Como este tema funciona na sua empresa
Estrutura de privacidade enxuta, geralmente informal. Uso de IA limitado a ferramentas SaaS conformes com a LGPD (RD Station, HubSpot, Mailchimp, ferramentas com contrato adequado). Regra prática: não passar dados pessoais sensíveis em LLM público gratuito, escolher fornecedores com contrato enterprise quando os dados envolvem clientes, e manter política de privacidade atualizada mencionando uso de IA. Apoio jurídico geralmente terceirizado (advocacia eventual). Sem encarregado de proteção de dados (DPO) formal, mas com responsável definido.
Encarregado de proteção de dados (DPO) designado, política de privacidade revisada periodicamente, contratos com fornecedores de IA com cláusulas específicas. Relatório de impacto à proteção de dados pessoais (RIPD/DPIA) elaborado para casos de decisão automatizada (predição de churn, segmentação por modelo, personalização em tempo real). Política interna de uso de IA define o que pode ser passado para LLM público e o que exige ambiente enterprise. Treinamento periódico do time de marketing sobre LGPD aplicada a IA.
Programa formal de privacidade integrado ao programa de gestão de riscos, comitê de privacidade com participação da equipe de IA, marketing, segurança e jurídico. Observabilidade de uso de IA (registros de prompts, monitoramento de dados sensíveis em entrada, auditoria de modelos preditivos). RIPD obrigatório para todo caso automatizado, com revisão anual. Contratos enterprise com cláusulas robustas (sub-operadores, transferência internacional, indenização). Auditoria interna e externa periódica. Programa de capacitação contínua.
IA e LGPD em marketing
é o conjunto de obrigações da Lei 13.709/18 (Lei Geral de Proteção de Dados Pessoais) aplicáveis ao uso de inteligência artificial em operações de marketing — incluindo definição de base legal para tratamento, transparência sobre uso de IA, direitos do titular, atenção a decisões automatizadas previstas no art. 20 (direito à revisão humana), contratos adequados com fornecedores de IA, retenção limitada de dados e relatório de impacto à proteção de dados pessoais (RIPD) para casos sensíveis, com definição de cada ponto feita por advocacia especializada, dado que este texto não substitui análise jurídica caso a caso.
Princípios da LGPD que afetam o uso de IA em marketing
A LGPD não tem capítulo específico sobre IA, mas seus princípios e dispositivos atravessam toda decisão de uso de inteligência artificial em marketing. Quatro princípios são especialmente relevantes.
Finalidade. O tratamento de dados pessoais precisa ter finalidade legítima, específica, explícita e informada ao titular. Dados coletados para uma finalidade (atendimento ao cliente, por exemplo) não podem ser usados livremente para outra (treinar modelo de predição de churn) sem nova base legal.
Minimização (necessidade). Trate apenas os dados estritamente necessários para a finalidade. Aplicação direta em IA: não envie dados pessoais que não precisam estar no prompt; anonimize ou pseudoanonimize quando possível.
Transparência. Titulares têm direito a informação clara sobre tratamento, incluindo, quando aplicável, uso de IA e decisões automatizadas. Política de privacidade precisa mencionar uso de IA quando este é parte relevante do tratamento.
Segurança. Medidas técnicas e administrativas para proteger dados, incluindo contratos com fornecedores, controle de acesso, retenção limitada, planos de resposta a incidentes. Fornecedores de IA são operadores de dados e exigem contrato adequado.
Base legal para uso de IA em marketing
Toda operação de tratamento de dados pessoais exige base legal — uma das dez hipóteses do art. 7º (dados pessoais) ou do art. 11 (dados pessoais sensíveis). Em marketing com IA, três bases são as mais frequentes.
Execução de contrato. Tratamento necessário para cumprir contrato do qual o titular é parte. Aplicável a casos como envio de comunicação transacional, suporte pós-venda assistido por IA, personalização de área logada quando descrita no contrato de serviço.
Legítimo interesse. Tratamento necessário para atender interesses legítimos do controlador ou de terceiro, exceto quando prevalecerem direitos e liberdades fundamentais do titular. Aplicável a casos como prevenção de fraude, segmentação básica baseada em comportamento, análise de respostas abertas para insumos de pesquisa. Exige avaliação documentada de balanceamento de interesses e mecanismo de oposição (opt-out) acessível.
