Início Blog LGPD em projetos de IA: o checklist do DPO
LGPDInteligência Artificial

LGPD em projetos de IA: o checklist do DPO

· Allogic Tecnologia · 4 min de leitura

Em empresas que levam a LGPD a sério, o encarregado de dados (DPO) entra tarde nos projetos de IA — muitas vezes já com o modelo treinado, a API publicada e o marketing pronto para anunciar. É quando surgem as perguntas que deveriam ter sido feitas na primeira semana do projeto.

Este artigo é uma lista objetiva do que o DPO precisa validar antes de aprovar qualquer sistema de IA para produção. Não é manual jurídico — é checklist operacional.

Pergunta: com que dados o modelo foi treinado, e qual foi a base legal do tratamento desses dados?

Três cenários possíveis:

  • Modelo treinado com dados públicos genéricos (caso de LLMs de terceiros como OpenAI, Anthropic, Google) — a responsabilidade é do fornecedor. Avalie contratos, políticas de uso e se o modelo não memorizou dados pessoais específicos.
  • Modelo fine-tunado com dados da empresa — a base legal para usar esses dados em treino precisa ser clara. Consentimento específico? Execução de contrato? Legítimo interesse com teste adequado? O titular precisaria saber que o dado dele virou treino.
  • Modelo treinado do zero com dados sensíveis (saúde, biometria) — ambiente de maior risco. Exige DPIA (relatório de impacto) antes de começar.

2. Dados pessoais em inferência

Pergunta: o que entra no prompt quando o sistema é usado em produção?

Muitos projetos ignoram que, ao enviar CPF, endereço ou dado clínico de um usuário para a API de um LLM de terceiros, ocorre transferência internacional de dado pessoal — com todas as exigências que isso implica.

O que validar:

  • Os campos sensíveis estão sendo mascarados ou tokenizados antes do envio externo?
  • O contrato com o fornecedor prevê não-uso do dado para treino (opt-out de treino)?
  • O fornecedor oferece residência de dados em região compatível (EU/US não é indiferente à autoridade brasileira)?

3. Direito à revisão de decisões automatizadas

Pergunta: o sistema toma decisões que afetam o titular, sem humano no loop?

Se sim, o art. 20 da LGPD se aplica. O titular tem direito a:

  • Ser informado de que a decisão foi tomada de forma automatizada
  • Solicitar revisão humana
  • Entender os critérios gerais da decisão (sem obrigação de expor pesos internos do modelo, mas sim a lógica)

Aprovações de crédito, priorização de atendimento, scoring de risco — todos se encaixam. O fluxo de revisão humana precisa estar implementado e documentado antes do deploy, não depois da primeira reclamação.

4. Retenção de logs e prompts

Pergunta: por quanto tempo os prompts e respostas são armazenados?

Sistemas de IA geram um tipo de log novo: conversas inteiras entre usuário e modelo. Esses logs frequentemente contêm dados pessoais, às vezes sensíveis, e ficam guardados por padrão para fins de debug.

O que validar:

  • Existe política clara de retenção desses logs?
  • Logs são descartados ou anonimizados após o período necessário?
  • Acesso aos logs é restrito por função, com auditoria?

Um log com 18 meses de conversas não pensadas sob ótica de LGPD é uma bomba-relógio.

5. Contratos com fornecedores de LLM

Pergunta: o contrato do fornecedor de modelo trata cada um destes pontos?

  • Operador ou controlador? O fornecedor age como operador (processa sob instrução da empresa) ou controlador (usa dados para próprios fins, como treinar o próximo modelo)?
  • Sub-operadores declarados (infra cloud, provedores de monitoramento)
  • Notificação em caso de incidente
  • Direito de auditoria
  • Localização do processamento e transferência internacional

Planos gratuitos ou de baixo custo costumam reservar direito de usar o dado para treinar modelo. Para uso corporativo, isso quase sempre é inaceitável — exige migração para plano enterprise.

6. DPIA (Relatório de Impacto à Proteção de Dados)

Pergunta: o projeto exige DPIA?

A ANPD ainda consolida critérios, mas a boa prática é elaborar DPIA sempre que o sistema:

  • Trata dados sensíveis (saúde, biometria, origem racial)
  • Trata dados de crianças e adolescentes
  • Faz inferência em larga escala sobre titulares
  • Toma decisões com efeito jurídico significativo sobre titulares

O DPIA deve preceder o deploy e ser atualizado quando o sistema muda materialmente.

7. Transparência ao titular

Pergunta: o titular sabe que está interagindo com IA?

Chatbots, sistemas de recomendação, scoring automatizado — a identificação clara de que há IA envolvida deixou de ser boa prática e passou a ser exigência em várias jurisdições. No Brasil, ainda não é obrigatória em lei específica, mas é exigência crescente de autoridades setoriais (Bacen, ANS, CFM).

A regra prática

Um projeto de IA que não consegue responder objetivamente a estes sete pontos não está pronto para produção, independentemente de como os modelos performam em métricas técnicas. Ignorar isso é, na prática, um dos 5 erros mais comuns em projetos de IA que falham.

O DPO não é o freio do projeto. É quem evita que o projeto vire passivo. Em projetos de IA sob medida, esses sete pontos entram no escopo desde a fase de desenho — não depois do primeiro incidente.

Este artigo foi escrito pela equipe técnica da Allogic Tecnologia. Para conversar sobre projetos de IA com conformidade LGPD desde o desenho, agende uma conversa de 15 minutos.

← Voltar ao blog Falar com a Allogic →