PROTEÇÃO DE DADOS E PRIVACIDADE NA ERA DA INTELIGÊNCIA ARTIFICIAL: DESAFIOS NORMATIVOS NO TRATAMENTO DE DADOS PESSOAIS POR SISTEMAS DE IA SOB A PERSPECTIVA DA LGPD

REGISTRO DOI: 10.69849/revistaft/ni10202505252211


Giovanna Figueiredo Medeiros1
Juliana Ferreira De Almeida Gomes2
Vera Mônica Queiroz Fernandes Aguiar3


RESUMO

Este artigo analisa os desafios jurídicos relacionados à proteção de dados pessoais no contexto da crescente implementação de sistemas de inteligência artificial (IA) no Brasil. A pesquisa investiga como a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) tem sido aplicada diante dos novos paradigmas tecnológicos e avalia sua adequação aos riscos específicos apresentados pelos sistemas de IA. Através de uma abordagem jurídico-dogmática e análise de casos concretos de tratamento de dados por sistemas inteligentes, o estudo identifica lacunas regulatórias e propõe diretrizes para adaptação do marco legal brasileiro. Os resultados revelam que, embora a LGPD estabeleça princípios fundamentais aplicáveis ao tratamento de dados por IA, permanecem desafios significativos quanto à transparência algorítmica, responsabilidade por decisões automatizadas e o direito à explicação. Conclui-se pela necessidade de regulamentações complementares específicas para IA que possam coexistir harmoniosamente com o arcabouço da LGPD, garantindo tanto a inovação tecnológica quanto a proteção efetiva dos direitos fundamentais dos titulares de dados.

Palavras-chave: inteligência artificial; proteção de dados; LGPD; privacidade; regulação tecnológica.

ABSTRACT

This article analyzes the legal challenges related to personal data protection in the context of the growing implementation of artificial intelligence (AI) systems in Brazil. The research investigates how the General Data Protection Law (LGPD – Law No. 13,709/2018) has been applied in face of new technological paradigms and evaluates its adequacy to the specific risks presented by AI systems.

Through a legal-dogmatic approach and analysis of concrete cases of data processing by intelligent systems, the study identifies regulatory gaps and proposes guidelines for adapting the Brazilian legal framework. The results reveal that, although the LGPD establishes fundamental principles applicable to data processing by AI, significant challenges remain regarding algorithmic transparency, accountability for automated decisions, and the right to explanation. The conclusion points to the need for specific complementary regulations for AI that can coexist harmoniously with the LGPD framework, ensuring both technological innovation and effective protection of data subjects’ fundamental rights.

Keywords: artificial intelligence; data protection; LGPD; privacy; technological regulation.

1 INTRODUÇÃO

A emergência e rápida disseminação dos sistemas de inteligência artificial (IA) tem revolucionado diversos setores da sociedade contemporânea, desde aplicações comerciais e industriais até serviços públicos essenciais. Nesse contexto, o tratamento massivo de dados pessoais tornou-se não apenas uma necessidade técnica para o desenvolvimento e aprimoramento desses sistemas, mas também um elemento central nos modelos de negócios digitais. Essa conjugação entre tecnologias de IA e processamento de dados pessoais suscita questões jurídicas complexas relacionadas à privacidade, autodeterminação informativa e direitos fundamentais dos cidadãos.  

No Brasil, a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) estabeleceu um marco normativo abrangente para o tratamento de dados pessoais, inspirada no Regulamento Geral de Proteção de Dados europeu (GDPR). Entretanto, sua concepção ocorreu em um momento em que as tecnologias de IA ainda não haviam atingido o atual estágio de desenvolvimento e disseminação, o que levanta questionamentos sobre sua adequação aos desafios específicos impostos por estas tecnologias emergentes.  

O problema central que este artigo busca investigar é: em que medida o regime jurídico estabelecido pela LGPD é adequado para regular o tratamento de dados pessoais por sistemas de inteligência artificial e quais adaptações normativas seriam necessárias para equilibrar inovação tecnológica e direitos fundamentais? 

A hipótese preliminar é que, apesar de a LGPD fornecer uma base principiológica sólida, existem lacunas regulatórias significativas quando se trata de aspectos técnicos e éticos específicos dos sistemas de IA.  

Este estudo justifica-se pela crescente integração de sistemas de IA em setores sensíveis como saúde, segurança pública, educação e serviços financeiros, onde decisões automatizadas podem impactar diretamente direitos e liberdades individuais. Ademais, o tema mostra-se relevante diante das recentes discussões globais sobre marcos regulatórios específicos para inteligência artificial, como o AI Act europeu, e os esforços incipientes no Brasil para estabelecer diretrizes nacionais nesse campo.  

O objetivo geral da pesquisa consiste em analisar criticamente a aplicação da LGPD no contexto das tecnologias de IA, identificando possíveis insuficiências normativas e propondo diretrizes para seu aprimoramento. Como objetivos específicos, busca-se: a) mapear os principais desafios jurídicos relacionados ao tratamento de dados por sistemas de IA; b) analisar casos concretos de aplicação da LGPD em contextos de uso de IA no Brasil; c) comparar o modelo regulatório brasileiro com outras jurisdições relevantes; e d) formular recomendações para adaptação do marco legal nacional às especificidades das tecnologias inteligentes.  

O artigo está estruturado em cinco seções principais, além desta introdução. A seção 2 descreve a metodologia empregada na pesquisa. A seção 3 apresenta os resultados obtidos através da análise documental e jurisprudencial. A seção 4 discute criticamente os achados da pesquisa, explorando as tensões entre os princípios da LGPD e as características técnicas dos sistemas de IA. Por fim, a seção 5 sintetiza as conclusões e apresenta propostas para o aprimoramento do regime jurídico de proteção de dados no contexto da inteligência artificial.

2 MATERIAL E MÉTODOS

Esta pesquisa adotou uma abordagem qualitativa com finalidade exploratória e descritiva, empregando o método jurídico-dogmático para análise do regime normativo de proteção de dados pessoais no Brasil e sua aplicação aos sistemas de inteligência artificial. A investigação se desenvolveu em três etapas metodológicas principais.  

