Após análise da Nota Técnica nº 12/2025 da ANPD, apresento considerações críticas sobre a regulamentação do Art. 20 da LGPD no contexto de sistemas de IA, a partir de uma perspectiva civil-constitucional. Essas considerações são fundamentais para avançarmos no aperfeiçoamento da governança de dados e na governança da inteligência artificial.

Fundamentação teórica e considerações preliminares

A compreensão contemporânea do direito à proteção de dados transcende a concepção proprietária dos dados para alcançar uma dimensão existencial da personalidade, como defendido historicamente por Rodotà e reconhecido pela nossa legislação (art. 2º, LGPD). A autodeterminação informativa, princípio basilar nesse contexto, encontra desafios significativos diante da opacidade inerente aos sistemas de IA, especialmente os de propósito geral (GPAI).

A nota técnica da ANPD revela um esforço louvável de compilação das contribuições recebidas, mas carece de uma análise valorativa que situe essas contribuições dentro de uma interpretação civil-constitucional da LGPD, particularmente quanto ao princípio da não-discriminação (Art. 6º, IX, LGPD).

Pontos críticos identificados

1. Sobre o princípio da necessidade e proporcionalidade

A tensão entre a necessidade técnica de grandes volumes de dados para treinamento de sistemas de IA e o princípio da minimização (Art. 6º, III, LGPD) é, ainda, tratada de forma superficial. Uma abordagem baseada na proporcionalidade exigiria uma análise contextual mais profunda sobre a legitimidade da finalidade e a necessidade estrita dos dados coletados.

As salvaguardas elencadas (anonimização, pseudonimização, privacy by design) são pertinentes, mas insuficientes sem um quadro normativo que estabeleça parâmetros objetivos de avaliação contextual, em consonância com os princípios da ISO 27701 sobre gerenciamento de informações de privacidade.

Porque digo isso? A anonimização não é um estado binário, mas um espectro probabilístico. Um dado aparentemente anonimizado no momento pode ser reidentificável amanhã em razão de avanços tecnológicos ou em razão do cruzamento com novos bancos de dados. Essa dinamicidade exige uma avaliação contínua, senão perpétua, que as organizações raramente implementam e é necessário que existam controles sobre isso.

No que se refere à implementação do privacy by design, ainda carece a existência de elementos um pouco mais objetivos para orientação sobre sua implementação. Permanece aberta a questão sobre como verificar se um sistema efetivamente incorporou essa principiologia. A definição dessas métricas ainda permanecem um grande desafio e um item em aberto em caso de conflito.

A esse respeito, a ISO 27701 constitui-se como um modelo de referência para estabelecer parâmetros contextuais. que poderiam ter sido mais explorados pela Nota Técnica (Cláusula 7.2.8, Cláusula 9.2 e Cláusula 10, por exemplo).

2. Questões de bases legais e consentimento

A nota reconhece corretamente as limitações do consentimento como base legal para IA, mas subestima as implicações dessa constatação. A assimetria informacional torna o consentimento frequentemente ilusório no contexto digital, o que se intensifica exponencialmente nos ambientes de IA.

Quanto ao legítimo interesse, a nota não estabelece diretivas claras para a realização do teste de balanceamento, particularmente em casos de raspagem de dados (web scraping). Esta prática demandaria um framework de avaliação similar ao proposto pelo NIST Privacy Framework (PR.PO-1, PR.PO-2), que destaca a necessidade de estabelecer e documentar propósitos específicos para a coleta de dados.

No contexto do web scraping, a adoção do PR.PO-1 implica objetivamente na obrigação de documentar políticas explícitas para cada finalidade de coleta, estabelecer critérios para determinar quando o tratamento é apropriado e implementar mecanismos de aprovação interna quando novas finalidades forem adotadas (inclusive a realização de um teste de proporcionalidade dessa finalidade). Além disso, a obrigação de documentar as fontes de onde os dados são extraídos, o metodo de coleta (incluindo frequência, volume e o mecanismo), as limitações autoimpostas e o processo de avaliação da legitimidade de cada fonte com sua respectiva análise crítica.

Poderíamos ter avançado um pouco mais ao ter contemplado a abordagem da ENISA (Agência da União Europeia para Cibersegurança) em seu documento “Artificial Intelligence Risk Assessment” que complementa perfeitamente o framework NIST com métodos concretos para instrumentalizar o teste de balanceamento.