Consentimento. Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento. Aplicável especialmente a marketing direto, perfilamento comportamental detalhado, decisões automatizadas com impacto significativo. Exige granularidade (consentimento específico por finalidade) e mecanismo simples de revogação.
A escolha da base legal não é livre — depende da natureza do tratamento, do impacto sobre o titular e da expectativa razoável de uso dos dados. Para casos sensíveis (dados de saúde, biometria, dados de criança), o art. 11 traz lista restrita e diferente. A definição da base legal correta exige análise caso a caso pela advocacia.
Art. 20: decisão automatizada e direito à revisão humana
O artigo 20 da LGPD é o dispositivo central para IA em marketing. Determina que o titular tem direito a solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluindo decisões destinadas a definir perfil pessoal, profissional, de consumo e de crédito, ou aspectos da personalidade.
Aplicações típicas em marketing que se enquadram: predição de churn que aciona oferta automatizada de retenção, classificação de propensão de compra que define qual canal de comunicação recebe o cliente, modelo de qualificação de leads que define se vendas será acionada, recomendação de produto que define toda a vitrine vista pelo cliente, decisão automatizada de elegibilidade para programa de fidelidade ou desconto.
O que a empresa precisa garantir. Informação clara. Política de privacidade descreve que há tratamento automatizado, qual a finalidade e qual o impacto. Caminho de revisão humana. O titular pode pedir que pessoa qualificada revise a decisão. Resposta tempestiva. Prazo razoável para análise e resposta (ANPD aponta para até 15 dias). Critério auditável. A empresa deve ser capaz de explicar a lógica geral da decisão automatizada quando solicitado, e o auditor da ANPD pode auditar discriminação ilegal mesmo quando o segredo comercial preserva a lógica detalhada.
Atenção: o art. 20 não obriga revisão por humano em toda decisão automatizada — obriga oferecer o direito ao titular que o solicitar. A operação precisa ter o caminho disponível, mesmo que pouco usado na prática.
Foco em três pontos: política de privacidade atualizada mencionando uso de IA, contratos com fornecedor adequados (versão paga/enterprise quando dados são de clientes), e canal claro para o titular exercer direitos (e-mail dedicado ou formulário). RIPD raramente é obrigatório; faz sentido apenas se houver decisão automatizada com impacto relevante. Apoio jurídico via advocacia eventual para revisar política, contratos e dúvidas pontuais.
Encarregado de proteção de dados formal, RIPD elaborado para casos de decisão automatizada (predição de churn, segmentação preditiva, personalização), revisão anual da política de privacidade, treinamento do time de marketing. Cláusulas específicas em contratos com fornecedores de IA: sub-operadores, transferência internacional, indenização, prazo de retenção, direito de auditoria. Política interna de uso de IA com regras claras sobre o que pode entrar em LLM público.
Programa de privacidade integrado a gestão de riscos, comitê de privacidade multidisciplinar, observabilidade técnica de uso de IA (registros de prompts, monitoramento de PII em entrada, auditoria de modelos), RIPD obrigatório para todo caso automatizado com revisão anual. Treinamento contínuo, programa de detecção de incidentes, contratos enterprise com cláusulas robustas. Auditoria externa periódica. Posicionamento público sobre uso responsável de IA.
LLM público: o que não passar no prompt
Modelos de linguagem em plano gratuito ou consumer (ChatGPT gratuito, Gemini gratuito, Claude.ai consumer) processam o conteúdo do prompt em servidores do fornecedor, com termos de uso que frequentemente permitem uso do conteúdo para treinamento. Isso significa que dados pessoais colocados nesses prompts podem sair do controle da empresa.
Regra prática: não envie em LLM público gratuito. Dados de identificação direta de cliente. Nome completo, CPF, RG, endereço, telefone, e-mail, número de cartão, dados bancários, dados de pagamento. Dados pessoais sensíveis (art. 11 LGPD). Origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados de saúde, dados biométricos, dados genéticos, dados de criança e adolescente. Conteúdo confidencial corporativo. Contratos, propostas comerciais com cliente nominal, dados financeiros não divulgados, estratégias comerciais. Dados protegidos por sigilo profissional ou regulamentar. Áreas com regulação setorial (saúde, financeiro, advocacia) têm dever de sigilo que se sobrepõe a qualquer uso de LLM público.
