Popularização sem blindagem: estamos prontos para os riscos da IA?
Nos últimos anos, a Inteligência Artificial deixou de ser uma tendência e passou a ocupar um espaço concreto nas rotinas corporativas. Ferramentas como o ChatGPT, o Grok e outras soluções generativas começaram a ser adotadas por áreas diversas: atendimento ao cliente, marketing, RH e produção de conteúdo. A promessa de eficiência e inovação é real, mas há um ponto cego que não pode mais ser ignorado.
De acordo com reportagem recente publicada pelo jornal O Globo, nenhuma das principais IAs amplamente utilizadas no Brasil está em conformidade com os requisitos mínimos da Lei Geral de Proteção de Dados. Isso significa que, na pressa por inovar, muitas organizações estão utilizando sistemas que não garantem a segurança, a legalidade ou a privacidade dos dados que processam.
O uso empolgado da IA pode esconder riscos sérios
É fácil se impressionar com as possibilidades que a IA oferece. Ferramentas que automatizam tarefas, criam textos, analisam volumes imensos de dados ou oferecem respostas rápidas têm se mostrado verdadeiros aliados no ganho de produtividade. Mas é justamente aí que mora o risco: em muitos casos, essas soluções são utilizadas sem qualquer avaliação jurídica, sem análise de impacto, sem transparência sobre o tratamento de dados e, principalmente, sem o envolvimento das áreas responsáveis por garantir conformidade legal.
Imagine, por exemplo, uma equipe de RH que utiliza um chatbot generativo para resumir currículos e facilitar a triagem de candidatos. O arquivo enviado contém endereço, telefone, informações médicas e dados sensíveis de diversos profissionais. Ao serem inseridos em uma ferramenta pública de IA, esses dados podem ser armazenados fora do Brasil, reutilizados para fins desconhecidos ou ainda expostos em eventuais falhas de segurança. É uma situação de vulnerabilidade grave, com risco real de responsabilização civil, administrativa e reputacional.
O mesmo acontece quando áreas de marketing recorrem à IA para criar campanhas personalizadas, utilizando dados de comportamento do consumidor sem que exista base legal adequada para esse tipo de tratamento. Muitos consumidores sequer sabem que suas informações estão sendo processadas de forma automatizada por modelos que a própria empresa não controla. Se houver um incidente ou questionamento, a organização dificilmente conseguirá justificar esse uso.
Quando a IA age sozinha, quem assume a responsabilidade?
Um dos desafios mais sensíveis no uso da inteligência artificial está nas decisões importantes que afetam diretamente a vida das pessoas. Análises de crédito, liberação de benefícios e até processos seletivos são cada vez mais automatizados. Se esses sistemas forem treinados com dados enviesados ou históricos discriminatórios, podem acabar tomando decisões injustas, ainda que sem qualquer intenção. Já existem casos documentados em que mulheres, pessoas negras ou moradores de determinadas regiões tiveram crédito negado por critérios automatizados, sem nenhuma explicação clara. Quando as empresas não oferecem revisão humana nem transparência sobre esses processos, acabam expostas a ações judiciais e à fiscalização da Autoridade Nacional de Proteção de Dados (ANPD).
Esse tipo de atuação já é uma realidade no Brasil. Em 2 de julho de 2024, a ANPD determinou a suspensão cautelar do tratamento de dados pessoais feito pela Meta no país para treinar seus sistemas de IA. A medida foi tomada porque a autoridade entendeu que a prática violava princípios fundamentais da LGPD, como a transparência, a finalidade específica e os direitos dos titulares. Foi a primeira vez que a ANPD aplicou uma suspensão cautelar envolvendo inteligência artificial, o que deixou claro que o uso massivo de dados pessoais, mesmo por empresas estrangeiras, precisa seguir as regras brasileiras.