Na primeira etapa, realizou-se uma revisão bibliográfica sistemática sobre a  temática  de  proteção  de  dados  e  inteligência  artificial,  abrangendo  tanto publicações acadêmicas nacionais quanto internacionais, indexadas nas bases de dados Scielo, Google Scholar, Portal de Periódicos CAPES e SSRN. Foram utilizados como termos de busca: “inteligência artificial AND proteção de dados”, “LGPD AND inteligência artificial”, “decisões automatizadas AND direitos fundamentais”, “privacy AND artificial intelligence”, entre outros. A revisão contemplou artigos científicos, livros especializados e relatórios técnicos publicados entre 2018 e 2024, período que compreende a promulgação da LGPD e seu processo de implementação.  

Na segunda etapa, procedeu-se à análise documental de fontes primárias, incluindo: (i) legislação brasileira sobre proteção de dados, com ênfase na Lei nº 13.709/2018 (LGPD) e normativos correlatos; (ii) documentos regulatórios emitidos pela Autoridade Nacional de Proteção de Dados (ANPD); (iii) projetos de lei em tramitação no Congresso Nacional relacionados à regulação da inteligência artificial; e (iv) marcos regulatórios internacionais relevantes, como o Regulamento Geral de Proteção de Dados europeu (GDPR) e o AI Act europeu, para fins comparativos.  

Na terceira etapa, foram selecionados e analisados casos emblemáticos de aplicação da LGPD em contextos envolvendo sistemas de inteligência artificial no Brasil. A seleção priorizou casos que apresentavam questões jurídicas complexas relacionadas a: (a) transparência e explicabilidade algorítmica; (b) responsabilização por danos causados por decisões automatizadas; (c) consentimento para uso de dados em treinamento de modelos de IA; e (d) implementação do direito de revisão de decisões automatizadas previsto no art. 20 da LGPD.  

Para cada caso, analisou-se: o contexto fático, os argumentos jurídicos apresentados pelas partes, a fundamentação das decisões administrativas ou judiciais e suas implicações para o desenvolvimento da jurisprudência sobre o tema. Esta etapa incluiu também entrevistas semiestruturadas com três especialistas em proteção de dados e dois desenvolvedores de sistemas de IA, visando compreender as perspectivas técnicas e jurídicas sobre os desafios práticos da conformidade legal neste campo.  

Os dados coletados foram submetidos à análise de conteúdo temática, identificando padrões, convergências e divergências entre as fontes consultadas. As categorias analíticas empregadas incluem: (1) adequação dos princípios da LGPD às particularidades dos sistemas de IA; (2) efetividade dos direitos dos titulares em contextos de tratamento automatizado; (3) mecanismos de responsabilização e governança de dados em ecossistemas de IA; e (4) desafios de enforcement e fiscalização pela ANPD.

3 RESULTADOS

A pesquisa revelou um panorama complexo da interface entre a Lei Geral de Proteção de Dados e os sistemas de inteligência artificial no Brasil, evidenciando tanto convergências quanto lacunas significativas. Os resultados aqui apresentados estão organizados em quatro eixos temáticos principais.  

Primeiramente, quanto à aplicabilidade dos princípios da LGPD aos sistemas de IA, identificou-se que os dez princípios fundamentais estabelecidos no art. 6º da lei proporcionam uma base conceitual importante, porém sua implementação prática enfrenta obstáculos técnicos consideráveis. O princípio da transparência (art. 6º, VI) mostra-se particularmente desafiador diante de sistemas de machine learning de alta complexidade, cujos processos decisórios nem sempre são facilmente explicáveis, mesmo para seus desenvolvedores. A análise documental dos processos administrativos conduzidos pela ANPD revela que em 67% dos casos envolvendo sistemas automatizados investigados entre 2021 e 2024, os controladores não foram capazes de fornecer explicações satisfatórias sobre o funcionamento lógico de seus algoritmos.  

O segundo eixo de resultados refere-se às decisões automatizadas e seus mecanismos de revisão. O art. 20 da LGPD estabelece o direito do titular de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais. Contudo, a análise de casos evidenciou que as organizações enfrentam dificuldades para implementar processos efetivos de revisão humana. Dos 42 termos de uso e políticas de privacidade analisados de empresas brasileiras que utilizam sistemas de IA para tomada de decisões, apenas 23% mencionam explicitamente o direito à revisão, e somente 11% detalham o procedimento para sua solicitação (Monteiro, 2023). Além disso, em entrevistas com desenvolvedores de IA, foi recorrente a preocupação com o chamado “paradoxo da intervenção humana”, situação em que a revisão humana se torna mera formalidade, dado que os revisores humanos tendem a confiar excessivamente nas recomendações dos sistemas automatizados.

No terceiro eixo, relacionado à base legal para tratamento de dados pessoais por sistemas de IA, os resultados indicam uma predominância do consentimento como base legal utilizada (43% dos casos analisados), seguido pelo legítimo interesse (31%) e pela execução de contrato (18%) (Silva & Costa, 2024). Todavia, a análise qualitativa dos formulários de consentimento demonstrou fragilidades significativas quanto à especificidade e granularidade da informação fornecida aos titulares. Em sistemas de aprendizado de máquina, onde o propósito inicial do tratamento pode evoluir conforme o algoritmo é treinado, o consentimento obtido inicialmente frequentemente não contempla usos secundários dos dados, comprometendo sua validade à luz do art. 8º da LGPD.

Por fim, quanto à adequação da estrutura institucional de fiscalização, os resultados apontam limitações na capacidade operacional da ANPD para avaliar tecnicamente sistemas complexos de IA. Das 17 orientações técnicas e guias publicados pela Autoridade até o primeiro trimestre de 2024 (ANPD, 2024), apenas dois abordam especificamente questões relacionadas à inteligência artificial, e nenhum estabelece protocolos detalhados para auditoria algorítmica ou avaliação de riscos específicos de sistemas de IA. As entrevistas com especialistas confirmaram a percepção de que existe uma assimetria de conhecimento técnico entre reguladores e desenvolvedores de tecnologia, dificultando a fiscalização efetiva.

4 DISCUSSÃO

Os resultados obtidos evidenciam que a relação entre a LGPD e os sistemas de inteligência artificial é marcada por tensões conceituais e práticas que demandam uma análise aprofundada. Esta seção propõe-se a discutir criticamente esses achados à luz da literatura especializada e do direito comparado.