O caso público da Samsung, em que engenheiros colaram código confidencial em ChatGPT e os termos do serviço permitiam uso para treinamento, é referência didática do risco: a empresa proibiu uso interno de ChatGPT consumer após o incidente.
Alternativas para contornar a restrição: usar versões enterprise (Claude Enterprise, ChatGPT Enterprise, Gemini Enterprise, Azure OpenAI) que contratualmente isolam dados; anonimizar ou pseudoanonimizar dados antes de enviar; processar dados sensíveis em modelos hospedados em infraestrutura própria com contrato adequado.
Contratos com fornecedor de IA: o que exigir
Fornecedor de IA é operador de dados pessoais e o contrato precisa atender a LGPD. Cláusulas essenciais.
Finalidade limitada. Dados tratados apenas para prestação do serviço contratado, não para outras finalidades (especialmente não para treinamento de modelos que beneficiem terceiros). Os contratos enterprise dos principais fornecedores já incluem essa cláusula; os termos consumer frequentemente não.
Sub-operadores. Identificação dos sub-operadores envolvidos (data center, infraestrutura), exigência de notificação prévia para mudanças, garantia contratual em cascata.
Transferência internacional. A LGPD (capítulo V) restringe transferência internacional. Fornecedores americanos ou europeus exigem cláusulas contratuais padrão, decisão de adequação (quando houver) ou outras garantias do art. 33. ANPD vem publicando regulamento específico.
Segurança e incidentes. Medidas técnicas mínimas (criptografia em trânsito e em repouso, controle de acesso, logs), prazo de notificação em caso de incidente (recomendado 24 a 72 horas), apoio na resposta.
Retenção e eliminação. Prazo de retenção alinhado à finalidade, mecanismo de eliminação confirmada ao fim do contrato, atendimento a direitos do titular (acesso, eliminação, oposição).
Indenização. Cláusula de indenização proporcional ao risco do tratamento, especialmente em casos de violação imputável ao operador.
A revisão e adaptação dos contratos exige advocacia especializada em LGPD e proteção de dados — não é exercício de "checklist". Cada operação tem particularidades.
Direitos do titular em contextos de IA
A LGPD (art. 18) lista direitos do titular que precisam estar operacionalizados. Em contextos de IA, alguns ganham relevância especial.
Confirmação e acesso. O titular pode pedir confirmação de tratamento e acesso aos dados tratados. Em IA, isso inclui os dados de entrada usados para treinar ou pontuar modelos.
Correção. Dados incompletos, inexatos ou desatualizados precisam ser corrigíveis. Em modelos preditivos, a correção pode afetar a pontuação do titular — operação precisa estar preparada.
Anonimização, bloqueio ou eliminação. Direito de pedir tratamento adequado quando há excesso de retenção ou quando o tratamento já não tem base legal.
Portabilidade. Direito de pedir transferência dos dados para outro fornecedor (regulamentação evoluindo via ANPD).
Oposição. Direito de se opor a tratamento baseado em legítimo interesse — em marketing, mecanismo de opt-out em comunicações e em personalização preditiva é central.
Revisão de decisão automatizada. Já discutido na seção do art. 20. Operação precisa do caminho disponível mesmo que pouco usado.
AI Act europeu como referência
O AI Act (Regulamento (UE) 2024/1689) é a primeira lei abrangente sobre IA no mundo, com vigência escalonada a partir de 2024. Não se aplica diretamente a empresa brasileira sem operação na União Europeia, mas serve de referência prática para três decisões.
Classifica sistemas de IA por nível de risco: risco inaceitável (proibido), alto risco (obrigações severas), risco limitado (transparência), risco mínimo (sem obrigação adicional). Aplicações típicas de marketing (recomendação, personalização) tendem a se classificar em risco limitado ou mínimo; casos extremos (sistema que afeta acesso a serviço essencial ou que cria perfilamento intensivo de vulneráveis) podem entrar em alto risco.
Exige transparência sobre conteúdo gerado por IA: chatbots devem se identificar como tais, deepfakes devem ser rotulados, conteúdo gerado por IA em contexto público deve ser identificável.
No Brasil, o Projeto de Lei 2.338/23 está em discussão e segue inspiração próxima ao AI Act, com classificação por risco e obrigações específicas. Acompanhamento via advocacia especializada é recomendado, já que o cenário regulatório está em movimento.
