Ricardo, diretor de operações de uma fintech de médio porte em São Paulo, implementou um sistema de lead scoring com IA em março de 2025. Em setembro, recebeu uma notificação: um prospect havia acionado a empresa alegando que sua solicitação de crédito havia sido negada automaticamente, sem nenhuma explicação. O advogado consultado trouxe uma notícia ruim: o artigo 20 da LGPD — em vigor desde 2020 — já garantia ao cliente o direito de exigir revisão humana daquela decisão. E a empresa não tinha nenhum mecanismo para isso. O processo custou mais do que o projeto de IA inteiro.

A história de Ricardo é mais comum do que parece. A maioria das empresas brasileiras que adotou IA em 2024 e 2025 focou na ferramenta, nos resultados e nos custos — mas não no quadro regulatório que já estava em vigor. Esse artigo muda isso.

O que a LGPD já exige para uso de IA — desde 2020

A LGPD (Lei 13.709/2018) entrou em vigor em 2020 com um conjunto de princípios e direitos que se aplicam diretamente ao uso de IA em empresas — mesmo que a palavra "inteligência artificial" não apareça no texto da lei. A chave está em três artigos combinados:

O artigo 6º estabelece os princípios que todo tratamento de dados precisa respeitar: finalidade (só coletar para fins determinados), necessidade (só o mínimo necessário), e transparência (informar claramente o titular sobre o que é feito com seus dados). Qualquer sistema de IA que processe dados de pessoas físicas precisa obedecer esses princípios.

O artigo 37 obriga o controlador de dados a manter um Relatório de Impacto à Proteção de Dados (RIPD) quando o tratamento representar risco elevado aos direitos dos titulares. Sistemas de IA usados para decisões automatizadas de alta consequência se enquadram nessa categoria.

O artigo 20 é o mais específico — e o mais desconhecido. Veja a seguir.

⚠️
O risco imediato mais subestimado: para a maioria das PMEs, o risco de multa da ANPD é menor do que o risco comercial. Empresas de médio e grande porte exigem cada vez mais evidências de compliance de seus fornecedores antes de fechar contratos. Não ter uma política de privacidade que mencione o uso de IA e mecanismos de revisão humana pode fazer sua empresa ser desqualificada em processos de compra corporativa — antes de qualquer sanção regulatória.

Artigo 20: a norma que mais empresas desconhecem

⚖️ LGPD — Artigo 20 (Lei 13.709/2018, em vigor desde set/2020)

Direito à revisão de decisões automatizadas

"O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade."

O que isso significa na prática: se sua empresa usa IA para tomar ou influenciar decisões que afetam pessoas físicas — aprovar crédito, selecionar candidatos, classificar leads, negar atendimento, personalizar preços — o cliente tem o direito de pedir que um humano revise essa decisão. E a empresa precisa ter um processo documentado para atender esse pedido.

A ANPD pode e já investiga casos de violação desse direito. O artigo 20 se aplica a uma gama muito mais ampla de casos do que a maioria dos gestores percebe. Veja os casos mais comuns em PMEs brasileiras:

Uso de IA na empresa Artigo 20 se aplica? Obrigação
Lead scoring automático Sim Canal para contestação + critérios explicáveis
Triagem de currículos com IA Sim Revisão humana disponível + ausência de viés discriminatório
Análise de crédito automatizada Sim Explicação dos critérios + revisão humana obrigatória
Chatbot de atendimento (FAQ) Depende Se não toma decisões que afetam interesses: risco baixo
Personalização de preços por IA Sim Transparência sobre a existência de preços personalizados
Geração de conteúdo com IA Não Sem dados pessoais = sem obrigação direta do art. 20
Monitoramento de funcionários com IA Sim Alta sensibilidade — envolve dados de emprego + decisões de carreira

O PL 2338/2023 — conhecido como Marco Legal da Inteligência Artificial — foi aprovado pelo Senado Federal em dezembro de 2024 e tramita na Câmara dos Deputados desde março de 2025, aguardando parecer do relator na Comissão Especial. A previsão vigente é de aprovação em 2026, com prazo de adequação histórico de 18 a 24 meses após a sanção — seguindo o precedente da própria LGPD.