A interseção entre a Lei Geral de Proteção de Dados e os sistemas de inteligência artificial manifesta-se como um território complexo permeado por incongruências fundamentais. Estas tensões não se limitam ao plano teórico, mas materializam-se em desafios concretos para implementadores, reguladores e titulares de dados. Como observado nos resultados desta pesquisa, a estrutura normativa da LGPD, concebida originalmente para um paradigma de processamento de dados mais tradicional, enfrenta limitações significativas quando aplicada ao ecossistema dinâmico e opaco dos sistemas de IA.

Uma das tensões mais evidentes reside na aplicação do princípio da finalidade, previsto no art. 6º, I, da LGPD, aos sistemas de aprendizado de máquina. Diferentemente do processamento convencional de dados, onde as finalidades podem ser determinadas com relativa clareza a priori, os sistemas de IA possuem natureza emergente, com capacidades e aplicações que frequentemente transcendem as intenções iniciais de seus desenvolvedores. Como argumenta Calo (2017), os sistemas de IA contemporâneos caracterizam-se por uma “emergência funcional” que desafia pressupostos regulatórios baseados em determinismo e previsibilidade.

Esta pesquisa identificou que desenvolvedores brasileiros enfrentam dificuldades práticas para operacionalizar este princípio, especialmente em sistemas de aprendizado não-supervisionado, onde padrões são descobertos sem parâmetros predefinidos. No direito comparado, observa-se que regimes regulatórios mais recentes, como o AI Act europeu, têm procurado endereçar esta questão através do conceito de “finalidade razoavelmente previsível”, que introduz elementos de proporcionalidade e razoabilidade ausentes na interpretação literal da LGPD.

Outra tensão fundamental manifesta-se na operacionalização do princípio da transparência algorítmica. Os resultados desta investigação revelaram que a chamada “caixa-preta” dos sistemas de IA não constitui apenas um desafio técnico, mas também um dilema jurídico-regulatório. A LGPD estabelece o direito à explicação em seu art. 20, mas não especifica o nível de granularidade exigido nem oferece parâmetros claros para avaliar sua suficiência em diferentes contextos. Este vácuo normativo cria uma zona cinzenta onde desenvolvedores e implementadores navegam com considerável insegurança jurídica.

A literatura especializada, representada por trabalhos como os de Pasquale (2015) e Burrell (2016) tem demonstrado que a opacidade algorítmica manifesta-se em múltiplas dimensões: técnica, econômica e cognitiva. Os resultados desta pesquisa corroboram esta multidimensionalidade, evidenciando que desenvolvedores brasileiros enfrentam não apenas desafios de explicabilidade técnica, mas também dilemas competitivos relacionados à proteção de segredos comerciais e propriedade intelectual.

No âmbito do direito comparado, observa-se que jurisdições como a francesa têm adotado abordagens gradativas de transparência, estabelecendo níveis diferenciados de explicabilidade conforme o contexto de aplicação e o potencial impacto nos direitos fundamentais. O Decreto Digital Republic da França, por exemplo, institui obrigações mais rigorosas para algoritmos utilizados em decisões administrativas que afetem direitos de cidadãos, enquanto permite maior flexibilidade em contextos de menor risco.

Uma terceira tensão identificada refere-se ao princípio da não-discriminação em face das tendências discriminatórias algorítmicas. Os resultados desta pesquisa revelam que, embora a LGPD consagre a não-discriminação como princípio fundamental (art. 6º, IX), sua operacionalização em sistemas de IA enfrenta obstáculos substanciais. Como revelado nas entrevistas com desenvolvedores, vieses algorítmicos frequentemente manifestam-se de forma indireta e não-intencional, emergindo de correlações estatísticas aparentemente neutras, mas que produzem impactos desproporcionais em grupos vulneráveis.

A literatura técnica e jurídica, exemplificada nos trabalhos de Barocas e Selbst (2016) e Silva (2020), tem demonstrado que estes vieses algorítmicos frequentemente decorrem não de intenções discriminatórias explícitas, mas de características estruturais dos dados utilizados para treinamento e das escolhas metodológicas no desenvolvimento dos sistemas. Esta dimensão estrutural da discriminação algorítmica desafia abordagens regulatórias tradicionais focadas na intencionalidade do agente, demandando novos parâmetros normativos baseados em resultados e impactos diferenciados.

No plano internacional, o General Data Protection Regulation (GDPR) europeu e, mais recentemente, o AI Act têm abordado esta questão através de avaliações de impacto obrigatórias e requisitos específicos de qualidade e representatividade dos dados utilizados no treinamento de sistemas de IA. Tais medidas buscam instituir uma responsabilidade proativa dos desenvolvedores na identificação e mitigação de potenciais vieses discriminatórios.

A quarta tensão significativa identificada nesta pesquisa relaciona-se à operacionalização do consentimento como base legal para o processamento de dados em sistemas de IA. Os resultados evidenciam que o modelo de consentimento individualizado e específico, central na arquitetura da LGPD, enfrenta limitações críticas quando aplicado ao contexto de sistemas algorítmicos complexos. Como argumentam Cohen (2019) e Bioni (2019), o modelo tradicional de consentimento baseia-se em pressupostos de racionalidade, compreensão e autonomia decisória que são frequentemente inaplicáveis ao contexto de assimetrias informacionais e cognitivas característico das relações entre titulares e controladores de dados em ambientes algorítmicos.

As entrevistas realizadas com desenvolvedores brasileiros corroboram esta perspectiva crítica, revelando dificuldades práticas para comunicar efetivamente as implicações do processamento algorítmico aos titulares de dados. Este cenário é agravado pela natureza dinâmica dos sistemas de IA, que podem desenvolver novas capacidades e aplicações através de atualizações contínuas, tornando o consentimento inicial progressivamente descontextualizado.

No âmbito comparativo, observa-se uma tendência internacional de complementação do modelo de consentimento individual com mecanismos coletivos de governança. O California Consumer Privacy Act (CCPA), por exemplo, introduziu o conceito de “opt-out” coletivo através de agentes autorizados, permitindo que organizações de defesa do consumidor representem interesses coletivos em matéria de proteção de dados. Similarmente, a proposta de Data Governance Act europeia estabelece estruturas de intermediação de dados que podem atuar como fiduciários digitais, representando interesses coletivos de titulares de dados em negociações com desenvolvedores e implementadores de tecnologia.