Depois de um processo de verificação e de exigências formais, a ANPD autorizou a Meta a retomar o tratamento de dados, mas com condições. Entre elas, a empresa passou a ser obrigada a oferecer informações claras e destacadas sobre o uso dos dados com finalidades de IA, criar canais acessíveis para que os usuários possam se opor ao tratamento e garantir que a coleta esteja limitada ao mínimo necessário. A Meta também teve que revisar seus documentos de privacidade, explicando de forma específica qual é a base legal para esse tipo de operação. Essa decisão reforça o papel da ANPD e mostra que não há espaço no Brasil para práticas automatizadas que ignorem os direitos das pessoas.
Além disso, o risco aumenta quando as empresas não têm controle interno sobre o uso dessas tecnologias. Muitas vezes, os próprios colaboradores começam a usar ferramentas de IA por conta própria, em busca de mais agilidade no dia a dia. Esse movimento, conhecido como “Bring Your Own AI”, abre brechas perigosas. Dados sensíveis da empresa ou de seus clientes podem acabar indo parar em plataformas não validadas, sem qualquer rastreabilidade ou controle. Quando há um vazamento ou uso indevido, nem sempre é possível saber onde tudo começou, o que compromete toda a estrutura de governança da organização.
A legislação brasileira é clara: qualquer empresa que trate dados pessoais precisa registrar suas operações, definir com precisão a base legal de cada atividade, garantir os direitos dos titulares e adotar medidas de segurança compatíveis com os riscos envolvidos. Isso vale também para o uso de IA. Quando esse uso acontece de forma negligente, a empresa corre o risco de ser penalizada com multas, advertências, bloqueios de dados e, principalmente, pode sofrer danos sérios à sua reputação.
Governança de IA não é obstáculo, é proteção estratégica
O caminho não passa por proibir o uso da Inteligência Artificial. Pelo contrário. A tecnologia pode ser usada de forma responsável e estratégica, desde que exista uma estrutura mínima de governança. Isso inclui a definição de políticas claras sobre o uso de IA, a criação de critérios de aprovação para novas ferramentas, a capacitação contínua das equipes e a supervisão por profissionais que compreendam os riscos regulatórios envolvidos.
Essa governança, no entanto, não deve se limitar ao uso das ferramentas prontas. É fundamental que ela abranja também os processos de aquisição e desenvolvimento de soluções baseadas em IA. Sempre que uma empresa considerar a compra ou contratação de modelos externos, é necessário avaliar a transparência do fornecedor quanto à forma de treinamento do modelo, à origem dos dados utilizados e à compatibilidade com os princípios da LGPD. Já no caso de empresas que desenvolvem suas próprias soluções internamente, o cuidado deve ser ainda maior: é preciso garantir que o projeto seja conduzido com base em princípios éticos, respeito à privacidade desde a concepção e mecanismos contínuos de avaliação de riscos.
Também é essencial que os dados utilizados sejam previamente classificados e protegidos, que as finalidades estejam bem definidas e que os usuários saibam exatamente como agir. A empresa precisa saber quando a decisão automatizada exige intervenção humana, como lidar com pedidos de esclarecimento e como responder diante de um incidente de segurança.
O futuro das empresas passa por decisões responsáveis no presente
A Inteligência Artificial já é parte do cotidiano empresarial. Mas isso não significa que seu uso deva ser livre de regras. O momento exige responsabilidade, planejamento e maturidade regulatória. Proteger os dados e respeitar os direitos dos titulares não é apenas uma exigência legal, mas uma condição para a continuidade e a credibilidade das organizações.
Adotar um programa de governança de IA, alinhado à LGPD, é mais do que uma resposta a uma obrigação legal. É um compromisso com a ética, a inovação sustentável e a confiança dos clientes, parceiros e do mercado.
Se a sua organização está em fase de adoção, aquisição ou desenvolvimento de soluções baseadas em Inteligência Artificial, contar com uma assessoria jurídica especializada faz toda a diferença. O COTS Advogados atua de forma estratégica na estruturação de programas de conformidade e governança de IA, com foco na proteção de dados e na mitigação de riscos legais e reputacionais.
Acesse www.cots.adv.br e conheça mais sobre como podemos apoiar sua empresa na construção de um futuro digital responsável e seguro.