Por exemplo, de acordo com a Nota Técnica nº 12/2025 da ANPD, uma empresa que realiza a raspagem massiva de dados públicos pode justificar genericamente o processamento de dados como sendo necessário para o treinamento de sua IA sem documentar de forma profunda e objetiva o teste de balanceamento e sem implementar mecanismos específicos para mitigar riscos aos titulares.

Caso considerados os vetores abordados pela ENISA, teríamos obrigações bem mais definidas no sentido de especificar o domínio do modelo (ex: assistente médico, ferramenta jurídica, etc), realizar a documentação de cada fonte com nível de confiabilidade e processo de verificação, realizar o mapeamento entre os tipos de conteúdo e capacidades específicas do modelo e de apresentar justificativa para inclusão de cada categoria de dados, além de ter que realizar a avaliação de impacto e o balanceamento estruturado. Ou seja, um modelo muito mais maduro, robusto e comprometido com accountability, governança e a tutela dos direitos fundamentais.

3. Transparência e inteligibilidade

A tensão entre transparência e proteção de segredos comerciais é apresentada sem aprofundamento sobre os critérios para determinar o equilíbrio adequado. Falta uma abordagem que considere os diferentes níveis de transparência (modelo, dado, processamento) apresentados tanto pela ISO 29184 quanto pelo framework NIST para IA.

Modelos de explicabilidade em camadas, como proposto pelo NIST AI RMF (Governança 3.3), seriam uma alternativa mais sofisticada do que a dicotomia simplificada apresentada na nota técnica.

4. Direitos dos titulares e a revisão de decisões automatizadas

A nota apresenta visões divergentes sobre a obrigatoriedade de revisão humana, sem consolidar um entendimento que garanta efetividade aos direitos dos titulares. O princípio da centralidade da pessoa humana, como preconizado pelo modelo hermenêutico direito civil-constitucional, exigiria uma interpretação que privilegiasse a efetiva possibilidade de contestação e revisão material das decisões.

A perspectiva de algumas contribuições que defendem a inviabilidade técnica da exclusão de dados (machine unlearning) representa um retrocesso preocupante, pois subordina direitos fundamentais a limitações tecnológicas contingentes, invertendo a lógica constitucional. Quando a máquina não pode desaprender, é o indivíduo que se programa para esquecer de seus direitos. Nesse caso, a inviabilidade técnica parece figurar apenas como um álibi econômico para a amnésia constitucional coletiva, uma verdadeira alucinação incompatível com o Estado Democrático de Direito.

5. Governança e responsabilização

A ausência de um modelo claro e mais robusto de governança de IA representa uma oportunidade perdida. Um framework integrado, como proposto pelo COSO para tecnologias emergentes, estabeleceria responsabilidades em múltiplos níveis organizacionais e facilitaria a conformidade com o princípio de responsabilização e prestação de contas da LGPD.

Considerações finais

A nota técnica consolidou importantes contribuições, mas evidencia a necessidade de uma abordagem regulatória que equilibre a inovação tecnológica com a proteção efetiva dos direitos fundamentais. A perspectiva civil-constitucional demanda uma interpretação da LGPD que não se limite aos aspectos procedimentais da proteção de dados, mas considere sua dimensão existencial.

Recomendo uma abordagem regulatória que:

1. Estabeleça níveis de risco para sistemas de IA com requisitos proporcionais;
2. Defina critérios objetivos para avaliação do legítimo interesse em contextos de IA;
3. Adote um modelo de transparência algorítmica em camadas;
4. Fortaleça os mecanismos de revisão humana significativa para decisões de alto impacto;
5. Incorpore requisitos específicos de documentação e rastreabilidade alinhados com frameworks internacionais como NIST AI RMF e ISO 27701.

A proteção de dados no contexto de IA não é apenas uma questão técnica ou procedimental, mas cada vez mais um imperativo ético-jurídico que demanda um compromisso institucional com a dignidade da pessoa humana e a efetividade dos direitos fundamentais.

O post Análise Crítica da Nota Técnica nº 12/2025/CON1/CGN/ANPD apareceu primeiro em Privacidade e proteção de dados.