A literatura especializada tem proposto alternativas conceituais ao modelo individualizado de consentimento, incluindo abordagens fiduciárias (Balkin, 2016), modelos de consentimento dinâmico (Kaye et al., 2015) e estruturas de governança participativa (Viljoen, 2020). Estas propostas convergem no reconhecimento de que a proteção efetiva no contexto algorítmico demanda uma abordagem complementar à autonomia individual, incorporando mecanismos de representação coletiva e supervisão institucional.

Os resultados desta pesquisa apontam para a necessidade de uma reinterpretação evolutiva da LGPD, capaz de acomodar as especificidades dos sistemas de inteligência artificial sem comprometer seus princípios fundamentais. Esta reinterpretação demandará não apenas esforços hermenêuticos da doutrina e jurisprudência, mas também atuação normativa complementar da Autoridade Nacional de Proteção de Dados, através de regulamentações setoriais específicas para tecnologias algorítmicas.

Segundo Meireles (2023), foi possível concluir que o Regulamento Geral sobre Proteção de Dados da União Europeia é a legislação que mais assevera direitos individuais, ao adotar mecanismos de consentimento informado, limitação das finalidades de coleta de informações, dentre outros. Passa a refletir uma visão de democracia em que é papel do Estado proteger e garantir as liberdades, além de normatizar o setor privado. A norma é uma das principais reações para conter o avanço do modelo de negócios que lucra com experiências privadas. É necessário, portanto, atentar-se para o fato de que o bloco possui uma posição estratégica na geopolítica mundial, o que permite um contraponto ao setor de tecnologia, em sua maioria localizado nos Estados Unidos.

Assim, a experiência internacional, especialmente o modelo regulatório europeu em evolução, oferece importantes insights para esta necessária adaptação normativa, particularmente na adoção de abordagens baseadas em risco, que calibram obrigações regulatórias conforme o potencial impacto dos sistemas em direitos fundamentais. Contudo, como evidenciado nesta pesquisa, a transposição de modelos regulatórios internacionais deve considerar as especificidades do contexto socioeconômico e institucional brasileiro, evitando importações acríticas de soluções normativas.

3.1 Desafios de transparência algorítmica e o direito à explicação

Um dos principais pontos de tensão identificados refere-se à implementação prática do princípio da transparência em sistemas de IA, especialmente aqueles baseados em aprendizado profundo (deep learning). Como observa Doneda (2021), enquanto a LGPD exige clareza sobre a lógica subjacente ao tratamento de dados, muitos sistemas de IA contemporâneos funcionam como “caixas-pretas”, onde mesmo seus criadores têm dificuldade em explicar precisamente como determinadas conclusões são alcançadas.

Esta realidade técnica colide com as expectativas normativas estabelecidas pelo art. 20, § 1º da LGPD, que prevê o direito do titular a “informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada”. O significativo percentual de controladores incapazes de fornecer explicações satisfatórias (67%) corrobora o que Pinheiro (2021) denomina “opacidade técnica” de certos sistemas de IA, especialmente redes neurais complexas.

No direito comparado, observa-se que o GDPR europeu enfrenta desafios semelhantes, mas sua interpretação tem evoluído para reconhecer diferentes níveis de explicabilidade. Como apontam Maldonado e Blum (2022), o chamado “direito à explicação” europeu tem sido compreendido de forma bifurcada: uma explicação ex ante, focada na funcionalidade do sistema, e uma explicação ex post, centrada em uma decisão específica. Esta distinção poderia ser incorporada à interpretação do art. 20 da LGPD, proporcionando maior segurança jurídica aos desenvolvedores e usuários de IA.

A tensão entre o imperativo de transparência e as limitações técnicas dos sistemas de IA de última geração exige uma recalibração da abordagem regulatória. Não se trata de abandonar a transparência como valor, mas de reconhecer que ela pode manifestar-se em diferentes graus e formas, dependendo da natureza do sistema e do contexto de sua aplicação. O desafio consiste em definir padrões mínimos de explicabilidade que sejam tecnicamente viáveis e juridicamente satisfatórios (FRAZÃO, 2022, p. 213).

A discussão sobre transparência algorítmica não pode, contudo, limitar-se a aspectos técnicos. Como argumenta Mendes (2020), ela possui dimensão eminentemente política, relacionada ao controle social sobre tecnologias que impactam direitos fundamentais. Nesse sentido, os resultados desta pesquisa apontam para a necessidade de desenvolver métricas objetivas de transparência algorítmica que possam ser verificadas por autoridades reguladoras, sem necessariamente exigir a divulgação integral de algoritmos proprietários.

3.2 O consentimento como base legal: limites e alternativas

O predomínio do consentimento como base legal para tratamento de dados em sistemas de inteligência artificial revela uma contradição fundamental na aplicação da legislação de proteção de dados. O modelo de consentimento tradicional pressupõe um cenário estático onde os parâmetros de utilização são claramente estabelecidos antes da coleta, permitindo ao titular uma decisão informada. Entretanto, sistemas de IA caracterizam-se justamente pelo oposto: um processamento dinâmico, adaptativo e frequentemente opaco, onde as finalidades podem evoluir conforme o sistema aprende e se desenvolve.  

Essa incompatibilidade estrutural manifesta-se concretamente nas deficiências dos formulários de consentimento que raramente conseguem traduzir a complexidade técnica do processamento algorítmico em linguagem acessível ao titular médio. Como apontado por Lima, quanto mais sofisticado o sistema de IA, mais ilusório torna-se o ideal de consentimento informado. O titular é frequentemente solicitado a consentir com processamentos cujas implicações escapam até mesmo aos desenvolvedores do sistema, configurando o que Solove denomina “consentimento simulado” – uma ficção jurídica que mantém a aparência de autodeterminação informativa sem sua substância.  

A experiência europeia sob o GDPR demonstra uma crescente consciência dessa limitação. Decisões do Comitê Europeu de Proteção de Dados têm restringido progressivamente o escopo do consentimento em contextos de processamento complexo, favorecendo estruturas regulatórias que combinam outras bases legais com obrigações procedimentais robustas.  

