IA AplicadaConceito

O que é a LGPD e o impacto em dados e IA

A LGPD (Lei 13.709/2018) regula o tratamento de dados pessoais no Brasil. Entenda princípios, bases legais e o impacto prático em projetos de dados e IA.

4 min de leitura · Atualizado em 16 jul 2026 ·Parte do guia Governança de dados: guia completo →
Neste artigo
Principais pontos
  • A LGPD (Lei 13.709/2018) exige uma base legal válida para qualquer tratamento de dado pessoal, com princípios como finalidade, necessidade e minimização.
  • Dados sensíveis (saúde, origem racial, biometria, entre outros) têm regras mais rígidas e exigem cuidado redobrado em projetos de dados e IA.
  • Conformidade com a LGPD é, na prática, um problema de governança e engenharia de dados: mapeamento, classificação, controle de acesso e retenção.

A LGPD (Lei Geral de Proteção de Dados, Lei nº 13.709/2018) é a legislação brasileira que regula como empresas e órgãos públicos podem coletar, armazenar, processar e compartilhar dados pessoais. Em vigor desde setembro de 2020, com sanções aplicáveis a partir de agosto de 2021, ela exige que todo tratamento de dado pessoal tenha uma finalidade legítima, uma base legal específica e seja conduzido com segurança e transparência — o que afeta diretamente qualquer projeto de dados, analytics ou inteligência artificial que use informações de pessoas físicas.

Visão geral da LGPD

A LGPD se aplica a qualquer operação de tratamento de dados pessoais realizada no Brasil, ou que tenha como objetivo oferecer bens e serviços a pessoas no território nacional, independentemente de onde a empresa está sediada ou onde os dados são processados. Ela foi inspirada na GDPR europeia, mas com particularidades da realidade jurídica brasileira. A lei criou a ANPD (Autoridade Nacional de Proteção de Dados), órgão responsável por regulamentar, fiscalizar e aplicar sanções, e estabeleceu a figura do encarregado de dados (DPO), pessoa ou área designada para ser o canal entre a organização, os titulares dos dados e a própria ANPD. As penalidades por descumprimento vão de advertência a multas de até 2% do faturamento da empresa no Brasil, limitadas a R$ 50 milhões por infração.

Princípios e bases legais, em resumo

A lei define dez princípios que devem orientar qualquer tratamento de dados, entre eles finalidade (propósito específico e informado), adequação, necessidade (usar o mínimo de dado possível para o objetivo), livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização (accountability). Além disso, todo tratamento precisa se apoiar em uma das dez bases legais previstas no artigo 7º, sendo as mais comuns em contextos empresariais o consentimento do titular, a execução de contrato, o cumprimento de obrigação legal e o legítimo interesse do controlador — este último exige uma análise cuidadosa de proporcionalidade e não pode ser usado como justificativa genérica para qualquer coleta de dados.

Dados pessoais e dados sensíveis

Dado pessoal é qualquer informação relacionada a uma pessoa natural identificada ou identificável, o que inclui nome, e-mail, CPF, endereço IP, localização e até identificadores de dispositivo, quando combinados podem reidentificar alguém. Já os dados pessoais sensíveis, categoria com proteção reforçada, incluem origem racial ou étnica, convicção religiosa, opinião política, filiação sindical ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, e dado genético ou biométrico. Tratar dados sensíveis normalmente exige consentimento específico e destacado, ou se enquadra em hipóteses mais restritas de dispensa desse consentimento.

Impacto em projetos de dados e IA

Para times de dados e IA, a LGPD se traduz em exigências práticas: minimização (coletar e reter apenas o dado necessário para o propósito declarado), limitação de finalidade (não reaproveitar uma base de dados para um uso não previsto originalmente sem nova base legal), e rastreabilidade (saber de onde veio cada dado, quem tem acesso e por quanto tempo será mantido). Modelos de machine learning e IA generativa treinados com dados pessoais herdam essas obrigações: é preciso avaliar se o treinamento tem base legal adequada, se há risco de o modelo memorizar e expor dados sensíveis, e se técnicas de anonimização ou pseudonimização são suficientes para reduzir o risco antes de alimentar pipelines analíticos. Projetos que envolvem perfilamento, decisões automatizadas ou scoring de pessoas costumam exigir um Relatório de Impacto à Proteção de Dados (RIPD) antes de entrar em produção.

Boas práticas técnicas de conformidade

Na prática de engenharia de dados, conformidade com a LGPD passa por: mapear e classificar onde dados pessoais e sensíveis residem (data catalog e inventário de dados); aplicar controle de acesso baseado em papéis e princípio do menor privilégio; criptografar dados em trânsito e em repouso; definir políticas de retenção e expurgo automatizado; manter logs de auditoria de acesso e alteração; e ter um plano de resposta a incidentes, já que a lei exige comunicação de vazamentos à ANPD e aos titulares afetados em prazo razoável. Vale reforçar que este conteúdo tem caráter informativo e não substitui a consulta a um profissional jurídico especializado — decisões sobre bases legais, contratos com fornecedores e adequação regulatória específica da sua operação devem ser avaliadas com apoio jurídico qualificado.

O papel da BlueMetrics

A BlueMetrics atua na camada técnica que sustenta a conformidade com a LGPD: arquitetura de dados, governança, catalogação, controle de acesso e engenharia de pipelines que tornam auditável todo o ciclo de vida do dado pessoal. Com mais de 200 projetos de dados e IA aplicada entregues, a experiência mostra que empresas que tratam governança de dados como parte do design técnico — e não como camada de compliance adicionada depois — constroem produtos de dados e modelos de IA mais seguros, confiáveis e prontos para escalar.

BlueMetrics · IA Aplicada

Quer aplicar isso no seu negócio?

Levamos IA do piloto ao go-live em semanas — com governança, observabilidade e resultado medível.

1 hora com especialistas · sem compromisso · AWS Advanced Partner