LGPD e IA: Guia de Conformidade para Gestão Pública

Toda vez que um servidor público digita um prompt em um sistema de inteligência artificial, dados podem estar sendo enviados para servidores fora do país, processados por empresas estrangeiras e armazenados em condições que o órgão desconhece. Se esse prompt contém dados pessoais de cidadãos — nomes, CPFs, dados de saúde, informações fiscais — o órgão está realizando um tratamento de dados pessoais sujeito integralmente à LGPD.

A Lei Geral de Proteção de Dados (Lei 13.709/2018) não faz exceção para inteligência artificial. Não importa se o dado é processado por um humano ou por um modelo de linguagem: as obrigações de base legal, finalidade, minimização, segurança e transparência se aplicam da mesma forma.

Este guia explica as obrigações da LGPD no contexto de IA, os riscos que o setor público enfrenta, os controles necessários e como uma plataforma de governança ajuda a garantir conformidade.

Por que a LGPD é especialmente relevante para IA no setor público

O setor público brasileiro processa dados pessoais de praticamente toda a população: dados do SUS, do INSS, da Receita Federal, do Cadastro Único, do sistema educacional, da segurança pública. São dados sensíveis, em volume massivo, de pessoas que não têm como optar por não fornecê-los — a relação com o governo não é voluntária como a relação com uma empresa privada.

Quando a IA entra nesse contexto, o risco se amplifica. Um modelo de linguagem pode, em uma única requisição, processar centenas de registros pessoais. Um servidor que usa IA para analisar prontuários médicos está enviando dados de saúde — classificados como sensíveis pela LGPD — para um sistema externo. Um analista que pede à IA para cruzar dados fiscais está criando um tratamento de dados pessoais que precisa estar documentado e autorizado.

O PBIA 2024-2028 prevê a capacitação de 115 mil servidores em IA. Isso significa 115 mil pessoas que potencialmente vão processar dados pessoais usando inteligência artificial. Sem controles, cada uma dessas interações é uma vulnerabilidade de compliance.

As obrigações da LGPD aplicadas à IA

Base legal para o tratamento

Todo tratamento de dados pessoais exige uma base legal prevista na LGPD. Para o setor público, as bases mais comuns são o cumprimento de obrigação legal, a execução de políticas públicas e o legítimo interesse (em contextos específicos).

Quando IA é usada para processar dados pessoais, o órgão precisa identificar qual base legal sustenta aquele tratamento específico. "Estamos testando IA" não é uma base legal. "Estamos usando IA para otimizar o atendimento ao cidadão conforme o Decreto X" pode ser — mas precisa estar documentado.

Finalidade específica

Os dados pessoais enviados à IA devem ser tratados para uma finalidade específica e declarada. Se o órgão coleta dados de saúde para prestar atendimento médico, não pode usar esses mesmos dados para treinar modelos de IA sem uma nova base legal e sem informar o titular.

Minimização de dados

A LGPD exige que apenas os dados estritamente necessários sejam tratados. No contexto de IA, isso significa que os prompts devem conter o mínimo de dados pessoais possível. Se a tarefa é resumir um relatório, o servidor deve remover dados identificáveis antes de enviar o texto para a IA — ou usar técnicas de anonimização.

Segurança adequada

O órgão deve implementar medidas técnicas e administrativas para proteger os dados contra acessos não autorizados, destruição, perda, alteração ou comunicação indevida. Quando dados são enviados para um provedor de IA, o órgão precisa saber: qual é a política de segurança do provedor? Onde os dados são processados? São retidos? Por quanto tempo? São usados para treinamento de modelos?

Transparência

Os titulares dos dados — os cidadãos — têm direito de saber que seus dados estão sendo tratados e para qual finalidade. Se um órgão usa IA para analisar solicitações de benefícios sociais, o cidadão deve ser informado de que IA faz parte do processo decisório.

Direitos dos titulares

A LGPD garante ao titular o direito de acesso, correção, eliminação e portabilidade dos seus dados. No contexto de IA, isso inclui o direito de saber se uma decisão foi tomada com base em tratamento automatizado e de solicitar revisão humana.

Os riscos concretos de não conformidade

Shadow AI e vazamento de dados

O risco mais imediato é o shadow AI: servidores usando IA em contas pessoais — ChatGPT, Gemini, Claude — para processar documentos oficiais. Nesse cenário, dados pessoais de cidadãos são enviados para plataformas comerciais sem qualquer controle institucional, sem base legal documentada e sem garantia de que os dados não serão retidos ou usados para treinamento.

Transferência internacional sem salvaguardas

Provedores de IA processam dados em data centers distribuídos globalmente. Sem controle sobre onde o processamento ocorre, o órgão pode estar transferindo dados pessoais para jurisdições sem proteção adequada — uma violação do capítulo V da LGPD sobre transferência internacional de dados.

Impossibilidade de responder a solicitações de titulares

Se um cidadão solicita saber se seus dados foram processados por IA e o órgão não tem registros, não consegue atender à solicitação. Sem trilha de auditoria, o órgão não sabe quais dados foram enviados para IA, quando e por quem.