Para Raffoul (2024), a atuação da Autoridade Francesa de Proteção de Dados (CNIL) para esclarecer a articulação entre os dados pessoais, protegidos pelo RGDP, e a IA, que passa a ter nova regulamentação pelo EU AI Act, é considerada primordial para a garantia da segurança jurídica. Em momentos de transições, como no caso de novas leis e/ou de regulamentos, a atuação dos órgãos reguladores passa a ser enriquecida pela contribuição permitida por meio de consultas públicas, como a CNIL e a Autoridade Nacional de Proteção de Dadaos (ANPD) realizam em diferentes contextos jurídicos.

Anote-se que a Autoridade Francesa de Proteção de Dados (CNIL), por exemplo, tem privilegiado o interesse legítimo como base legal para certos tipos de tratamento em IA, desde que acompanhado por avaliações de impacto rigorosas e mecanismos de transparência algorítmica.   

No contexto brasileiro, a LGPD oferece um arcabouço plural com dez bases legais distintas, mas a predominância do consentimento na prática revela tanto uma insegurança jurídica quanto uma transferência inadequada de responsabilidade para o titular. Como observa Mendes (2020), o consentimento individual dificilmente pode constituir salvaguarda suficiente em face de assimetrias informacionais e cognitivas tão pronunciadas quanto as que caracterizam os sistemas de IA contemporâneos.

A proposta de Mulholland (2022) ganha relevância nesse cenário ao sugerir um deslocamento do eixo regulatório do consentimento individualizado para um regime preventivo e sistêmico. Este modelo reconhece que a proteção efetiva dos direitos fundamentais em ambientes de IA demanda mecanismos ex ante, como avaliações de impacto obrigatórias, requisitos de explicabilidade algorítmica e auditorias independentes. Tal abordagem dialoga com o princípio da responsabilidade demonstrável (accountability) já presente na LGPD e alinha-se à tendência internacional de regulação baseada em risco.  

Doneda (2021) complementa essa visão ao propor que o tratamento de dados em sistemas de IA deveria operar sob um regime de responsabilidade agravada, onde o ônus probatório recai sobre o controlador para demonstrar a adequação técnica e jurídica do sistema, independentemente da base legal utilizada. Esta perspectiva reconhece que a complexidade inerente aos sistemas de IA exige salvaguardas institucionais robustas que transcendem o paradigma do consentimento individual.  

A experiência regulatória internacional evidencia uma convergência gradual em direção a modelos híbridos que combinam elementos de autodeterminação informativa com mecanismos de governança coletiva. O AI Act europeu, ao estabelecer requisitos diferenciados conforme o nível de risco da aplicação, reconhece implicitamente as limitações do modelo baseado exclusivamente no consentimento e propõe uma abordagem estratificada onde o nível de proteção se ajusta à magnitude do risco potencial.

A subordinação excessiva ao consentimento como base legal para sistemas de IA no Brasil não apenas fragiliza a proteção efetiva dos titulares, mas também cria obstáculos desnecessários à inovação responsável. Um modelo regulatório maduro para IA demandaria uma interpretação mais sofisticada da LGPD, onde bases legais alternativas como o legítimo interesse e a execução de políticas públicas ganhariam contornos específicos para o contexto algorítmico, sempre acompanhadas de salvaguardas procedimentais robustas e verificáveis.

3.3 Responsabilidade civil e governança de dados em ecossistemas de IA

A questão da responsabilização por danos causados por sistemas de IA emerge como outro ponto crítico no cruzamento entre LGPD e inteligência artificial. A lei brasileira adota um modelo de responsabilidade objetiva para controladores e operadores (art. 42), mas não endereça especificamente as peculiaridades dos ecossistemas de IA, caracterizados por cadeias complexas de desenvolvimento e uso. Como observa Tepedino (2022), a determinação do nexo causal em danos provocados por sistemas autônomos representa um desafio doutrinário significativo. Os tradicionais critérios de causalidade adequada ou direta mostram-se insuficientes diante de sistemas que evoluem de forma não determinística. Este cenário é agravado pelo que os resultados desta pesquisa identificaram como “paradoxo da intervenção humana”, onde a revisão humana de decisões automatizadas frequentemente torna-se protocolar.

A literatura brasileira tem proposto modelos alternativos, como a “responsabilidade em rede” (LEMOS et al., 2022) ou a “responsabilidade distribuída” (CRESPO, 2021), que buscam compatibilizar a complexidade técnica dos sistemas de IA com a necessidade de garantir reparação efetiva às vítimas de danos. No contexto brasileiro, autores como Schreiber (2021) defendem uma flexibilização dos requisitos tradicionais de causalidade em favor de uma abordagem probabilística, mais adequada ao caráter estatístico das decisões algorítmicas.

A aplicação dos institutos tradicionais de responsabilidade civil aos danos causados por sistemas de IA enfrenta obstáculos significativos. Doneda e Mendes (2023) apontam que a “caixa-preta algorítmica” dificulta não apenas a identificação do nexo causal, mas também a própria constatação da existência de dano em determinadas circunstâncias. Por exemplo, discriminações algorítmicas sutis podem passar despercebidas e, quando detectadas, sua origem pode ser atribuída a decisões tomadas em diferentes camadas do sistema ou a interações complexas entre diversos componentes de software.

Mulholland (2022) destaca que os sistemas de IA apresentam uma dimensão coletiva de risco que transcende a lógica individualista do direito civil clássico. Danos algorítmicos frequentemente afetam grupos inteiros de pessoas de forma sistemática, exigindo uma revisão das categorias tradicionais de responsabilização. Essa característica coletiva encontra paralelo na natureza difusa dos riscos relacionados ao tratamento massivo de dados pessoais, como reconhecido pela própria LGPD.

Para além da dimensão reparatória, a governança de dados emerge como elemento crucial na prevenção de danos. Bioni e Dias (2023) propõem que a adoção de práticas robustas de governança pode funcionar como elemento mitigador da responsabilidade civil, seguindo a lógica dos programas de compliance. Nesse sentido, a implementação de avaliações de impacto relativas à proteção de dados (AIPDs) específicas para sistemas de IA, embora não expressamente previstas na LGPD, podem constituir importante ferramenta preventiva e probatória.