RIPD: quando é obrigatório e como organizar
O Relatório de Impacto à Proteção de Dados Pessoais (RIPD), também chamado de DPIA, é o instrumento que documenta a análise de risco do tratamento. A LGPD prevê que a ANPD pode requerer o RIPD em situações de risco elevado, e a prática internacional indica que RIPD deve ser feito para tratamentos sistemáticos em larga escala, especialmente com decisão automatizada.
Em marketing, casos típicos que pedem RIPD: predição de churn que aciona ofertas automatizadas, perfilamento comportamental detalhado para personalização, segmentação preditiva, decisão automatizada de elegibilidade para programas, análise de respostas abertas em larga escala com IA, uso de dados de criança e adolescente em qualquer contexto.
Estrutura típica do RIPD: descrição sistemática do tratamento (finalidade, dados, fluxo, fornecedores, retenção), avaliação da necessidade e proporcionalidade, identificação dos riscos para direitos do titular, medidas de mitigação, parecer do encarregado de proteção de dados.
O RIPD não é documento para gaveta — é instrumento de governança que deve guiar decisões e ser atualizado quando o tratamento muda.
Erros comuns em IA e LGPD em marketing
Passar PII em ChatGPT consumer. Colar lista de clientes em ChatGPT gratuito para "personalizar" e-mails. Exposição direta sem base legal e sem contrato adequado.
Decisão automatizada sem revisão humana disponível. Sistema preditivo que define oferta, segmentação ou pontuação sem caminho documentado para o titular pedir revisão por humano.
Política de privacidade desatualizada. Política não menciona uso de IA, decisões automatizadas ou fornecedores envolvidos.
Contratos com fornecedor sem cláusulas adequadas. Operação adotou ferramenta consumer ou contrato genérico que permite uso de dados para treinamento.
RIPD ausente em casos sensíveis. Operação roda predição de churn em larga escala sem documentação de risco.
LGPD vista como checklist. Conformidade tratada como exercício de marcar caixas, não como prática viva de governança. Inevitavelmente fica desatualizada.
Encarregado de proteção de dados não envolvido em projetos de IA. Equipe de marketing decide arquitetura e contrata fornecedor antes de consultar privacidade. Quando o problema aparece, o tratamento já está em produção.
Sinais de que sua operação precisa revisar IA e LGPD
Se três ou mais cenários abaixo descrevem sua operação atual, vale revisão estruturada com advocacia especializada em LGPD e IA.
- Não existe política interna sobre uso de modelos de linguagem com dados de cliente.
- Encarregado de proteção de dados não foi envolvido em projetos de IA já em produção.
- Operação tem decisão automatizada (predição, segmentação, personalização) sem caminho documentado para revisão humana.
- Contratos com fornecedores de IA não foram revistos com cláusulas específicas (sub-operadores, transferência internacional, indenização).
- Política de privacidade não menciona uso de IA nem decisões automatizadas.
- Não existe RIPD para casos de tratamento sistemático em larga escala com decisão automatizada.
- LGPD é tratada como checklist anual sem governança viva.
- Time de marketing usa LLM público gratuito com dados pessoais de clientes.
Caminhos para estruturar IA e LGPD em marketing
A decisão entre operar internamente ou contar com apoio externo depende do porte da operação, da exposição regulatória do setor e da maturidade do programa de privacidade existente.
Encarregado de proteção de dados, marketing e jurídico interno (ou advocacia eventual) constroem política, RIPD para casos sensíveis e revisam contratos. Treinamento periódico do time.
- Perfil necessário: encarregado de proteção de dados (interno ou terceirizado) + responsável jurídico + responsável de marketing
- Quando faz sentido: programa de privacidade já maduro, casos de uso de IA bem delimitados, exposição regulatória média
- Investimento: tempo de equipe (20-40 horas para política e RIPD inicial) + apoio advocacia eventual (R$ 5.000 a R$ 20.000 por projeto)
Advocacia especializada em LGPD e IA, consultoria de privacidade ou consultoria de auditoria estrutura programa, redige RIPDs, revisa contratos e treina o time. Modelo de acompanhamento contínuo é comum.
- Perfil de fornecedor: advocacia especializada em LGPD e IA, consultoria de privacidade, consultoria de auditoria com prática em proteção de dados
- Quando faz sentido: exposição regulatória alta (saúde, financeiro, telecom), uso amplo de IA, programa de privacidade em construção
- Investimento típico: R$ 20.000 a R$ 80.000 por projeto de estruturação + mensalidade R$ 5.000 a R$ 25.000 para acompanhamento contínuo
Sua operação de IA em marketing tem base legal, RIPD e contratos adequados?
