Governança de IA

IA Generativa e LGPD: o que sua empresa precisa fazer antes da multa chegar

24 de março de 20268 min

Usar ChatGPT com dados de clientes é tratamento de dados pessoais — e exige base legal, contrato com o fornecedor e registro no inventário. A ANPD já aplica multas e o ritmo de fiscalização triplicou em 2026. Veja o que implementar agora.

O problema que ninguém quer encarar

Toda vez que um colaborador da sua empresa digita o nome de um cliente, o CPF de um funcionário ou dados de um contrato em uma ferramenta de IA generativa, acontece algo muito específico do ponto de vista legal: tratamento de dados pessoais.

A LGPD define tratamento de forma ampla: coleta, armazenamento, processamento, transmissão. Enviar um prompt com dados pessoais para o ChatGPT, Gemini ou qualquer LLM é, juridicamente, compartilhar esses dados com um terceiro.

Isso tem consequências diretas para sua empresa.

O que a LGPD exige quando você usa IA com dados de clientes

1. Base legal para o tratamento

Você precisa de uma base legal válida (Art. 7º da LGPD) para processar dados pessoais com ferramentas de IA. As mais comuns no contexto empresarial são:

Legítimo interesse — desde que documentado e com análise de impacto
Execução de contrato — se o processamento for necessário ao serviço prestado ao titular
Consentimento — quando aplicável e obtido de forma válida e específica

"É prático" ou "aumenta a produtividade" não são bases legais.

2. Contrato de Operador de Dados (DPA)

O fornecedor de IA que processa dados pessoais dos seus clientes é, na prática, um operador de dados nos termos do Art. 5º, VII da LGPD. Isso exige:

Contrato formal com cláusulas de proteção de dados
Garantia de que o fornecedor não vai usar esses dados para treinar modelos sem consentimento
Definição clara de responsabilidade em caso de incidente

OpenAI, Google e Anthropic oferecem DPAs para clientes corporativos (API e planos enterprise). Se sua empresa usa as versões gratuitas ou de consumidor, esses contratos provavelmente não existem.

3. Registro das atividades de tratamento

Se você processa dados pessoais com IA de forma sistemática, precisa:

Registrar essa atividade no seu ROPA (Registro das Operações de Tratamento)
Avaliar se é necessário um RIPD (Relatório de Impacto à Proteção de Dados), especialmente para dados sensíveis

Quanto custa não fazer isso?

A ANPD pode aplicar multas de até 2% do faturamento bruto da empresa no Brasil, limitadas a R$ 50 milhões por infração. Mas além da multa:

Suspensão do tratamento de dados (o que pode paralisar operações inteiras)
Danos reputacionais com clientes e parceiros
Passivo trabalhista se dados de funcionários forem comprometidos
Responsabilidade solidária em caso de vazamento envolvendo o fornecedor de IA

Para referência: a ANPD abriu mais de 400 processos administrativos em 2025 e o ritmo de aplicação de sanções aumentou 3x no primeiro trimestre de 2026.

Os 4 cenários de maior risco em empresas brasileiras

Cenário 1: Atendimento ao cliente com IA
Chatbot que processa nome, email, histórico de compras e CPF. Exige base legal documentada, DPA com o fornecedor e — quando aplicável — consentimento explícito do cliente.

Cenário 2: RH e IA
Triagem de currículos, análise de performance, geração de feedback. Dados de empregados são dados pessoais — e o contexto trabalhista adiciona obrigações extras derivadas de acordos coletivos e CLT.

Cenário 3: IA jurídica
Advogados usando IA para revisar contratos com dados de clientes ou contrapartes. Além da LGPD, há o sigilo profissional e as obrigações do Código de Ética da OAB.

Cenário 4: Análise financeira
IA para analisar fluxo de caixa, inadimplência ou perfil de crédito envolve dados financeiros que, a depender do contexto, se enquadram como dados sensíveis com regras mais rígidas.

O que fazer nos próximos 30 dias

Passo 1: Inventário de ferramentas de IA por área

Liste todas as ferramentas de IA em uso. Pergunte explicitamente sobre uso com dados de clientes, funcionários ou parceiros. Muitas ferramentas de Shadow AI só aparecem nessa etapa.

Passo 2: Verifique os contratos com fornecedores de IA

Cada fornecedor tem um DPA? Está assinado? As versões de consumidor e os planos gratuitos são incompatíveis com o uso corporativo de dados pessoais — isso não é interpretação, é a política dos próprios fornecedores.

Passo 3: Documente as bases legais

Para cada tipo de dado processado com IA, documente a base legal aplicável. Envolva o DPO ou o jurídico. Essa documentação é a primeira coisa que um auditor da ANPD vai pedir.

Passo 4: Crie ou atualize a política de uso de IA

Especifique quais ferramentas são aprovadas, quais dados podem ser usados como entrada, e como registrar e reportar incidentes.

Perguntas frequentes

Toda ferramenta de IA precisa de DPA?
Sim, se você usa dados pessoais de terceiros como entrada. Se a IA processa apenas dados completamente anonimizados ou sintéticos, o cenário muda — mas isso é raro no dia a dia corporativo.