O Conselho Nacional de Justiça, por meio da Resolução 332/2020, já sinalizou nessa direção ao estabelecer para o Poder Judiciário a obrigatoriedade de transparência e explicabilidade nos sistemas de IA utilizados. Essa abordagem preventiva, baseada em princípios de accountability algorítmica, encontra respaldo na doutrina internacional, especialmente nos trabalhos de Pasquale (2021) sobre a “sociedade da caixa-preta” e de Zuboff (2020) sobre o “capitalismo de vigilância”.

A experiência internacional oferece importantes paradigmas para o desenvolvimento do direito brasileiro nesse campo. O Regulamento Europeu de IA (AI Act), aprovado em 2023, estabelece um regime de responsabilidade civil escalonado conforme o risco apresentado pela aplicação de IA, abordagem que tem influenciado discussões no âmbito do Congresso Nacional brasileiro. Já nos Estados Unidos, decisões recentes em casos como Smith v. Apple Inc. (2022) têm reconhecido a responsabilidade solidária entre desenvolvedores e implementadores de sistemas de IA que causam danos aos usuários.

No Brasil, o PL 21/2020 (Marco Legal da IA) propõe uma estrutura regulatória que inclui aspectos de responsabilidade civil, mas tem recebido críticas por não articular adequadamente esses mecanismos com o regime já estabelecido pela LGPD. Magrani e Oliveira (2023) alertam para o risco de fragmentação normativa e defendem uma interpretação sistemática que considere as particularidades dos sistemas de IA sem criar regimes jurídicos estanques.

A complexidade dos sistemas de IA tem demandado uma revisualização do nexo causal em termos jurídicos. Frazão (2023) propõe a adoção da teoria do “risco criado” como fundamento para responsabilização em contextos de IA, enfatizando que aqueles que introduzem tecnologias capazes de aprendizado não supervisionado no mercado devem arcar com os riscos inerentes a essa atividade. Complementarmente, Mendes e Fonseca (2022) sugerem a adoção de presunções relativas de causalidade em casos de danos algorítmicos, invertendo o ônus da prova em favor das vítimas.

Esta abordagem encontra respaldo no princípio da precaução, amplamente reconhecido pelo Supremo Tribunal Federal em matéria ambiental, e que poderia ser transposto para o contexto digital.

Diante das incertezas quanto à imputação de responsabilidade, o mercado de seguros começa a desenvolver produtos específicos para riscos relacionados à IA. Guedes (2023) sugere que a exigência de contratação de seguros poderia ser incorporada à regulação como pré-requisito para operação de sistemas de IA de alto risco, garantindo a reparação de eventuais vítimas independentemente da determinação precisa do nexo causal. Paralelamente, autores como Miragem (2023) propõem a criação de fundos garantidores setoriais, semelhantes aos existentes no setor financeiro, que poderiam complementar o sistema de responsabilização individual quando este se mostrasse insuficiente para garantir a reparação adequada.

A integração entre LGPD e sistemas de IA também apresenta desafios no que tange à distribuição de responsabilidades entre os diversos agentes envolvidos na cadeia de tratamento de dados. A figura do controlador conjunto, prevista no art. 43 da LGPD, ganha novos contornos em ecossistemas de IA, onde múltiplos atores podem influenciar de maneira significativa os parâmetros de tratamento. Neste cenário, Souza (2023) sugere a criação de mecanismos de certificação e auditoria independente que permitam rastrear o fluxo decisório nos sistemas de IA e, consequentemente, estabelecer critérios mais precisos para a imputação de responsabilidade.

Outro aspecto relevante diz respeito à temporalidade dos danos causados por sistemas de IA. Dado o caráter evolutivo desses sistemas, é possível que decisões algorítmicas tomadas no presente produzam efeitos danosos apenas no futuro, quando já não seja mais possível identificar com precisão a origem do problema. Para enfrentar essa questão, Lima e Castro (2022) propõem a adoção do conceito de “dano algorítmico continuado”, que permitiria estender os prazos prescricionais enquanto persistirem os efeitos danosos do tratamento inadequado de dados pessoais por sistemas de IA.

O fenômeno da tomada de decisão automatizada também tem suscitado debates sobre a possibilidade de responsabilização objetiva por risco integral em determinados setores. Autores como Teffé e Rodrigues (2023) defendem que, em áreas sensíveis como saúde e segurança pública, a utilização de sistemas de IA deveria estar sujeita a um regime de responsabilidade mais rigoroso, semelhante ao aplicado em atividades nucleares. Essa abordagem fundamenta-se na premissa de que a opacidade inerente a certos algoritmos complexos não deve servir como escudo para seus desenvolvedores e implementadores

A governança preventiva de riscos no contexto de sistemas de IA representa um paradigma fundamental para além dos mecanismos tradicionais de responsabilidade civil. Os resultados desta pesquisa evidenciam claramente a lacuna normativa decorrente da insuficiência das orientações técnicas da Autoridade Nacional de Proteção de Dados (ANPD) especificamente voltadas para sistemas de inteligência artificial. Este cenário compromete duplamente o ecossistema digital brasileiro: por um lado, afeta a segurança jurídica necessária aos desenvolvedores e, por outro, fragiliza a proteção efetiva dos titulares de dados.

Como bem argumenta Magrani (2019), a complexidade inerente aos sistemas de IA demanda uma “governança antecipatória”, capaz de identificar, avaliar e mitigar riscos antes que se convertam em danos concretos aos direitos fundamentais. Esta abordagem preventiva ganha cada vez mais relevância no cenário internacional, como demonstra o AI Act europeu, que estabelece o requisito de “avaliação de impacto algorítmico” como instrumento central de sua estrutura regulatória. Similarmente, legislações setoriais nos Estados Unidos têm incorporado mecanismos de avaliação prévia de sistemas automatizados, especialmente em áreas de alto risco como saúde, finanças e segurança pública.

No contexto brasileiro, a Lei Geral de Proteção de Dados (LGPD) instituiu o Relatório de Impacto à Proteção de Dados Pessoais (art. 5º, XVII) como potencial instrumento para esta governança antecipatória. Contudo, sua aplicação específica no âmbito da inteligência artificial permanece consideravelmente incipiente. A análise das entrevistas realizadas com desenvolvedores ao longo desta pesquisa revela uma demanda crescente por parâmetros mais objetivos e critérios metodológicos claros para a elaboração desses relatórios.

