Inteligência Artificial: ANPD publica nota técnica sobre decisões automatizadas

Em 15 maio de 2025, a Coordenação-Geral de Normatização (CGN) da Autoridade Nacional de Proteção de Dados (ANPD) publicou a Nota Técnica nº 12/2025/CON1/CGN/ANPD, que consolida as contribuições recebidas na Tomada de Subsídios sobre decisões automatizadas¹.

A Nota Técnica, além de se um movimento importante em direção à regulamentação do artigo 20 da LGPD, reconhece que a ANPD pode aprofundar o tema por meio de guias e estudos técnicos, diante da crescente adoção de decisões automatizadas e da vulnerabilidade dos titulares frente à complexidade do assunto.

Para referência:

Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

1º O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.

2º Em caso de não oferecimento de informações de que trata o § 1º deste artigo baseado na observância de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.

Atentos aos desdobramentos regulatórios que podem impactar diversos players, elaboramos este breve informativo com os principais pontos levantados na Nota Técnica.

1. Contexto

A Nota Técnica está inserida no escopo do Item 7 da Agenda Regulatória da ANPD para o biênio 2025-2026, que trata da regulamentação da inteligência artificial sob a ótica da proteção de dados. A consolidação das contribuições tem como objetivo apoiar o desenvolvimento de guias orientativos e eventual normatização sobre decisões automatizadas.

A publicação também dialoga com outras frentes regulatórias, como o Projeto de Lei nº 2338/2023, em tramitação no Senado, que busca estabelecer um marco legal para a IA no Brasil. Vale destacar que a ANPD já publicou estudos preliminares e notas técnicas sobre o Projeto de Lei, demonstrando seu comprometimento em atuar como responsável pelo Sistema Nacional de Regulação e Governança de Inteligência Artificial (SIA). 

2. Principais temas tratados na Nota Técnica

A Nota Técnica trata, dentre outros temas, sobre a aplicação dos princípios da LGPD, bases legais, direitos dos titulares, os limites da interpretação normativa e os desafios técnicos e jurídicos envolvidos no uso de tecnologias de inteligência artificial (IA) e outros sistemas automatizados de decisão. A iniciativa também antecipa os caminhos possíveis para a futura regulamentação do tema no Brasil.

No entanto, a ANPD optou por não assumir posicionamentos definitivos sobre as divergências identificadas, mas sinalizou elementos que devem orientar futuras regulamentações. Destacamos, a seguir, os principais pontos discutidos.

2.1 Pontos de Convergência

A Nota Técnica apresenta diversos pontos de convergência identificados nas contribuições recebidas na tomada de subsídios sobre decisões automatizadas. Esses pontos refletem entendimentos mais amplamente compartilhados pelos participantes e, por isso, podem ter maior probabilidade de influenciar uma futura iniciativa regulatória da ANPD:

Tema	Pontos de Convergência
Princípios da LGPD e IA	Necessidade de equilíbrio entre o uso de dados para desenvolvimento/treinamento de sistemas de IA e a proteção dos direitos dos titulares Permissão de tratamento de dados em alto volume, desde que necessário e proporcional Qualidade e diversidade dos dados são essenciais para mitigar vieses e melhorar a eficácia dos sistemas Finalidade do tratamento deve ser clara, legítima e bem definida Importância da adoção de salvaguardas como anonimização, pseudonimização e relatórios de impacto à proteção de dados (RIPD)
Boas práticas e transparência	Fornecimento de informações claras, acessíveis e compreensíveis aos titulares Definição de finalidades específicas desde o início do projeto Realização de avaliações de risco, especialmente com base no RIPD Políticas de privacidade compreensíveis, com linguagem acessível e eventualmente estruturadas em camadas Aplicação dos princípios de *privacy by design* e *privacy* *by default* Disponibilização de canais de atendimento adequados e funcionais
IA de Propósito Geral (GPAI)	Necessidade de avaliação e mitigação contínua de riscos Transparência ao longo de todas as etapas: desenvolvimento, integração e uso Promoção da explicabilidade por meios acessíveis ao titular Incentivo à governança colaborativa entre governo, setor privado e academia Recomendação de avisos de privacidade estruturados em camadas, dada a complexidade desses sistemas
Prevenção à Discriminação	Realização de monitoramentos e auditorias periódicas Avaliações de impacto, incluindo avaliações de impacto em direitos humanos (HRIA) Inclusão de supervisão humana como mecanismo de mitigação Participação de equipes diversas e multidisciplinares na concepção dos sistemas Estabelecimento de canais de feedback e correção acessíveis aos titulares
Consentimento como base legal	Reconhecimento das limitações práticas do consentimento como base única para tratamento de dados em IA Consentimento deve ser livre, informado, específico e revogável Transparência como requisito essencial para validade do consentimento Preferência por bases legais alternativas, como legítimo interesse ou execução de contrato, em determinados contextos
Legítimo Interesse como base legal	Reconhecimento do legítimo interesse como base legal válida, desde que sujeito a teste de balanceamento Necessidade de transparência sobre o tratamento Adoção de salvaguardas como anonimização, minimização e possibilidade de oposição Possibilidade de uso desta base para fundamentar raspagem de dados públicos, resguardadas as medidas mitigatórias necessárias
Direitos dos Titulares	Aplicabilidade da LGPD ao tratamento de dados pessoais por sistemas de IA, inclusive durante treinamento e uso Importância da transparência e da governança para viabilizar o exercício dos direitos Direitos devem ser garantidos de forma proporcional ao contexto técnico e à viabilidade prática Implementação de canais e mecanismos adequados para o exercício dos direitos do titular

2.2 Pontos de Divergência

Apesar dos diversos consensos, a Nota Técnica também destaca áreas em que houve divergência relevante entre os participantes da Tomada de Subsídios. Essas divergências revelam tensões conceituais, práticas e jurídicas que a ANPD deverá considerar no processo regulatório.

