O empresário brasileiro vive um paradoxo em 2026. De um lado, sente que precisa adotar IA pra não ficar pra trás. Do outro, lê manchetes sobre vazamento de dado, multa da ANPD, ChatGPT que aprendeu informação confidencial, e fica paralisado.

A boa notícia é que dá pra usar IA na empresa de forma segura e dentro da lei. A má é que a maioria das implementações que vê por aí não está adequada — e o risco regulatório está crescendo rápido. A Autoridade Nacional de Proteção de Dados colocou IA como prioridade de fiscalização, o Marco da IA brasileiro está pra ser votado, e o ambiente jurídico aperta. Esse artigo mostra os riscos reais, o que muda com a regulação nova e 5 controles práticos pra você implementar IA com tranquilidade.

O cenário regulatório em 2026

Três movimentos que sua empresa precisa conhecer:

1. LGPD continua sendo a base aplicável.
A Lei Geral de Proteção de Dados está em vigor desde 2020 e cobre qualquer tratamento de dado pessoal — inclusive os processados por IA. Não tem moratória, não tem exceção pra “tecnologia nova”.

2. ANPD ativou IA como prioridade de fiscalização.
Em dezembro de 2025, a Autoridade Nacional de Proteção de Dados publicou seu Mapa de Temas Prioritários para 2026–2027. IA e tecnologias emergentes estão entre os quatro eixos centrais de atuação.

Tradução prática: a ANPD não está esperando uma lei nova de IA pra fiscalizar. Já está fiscalizando, usando as ferramentas da LGPD.

3. Marco regulatório da IA brasileiro (PL 2.338/2023) em votação.
O projeto de lei está pra ir a plenário em 2026. Vai criar categorias de risco (parecido com o AI Act europeu), obrigações de transparência, requisitos pra sistemas de “alto risco”.

Os riscos reais de usar IA sem cuidado

Risco 1 — Vazamento de dado confidencial pra modelo público

Cenário típico: funcionário copia trecho de contrato com dados do cliente e cola no ChatGPT pedindo pra resumir. Nas versões gratuitas dessas IAs, o dado pode ser usado pra treinar o modelo. Mesmo nas versões empresariais, há transmissão pra servidores no exterior, frequentemente nos EUA. A LGPD exige base legal pra esse tipo de operação, e a empresa raramente tem.

Risco 2 — IA fazendo decisão automatizada sem transparência

A LGPD prevê direito à revisão de decisão automatizada (art. 20). Sem rastreabilidade da decisão e sem opção de revisão humana, a empresa está descumprindo.

Risco 3 — Coleta indevida de dado biométrico ou sensível via IA

Dado biométrico e dado sobre saúde, vida sexual, religião, opinião política são categorias especiais na LGPD. Tratamento exige base legal específica, consentimento explícito, e cuidados redobrados.

Risco 4 — Falta de DPIA (Relatório de Impacto)

A LGPD prevê que tratamento de dado pessoal em larga escala ou com alto risco exige Relatório de Impacto à Proteção de Dados (DPIA). IA em atendimento se encaixa.

Risco 5 — Alucinação como informação errada sobre titular de dado

A LGPD garante ao titular direito à correção de dado incorreto. Sistema que gera dado errado sobre pessoa cria passivo legal real.

Diferenciando IA pública, IA corporativa e IA com base própria

Cenário A — IA pública usada por colaborador no navegador.
Funcionário entra no ChatGPT.com sem contrato corporativo, sem controle de empresa. Risco: máximo.

Cenário B — IA corporativa contratada (modo enterprise).
Empresa contrata Anthropic, OpenAI ou Google na modalidade empresarial, com Data Processing Agreement assinado, garantia de não-treino. Risco: gerenciável.

Cenário C — IA com base de conhecimento própria (RAG em ambiente controlado).
Empresa opera IA conectada à sua base de conhecimento, com dados controlados, infra própria ou de provedor sob contrato LGPD. Risco: mais baixo dos três, se os controles estiverem implementados.

A maioria das empresas brasileiras está no cenário A sem perceber — funcionários usando IA pública pra tarefas que envolvem dado pessoal.

5 controles práticos para estar adequado hoje

1. Política de uso de IA escrita e divulgada

Documento curto, com regras claras: que ferramentas são permitidas, que tipo de dado pode ou não entrar nelas, o que fazer em caso de dúvida. Todo colaborador assina, e há treinamento anual.

Sem política escrita, o argumento de “violação por colaborador isolado” não protege a empresa. Com política e treinamento documentados, há defesa.

2. Contratação de IA em modo empresarial, com contrato adequado

Se a empresa usa Anthropic, OpenAI, Google ou similar, é no plano corporativo, com Data Processing Agreement assinado, garantia de não-treino, e definição de subprocessadores.

3. Mapeamento de operações com IA e DPIA quando aplicável

Quais processos da empresa hoje usam IA processando dado pessoal? Cada um precisa de mapeamento e, em caso de risco alto, Relatório de Impacto (DPIA).

4. Transparência ao titular

Cliente, colaborador ou fornecedor que interage com IA precisa saber. Frase simples — “esse atendimento conta com apoio de inteligência artificial” — resolve a transparência básica. Em decisões automatizadas relevantes, há direito à revisão humana.

5. Observabilidade e logs

Toda decisão tomada por IA processando dado pessoal precisa ser registrada: o que entrou, o que saiu, em que momento, em que sistema. Em caso de incidente, é o que protege a empresa.

O que vem com o Marco da IA brasileiro

O PL 2.338/2023 segue a lógica do AI Act europeu — classificação por risco:

  • Risco excessivo: proibido (ex: pontuação social estatal, manipulação subliminar prejudicial)
  • Alto risco: permitido com obrigações fortes (decisão sobre crédito, emprego, saúde, segurança pública)
  • Risco limitado: obrigação de transparência (chatbots, deepfakes)
  • Risco baixo: sem obrigações específicas além das gerais

Empresas que se adequaram desde já chegam na lei nova sem mudanças bruscas. Quem deixou tudo pra depois, vai correr em cima do prazo.

Perguntas frequentes

Posso usar ChatGPT na minha empresa?
Pode, desde que (a) no plano corporativo com contrato adequado, (b) com política interna que regule o uso, (c) com transparência ao titular nos casos aplicáveis. ChatGPT free no navegador, com dado de cliente: não.

Preciso ter DPO mesmo sendo pequena empresa?
A LGPD obriga DPO em vários casos, e ANPD recomenda em praticamente todos. Pequena empresa pode ter DPO terceirizado (fracionado). Sem DPO, falta peça-chave na governança.

Quanto custa estar adequado?
Política e treinamento: R$ 2.000–6.000. DPO fracionado: R$ 800–3.000/mês. Bem menos do que uma única multa de LGPD (que pode chegar a R$ 50 milhões).

Posso ser multado mesmo sem ter tido incidente?
Sim. A ANPD pode fiscalizar e aplicar sanção por descumprimento de obrigações mesmo sem vazamento. Adequação preventiva é a única saída segura.

Quando chamar a No Eixo Digital

A No Eixo implementa IA com governança LGPD desde a arquitetura. Trabalhamos a estrutura completa: escolha de provedor em modo empresarial, configuração de RAG com dados controlados, política de uso, integração com observabilidade, transparência ao titular e suporte ao trabalho do DPO da empresa.

Se você quer adotar IA com tranquilidade jurídica — ou se já tem IA rodando e quer auditoria pra entender se está adequado — agenda um diagnóstico em noeixodigital.com.