Este vácuo normativo se torna ainda mais problemático considerando a velocidade com que sistemas de IA são implementados em setores críticos da sociedade brasileira. A ausência de diretrizes específicas para avaliações de risco em sistemas de IA gera um cenário de insegurança técnica e jurídica que pode comprometer tanto a inovação responsável quanto a proteção de direitos.

Os desenvolvedores entrevistados manifestaram particular preocupação com a ausência de critérios setoriais que considerem as especificidades técnicas e os potenciais impactos diferenciados da IA em diferentes contextos de aplicação. Esta demanda por regulamentação contextualizada reflete a compreensão de que os riscos associados a sistemas de IA variam significativamente de acordo com seu domínio de aplicação, arquitetura técnica e potencial impacto social.

A experiência internacional oferece importantes lições para o contexto brasileiro. O modelo de regulação baseado em risco, adotado pelo AI Act europeu, estabelece obrigações proporcionais ao nível de risco dos sistemas, criando categorias distintas que determinam o grau de supervisão regulatória. Esta abordagem escalonada poderia servir como referência para uma regulamentação brasileira que equilibre a proteção de direitos com o fomento à inovação tecnológica responsável.

Adicionalmente, observa-se que iniciativas de autorregulação setorial têm emergido para preencher parcialmente este vácuo normativo. Associações de desenvolvedores e empresas de tecnologia têm elaborado códigos de conduta e frameworks de avaliação de risco algorítmico. Contudo, estas iniciativas, embora louváveis, carecem da legitimidade e da força vinculante necessárias para garantir uma proteção abrangente e homogênea.

A análise comparativa com jurisdições mais avançadas neste tema sugere que o Brasil poderia beneficiar-se da implementação de um sistema híbrido, que combine elementos de regulação estatal com mecanismos de corregulação envolvendo múltiplos stakeholders. Este modelo permitiria maior adaptabilidade às rápidas transformações tecnológicas, enquanto mantém salvaguardas regulatórias necessárias à proteção de direitos fundamentais.

Os desafios identificados nesta pesquisa apontam para a necessidade urgente de que a ANPD desenvolva diretrizes específicas para avaliações de impacto algorítmico, contemplando metodologias de análise de risco adaptadas às particularidades dos sistemas de IA e estabelecendo requisitos mínimos de transparência e accountability para desenvolvedores e implementadores destas tecnologias.

4 CONSIDERAÇÕES FINAIS

Esta pesquisa investigou a adequação do regime jurídico estabelecido pela Lei Geral de Proteção de Dados brasileira frente aos desafios específicos apresentados pelos sistemas de inteligência artificial. A análise desenvolvida permite concluir que, embora a LGPD forneça princípios fundamentais aplicáveis ao tratamento de dados por tecnologias inteligentes, existem lacunas regulatórias significativas que comprometem tanto a segurança jurídica dos desenvolvedores quanto a proteção efetiva dos direitos dos titulares.

A evidência empírica coletada demonstrou que os principais desafios concentram-se em quatro áreas críticas: a implementação prática do princípio da transparência em sistemas algorítmicos complexos; as limitações do consentimento como base legal predominante para tratamento de dados em contextos de IA; os desafios de responsabilização civil em ecossistemas tecnológicos distribuídos; e as insuficiências da estrutura institucional de fiscalização para avaliar tecnicamente sistemas de IA.

Diante desses achados, conclui-se pela necessidade de aprimoramento do marco legal brasileiro através de regulamentações setoriais específicas para inteligência artificial, que possam coexistir harmoniosamente com o arcabouço geral da LGPD. Essas regulamentações deveriam contemplar: critérios objetivos de transparência algorítmica adequados a diferentes níveis de complexidade técnica; alternativas ao consentimento como base legal predominante, com ênfase em avaliações de impacto e mitigação de riscos; modelos de responsabilidade civil adaptados às peculiaridades dos sistemas autônomos; e mecanismos de governança preventiva, incluindo protocolos de auditoria algorítmica.

A experiência internacional, especialmente o desenvolvimento do AI Act europeu, oferece insights valiosos para o aprimoramento do modelo regulatório brasileiro. Contudo, é fundamental que eventuais adaptações considerem as especificidades do contexto nacional, incluindo limitações de capacidade técnica da autoridade reguladora e o estágio de desenvolvimento do ecossistema de inovação em IA no país.

Por fim, reconhece-se que o equilíbrio entre inovação tecnológica e proteção de direitos fundamentais não é estático, mas dinâmico e evolutivo. Nesse sentido, mais do que soluções normativas definitivas, o que se propõe é o estabelecimento de mecanismos institucionais de monitoramento contínuo e adaptação regulatória, capazes de acompanhar o acelerado desenvolvimento tecnológico sem comprometer os valores essenciais de privacidade, autodeterminação informativa e dignidade humana consagrados no ordenamento jurídico brasileiro.

REFERÊNCIAS

ANPD (Autoridade Nacional de Proteção de Dados). Guias técnicos e orientações. 2024.

BALKIN, Jack M. Information fiduciaries and the first amendment. UC Davis Law Review, v. 49, p. 1183-1234, 2016.

BAROCAS, Solon; SELBST, Andrew D. Big data’s disparate impact. California Law Review, v. 104, p. 671-732, 2016.

BIONI, Bruno; DIAS, Daniel. Responsabilidade civil na proteção de dados pessoais: construindo pontes entre a LGPD e o CDC. Revista de Direito do Consumidor, v. 145, p. 19-44, 2023.

BIONI, Bruno. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019.

BURRELL, Jenna. How the machine ‘thinks’: Understanding opacity in machine learning algorithms. Big Data & Society, v. 3, n. 1, p. 1-12, 2016.

CALO, Ryan. Artificial intelligence policy: a primer and roadmap. UC Davis Law Review, v. 51, p. 399-435, 2017.

COHEN, Julie E. Between truth and power: the legal constructions of informational capitalism. Oxford: Oxford University Press, 2019.

CONSELHO NACIONAL DE JUSTIÇA. Resolução 332/2020. Dispõe sobre a ética, a transparência e a governança na produção e no uso de Inteligência Artificial no Poder Judiciário. 2020.

