Ana, professora universitária em Fortaleza, usa o ChatGPT toda semana para preparar aulas, corrigir textos e pesquisar referências. Numa tarde, por descuido, colou num prompt o nome completo e o histórico de saúde de um aluno para pedir ajuda com um relatório pedagógico. Naquele momento, sem saber, ela potencialmente violou a LGPD — e os dados do aluno foram para servidores nos Estados Unidos sem nenhuma garantia legal de proteção para estrangeiros.

O caso de Ana não é hipotético. É o que acontece todos os dias com milhões de brasileiros que usam ferramentas de IA generativa sem entender o que fazem com os dados digitados. E um estudo da FGV Direito Rio publicado em 2025 mostrou que o problema começa antes mesmo do usuário abrir o app: nenhuma das 7 principais plataformas de IA usadas no Brasil cumpre integralmente os critérios mínimos da LGPD.

O ranking de conformidade: quem vai melhor e quem vai pior

O Centro de Tecnologia e Sociedade da FGV Direito Rio analisou as políticas de privacidade de 7 ferramentas — ChatGPT, Gemini, Claude, Copilot, Grok, DeepSeek e Meta AI — com base em 14 critérios estabelecidos pela ANPD. O resultado, nas palavras do professor Luca Belli, coordenador do estudo: "O cenário das ferramentas de IA para privacidade varia do baixo ao assustador."

Plataforma Critérios LGPD atendidos Pontuação Principal falha
Claude
11/14
 Melhor Não indica países para onde dados são transferidos
Gemini
11/14
 Melhor Não justifica transferência internacional por mecanismos legais locais
Meta AI
11/14
 Melhor Não explicita claramente os direitos dos usuários brasileiros
Copilot
~9/14
 Médio Falhas em transferência internacional e direitos dos titulares
ChatGPT
9/14
 Atenção Não revela responsável pelos dados nem destino das informações de brasileiros
Grok
6/14
 Ruim Descumpre mais da metade dos requisitos básicos
DeepSeek
5/14
 Pior Política de privacidade sem versão em português, dados para China

Fonte: FGV Direito Rio / Centro de Tecnologia e Sociedade, 2025. 14 critérios baseados no Guia de Segurança da Informação da ANPD.

⚠️
Importante: "melhor no ranking" não significa "em conformidade com a LGPD". Claude, Gemini e Meta AI lideram com 11 de 14 critérios — mas ainda falham nos critérios de transferência internacional de dados, que é justamente o ponto mais crítico para usuários brasileiros cujos dados vão para servidores nos EUA sem as garantias exigidas pela lei.

O que você não deve digitar em ferramentas de IA

O ranking importa — mas o comportamento do usuário é o fator de risco mais controlável. A LGPD define dois tipos de dados que merecem atenção especial.

Dados pessoais comuns — qualquer informação que identifique uma pessoa: nome completo, CPF, RG, endereço, telefone, e-mail, número de conta, placa de veículo. Dados pessoais sensíveis — categoria com proteção reforçada pela lei: origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dados de saúde, vida sexual, dados genéticos ou biométricos.

💡
Regra de ouro: se o dado pertence a outra pessoa e ela não autorizou você a compartilhá-lo com uma IA, não coloque no prompt. Não importa se é só para "corrigir um texto" ou "resumir um documento". O dado ainda foi processado e armazenado nos servidores da plataforma.

5 boas práticas para usar IA sem violar a LGPD

  1. 1

    Nunca coloque dados de terceiros sem autorização

    Antes de colar qualquer texto com informações de clientes, pacientes, alunos ou colegas, pergunte: essa pessoa autorizou o uso desses dados? Se a resposta for não — ou se você não sabe — anonimize antes. Substitua nomes por "Pessoa X", CPFs por sequências genéricas e informações de saúde por descrições vagas.

  2. 2

    Desative o histórico de conversas e o treinamento de dados

    A maioria das plataformas permite desativar o uso das suas conversas para treinar os modelos. No ChatGPT: Configurações → Controles de dados → desativar "Melhorar o modelo para todos". No Gemini: Minha Atividade → desativar histórico do Gemini. Faça isso antes de qualquer conversa sensível.

