Escrito por Álvaro Campelo Fonseca [*] e Tiago de Lima Mascarenhas Santos [**]
A inteligência artificial (IA) vem revolucionando o cenário digital global, automatizando decisões e processando grandes volumes de dados pessoais em plataformas digitais. Embora essa tecnologia traga inegáveis avanços, ela também introduz riscos significativos à privacidade, à não discriminação e à segurança das informações. No Brasil, a Lei Geral de Proteção de Dados Pessoais (LGPD) surgiu como resposta à necessidade de regulação do uso de dados, mas sua estrutura normativa mostra-se limitada diante da complexidade crescente dos sistemas algorítmicos, principalmente quando possuem naturezas particulares e exigem maior especificidade legal para a regulação de suas operações.
A promulgação da LGPD representou um importante marco regulatório no Brasil, ao estabelecer princípios e direitos fundamentais no tratamento de dados pessoais. Inspirada no Regulamento Geral sobre a Proteção de Dados (GDPR)[1] da União Europeia, a LGPD trouxe inovações como o direito à portabilidade, à exclusão de dados e à revisão de decisões automatizadas, como previsto em seu art. 20. Entretanto, os sistemas de inteligência artificial (IA) trouxeram à tona uma nova realidade quanto ao uso de dados pessoais, principalmente pela potencialização dos algoritmos, que são definidos como um conjunto de códigos destinados à realização de uma tarefa, utilizando dados de entrada (inputs) para gerar resultados (outputs), que são traduzidos como recomendações nas redes sociais, por exemplo (Doneda; Almeida, 2016).
A utilização massiva desses sistemas em plataformas digitais amplia significativamente a coleta e o tratamento de dados pessoais, muitas vezes de forma automatizada e sem a devida transparência quanto aos critérios envolvidos nas decisões. Essa dinâmica desafia a estrutura da LGPD, devido à chamada opacidade algorítmica [2] (ou “caixa-preta” da IA), que torna difícil identificar quem é o responsável pelas decisões e como elas são tomadas, comprometendo o princípio da autodeterminação informativa, estabelecido no art. 2º, inciso II, da LGPD.
A natureza particular dos mecanismos de IA também dificulta a responsabilização legal pelas informações geradas nos outputs, tendo em vista a relação entre os mecanismos da IA e o ente externo que mobiliza tais mecanismos conforme os comandos (inputs). Um exemplo prático, que serve como questionamento, seria uma circunstância onde um ente externo pede que a IA gere um discurso criminoso de ódio, tendo este conseguido burlar os sistemas de proteção da IA para isso. Se a IA gerar este conteúdo passível de criminalização, seria responsabilidade do ente externo ou da empresa que faz a gestão da IA?
Embora a LGPD represente um avanço fundamental, cresce a percepção de que ela não é suficiente ainda para regular os riscos e impactos sociais da inteligência artificial. Isso tem motivado o debate em torno da criação de um novo marco legal específico para a IA no Brasil, atualmente em discussão por meio do Projeto de Lei nº 2338/2023, em tramitação na Câmara dos Deputados, inspirado no AI Act [3] (2024), que classifica os sistemas de IA em diferentes categorias de riscos e impõe requisitos para a implementação das chamadas “IAs de alto risco”.
Nesse contexto, o texto do Projeto de Lei nº 2338/2023 propõe avanços importantes na proteção dos direitos dos indivíduos diante dos impactos gerados por sistemas de inteligência artificial. Dentre os dispositivos previstos, o art. 5º delineia um conjunto de direitos fundamentais aplicáveis às pessoas ou grupos afetados, independentemente do grau de risco da tecnologia envolvida, nos seguintes termos:
Art. 5º A pessoa ou grupo afetado por sistema de IA, independentemente do seu grau de risco, tem os seguintes direitos, a serem exercidos na forma e nas condições descritas neste Capítulo:
I – direito à informação quanto às suas interações com sistemas de IA, de forma acessível, gratuita e de fácil compreensão, inclusive sobre caráter automatizado da interação, exceto nos casos em que se trate de sistemas de IA dedicados única e exclusivamente à cibersegurança e à ciberdefesa, conforme regulamento;
II – direito à privacidade e à proteção de dados pessoais, em especial os direitos dos titulares de dados nos termos da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais), e da legislação pertinente;
III – direito à não discriminação ilícita ou abusiva e à correção de vieses discriminatórios ilegais ou abusivos, sejam eles diretos ou indiretos.