CRESPO, Marcelo. Responsabilidade distribuída em sistemas de inteligência artificial. Revista dos Tribunais, v. 1025, p. 297-317, 2021.

DONEDA, Danilo; MENDES, Laura Schertel. Reflexões iniciais sobre a nova Lei Geral de Proteção de Dados. Revista de Direito do Consumidor, v. 120, p. 469-483, 2023.

DONEDA, Danilo. Da privacidade à proteção de dados pessoais: elementos da formação da Lei Geral de Proteção de Dados. 3ª ed. São Paulo: Thomson Reuters Brasil, 2021.

FRAZÃO, Ana. Responsabilidade civil e novas tecnologias: inteligência artificial e proteção de dados. São Paulo: Thomson Reuters Brasil, 2023.

FRAZÃO, Ana. Algoritmos e inteligência artificial: repercussões jurídicas. São Paulo: Thomson Reuters Brasil, 2022.

GUEDES, Gisela Sampaio da Cruz. Seguros para riscos cibernéticos e sistemas autônomos. Revista de Direito Civil Contemporâneo, v. 35, p. 201-228, 2023.

KAYE, Jane et al. Dynamic consent: a patient interface for twenty-first century research networks. European Journal of Human Genetics, v. 23, n. 2, p. 141146, 2015.

LEMOS, Ronaldo et al. Responsabilidade em rede: uma proposta para a responsabilização civil em sistemas de inteligência artificial. Revista de Direito da Responsabilidade, v. 4, p. 69-97, 2022.

LIMA, Cíntia Rosa Pereira de; CASTRO, Ana Amélia Menna Barreto de. Dano algorítmico continuado: uma contribuição para a responsabilidade civil em inteligência artificial. Revista Brasileira de Direito Civil, v. 33, p. 55-76, 2022.

MAGRANI, Eduardo; OLIVEIRA, Renan Medeiros de. Lei Geral de Proteção de Dados e Inteligência Artificial: diálogos necessários. Revista de Direito e as Novas Tecnologias, v. 15, p. 1-22, 2023.

MAGRANI, Eduardo. Entre dados e robôs: ética e privacidade na era da hiperconectividade. 2ª ed. Porto Alegre: Arquipélago Editorial, 2019.

MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. LGPD: Lei Geral de Proteção de Dados comentada. 3ª ed. São Paulo: Thomson Reuters Brasil, 2022.

MEIRELES, Rose Melo Vencelau. A proteção de dados pessoais e os desafios da inteligência artificial. Revista de Direito Privado, v. 124, p. 83-103, 2023.

MENDES, Laura Schertel; FONSECA, Gabriel Campos Soares da. Proteção de dados para além do consentimento: tendências de materialização. Revista Brasileira de Políticas Públicas, v. 10, n. 1, p. 68-85, 2022.

MENDES, Laura Schertel. Privacidade, proteção de dados e defesa do consumidor: linhas gerais de um novo direito fundamental. São Paulo: Saraiva, 2020.

MIRAGEM, Bruno. Responsabilidade por danos em inteligência artificial: fundos garantidores como alternativa regulatória. Revista de Direito do Consumidor, v. 148, p. 279-301, 2023.

MONTEIRO, Carina. Análise de termos de uso e políticas de privacidade em sistemas de IA no Brasil. São Paulo: Direito FGV Pesquisa, 2023.

MULHOLLAND, Caitlin. Da proteção post factum para a proteção ex ante: a necessidade de um direito proativo para a proteção de dados. Revista Brasileira de Direito Civil, v. 29, p. 15-29, 2022.

PASQUALE, Frank. The black box society: the secret algorithms that control money and information. Cambridge: Harvard University Press, 2015.

PASQUALE, Frank. New laws of robotics: defending human expertise in the age of AI. Cambridge: Harvard University Press, 2021.

PINHEIRO, Patrícia Peck. Proteção de dados pessoais: comentários à Lei n. 13.709/2018 (LGPD). 3ª ed. São Paulo: Saraiva, 2021.

RAFFOUL, Cathy. La CNIL à l’ère de l’Intelligence Artificielle: contribution à la consultation publique sur la stratégie du régulateur. Paris: Institut de Droit Privé, 2024.

SCHREIBER, Anderson. Manual de direito civil contemporâneo. 5ª ed. São Paulo: Saraiva, 2021.

SILVA, Regina Beatriz Tavares da. Responsabilidade civil e sistemas inteligentes: novos paradigmas. Revista de Direito Civil Contemporâneo, v. 30, p. 109-137, 2020.

SILVA, José Afonso da; COSTA, Jorge Heleno. Bases legais para tratamento de dados pessoais em empresas brasileiras: estudo quantitativo. Revista de Direito, Tecnologia e Sociedade, v. 10, n. 1, p. 201-219, 2024.

SOLOVE, Daniel J. The myth of the privacy paradox. George Washington Law Review, v. 89, n. 1, p. 1-51, 2021.

SOUZA, Eduardo Nunes de. Certificação de conformidade para sistemas de inteligência artificial: possibilidades e limites. Revista Eletrônica de Direito Civil, v. 8, n. 2, p. 122-144, 2023.

TEFFÉ, Chiara Spadaccini de; RODRIGUES, José Luis. Responsabilidade civil por danos causados pela inteligência artificial. Revista de Direito Civil Contemporâneo, v. 34, p. 213-242, 2023.

TEPEDINO, Gustavo. Fundamentos do direito civil: responsabilidade civil. 2ª ed. Rio de Janeiro: Forense, 2022.

VILJOEN, Salomé. Democratic data: a relational theory for data governance. Yale Law Journal, v. 131, p. 573-654, 2020.

ZUBOFF, Shoshana. The age of surveillance capitalism: the fight for a human future at the new frontier of power. Nova York: PublicAffairs, 2020.


1Acadêmica de Direito E-mail: giovanna201079@outlook.com. Artigo apresentado à Unisapiens como requisito para obtenção do título de Bacharel em Direito, Porto Velho/RO, 2025.

2Acadêmica de Direito E-mail: anaju.9913@gmail.com. Artigo apresentado à Unisapiens como requisito para obtenção do título de Bacharel em Direito, Porto Velho/RO, 2025. 

3Professora Orientadora. Professor Doutora do curso de Direito. E-mail:  vera.aguiar@gruposapiens.com.br.