SquadOS SquadOS
English
LGPD

LGPD e IA generativa: o que sua empresa precisa saber em 2026

A LGPD se aplica sempre que a IA processa dado pessoal. Veja os riscos de usar IA generativa sem cuidado e o checklist para ficar em conformidade em 2026.

Equipe SquadOS · 1 de junho de 2026 · 6 min de leitura

Quando um funcionário cola a planilha de clientes no ChatGPT para “organizar os dados”, a sua empresa acabou de tratar dado pessoal numa ferramenta que talvez nem tenha contrato com você. A LGPD não liga se foi sem querer. Se tem dado pessoal envolvido, a lei se aplica, e a responsabilidade é da empresa.

Este guia explica por que a LGPD alcança a IA generativa, quais são os riscos reais e o que fazer para usar IA em conformidade em 2026.

Por que a LGPD se aplica à IA generativa

Dado pessoal saindo da empresa para um modelo de IA externo, passando por um ponto de controle

A LGPD (Lei nº 13.709/2018) regula qualquer tratamento de dado pessoal feito no Brasil. “Tratamento” é quase tudo: coletar, usar, processar, armazenar, compartilhar. Colar um nome, um CPF, um e-mail ou um histórico de cliente num modelo de IA é tratamento de dado pessoal. Ponto.

A IA generativa não muda a regra, ela amplia a superfície de risco. Três motivos:

  • O dado sai do seu controle. Ao enviar informação para um modelo externo, você passa dado para um terceiro. A LGPD exige base legal e, em muitos casos, contrato com esse terceiro.
  • Pode haver transferência internacional. Boa parte dos modelos roda em servidores fora do Brasil. Transferência internacional de dado pessoal tem regras próprias na lei.
  • A empresa continua responsável. A LGPD chama de controlador quem decide sobre o tratamento. Mesmo usando ferramenta de terceiro, a responsabilidade pela conformidade é sua, não do fornecedor da IA.

O regulador é a ANPD (Autoridade Nacional de Proteção de Dados). As sanções vão de advertência até multa de até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração. Não é risco teórico.

A LGPD ainda separa dois papéis que sua empresa precisa conhecer. O controlador decide como e por que o dado é tratado: é a sua empresa. O operador trata o dado em nome do controlador, e muitas vezes é o fornecedor da IA. A responsabilidade principal é do controlador, então terceirizar a ferramenta não terceiriza a obrigação.

Some-se a isso os direitos do titular. A pessoa dona do dado pode pedir acesso, correção e até eliminação da informação dela. Se o dado foi parar num modelo que você não controla, atender esse pedido vira um problema sem solução. Você não tem como apagar o que já enviou para uma conta pessoal de ChatGPT.

Os riscos concretos de usar IA sem cuidado

Funcionário enviando dado de cliente para conta pessoal de IA, com alerta de risco

O problema raramente é um ataque sofisticado. É o uso cotidiano, sem regra, que cria a exposição. Estes são os quatro riscos mais comuns.

Dado pessoal em conta pessoal

O funcionário usa o ChatGPT pessoal dele e cola dado de cliente. A empresa não tem contrato com aquela conta, não tem registro do que foi enviado e não consegue apagar o dado depois. Do ponto de vista da LGPD, é um tratamento sem base e sem controle.

A LGPD exige uma base legal para cada tratamento. Usar IA para processar dado de cliente sem ter pensado em qual base sustenta aquilo deixa a empresa sem resposta se a ANPD ou o próprio titular perguntar “com que direito vocês fizeram isso?”.

Transferência internacional sem cuidado

Mandar dado pessoal para um modelo hospedado fora do Brasil pode configurar transferência internacional. A lei pede salvaguardas para isso. Fazer sem olhar é assumir um risco que ninguém mediu.

Falta de registro

Se acontece um incidente e a empresa não consegue dizer quem usou IA, com qual dado e quando, ela não tem como demonstrar conformidade. Na LGPD, não conseguir provar que agiu certo é quase tão ruim quanto ter agido errado.

Como usar IA generativa em conformidade com a LGPD

Checklist de conformidade com a LGPD para uso de IA na empresa

Conformidade não significa proibir IA. Significa dar ao time um jeito seguro de usar. Use este checklist como ponto de partida.

  1. Mapeie o uso. Descubra quais ferramentas de IA já estão em uso e com quais dados. Você não protege o que não enxerga.
  2. Defina base legal. Para cada uso que envolve dado pessoal, registre qual base legal sustenta o tratamento.
  3. Minimize o dado. Mande para a IA só o necessário. Anonimize ou remova dado pessoal sempre que der.
  4. Centralize o acesso. Tire a IA das contas pessoais e leve para um ambiente único, com contrato e controle da empresa.
  5. Ligue guardrails de dado pessoal. Use filtros que bloqueiam ou mascaram CPF, e-mail e outros dados sensíveis antes de chegarem ao modelo.
  6. Registre tudo. Mantenha histórico de quem usou, quando e com qual dado. É isso que transforma “achamos que estamos ok” em prova.
  7. Nomeie um responsável. Alguém precisa ser dono da governança de IA, conversando com o time de proteção de dados e com o encarregado (DPO), quando a empresa tem um.

Perguntas para fazer ao fornecedor de IA

Antes de aprovar qualquer ferramenta que vá tocar dado pessoal, exija respostas claras:

  • Vocês usam meus dados para treinar o modelo? A resposta precisa ser não.
  • Existe contrato de tratamento de dados, com as obrigações de operador definidas?
  • Onde os dados ficam hospedados e há transferência internacional?
  • Como vocês apagam meus dados quando eu pedir?
  • Que registro de uso vocês me entregam para auditoria?

Fornecedor sério responde a todas sem enrolar. Quem foge dessas perguntas está dizendo, nas entrelinhas, que o risco fica todo com você.

O ponto que amarra o checklist é o ambiente. Enquanto a IA viver em contas dispersas, conformidade é torcida. Quando o acesso é central e governado, ela vira consequência natural.

É exatamente isso que o SquadOS entrega: um hub interno onde a IA da empresa roda com guardrails nativos contra dado sensível e auditoria de cada conversa. Em vez de torcer para ninguém colar um CPF no lugar errado, você usa IA num ambiente que já trata o dado do jeito que a LGPD espera.

Leia também