NeuralLex
NeuralLexIA · Direito · Governança
Início / FAQ / Segurança, Privacidade e LGPD
FAQ · Segurança, Privacidade e LGPD

Segurança, Privacidade e LGPD

12 perguntas respondidas com profundidade autoral.

A LGPD se aplica ao uso de IA?

Sim, integralmente. Cada uso de IA com dados pessoais é tratamento sob a LGPD. Submeter informação de cliente, aluno ou terceiro a ChatGPT, Claude ou Gemini configura tratamento — mesmo que a finalidade seja produtiva (gerar minuta, redigir e-mail, organizar caso).

Esse tratamento precisa ter base legal, finalidade legítima, respeito a princípios (necessidade, transparência, segurança) e respeito aos direitos do titular. Não há "exceção de IA" na LGPD.

Para uso responsável: anonimização preventiva, planos corporativos com não-treinamento ativo, política institucional clara, audit trail.

Posso usar ChatGPT com dados de cliente?

Sem anonimização, não. Mesmo com anonimização, prefira plano corporativo (Team ou Enterprise) com cláusula de não-treinamento ativa.

Planos gratuitos podem usar os dados para treinamento. Planos pagos individuais (Plus) também, em alguns aspectos. Planos corporativos têm garantias contratuais robustas.

Para casos críticos com dados sensíveis, considere instância privada (NeuralLex Fluxo institucional ou equivalente). Custo maior, garantias maiores.

Como anonimizar antes de submeter à IA?

Anonimização significa substituir, no input, identificadores por códigos genéricos. Antes:

"Maria Silva, CPF 123.456.789-00, está em demanda contra o Banco XYZ pela cobrança indevida de R$ 5.000 em 12/03/2025..."

Depois:

"Uma cliente está em demanda contra um banco pela cobrança indevida de quantia em data recente..."

A anonimização preserva o problema jurídico (que é o que a IA precisa) e remove identificadores. Em escritórios com volume, vale construir procedimento padrão (substituições recorrentes documentadas).

Plano corporativo ChatGPT é diferente do Plus?

Sim, em pontos centrais:

  • Plus (US$ 20/mês individual): bom para uso pessoal. Dados podem ser usados para treinamento, com configuração que pode desativar.
  • Team (US$ 25/usuário/mês): para equipes pequenas. Não treinamento ativo por padrão. Gerenciamento centralizado.
  • Enterprise: para grandes organizações. SSO, controle administrativo, conformidade reforçada. Preço sob consulta.

Para uso institucional regular, Team ou Enterprise. Para uso pessoal sem dados de cliente, Plus basta.

Como saber se o fornecedor cumpre a LGPD?

Verifique:

  • Política de privacidade pública com referência expressa à LGPD
  • DPA (Data Processing Agreement) disponível para clientes
  • Representante no Brasil (encarregado para a LGPD)
  • Certificações (SOC 2, ISO 27001, ISO 27701)
  • Cláusulas contratuais sobre tratamento, retenção, eliminação
  • Procedimento de notificação de incidentes
  • Cooperação para exercício de direitos do titular

Em caso de dúvida, peça documentação ao fornecedor antes de contratar. Fornecedores sérios fornecem.

A IA "aprende" com os meus dados?

Em planos corporativos com não-treinamento, não. Em planos gratuitos e em alguns planos individuais, pode aprender. Em planos pessoais com configuração padrão, pode haver uso para treinamento.

Configuração importa. Mesmo em plano Plus, é possível desativar o uso de dados para treinamento nas configurações.

Para uso institucional, plano corporativo com não-treinamento ativo é padrão. Em alguns casos, instância privada com IA dedicada (sem trânsito por servidores compartilhados).

Quais dados nunca submeter à IA pública?

Política institucional mínima lista:

  • Nomes completos de clientes em contexto identificável
  • Dados pessoais sensíveis (saúde, origem racial/étnica, convicção religiosa, posicionamento político, vida sexual)
  • Conteúdo sob sigilo (advogado-cliente, médico-paciente, sigilo bancário, sigilo fiscal)
  • Segredos de negócio
  • Propriedade intelectual de terceiros
  • Conteúdo de inquérito sob investigação
  • Dados de crianças e adolescentes em contexto identificável

Para qualquer dado dessa lista, anonimize ou use instância privada.

Como tratar requisição de titular relacionada à IA?

O titular tem direitos sob a LGPD: acesso, correção, eliminação, portabilidade, oposição, revisão de decisão automatizada.

Quando há requisição relacionada à IA, procedimento:

  1. Identificar onde o dado do titular está (sistemas próprios, fornecedores)
  2. Cooperar com fornecedor para atender (em geral, há canal específico)
  3. Documentar a requisição e a resposta
  4. Responder ao titular no prazo da LGPD
  5. Comunicar a ANPD se houver impossibilidade técnica relevante

Em fornecedores sérios, mecanismo de atendimento a requisições é parte do contrato. Verificar antes da contratação.

Vazamento de dados via IA: como tratar?

Procedimento sob LGPD:

  1. Identificação do incidente e contenção
  2. Avaliação do impacto (titulares afetados, dados expostos, risco)
  3. Notificação à ANPD em prazo razoável (em geral, 72 horas)
  4. Comunicação aos titulares afetados quando há risco relevante
  5. Investigação interna
  6. Correção (técnica, processual, política)
  7. Registro e plano para evitar reincidência
  8. Comunicação institucional quando apropriado

A LGPD prevê sanção administrativa que pode ser severa. A diligência razoável (governança documentada, treinamento, contratos adequados) é o que mitiga.

Posso usar IA pública em órgão público?

Pode, com cuidados maiores. Órgãos públicos operam sob princípios constitucionais (legalidade, impessoalidade, publicidade, etc.) e sob LGPD (com peculiaridades do setor público).

Para uso responsável:

  • Contratação formal de fornecedor (Lei 14.133/2021)
  • DPA com garantias adequadas
  • Anonimização sempre que possível
  • Para dados sensíveis ou sigilosos, instância privada
  • Avaliação de impacto (DPIA) prévia
  • Política institucional escrita

Servidor não pode usar IA pessoal (sua assinatura individual) com dados institucionais, em geral. Política do órgão regula.

A LGPD prevê direito à explicação em decisão de IA?

Sim, no art. 20. Quando há decisão tomada com apoio significativo de IA que afete direitos do titular, ele pode pedir revisão por pessoa natural e exigir explicação.

Aplicação prática: organizações que usam IA em decisões (crédito, contratação, atendimento priorizado, classificação institucional) precisam ter mecanismo para responder à requisição de explicação.

Em muitos casos, a explicação técnica completa não é possível (modelos opacos). A LGPD pede explicação compreensível, que pode ser sobre os critérios gerais usados, não sobre os pesos exatos do modelo.

A LGPD se aplica a IA hospedada nos EUA?

Sim, quando há tratamento de dados de titulares no Brasil. A LGPD tem aplicação extraterritorial (art. 3º): se o tratamento ocorre no Brasil, ou se os titulares estão no Brasil, ou se há oferta de bens ou serviços a brasileiros, a lei se aplica.

A maior parte dos modelos de IA grandes (ChatGPT, Claude, Gemini) tem hospedagem nos EUA. Os fornecedores têm operação no Brasil (representante para LGPD, DPA, etc.) e operam em conformidade.

Para casos com sensibilidade especial, faz sentido considerar instância em servidores brasileiros (NeuralLex Fluxo institucional pode ser hospedado nacionalmente).

Sua dúvida específica não está aqui?

Conversa direta no WhatsApp para casos particulares.

Entrar em contato Falar no WhatsApp
WhatsApp