§ 1º A informação referida no inciso I do caput deste artigo será fornecida com o uso de ícones ou símbolos uniformizados facilmente reconhecíveis, sem prejuízo de outros formatos.
§ 2º Os sistemas de IA que se destinem a grupos vulneráveis deverão, em todas as etapas de seu ciclo de vida, ser transparentes e adotar linguagem simples, clara e apropriada à idade e à capacidade cognitiva, e ser implementados considerando o melhor interesse desses grupos.
Nesse diapasão, surge a discussão acerca dos riscos de vazamento de dados em decorrência dessa utilização desenfreada de dados pessoais. Recentemente, pesquisadores da Cybernews identificaram o que pode ser considerado o maior vazamento de dados da história, expondo cerca de 16 bilhões de credenciais de login e senhas de usuários vinculados a plataformas como Apple, Google, Facebook, Telegram, GitHub, além de serviços governamentais (FORBES, 2025). As consequências incluem desde phishing [4] altamente segmentado até invasões automatizadas em contas, pois os dados seguem o padrão “URL + login + senha”, facilitando os ataques.
A adoção do compliance algorítmico surge como medida estratégica essencialíssima, na medida em que se trata de um conjunto de diretrizes, práticas e mecanismos que visam assegurar a conformidade operacional dos sistemas de inteligência artificial com a legislação vigente, mantendo padrões éticos e transparentes, e preservando o direito à auditabilidade. Isso inclui a adoção do princípio do privacy by design [5] até a implementação dos processos de explicabilidade algorítmica, permitindo a verificação das decisões automatizadas por partes interessadas e órgãos reguladores.
Para a efetivação do compliance algorítmico, são necessárias ações integradas, tais como:
- Análise prévia de riscos: identificação e resolução de potenciais riscos de vazamento dos dados e violações à privacidade;
- Mapeamento do fluxo de dados: compreensão das cadeias operacionais pelas quais os dados trafegam, permitindo a prevenção de riscos;
- Mitigação de vieses: evitar que os dados processados gerem conteúdos discriminatórios;
- Auditorias técnicas, revisão periódica dos modelos e capacitação constante das equipes envolvidas.
Paralelamente, faz-se necessário fortalecer a governança de dados com comprometimento da alta gestão, definição de papéis e responsabilidades claras e rastreabilidade dos dados utilizados. Tais práticas devem estar alinhadas a padrões internacionais como os princípios FAIR [6] (Findable, Accessible, Interoperable, Reusable), promovendo um uso ético e estruturado dos dados.
Frameworks[7] estruturados de governança oferecem diretrizes eficazes, cabendo citar: (i) o DAMA-DMBOK (Data Management Body of Knowledge), que abrange 11 áreas de conhecimento, formalizando políticas e papéis na gestão de dados em conformidade com legislações como LGPD e GDPR (DAMA INTERNATIONAL, 2017) e (ii) o COBIT (Control Objectives for Information and Related Technologies), que orienta-se por metas de valor e riscos empresariais, alinhando-se à legislação vigente com foco em objetivos estratégicos (ISACA, 2018).
A análise demonstrou que os mecanismos atualmente previstos na LGPD apresentam limitações relevantes diante da crescente complexidade dos sistemas de IA. O Projeto de Lei nº 2.338/2023 representa um avanço no enfrentamento dessas lacunas normativas, ao propor um conjunto de direitos fundamentais aplicáveis a qualquer pessoa impactada por sistemas de IA, independentemente do grau de risco envolvido. Contudo, a efetivação dessas garantias exige uma estrutura de governança algorítmica sólida.
A efetividade do compliance algorítmico vai além do atendimento formal às normas. Requer processos técnicos definidos, sendo a adoção de frameworks internacionais como DAMA-DMBOK e COBIT essencial. O AI Act também revelou uma abordagem regulatória mais avançada, exigindo sistemas internos de gestão da qualidade, certificação por marcação CE [8], documentação auditável, atuação ativa de autoridades reguladoras e sanções que podem chegar a 35 milhões de euros ou 7% do faturamento da empresa (UNIÃO EUROPEIA, 2024).