Sanções da ANPD

A Autoridade Nacional de Proteção de Dados tem competência para aplicar sanções que vão desde advertência até multa de até 2% do faturamento (no caso de empresas) ou publicização da infração. Para órgãos públicos, as sanções incluem advertência, publicização e bloqueio ou eliminação dos dados.

Como garantir conformidade: os controles necessários

Controle sobre o fluxo de dados

O órgão precisa saber, com precisão, quais dados estão sendo enviados para sistemas de IA. Isso exige uma plataforma centralizada que registre todas as interações — a trilha de auditoria que a governança de IA proporciona.

Controle sobre onde os dados são processados

Diferentes tipos de dados exigem diferentes níveis de proteção. Dados não sensíveis podem ser processados por provedores internacionais via API. Dados sensíveis podem exigir processamento em território nacional. Dados classificados podem exigir processamento na infraestrutura do próprio órgão.

Os 4 modos de entrega do Adapt11 foram projetados exatamente para atender a essa necessidade: desde o proxy centralizado para dados gerais até o gateway no cliente e o BYOK para dados que não podem sair da infraestrutura do órgão.

Políticas de minimização

A plataforma de governança deve facilitar — e incentivar — a minimização de dados. Isso pode incluir orientações automáticas para servidores sobre como formular prompts sem dados identificáveis, ou filtros que detectem e alertem sobre envio de dados potencialmente sensíveis.

Relatório de Impacto à Proteção de Dados (RIPD)

Antes de implantar IA em larga escala, o órgão deve elaborar um RIPD que avalie os riscos do tratamento de dados pessoais por IA e descreva as medidas de mitigação. O RIPD deve cobrir: tipos de dados processados, provedores utilizados, localização do processamento, medidas de segurança, mecanismos de transparência e procedimentos para atender direitos de titulares.

Capacitação específica em LGPD + IA

A Cartilha de IA Generativa para o Serviço Público, publicada pela SGD/Serpro em fevereiro de 2025, oferece orientações iniciais. Mas a capacitação deve ir além: servidores precisam entender na prática como formular prompts sem expor dados pessoais, quando é necessário anonimizar dados antes de enviar para IA e quais tipos de tratamento exigem aprovação prévia.

Gestão de provedores

O órgão deve avaliar as políticas de privacidade de cada provedor de IA utilizado: dados são retidos? Por quanto tempo? São usados para treinamento? Onde são processados? Um broker de IA que centraliza o acesso a múltiplos provedores simplifica essa gestão — o órgão avalia as políticas uma vez, na camada do broker, em vez de avaliar cada provedor separadamente.

A relação entre LGPD, TCU e governança de IA

LGPD, TCU e governança de IA não são agendas separadas — são faces do mesmo requisito. O TCU exige rastreabilidade de custos e auditabilidade (Acórdão 292/2025). A LGPD exige rastreabilidade de dados e proteção. A governança de IA é o framework que atende a ambos simultaneamente.

Uma plataforma de governança com trilha de auditoria inviolável, controle de acesso granular, múltiplos modos de entrega para soberania de dados e FinOps nativo resolve tanto o compliance regulatório quanto a conformidade com a LGPD — porque os controles necessários são, em grande parte, os mesmos.

Perguntas frequentes sobre LGPD e IA

A LGPD se aplica ao uso de IA no setor público?

Sim, integralmente. Toda vez que IA processa dados pessoais, as obrigações de base legal, finalidade, minimização, segurança e transparência se aplicam.

Quais dados pessoais são mais sensíveis no contexto de IA?

Dados de saúde, biométricos, de crianças e adolescentes, fiscais e classificados como sigilosos. A LGPD exige proteção reforçada para dados sensíveis.

Como garantir conformidade com LGPD ao usar IA?

Implemente rastreabilidade de dados enviados para IA, controle sobre onde são processados, minimização nos prompts, registro de interações e capacidade de responder a solicitações de titulares.

Dados enviados para IA são usados para treinar modelos?

Depende do provedor e do tipo de acesso. APIs comerciais geralmente não usam dados de clientes para treinamento, mas contas pessoais podem ter políticas diferentes.

O que é um RIPD para IA?

O Relatório de Impacto à Proteção de Dados avalia riscos do tratamento de dados por IA e descreve medidas de mitigação: tipos de dados, provedores, localização do processamento, segurança e direitos dos titulares.

Conclusão: LGPD não é obstáculo — é requisito de confiança

A LGPD no contexto de IA não é uma barreira burocrática à inovação. É o que garante que a inovação preserve a confiança dos cidadãos nos serviços públicos. Quando o governo processa dados pessoais com IA de forma controlada, transparente e segura, está demonstrando respeito pelos direitos dos cidadãos e pela responsabilidade que o mandato público exige.

Os controles necessários — rastreabilidade, soberania de dados, minimização, auditoria — são exatamente os que uma plataforma de governança de IA oferece. A conformidade com a LGPD não é um projeto separado da governança de IA. É parte integral dela.

---

O Adapt11 é a plataforma brasileira de governança de inteligência artificial que funciona como broker de múltiplos provedores. Com trilha de auditoria inviolável, controle de custos por departamento, conformidade com LGPD e 4 modos de entrega para soberania de dados, o Adapt11 foi projetado para o setor público. Agendar demonstração → | Solicitar material para licitação → | Conheça a solução →