O texto adota uma abordagem por classificação de risco, similar ao AI Act europeu:

🚫 Risco Excessivo — Proibido

Sistemas banidos pelo Marco Legal

IA para manipulação subliminar, pontuação social por governo, identificação biométrica em massa em espaços públicos sem autorização judicial, e sistemas que exploram vulnerabilidades de grupos protegidos.

⚠️ Alto Risco — Regulados

Obrigações materiais obrigatórias

Crédito, seleção de pessoal, saúde, educação, justiça, infraestrutura crítica e biometria. Exigem: Avaliação de Impacto Algorítmico (AIA), supervisão humana, logs de auditoria e canal de contestação.

💛 Risco Limitado

Regime mais leve

Chatbots, assistentes virtuais, sistemas de recomendação. Obrigação principal: transparência — o usuário precisa saber que está interagindo com IA.

✓ Risco Mínimo

Sem obrigação específica

Filtros de spam, jogos com IA, ferramentas de produtividade que não afetam direitos de pessoas físicas. A LGPD ainda se aplica se houver dados pessoais.

A ANPD passa a exercer papel de "autoridade reguladora residual" na estrutura do Marco Legal — nos setores onde não houver regulação específica, caberá à ANPD normatizar, fiscalizar e aplicar sanções. Autoridades setoriais como Banco Central, ANS e Anatel regulam dentro dos seus domínios, sempre em articulação com as diretrizes gerais da ANPD.

💡
Vantagem para quem já tem maturidade em LGPD: empresas com processos estabelecidos de mapeamento de dados, gestão de riscos e governança de privacidade têm uma vantagem real na adequação ao Marco Legal da IA. Os processos de RIPD, política de privacidade e canal de titulares são a base sobre a qual a governança de IA se constrói — não um trabalho paralelo.

Timeline regulatória: o que já vale e o que vem aí

✓ Setembro 2020 — Em vigor

LGPD entra em vigor

Artigos 6, 20 e 37 já se aplicam ao uso de IA com dados pessoais. Direito à revisão de decisões automatizadas garantido desde então.

✓ 2024 — Concluído

Primeiras multas relevantes da ANPD

ANPD aplica primeiras sanções por uso inadequado de dados pessoais em operações comerciais. Sinal claro de que a fase de educação terminou.

✓ Dezembro 2024 — Concluído

Marco Legal da IA aprovado pelo Senado

PL 2338/2023 aprovado em texto substitutivo. Remetido à Câmara dos Deputados em março de 2025.

✓ Janeiro 2026 — Concluído

ANPD e União Europeia: equivalência de proteção reconhecida

LGPD e GDPR reconhecidos como equivalentes. Empresas brasileiras e europeias podem transferir dados sem instrumentos adicionais.

⚡ 2026 — Em andamento

ANPD prioriza IA na fiscalização 2026-2027

IA incluída como um dos quatro eixos prioritários da Agenda Regulatória. Sandbox regulatório de IA em fase de testes com empresas selecionadas. Primeira minuta de regulação específica para IA em fase final de elaboração.

⚡ 2026 — Esperado

Aprovação do Marco Legal da IA na Câmara

Votação esperada para 2026 após parecer do relator na Comissão Especial. Aprovação aciona prazo de adequação de 18–24 meses.

→ 2027–2028 — Projetado

Marco Legal em vigor com prazo de adequação

Empresas com sistemas de alto risco precisam ter Avaliação de Impacto Algorítmico (AIA), supervisão humana, logs de auditoria e canal de contestação operacionais. Multas de até R$ 50 mi ou 2% do faturamento.

Obrigações por tipo de uso de IA na sua empresa

A combinação de LGPD atual e Marco Legal futuro cria um quadro de obrigações que depende do que sua empresa faz com IA — não do tamanho da empresa ou do setor. As categorias abaixo cobrem os casos mais comuns em PMEs brasileiras em 2026.

