítimo interesse com potencial impacto relevante devem contar com avaliação formal de riscos.

Transparência reforçada

Explique claramente quando e por que usa IA, quais dados entram no processo, se existe decisão automatizada relevante e como pedir revisão humana.

Traga o Encarregado pelo Tratamento de Dados Pessoais para o centro da governança

O Encarregado deve atuar desde o desenho do projeto até a revisão contratual e a análise de riscos.

Em suma: IA generativa e LGPD não são opostas. Inovação só é sustentável quando respeita direitos e protege dados. Empresas que investirem em governança mínima, uso responsável e contratos claros transformarão a IA de risco em vantagem competitiva real.

Respeitar a LGPD não é apenas evitar multas, mas construir confiança, segurança jurídica e maturidade tecnológica.

Sobre o autor:

Mariana Sbaite Gonçalves

https://www.linkedin.com/in/mariana-sbaite

Advogada especialista em proteção de dados pessoais, CIPM/IAPP, CDPO/BR, DPO/EXIN, AI Governance Manager. Auditora Líder nas ISOs 27001/22, 27701/19, 37001/2025, 37301/2021 e 42001/23. Autora do livro “Inteligência Artificial e Privacidade: O Papel do Encarregado pelo Tratamento de Dados Pessoais na Nova Era Digital”. Coautora dos livros “LGPD e Cartórios” e “Mulheres na Tecnologia”, e mestranda em Science in Legal Studies.

(Foto de Jonathan Kemper na Unsplash)