FVG: nenhuma IA cumpre exigências mínimas da LGPD

Recente pesquisa conduzida pelo Centro de Tecnologia e Sociedade da FGV Direito Rio (CTS-FGV) e publicada pelo jornal O Globo, revela que diferentes plataformas de inteligência artificial amplamente utilizadas no Brasil operam em desacordo com requisitos fundamentais da Lei Geral de Proteção de Dados (LGPD). O estudo, que analisou sete ferramentas de IA (ChatGPT, Gemini, Claude, Copilot, Grok, DeepSeek e Meta AI) sob catorze critérios, constatou que nenhuma delas cumpre integralmente as exigências legais.

Entre as não conformidades mais evidentes, destaca-se a ausência de políticas de privacidade em língua portuguesa, uma exigência explícita da legislação nacional. Adicionalmente, as plataformas avaliadas falham em outras obrigações legais mínimas, como a informação clara sobre os direitos dos usuários e a detalhação do processo para a transferência internacional de dados.

Como salienta a reportagem, Luca Belli, professor e coordenador do CTS-FGV, um dos responsáveis pela pesquisa, classificou o panorama da privacidade nas ferramentas de IA como variando do “baixo ao assustador”. Ele enfatizou a negligência de plataformas com milhões de usuários e equipes de privacidade em cumprir os requisitos básicos da lei brasileira de dados. Belli ressaltou que a avaliação se restringiu ao cumprimento de exigências mínimas, e mesmo assim, nenhuma das plataformas analisadas as atende integralmente, chamando a atenção para a falta de resposta regulatória diante dessas infrações.

Para definir os padrões mínimos de conformidade, o estudo adotou como referência o Guia de Segurança da Informação para Agentes de Tratamento de Pequeno Porte, publicado pela Autoridade Nacional de Proteção de Dados (ANPD) em 2021, considerado um parâmetro fundamental de boas práticas.

A pesquisa aponta que Claude, Meta AI e Gemini são as únicas plataformas que atendem a mais de dez dos critérios avaliados. Apenas três exigências da LGPD foram cumpridas por todas as ferramentas: a existência de uma política de privacidade, a identificação do controlador dos dados e a informação sobre os tipos de dados tratados.

Análise de conformidade

Entre os sistemas de IA mais utilizados no Brasil, apenas um (DeepSeek, de origem chinesa) não é de uma empresa americana. O estudo contextualiza que regulações internacionais contra empresas de tecnologia americanas têm sido alvo de críticas por parte do ex-presidente Donald Trump, que as considera barreiras injustas ao comércio dos Estados Unidos. A LGPD, especificamente, foi mencionada pelo governo americano em um relatório recente, que analisava práticas comerciais de diversos países, incluindo o Brasil, alegando que a lei brasileira de dados cria “incertezas” e “obstáculos ao processamento rotineiro de informações” pelas grandes empresas de tecnologia.

Os pesquisadores da FGV alertam que os modelos que alimentam esses sistemas de IA dependem de um grande volume de informações para treinamento e aperfeiçoamento, o que suscita preocupações sobre os métodos de coleta, armazenamento e utilização desses dados. Eles acrescentam que o uso irregular ou sem transparência de dados pessoais, além de infringir a legislação brasileira, levanta questões de soberania digital, especialmente no que concerne à capacidade do Brasil de fiscalizar e aplicar sua jurisdição a tecnologias estrangeiras.

As plataformas DeepSeek e Grok apresentaram os resultados menos satisfatórios, falhando em mais da metade das exigências analisadas. Além da ausência de política de privacidade em português, ambas não indicam claramente os direitos dos usuários, não detalham as medidas de proteção de dados pessoais e não mencionam as bases legais para a coleta e uso de dados disponíveis publicamente. O ChatGPT, a ferramenta de IA mais popular no Brasil, descumpre cinco dos catorze parâmetros, incluindo a não listagem clara dos direitos dos titulares previstos na LGPD e a falta de especificação das medidas de segurança adotadas para proteger os dados tratados.

As IAs de grandes empresas americanas, como Gemini (Google), Copilot (Microsoft) e Meta AI (Meta), também apresentam não conformidades básicas, como a ausência de fundamentação para a transferência internacional de dados em mecanismos definidos pela LGPD. A legislação estabelece que tais transferências só podem ocorrer para países que ofereçam níveis adequados de proteção. Belli observa que, embora as plataformas transfiram dados para fora do Brasil, a maioria não informa o país de destino nem o mecanismo utilizado, caracterizando o tratamento de dados como “na prática, irregular”.

A falta de clareza sobre os direitos dos titulares de dados é outro aspecto crítico apontado pela pesquisa. Belli enfatiza que, em diversas plataformas, os usuários sequer encontram uma lista dos direitos previstos na LGPD, o que impede o exercício da autodeterminação informativa garantida por lei.

O estudo

Os resultados apresentados integram o projeto Governança de Plataforma e Regulação de Dados da FGV, que visa realizar análises sistemáticas sobre as políticas de privacidade de plataformas digitais. A próxima etapa do estudo se concentrará na avaliação de obrigações mais complexas, como a transparência em relação a decisões automatizadas.