Decisões automatizadas são aquelas tomadas sem intervenção humana direta. Elas são utilizadas por sistemas, programas e aplicações que fazem parte da rotina de pessoas comuns e são indispensáveis para algumas atividades. Citamos a título exemplificativo, os sistemas bancários utilizados para concessão de limite de crédito em cheque especial, alertas de operadoras de cartão de crédito para operações fora do padrão de compras do titular, fixação de valor de seguro de bens e até mesmo a seleção de produtos expostos aos clientes em sites e aplicativos.
O desenvolvimento e utilização de sistemas ou programas com decisões automatizadas, via de regra, envolve o tratamento de dados pessoais. Esse tratamento inclui desde a coleta e o armazenamento até organização, análise, previsão de comportamentos ou tomada de decisões que impactam os titulares, como recomendações personalizadas.
A Lei Geral de Proteção de Dados (LGPD) estabelece que os titulares de dados têm o direito de solicitar a revisão de decisões tomadas unicamente “com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade” (art. 20, caput). Deve o controlador que utiliza o sistema fornecer informações claras e adequadas sobre os critérios e procedimentos aplicados para a tomada de decisão, observados os segredos comercial e industrial.
A Autoridade Nacional de Proteção de Dados (ANPD) tem competência legal de auditar os sistemas automatizados para verificar “aspectos discriminatórios”, caso o controlador não forneça as informações necessárias.
Após a promulgação da LGPD em 2018, há crescente utilização de sistemas de Inteligência Artificial (IA) para tomada de decisões automatizadas, o que provocou debate quanto à proteção de dados pessoais, especialmente sobre os limites e as responsabilidades envolvidas nesse processo.
Nesse contexto, a Autoridade Nacional de Proteção de Dados (ANPD) prevê em sua agenda regulatória a publicação de resolução sobre decisões automatizadas. De novembro de 2024 a janeiro de 2025, a Autoridade abriu a Tomada de Subsídios para manifestação de especialistas, setores impactos e sociedade civil sobre a futura regulação. A Nota Técnica n. 12/2025/CON1/CGN/ANPD consolidou as contribuições recebidas, que foram organizadas em mais de dez documentos. Estes documentos reúnem os principais desafios, boas práticas e perspectivas regulatórias relacionadas às quinze perguntas distribuídas em quatro blocos temáticos na Tomada de Subsídios, que sintetizamos adiante.
Bloco 1 – Princípios da LGPD
O primeiro bloco concentra as discussões relacionadas a como compatibilizar os princípios da Lei Geral de Proteção de Dados, com o desenvolvimento e o treinamento de sistemas de inteligência artificial, considerando a coleta massiva de dados pessoais. As contribuições convergem em alguns pontos ao mesmo tempo que apresentam divergências em relação à interpretação e à aplicação do princípio da necessidade.
Pontos de convergência:
- Necessidade de equilíbrio entre uso de dados e proteção da privacidade;
- Limitar o uso ao estritamente necessário, considerando a finalidade e a qualidade do sistemas;
Pontos de divergência:
- Obrigatoriedade de algumas salvaguardas, como uso obrigatório de dados anonimizados ou sintéticos;
- A utilização de vastos volumes de dados para garantir a qualidade e eficácia dos sistemas de IA.
Bloco 2 — Hipóteses Legais
O segundo bloco se concentra em reunir as contribuições relacionadas às bases legais adequadas da LGPD para o tratamento de dados em sistemas de IA, abrangendo limites, desafios e adequações necessárias para garantir conformidade legal. As contribuições foram convergentes quanto às limitações e aos desafios relacionados ao uso do consentimento como hipótese legal, especialmente no que se refere às dificuldades operacionais para sua obtenção. No entanto, não houve consenso sobre a viabilidade do consentimento em larga escala e sobre a obrigatoriedade ou não da sua renovação. Além disso, outros pontos se destacaram:
Pontos de convergência:
- A revogação do consentimento é um desafio crítico porque, uma vez que os dados são incorporados ao modelo de IA, reverter seu impacto é extremamente difícil;
- Grande parte das contribuições defendem que bases legais como o legítimo interesse, a execução de contrato e o cumprimento de obrigação legal podem ser mais adequadas em certos contextos de IA.
Pontos de divergência:
- Há divergência sobre a possibilidade de utilizar o consentimento para tratamento de dados públicos;
- Algumas contribuições defendem que o consentimento deve ser renovado a cada atualização significativa do sistema.
Bloco 3 – Direitos dos Titulares
Com intuito de aprofundar o debate sobre os direitos assegurados pela LGPD aos titulares no contexto de decisões automatizadas, o terceiro bloco discute o exercício de direitos como acesso, correção, eliminação, portabilidade e, especialmente, o direito à revisão de decisões tomadas unicamente com base em tratamento automatizado.
Pontos de convergência:
- Necessidade de programas de governança que integrem privacidade, proteção de dados e IA, priorizando a documentação dos tratamentos, monitoramento do uso dos dados e criação de canais para atendimento aos titulares;
- Há um grande consenso sobre a importância da transparência no uso de IA equilibrada na proteção de segredos comerciais e informações confidenciais.
Pontos de divergência:
- Preocupação relacionada à criação de regras rígidas pela ANPD quanto aos procedimentos para exercício dos direitos dos titulares, sem levar em conta a diversidade dos agentes e dos sistemas;
- Algumas contribuições entendem que a LGPD se limita às fases de treinamento e output e outras defendem sua aplicação a todo o ciclo de vida da IA.
Bloco 4 – Boas Práticas e Governança
O quarto bloco agrupou temas como governança em privacidade, Privacy by Design, transparência, Relatório de Impacto à Proteção de Dados – RIPD, capacitação de colaboradores e avaliação de impacto. As contribuições também trouxeram temas relacionados à adoção de padrões internacionais e o grau de detalhamento que a ANPD deve adotar na regulamentação.
Pontos de convergência:
- Necessidade e monitoramento contínuo e auditorias de software com revisão periódica dos algoritmos;
- Implementação de programas de governança em privacidade para assegurar a conformidade com a LGPD no desenvolvimento e uso de sistemas de IA.
Pontos de divergência:
- Competência legal da ANPD para regulamentar sistemas de IA, visto que não há uma legislação nacional sobre IA;
- Há divergência se o Relatório de Impacto à Proteção de Dados – RIPD deve ser obrigatório para qualquer uso de IA ou apenas quando há risco elevado.
Perspectivas Regulatórias
Os desafios verificados na utilização de decisões automatizadas evidenciam a necessidade de regulamentação específica sobre o tema, justificando a realização de tomada de subsídios sobre o tema, buscando contribuições de técnicos e da população de modo geral para a elaboração de normas que orientem o processo de revisão de decisões automatizadas.
Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.