Bloco 1 – Princípios da LGPD

Tema	Pontos de Convergência
Compatibilização do princípio da necessidade com treinamento de IA	Visão restritiva (uso limitado ao mínimo de dados possíveis) do princípio X visão mais abrangente (uso dos dados mínimos necessários não se confunde com baixa volumetria de dados)
Obrigatoriedade de informar sobre o uso de IA	Obrigação legal de informar o uso da tecnologia ou apenas o tratamento de dados em si Nível de especificidade das medidas de transparência, com preocupação sobre sigilo comercial e necessidade de documentação específica ou não como veículo dessa informação
Aplicação dos princípios a IA de propósito geral	Definição e comunicação de finalidades específicas em modelos de IA de propósito geral

Bloco 2 – Hipóteses Legais

Tema	Pontos de Convergência
Consentimento como base legal	Viabilidade do consentimento no contexto de tratamento de dados pessoais por sistema de IA
Bases legais para finalidades secundárias	Base legal aplicável para o uso secundário de dados tratados por IA
Raspagem de dados públicos	Legitimidade da prática com base no legítimo interesse ou não
Tratamento de dados sensíveis	Possibilidade de aplicação do legítimo interesse quando a coleta for não intencional

Bloco 3 – Direitos dos Titulares

Tema	Pontos de Convergência
Exclusão de dados	Inviabilidade técnica da exclusão pós-treinamento, conforme sugerido por algumas contribuições
Direito de acesso	Escopo do acesso: disponibilização de acesso apenas aos dados compreensíveis ao titular X a todos os dados internos (dados brutos/metadados)
Exercício de direitos	Preocupações quanto à criação de requisitos excessivamente específicos pela ANPD sobre os métodos pelos quais um titular pode exercer seus direitos
Canais de atendimento	Exigência de canais específicos para atendimento sobre sistemas de IA: liberdade de escolha pelo controlador de acordo com o que faz sentido para cada negócio X priorização do atendimento humano e obrigatoriedade de criação de canais de atendimento com requisitos específico
Revisão humana	Revisão obrigatória em casos complexos X flexibilização com possibilidade de escalonamento para revisão humana em casos complexos ou de contestação de decisões automatizadas
Titulares vulneráveis	Necessidade de aplicação de regras especiais, especialmente no tratamento que envolva dados de crianças, adolescentes ou idosos Divergências sobre o conteúdo da Resolução 245/2024 do CONANDA, que proíbe a criação de perfis com dados pessoais de crianças e adolescentes para fins comerciais Outro ponto de vista: suficiência do teste de proporcionalidade como limitação quando o tratamento de dados em sistemas de IA é fundamentado no legítimo interesse
Abrangência do art. 5º, II da LGPD	Interpretação e taxatividade da definição de dado pessoal sensível

Bloco 4 – Boas Práticas e Governança

Tema	Pontos de Convergência
RIPD (Relatório de Impacto à Proteção de Dados)	Obrigatoriedade do relatório: apenas em situações de alto risco X em todo caso de uso de IA
Definição de “alto risco”	Ausência de consenso sobre critérios objetivos
Técnicas de mitigação	Consenso sobre a importância de anonimização, pseudonimização e dados sintéticos, mas sem tratar como solução única

3. Conclusões

A Nota Técnica nº 12/2025 sinaliza um passo importante no amadurecimento da interpretação do artigo 20 da LGPD, ao passo que promove espaço para debate público e transparência em um tema permeado por significativa assimetria informacional entre regulador, regulados e cidadãos.

Diante da iminência de futuras regulamentações, é fundamental que as organizações que utilizam ou desenvolvem sistemas de IA ou tecnologias de decisão automatizada, independentemente do setor, adotem medidas de governança proporcionais ao uso.

É importante mapear, desde já, processos e sistemas que realizam tratamento de dados pessoais com potencial risco para os titulares — mesmo que parcialmente automatizados —, além de implementar controles técnicos e organizacionais com o envolvimento das áreas estratégicas (como tecnologia da informação, jurídico e compliance, por exemplo) para garantir conformidade com o artigo 20 da LGPD e futuras regulamentações.

¹Sobre o tema, a ANPD também realizou, nesse mês, o Webinário “Tomada de Subsídios sobre Tratamento Automatizado de Dados Pessoais”. O conteúdo está disponível no canal da ANPD no YouTube: https://www.youtube.com/watch?v=SyrYFzmMu4g. Acesso em 20.05.2025.

Nossa equipe especializada em  Tecnologia, Proteção de Dados e Propriedade Intelectual  acompanha de perto as mudanças que impactam o mercado. Para obter mais esclarecimentos sobre o tema, ou outros que sejam de seu interesse, entre em contato com nossos profissionais.

Voltar

Inteligência Artificial: ANPD publica nota técnica sobre decisões automatizadas

1. Contexto

2. Principais temas tratados na Nota Técnica

2.1 Pontos de Convergência

2.2 Pontos de Divergência

Bloco 1 – Princípios da LGPD

Bloco 2 – Hipóteses Legais

Bloco 3 – Direitos dos Titulares

Bloco 4 – Boas Práticas e Governança

3. Conclusões

Ricardo Nunes

Mariana Sangoi

Beatriz Becker

Julia Ferrari

Newsletters

Nossos Escritórios

SÃO PAULO

RIO DE JANEIRO

BRASÍLIA

2024. ® Todos os direitos reservados | Política de Privacidade