LGPD e Inteligência Artificial — Guia Prático do Art. 20

A LGPD (Lei 13.709/2018) não menciona explicitamente "inteligência artificial" — mas seu art. 20 cria obrigações diretas para qualquer empresa que use IA em decisões que afetem clientes, candidatos a emprego, parceiros ou qualquer titular de dados.

1. Quando o art. 20 se aplica

O artigo cobre decisões que, simultaneamente:

• São tomadas unicamente com base em tratamento automatizado (sem revisão humana substantiva no processo decisório)
• Afetam os interesses do titular — o que a ANPD interpreta de forma ampla: crédito, emprego, seguros, precificação, acesso a serviços
• Envolvem dados pessoais identificados ou identificáveis

Exemplos práticos que se enquadram: motor de crédito automatizado, triagem de currículos por IA, chatbot que decide sobre cancelamento de contrato, sistema de precificação dinâmica por perfil de cliente.

2. O que "revisão humana" exige na prática

A ANPD (Resolução CD/ANPD nº 15/2024) esclareceu que a revisão humana precisa ser substancial: um humano que simplesmente clica "confirmar" no output da IA não atende ao art. 20. São necessários:

• Acesso às informações que embasaram a decisão automatizada
• Poder real de alterar ou rejeitar a decisão da IA
• Tempo razoável para a análise (processos que forçam aprovação em segundos não atendem)
• Documentação de que a revisão ocorreu e quem a fez

3. Explicabilidade obrigatória

Quando um titular solicita revisão, a empresa deve fornecer informações claras sobre os critérios e procedimentos utilizados para a decisão automatizada. Isso implica, na prática:

• Manter documentação dos critérios e pesos do modelo
• Ser capaz de explicar em linguagem não técnica por que uma decisão foi tomada
• Para modelos de caixa-preta (deep learning), implementar técnicas de XAI (SHAP, LIME ou equivalentes) para gerar explicações auditáveis

4. Base legal para tratamento automatizado

Além do art. 20, o tratamento de dados pessoais por IA precisa de base legal. As mais comuns são:

• Execução de contrato — quando a decisão automatizada é parte do serviço contratado (ex: análise de crédito no contrato de empréstimo)
• Legítimo interesse — quando há benefício ao controlador que não supera os direitos do titular; requer teste de balanceamento documentado
• Consentimento — menos recomendado por ser revogável a qualquer momento; não deve ser a única base para decisões de alto impacto

5. Penalidades e casos notórios

A ANPD pode aplicar multas de até 2% do faturamento anual da empresa no Brasil, limitada a R$ 50 milhões por infração. Em casos de decisões automatizadas sem base legal ou sem possibilidade de revisão, enquadram-se também infrações às bases legais de tratamento (art. 7º e 11º), podendo acumular sanções.

6. Checklist de conformidade LGPD + IA

• Inventário de todos os sistemas de IA que processam dados pessoais
• Para cada sistema: base legal documentada e atualizada
• Mecanismo de solicitação de revisão humana disponível para titulares
• Processo de revisão com humano capacitado e poderes reais de intervenção
• Documentação dos critérios do modelo atualizada a cada retrain
• Prazo de resposta ao titular definido (recomendação: até 15 dias)
• Log auditável das decisões automatizadas e das revisões realizadas
• Cláusulas de IA nos contratos com fornecedores que processam dados como operadores