O oHub conecta sua empresa a advocacia especializada em LGPD e IA, consultorias de privacidade e auditoria. Em poucos minutos, descreva seu desafio e receba propostas de quem entende o mercado brasileiro.
Encontrar fornecedores de Marketing no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Posso usar dados pessoais para treinar IA?
Pode, desde que haja base legal adequada (consentimento, legítimo interesse com avaliação documentada, ou outra hipótese do art. 7º ou art. 11 da LGPD), finalidade específica e informada, minimização (apenas dados necessários), contratos adequados com fornecedores e respeito aos direitos do titular. Treinar modelo com dados pessoais coletados para outra finalidade exige nova base legal ou compatibilidade demonstrada. A definição da base correta exige advocacia especializada caso a caso — este texto não substitui análise jurídica.
Decisão automatizada — o que LGPD exige?
O art. 20 da LGPD garante ao titular o direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses, incluindo perfilamento. A empresa precisa informar sobre o tratamento automatizado (política de privacidade), oferecer caminho operacional para revisão humana, responder em prazo razoável (ANPD aponta até 15 dias) e ser capaz de descrever a lógica geral da decisão. O direito é do titular que solicitar; o caminho precisa existir mesmo que pouco usado.
Transparência sobre IA — como informar usuário?
A política de privacidade precisa descrever, em linguagem clara: que há uso de IA em determinadas operações, quais finalidades, se há decisões automatizadas, quais fornecedores estão envolvidos (especialmente quando há transferência internacional), como o titular pode exercer direitos (incluindo revisão de decisão automatizada). Em interfaces (chatbots, recomendação), a identificação de uso de IA é boa prática; o AI Act europeu já a exige formalmente.
Direitos do titular em modelos preditivos?
Todos os direitos do art. 18 se aplicam: confirmação de tratamento, acesso aos dados, correção, anonimização, bloqueio ou eliminação, portabilidade, informação sobre compartilhamento, revogação de consentimento (quando aplicável) e oposição. Em modelos preditivos, ganham relevância especial a oposição (opt-out de tratamento baseado em legítimo interesse) e a revisão de decisão automatizada (art. 20). A operação precisa de processos para atender cada direito em prazo razoável.
LLM público com dado de cliente — pode?
Em plano gratuito ou consumer (ChatGPT gratuito, Gemini gratuito), a regra prática é não passar dados pessoais identificáveis (nome, CPF, e-mail, telefone), dados sensíveis (saúde, biometria, dados de menores) nem conteúdo confidencial corporativo. Os termos consumer frequentemente permitem uso de conteúdo para treinamento. Para tratar dados pessoais com IA, use versões enterprise (Claude Enterprise, ChatGPT Enterprise, Gemini Enterprise, Azure OpenAI) com contrato adequado, anonimize antes de enviar ou hospede modelo em infraestrutura própria.
LGPD x AI Act — diferenças relevantes?
A LGPD é lei brasileira sobre proteção de dados pessoais com dispositivos sobre decisão automatizada (art. 20). O AI Act (Regulamento UE 2024/1689) é regulamento europeu específico sobre IA, com classificação por nível de risco (inaceitável, alto, limitado, mínimo) e obrigações específicas por nível. Não se aplica diretamente a empresa brasileira sem operação na UE, mas serve de referência. O Projeto de Lei 2.338/23 no Brasil está em discussão e segue inspiração próxima ao AI Act — acompanhamento via advocacia especializada é recomendado.
Fontes e referências
- Lei 13.709/18 — Lei Geral de Proteção de Dados Pessoais (LGPD). Texto oficial.
- Autoridade Nacional de Proteção de Dados (ANPD). Orientações, guias e regulamentos sobre proteção de dados e IA.
- Regulamento (UE) 2024/1689 — AI Act. Texto oficial da União Europeia sobre regulação de inteligência artificial.
- Future of Privacy Forum. Materiais sobre proteção de dados e IA, com publicações periódicas sobre AI Act e regulação comparada.
- Anthropic. Termos comerciais e diferenças entre planos consumer e enterprise para Claude.
- OpenAI. Políticas e termos de uso, incluindo distinção entre planos consumer e enterprise.