Portanto, o fortalecimento da governança de dados no Brasil exige uma abordagem integrada, combinando medidas legais, organizacionais e tecnológicas. Isso inclui definição de responsabilidades, políticas internas de controle, repositórios seguros e estruturados, uso de métricas de maturidade e infraestrutura interoperável [9]. Apenas com essa base será possível concretizar as promessas do compliance algorítmico e proteger de forma efetiva os direitos fundamentais na era digital.
REFERÊNCIAS BIBLIOGRÁFICAS
BRASIL. Câmara dos Deputados. Projeto de Lei nº 2.338, de 2023. Dispõe sobre o desenvolvimento, o fomento e o uso ético e responsável da inteligência artificial com base na centralidade da pessoa humana. Brasília: Câmara dos Deputados, 2023. Disponível em: https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposicao=2487262. Acesso em: 7 jul. 2025.
CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Phishing e outros golpes. São Paulo: CERT.br, 2023. Disponível em: https://cartilha.cert.br/fasciculos/#phishing-golpes. Acesso em: 7 jul. 2025.
DAMA INTERNATIONAL. DAMA-DMBOK: Data Management Body of Knowledge. 2. ed. New Jersey: Technics Publications, 2017.
DONEDA, D.; ALMEIDA, V. What Is Algorithm Governance? IEEE Internet Computing, [s.l.], v. 20, n. 4, p. 60-63, jul./ago. 2016. Disponível em: https://www.computer.org/csdl/magazine/ic/2016/04/mic2016040060/13rRUyekJ2d. Acesso em: 7 jul. 2025.
EBAC. Framework SEO: O que é, como usar e principais ferramentas. EBAC Online, 2023. Disponível em: https://ebaconline.com.br/blog/framework-seo. Acesso em: 7 jul. 2025.
GOVERNO FEDERAL. Governança de Dados – Estratégia de Governo Digital. Governo Digital – gov.br, 2024. Disponível em: https://www.gov.br/governodigital/pt-br/infraestrutura-nacional-de-dados/governancadedado. Acesso em: 7 jul. 2025.
ISACA. COBIT 2019 Framework: Governance and Management Objectives. Rolling Meadows: ISACA, 2018.
PASQUALE, Frank. The black box society: the secret algorithms that control money and information. Cambridge, MA: Harvard University Press, 2016.
TERRACAP. O que é Privacy by Design e Privacy by Default? Agência de Desenvolvimento do Distrito Federal, 2023. Disponível em: https://www.terracap.df.gov.br/index.php/listagem-faq/78-lgpd-lei-geral-de-protecao-de-dados-pessoais/196-53-o-que-e-privacy-by-design-e-privacy-by-default. Acesso em: 7 jul. 2025.
UNIVERSIDADE DE COIMBRA. Princípios FAIR. UC Open Science, 2023. Disponível em: https://www.uc.pt/openscience/sobre/acesso-aberto/fair/#:~:text=Os%20Princ%C3%ADpios%20FAIR%20foram%20publicados,do%20ecossistema%20da%20Ci%C3%AAncia%20Aberta. Acesso em: 7 jul. 2025.
UNIÃO EUROPEIA. Article 99 – Entry into force and application. Artificial Intelligence Act, 2024. Disponível em: https://artificialintelligenceact.eu/article/99/. Acesso em: 18 jul. 2025.
UNIÃO EUROPEIA. Marcação CE. EUR-Lex, [s.d.]. Disponível em: https://eur-lex.europa.eu/PT/legal-content/glossary/ce-marking.html. Acesso em: 8 jul. 2025.
UNIÃO EUROPEIA. Regulation (EU) 2024/1689 […] (Artificial Intelligence Act). Official Journal of the European Union, L 2024/1689, 12 jul. 2024. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX:32024R1689. Acesso em: 7 jul. 2025.
WEHANDLE. Compliance e machine learning: uma revolução na gestão de riscos. Blog Wehandle, 2023. Disponível em: https://wehandle.com.br/blog/compliance-e-machine-learning-uma-revolucao-na-gestao-de-riscos. Acesso em: 7 jul. 2025
[1] A General Data Protection Regulation (Regulamento Geral sobre a Proteção de Dados), normativa da União Europeia em vigor desde 25 de maio de 2018. Estabelece regras rígidas para o tratamento de dados pessoais, com foco na proteção dos direitos fundamentais dos cidadãos europeus, impondo obrigações a organizações públicas e privadas, inclusive fora da UE, sempre que operem com dados de residentes europeus.
