A utilização de inteligência artificial envolve, na imensa maioria dos casos, o tratamento massivo de dados pessoais — seja na fase de treinamento dos modelos, seja na fase de inferência e tomada de decisões. A LGPD, embora anterior à popularização da IA generativa, oferece um arcabouço normativo aplicável que impõe limites e obrigações relevantes.
Tratamento de Dados no Ciclo de Vida da IA
O ciclo de vida de um sistema de IA envolve diversas etapas em que dados pessoais podem ser tratados: coleta e curadoria de dados para treinamento, processamento e estruturação de datasets, treinamento do modelo, validação e teste, deployment e operação, e monitoramento contínuo. Em cada uma dessas etapas, os princípios da LGPD — especialmente finalidade, necessidade e adequação — devem ser observados.
Bases Legais para IA
A escolha da base legal para o tratamento de dados em sistemas de IA é particularmente complexa. O consentimento pode ser difícil de operacionalizar, especialmente quando os dados são utilizados para treinamento de modelos cuja finalidade específica pode não ser inteiramente previsível no momento da coleta. O legítimo interesse é frequentemente invocado, mas exige uma análise de proporcionalidade rigorosa que considere o impacto nos direitos dos titulares.
A execução de contrato pode ser base adequada quando a IA é utilizada como parte integrante de um serviço contratado pelo titular. Em todos os casos, a transparência sobre o uso de IA no tratamento dos dados é essencial.
Decisões Automatizadas e Direito à Revisão
O artigo 20 da LGPD garante ao titular o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses. Esse dispositivo é diretamente aplicável a decisões baseadas em IA, como scoring de crédito, seleção de candidatos, precificação personalizada e análise de risco.
O controlador deve fornecer informações claras e adequadas sobre os critérios e procedimentos utilizados para a decisão automatizada. Esse requisito de explicabilidade tem implicações técnicas significativas, pois muitos modelos de IA, especialmente os baseados em deep learning, são naturalmente opacos em seus processos decisórios.
Relatório de Impacto
A utilização de IA para tratamento de dados pessoais é um cenário típico em que a elaboração de um Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é recomendável. O relatório deve avaliar os riscos específicos do tratamento, as medidas de mitigação adotadas e a proporcionalidade entre os benefícios da IA e os riscos aos direitos dos titulares.
Recomendações Práticas
Organizações que utilizam IA devem: documentar as decisões sobre tratamento de dados em cada etapa do ciclo de vida; implementar mecanismos de explicabilidade e auditabilidade; estabelecer processos de revisão humana para decisões de alto impacto; realizar avaliações periódicas de vieses e discriminação nos resultados; e manter registros detalhados que demonstrem conformidade com a LGPD.
Alessandro Casoretti Lavorante
Prof. Me. pela USP
Advogado especializado em Direito Digital, IA e Startups. Mestre em Direito Civil pela USP. Autor do livro "Responsabilidade Civil por Inteligência Artificial".