  3. 3

    Prefira plataformas com melhor conformidade para tarefas críticas

    Para tarefas que envolvam qualquer dado pessoal, priorize as ferramentas que lideram o ranking da FGV: Claude, Gemini ou Meta AI. Evite DeepSeek e Grok para qualquer uso profissional — ambas têm políticas de privacidade incompletas ou sem versão em português, o que já viola o princípio de transparência da LGPD.

  4. 4

    Leia (pelo menos) o resumo da política de privacidade

    Antes de usar uma nova ferramenta de IA com dados do trabalho, busque por "[nome da ferramenta] privacy policy summary" ou use a própria IA para resumir a política em português. As três perguntas que importam: (1) os dados são usados para treinar o modelo? (2) os dados vão para outros países? (3) como exercer o direito de exclusão?

  5. 5

    Para dados profissionalmente sensíveis, use versões enterprise ou on-premise

    Médicos, advogados, contadores e profissionais com obrigação de sigilo profissional não devem usar versões gratuitas de ferramentas de IA para tratar dados de clientes. Versões enterprise (como ChatGPT Enterprise ou Claude for Teams) têm políticas de não uso dos dados para treinamento — mas ainda exigem avaliação de conformidade com a LGPD antes do contrato.

🖊️ Na nossa avaliação

O estudo da FGV é um alerta que o mercado precisa ouvir — mas não deve ser lido como "pare de usar IA". A mensagem real é mais nuançada: use com consciência. A maioria das interações cotidianas com IA (pesquisar, redigir textos genéricos, aprender sobre um tema) não envolve risco à LGPD. O problema está nos atalhos: colar documentos de terceiros sem anonimizar, usar IAs de países sem acordos de proteção de dados para tarefas profissionais sensíveis, ou simplesmente nunca se perguntar o que a plataforma faz com o que você digita. A tecnologia avança rápido. A consciência do usuário precisa acompanhar.

📖 Leia também

Perguntas frequentes

Segundo estudo da FGV Direito Rio (2025), o ChatGPT descumpre 5 dos 14 critérios mínimos exigidos pela LGPD — não revela a identidade do responsável pelos dados no Brasil nem informa para qual país os dados dos usuários brasileiros são transferidos. Isso não significa que você não possa usar a ferramenta, mas que deve evitar inserir dados pessoais de terceiros nos prompts e estar ciente de que suas interações podem ser usadas para treinar os modelos da OpenAI.

De acordo com o estudo da FGV (2025), Claude, Gemini e Meta AI lideram o ranking de conformidade com a LGPD, atendendo 11 dos 14 critérios analisados. Na lanterna estão DeepSeek (5/14) e Grok (6/14). Nenhuma plataforma, porém, cumpre a LGPD de forma integral. A escolha da ferramenta importa, mas o comportamento do usuário — o que ele digita nos prompts — é o fator de risco mais controlável.

Como pessoa física usando uma IA para fins estritamente pessoais, o risco direto de multa da ANPD é baixo — a lei foca em controladores e operadores de dados. O risco real é indireto: exposição de dados de terceiros sem consentimento, responsabilidade civil por vazamento ou, no caso de profissionais liberais, violação de sigilo profissional. Advogados, médicos e contadores têm obrigações éticas adicionais que tornam o uso descuidado de IA ainda mais arriscado.

A LGPD define dados sensíveis como: origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dados de saúde ou vida sexual, dado genético ou biométrico. Além desses, dados que identificam diretamente uma pessoa — nome completo + CPF, endereço, número de conta bancária, prontuário médico — também devem ser evitados em ferramentas de IA públicas. A regra prática: se o dado pertence a outra pessoa, não cole no prompt sem anonimizar.

📚 Fontes e referências

  • FGV Direito Rio — IA Generativa e LGPD: transparência, desafios e caminhos para conformidade (2025): direitorio.fgv.br
  • Poder360 — Plataformas de IA não cumprem a LGPD, diz estudo da FGV: poder360.com.br
  • Sindpd — Nenhuma IA generativa cumpre LGPD no Brasil, diz estudo: sindpd.org.br
  • Conjur — A polêmica aplicação da LGPD às plataformas de IA (abr/2025): conjur.com.br
  • Juridigital — LGPD e o ChatGPT: o que acontece com os dados? (fev/2026): juridigital.com.br
  • ANPD — Resolução CD/ANPD nº 8/2025: transferências internacionais de dados pessoais: gov.br/anpd