Chatbot de atendimento (WhatsApp, site)

Obrigação atual (LGPD): mencionar na política de privacidade que há IA no atendimento e quais dados são coletados na conversa. Obrigação futura (Marco Legal): informar ao usuário de forma clara que está interagendo com IA — não é necessário revelar que é um chatbot a cada mensagem, mas não é permitido fazer o usuário acreditar que está falando com humano quando não está.

Lead scoring e qualificação automática

Obrigação atual (LGPD): artigo 20 se aplica — precisa existir canal para contestação e critérios gerais explicáveis. Não é necessário revelar o modelo inteiro, mas o prospect tem direito de saber que foi classificado automaticamente e com base em quê (de forma geral). Obrigação futura (Marco Legal): se classificado como alto risco (crédito, seleção de pessoal), a AIA passa a ser obrigatória.

Análise de crédito ou aprovação automatizada

Obrigação atual (LGPD): artigo 20 com força máxima — a decisão afeta diretamente os interesses financeiros do titular. Precisa ter revisão humana disponível, documentada e acessível. Obrigação futura (Marco Legal): alto risco explícito. AIA, supervisão humana, logs e canal de contestação obrigatórios desde a entrada em vigor.

Geração de conteúdo e assistentes de produtividade

Obrigação atual (LGPD): mínima, desde que não envolva dados pessoais de terceiros. O risco surge quando o colaborador cola dados de clientes em ferramentas de IA pública. Obrigação futura (Marco Legal): risco mínimo — sem obrigações específicas além das já previstas na LGPD.

Checklist de adequação: o que fazer nos próximos 90 dias

Este checklist não é o guia de conformidade completo — é o mínimo que qualquer empresa que usa IA deve ter no prazo de 90 dias para reduzir o risco regulatório e comercial imediato.

📋 Checklist LGPD + IA — Próximos 90 dias

🔴 Imediato (até 30 dias) — Já obrigatório pela LGPD

  • Inventariar todas as ferramentas de IA em uso na empresa — nome, finalidade, quais dados processam
  • Verificar se alguma ferramenta toma decisões automatizadas que afetam clientes, candidatos ou parceiros
  • Para essas ferramentas: criar canal documentado de revisão humana (e-mail, formulário ou processo interno)
  • Atualizar a política de privacidade mencionando o uso de IA e os tipos de decisão automatizada realizadas
  • Verificar se BSPs e plataformas de IA têm cláusulas de proteção de dados no contrato (DPA)
  • Para ChatGPT, Gemini, Claude em uso profissional: configurar modo Team/Enterprise ou desativar treinamento com dados da empresa

🟠 Curto prazo (30–60 dias) — Preparação para Marco Legal

  • Classificar os sistemas de IA pelo nível de risco do PL 2338 (excessivo / alto / limitado / mínimo)
  • Para sistemas de alto risco: iniciar rascunho da Avaliação de Impacto Algorítmico (AIA) com critérios do modelo
  • Revisar processos de RH que usam IA para triagem ou avaliação — garantir revisão humana documentada
  • Treinar equipe de atendimento sobre o direito à revisão de decisões automatizadas (artigo 20 da LGPD)
  • Definir responsável interno por governança de dados e IA (pode ser o DPO existente)

🟡 Médio prazo (60–90 dias) — Governança estruturada

  • Iniciar ou atualizar o RIPD para processos de IA que envolvam dados pessoais em volume ou alto risco
  • Criar processo de avaliação de novas ferramentas de IA antes da contratação (checklist de compliance)
  • Mapear se a empresa tem clientes ou operações na União Europeia — verificar obrigações do EU AI Act
  • Documentar a lógica geral dos principais modelos de IA em uso (não o código — os critérios gerais)
  • Revisar contratos com fornecedores que usam IA em nome da empresa — verificar responsabilidade solidária
⚖️
Nota editorial: este checklist tem finalidade informativa e não substitui consultoria jurídica especializada em proteção de dados. Para empresas que processam dados sensíveis (saúde, crédito, biometria) ou que operam em setores regulados, recomendamos consultar um advogado ou DPO especializado antes de implementar qualquer medida.