[2] A opacidade algorítmica refere-se à dificuldade ou impossibilidade de compreender como determinados algoritmos tomam decisões, seja pela complexidade técnica dos modelos (como redes neurais profundas), pela falta de transparência dos desenvolvedores ou pela ausência de mecanismos legais que garantam o direito à explicação. Essa “caixa-preta” tecnológica compromete a accountability e impede que os indivíduos afetados compreendam ou contestem decisões automatizadas, especialmente quando envolvem impactos significativos sobre seus direitos. (PASQUALE, 2016.)
[3] O AI Act é o regulamento da União Europeia sobre inteligência artificial, aprovado em 2024, que estabelece um marco legal para o desenvolvimento, comercialização e uso de sistemas de IA no território europeu. A norma classifica os sistemas de IA conforme o grau de risco e impõe obrigações específicas, sobretudo para as chamadas IAs de alto risco, como transparência, supervisão humana, gerenciamento de dados e documentação técnica. O objetivo central do AI Act é garantir que as tecnologias de IA respeitem os direitos fundamentais, a segurança e a confiança dos cidadãos europeus (UNIÃO EUROPEIA, 2024).
[4] Phishing é uma técnica de engenharia social utilizada por cibercriminosos para enganar usuários e induzi-los a fornecer dados sensíveis, como senhas, números de cartões de crédito ou informações bancárias. Normalmente, essas fraudes ocorrem por meio de mensagens falsas que imitam comunicações legítimas de empresas, bancos ou instituições públicas, redirecionando as vítimas para sites falsos que coletam seus dados sem consentimento (CERT.br, 2023).
[5] Privacy by design é o conceito de se desenvolver programas cuja operação e funcionalidade tenha a privacidade como preceito fundamental, bem como a preservação da privacidade durante todo o ciclo de vida dos dados pessoais (TERRACAP, 2025).
[6] Os princípios FAIR surgem durante a conferência “Jointly Designing a Data FAIRPORT”, nos países baixos, ocorrida em 2014, e foram publicados em 2016, com o objetivo de fornecer um guia para a gestão de dados, valorizando a identificação, acessibilidade, qualificação e pluralidade dos atributos de um determinado dado (UCOIMBRA, 2025).
[7] Frameworks são estruturas de trabalho que embasam a construção de softwares de maneira eficiente, via modulação, padronização e ferramentas de desenvolvimento (EBAC, 2023).
[8] Marcação CE, ou Conformité Européenne, é uma marca que os fabricantes e fornecedores de produtos e serviços utilizam para indicar que um produto cumpre as normas de conformidade legal relevantes da União Europeia (UE) em termos de segurança, saúde e proteção ambiental. O sistema é aplicável a todo o Espaço Econômico Europeu e só se aplica aos produtos abrangidos pela legislação da UE que requer a aposição da marcação CE (EUR-LEX, 2008).
[9] Capacidade de diferentes sistemas, dispositivos ou aplicações trocarem informações entre si de forma eficiente, segura e compreensível, mesmo que tenham arquiteturas, plataformas ou fornecedores distintos. No contexto da governança de dados, a interoperabilidade garante que os dados possam ser compartilhados e reutilizados de maneira consistente entre organizações ou setores diversos, respeitando normas técnicas e legais.
[*] Graduando em Direito pela Universidade de Brasília (FD/UnB), atualmente no 2º semestre. Integrante da CoDiTech, vinculada à Faculdade de Direito da UnB. Desenvolve pesquisas na área de direito digital, inteligência artificial, direito constitucional e direito natural. E-mail para contato: alvarocfonseca@gmail.com
[**] Graduando em Direito pela Universidade de Brasília (FD/UnB), atualmente no 5º semestre. Integrante da CoDiTech e do Grupo de Estudos em Processo Civil e Acesso à Justiça (GEPC), ambos vinculados à Faculdade de Direito da UnB. Desenvolve pesquisas nas áreas de inteligência artificial, direito penal, direito constitucional, direito processual civil, acesso à justiça e direito internacional público, com trabalhos publicados em eventos acadêmicos tanto em âmbito nacional quanto internacional, incluindo participação em publicações na Universidade de Perugia, Itália (CONPEDI). E-mail para contato: tiagosantosunb@gmail.com