O ChatGPT tem DPA disponível?
Sim, para clientes da API (OpenAI API) e do plano ChatGPT Enterprise. Para versões gratuitas ou ChatGPT Plus: não há DPA disponível para uso com dados de terceiros.

A LGPD se aplica a ferramentas de IA estrangeiras?
Sim. Se o tratamento ocorre no Brasil ou se os dados são de titulares brasileiros, a LGPD se aplica independentemente de onde o servidor está localizado.

Funcionário usou IA com dados de cliente sem autorização. A empresa responde?
Sim. A empresa é controladora dos dados e responde pelos atos dos seus operadores e funcionários. Ter uma política de uso formal e treinamento documentado é a principal defesa.

Leitura complementar

IA Generativa e LGPD: o que sua empresa precisa fazer antes da multa chegar

24 de março de 20268 min

O problema que ninguém quer encarar

Isso tem consequências diretas para sua empresa.

O que a LGPD exige quando você usa IA com dados de clientes

1. Base legal para o tratamento

Você precisa de uma base legal válida (Art. 7º da LGPD) para processar dados pessoais com ferramentas de IA. As mais comuns no contexto empresarial são:

Legítimo interesse — desde que documentado e com análise de impacto
Execução de contrato — se o processamento for necessário ao serviço prestado ao titular
Consentimento — quando aplicável e obtido de forma válida e específica

"É prático" ou "aumenta a produtividade" não são bases legais.

2. Contrato de Operador de Dados (DPA)

O fornecedor de IA que processa dados pessoais dos seus clientes é, na prática, um operador de dados nos termos do Art. 5º, VII da LGPD. Isso exige:

Contrato formal com cláusulas de proteção de dados
Garantia de que o fornecedor não vai usar esses dados para treinar modelos sem consentimento
Definição clara de responsabilidade em caso de incidente

3. Registro das atividades de tratamento

Se você processa dados pessoais com IA de forma sistemática, precisa:

Registrar essa atividade no seu ROPA (Registro das Operações de Tratamento)
Avaliar se é necessário um RIPD (Relatório de Impacto à Proteção de Dados), especialmente para dados sensíveis

Quanto custa não fazer isso?

A ANPD pode aplicar multas de até 2% do faturamento bruto da empresa no Brasil, limitadas a R$ 50 milhões por infração. Mas além da multa:

Suspensão do tratamento de dados (o que pode paralisar operações inteiras)
Danos reputacionais com clientes e parceiros
Passivo trabalhista se dados de funcionários forem comprometidos
Responsabilidade solidária em caso de vazamento envolvendo o fornecedor de IA

Para referência: a ANPD abriu mais de 400 processos administrativos em 2025 e o ritmo de aplicação de sanções aumentou 3x no primeiro trimestre de 2026.

Os 4 cenários de maior risco em empresas brasileiras

Cenário 3: IA jurídica
Advogados usando IA para revisar contratos com dados de clientes ou contrapartes. Além da LGPD, há o sigilo profissional e as obrigações do Código de Ética da OAB.

O que fazer nos próximos 30 dias

Passo 1: Inventário de ferramentas de IA por área

Liste todas as ferramentas de IA em uso. Pergunte explicitamente sobre uso com dados de clientes, funcionários ou parceiros. Muitas ferramentas de Shadow AI só aparecem nessa etapa.

Passo 2: Verifique os contratos com fornecedores de IA

Passo 3: Documente as bases legais

Para cada tipo de dado processado com IA, documente a base legal aplicável. Envolva o DPO ou o jurídico. Essa documentação é a primeira coisa que um auditor da ANPD vai pedir.

Passo 4: Crie ou atualize a política de uso de IA

Especifique quais ferramentas são aprovadas, quais dados podem ser usados como entrada, e como registrar e reportar incidentes.

IA Generativa e LGPD: o que sua empresa precisa fazer antes da multa chegar

O problema que ninguém quer encarar

O que a LGPD exige quando você usa IA com dados de clientes

1. Base legal para o tratamento

2. Contrato de Operador de Dados (DPA)

3. Registro das atividades de tratamento

Quanto custa não fazer isso?

Os 4 cenários de maior risco em empresas brasileiras

O que fazer nos próximos 30 dias

Passo 1: Inventário de ferramentas de IA por área

Passo 2: Verifique os contratos com fornecedores de IA

Passo 3: Documente as bases legais

Passo 4: Crie ou atualize a política de uso de IA

Perguntas frequentes

Leitura complementar

Artigos relacionados

IA Generativa e LGPD: o que sua empresa precisa fazer antes da multa chegar

O problema que ninguém quer encarar

O que a LGPD exige quando você usa IA com dados de clientes

1. Base legal para o tratamento

2. Contrato de Operador de Dados (DPA)

3. Registro das atividades de tratamento

Quanto custa não fazer isso?

Os 4 cenários de maior risco em empresas brasileiras

O que fazer nos próximos 30 dias

Passo 1: Inventário de ferramentas de IA por área

Passo 2: Verifique os contratos com fornecedores de IA

Passo 3: Documente as bases legais

Passo 4: Crie ou atualize a política de uso de IA

Perguntas frequentes

Leitura complementar

Artigos relacionados