🖊️ Na nossa avaliação

O padrão que se repete nas empresas brasileiras é o mesmo da chegada da LGPD em 2020: esperar a lei para começar a se adequar, descobrir que o risco já existia antes da lei, e correr para regularizar depois de um incidente. Com a IA, o ciclo está se acelerando. A ANPD já fiscaliza via artigo 20. O risco comercial de perder contratos por falta de compliance de IA já é real. E o Marco Legal vai chegar com prazo de adequação muito mais curto do que a maioria das empresas antecipa. Quem estrutura governança de IA agora — mesmo de forma mínima e proporcional ao porte — chega à entrada em vigor com meses de vantagem sobre concorrentes que decidiram esperar.

📖 Leia também

Perguntas frequentes

Sim. A LGPD já se aplica a qualquer sistema de IA que envolva tratamento de dados pessoais — o que abrange a esmagadora maioria das aplicações comerciais. O artigo 20 (em vigor desde 2020) garante ao titular o direito de solicitar revisão humana de decisões tomadas exclusivamente por meios automatizados quando afetarem seus interesses, incluindo crédito, seleção de pessoal e triagem de perfis. A ANPD incluiu IA como eixo prioritário de fiscalização para 2026-2027.

O artigo 20 da LGPD estabelece que o titular de dados tem o direito de solicitar a revisão de decisões tomadas exclusivamente com base em tratamento automatizado que afetem seus interesses — como decisões de crédito, seleção de emprego e triagem comercial. Para empresas que usam IA: qualquer sistema que tome decisões automatizadas sobre pessoas físicas precisa ter mecanismo de revisão humana acessível, e a empresa precisa ser capaz de explicar os critérios gerais usados pelo modelo.

O PL 2338/2023 foi aprovado pelo Senado Federal em dezembro de 2024 e tramita na Câmara dos Deputados desde março de 2025. A previsão é de aprovação em 2026, com prazo de adequação de 18 a 24 meses após a sanção. O texto adota uma abordagem de classificação por risco e prevê multas de até 2% do faturamento ou R$ 50 milhões por infração — mesmo teto da LGPD.

O PL 2338/2023 classifica como alto risco sistemas que tomam decisões que afetam significativamente direitos fundamentais em áreas como crédito e serviços financeiros, seleção e gestão de pessoas, saúde, educação, justiça, infraestrutura crítica e biometria. Sistemas de alto risco precisam realizar Avaliação de Impacto Algorítmico (AIA), garantir supervisão humana, manter logs de auditoria e disponibilizar mecanismo de contestação.

Não pode esperar. O artigo 20 da LGPD já está em vigor desde 2020. A ANPD já fiscaliza o uso de IA via LGPD e incluiu o tema como prioridade para 2026-2027. Além disso, o risco comercial mais imediato para PMEs não é a multa da ANPD — é perder contratos com clientes enterprise que exigem evidências de compliance. As três medidas mínimas imediatas: atualizar a política de privacidade mencionando o uso de IA, criar mecanismo de revisão humana para decisões automatizadas que afetam clientes, e documentar as ferramentas em uso e para que finalidade.

📚 Fontes e referências

  • Barbieri Advogados — LGPD e regulamentação de IA no Brasil (mar/2026): barbieriadvogados.com
  • KakauTech — Marco Legal da IA chegou: como transformar exigências em vantagem (mar/2026): kakautech.com
  • Mind Group — EU AI Act e PL 2338: o que muda na sua operação em 2026 (abr/2026): mindconsulting.com.br
  • NDM Advogados — Guia de Governança de IA 2026: 5 obrigações legais para startups (mar/2026): ndmadvogados.com.br
  • Full Sales System — Compliance comercial 2026: LGPD e IA nas vendas (mai/2026): fullsalessystem.com
  • Sys4b — Compliance 2026: LGPD 2.0 e o impacto da IA nos dados corporativos (dez/2025): sys4b.com.br
  • CTS Consultoria — Agenda Regulatória ANPD 2025-2026 (jan/2026): ctsconsultoria.com.br
  • Mattos Filho — Destaques da atuação da ANPD e perspectivas para 2026 (jan/2026): mattosfilho.com.br
  • ConvergênciaDigital — ANPD como autoridade reguladora residual da IA (dez/2025): convergenciadigital.com.br