Todas as publicações
Gestão e governançaValor Econômico

ANPD vai fiscalizar uso de IA e mira 20 ações no biênio

A ANPD colocou inteligência artificial entre os focos de fiscalização para 2026 e 2027 e planeja 20 ações específicas. A LGPD já cobre transparência, finalidade, revisão de decisões automatizadas e exige relatório de impacto para tratamentos de alto risco. Se a sua operação usa IA sem desenho para auditoria, o custo de ajuste e de resposta a incidentes tende a subir.

ANPD vai fiscalizar uso de IA e mira 20 ações no biênio
Valor Econômico. Fonte: Valor Econômico.

A consequência empresarial é direta: quem não desenhar a operação de IA para ser auditável, com dados autorizados e aprovação proporcional ao risco, vai gastar mais para se adequar, responder a solicitações legais e conter incidentes.

Pontos principais

  • A ANPD priorizou IA na fiscalização de 2026-2027 e prevê 20 ações específicas, o que torna a cobrança concreta para quem já opera modelos ou APIs.
  • A LGPD já disciplina o uso de IA com princípios de transparência e finalidade, direito de revisão de decisões automatizadas e obrigação de relatório de impacto em cenários de alto risco, com multas que podem chegar a 2% do faturamento limitadas a R$ 50 milhões por infração.
  • Serviços de IA de varejo costumam reter e usar dados para treinamento e operar no exterior; enviar prompts pode caracterizar transferência internacional sem garantias adequadas.
  • Arquiteturas com privacy by design, filtros de sanitização e logs de auditoria reduzem custo de conformidade e facilitam responder ao titular e à ANPD; improviso e Shadow AI ampliam exposição.

O que mudou e por que importa

A ANPD incluiu IA entre os eixos prioritários de fiscalização para 2026-2027 e aprovou seu mapa de temas. A agenda menciona 20 ações de fiscalização sobre sistemas de IA ao longo de 2027.

A LGPD já se aplica ao uso corporativo de IA. Ela exige transparência e finalidade, assegura ao titular o direito de pedir revisão de decisões tomadas só pela máquina e prevê relatório de impacto para tratamentos de alto risco. As sanções podem chegar a 2% do faturamento, limitadas a R$ 50 milhões por infração.

Incidentes continuam frequentes. Em 2025, a ANPD recebeu 395 comunicações. A pressão regulatória somada ao volume de incidentes pede operação clara e auditável, não apenas uma ferramenta nova.

Onde a decisão pega na sua operação

A decisão está em processos que usam IA para classificar, pontuar, recomendar ou decidir. Exemplos comuns são análise de crédito, prevenção a fraudes, triagem de currículos, priorização de tickets e respostas assistidas no atendimento. Se há dados pessoais ou efeito relevante sobre pessoas, o risco regulatório aumenta.

O uso de ferramentas abertas de IA sem avaliação prévia expõe dados e segredos. Muitos provedores autorizam uso do que é inserido para treinar modelos e armazenam fora do Brasil. Enviar prompts pode configurar transferência internacional de dados pessoais sem garantias adequadas. Há ainda risco de acesso por autoridades estrangeiras, como previsto no Cloud Act.

Shadow AI tende a surgir quando a equipe não tem alternativas aprovadas e claras. Sem política, inventário e trilhos mínimos de uso, o ciclo de vida do dado sai do seu controle.

Como decidir e quais controles entram

Operação clara. Mapeie cada decisão apoiada por IA: objetivo, dado de entrada, saída esperada, impacto no cliente e dono do processo. Defina quando a decisão é automática, assistida ou manual e quais critérios disparam revisão. Isso prepara o relatório de impacto quando necessário.

Dados autorizados e acesso definido. Liste quais dados podem alimentar prompts e modelos, classifique sensibilidade e aplique minimização. Restrinja ferramentas a uma lista aprovada, com contas corporativas, acordo de processamento de dados e cláusulas de transferência internacional. Controle acesso por função e bloqueie conectores não autorizados.

Aprovação proporcional ao risco. Para decisões de alto impacto, exija aprovação humana, amostragens periódicas e revisão de exceções. Para baixo risco, automatize com limites, monitoramento e possibilidade de override. Essa gradação reduz custo sem abrir mão de controle.

O que observar agora

Mudanças de termos de uso dos provedores de IA, localização do processamento e políticas de retenção. Essas alterações podem afetar transferências internacionais e o seu acordo de processamento de dados.

Qualidade e custo da decisão. Acompanhe taxa de overrides humanos, falsos positivos e falsos negativos, tempo de resposta e retrabalho. Use esses indicadores para calibrar onde automatizar e onde exigir revisão.

Agenda regulatória. Com a fiscalização priorizando IA em 2026-2027 e o debate do Marco Legal da IA em curso, mantenha atualizados o inventário de usos, os relatórios de impacto e a trilha de logs. Se o seu sistema for classificado como de alto risco, a exigência de avaliação de impacto algorítmico pode se materializar.

O que fazer com isso

  1. Faça um inventário dos usos de IA em duas semanas: processos, dados envolvidos, provedores, localização de processamento, riscos e donos. Feche Shadow AI criando uma lista aprovada de ferramentas e bloqueando acessos não autorizados.
  2. Revise contratos com fornecedores de IA. Exija acordo de processamento de dados, regras claras de retenção, garantia de não uso para treinamento por padrão, e base válida para transferências internacionais. Se não houver garantias adequadas, migre ou limite o escopo de dados.
  3. Implemente trilhos mínimos de governança: política de uso de IA, RBAC para acesso, filtros de sanitização de dados nos prompts, logs completos de prompts e respostas com carimbo de tempo e versão de modelo, critérios de aprovação humana por nível de risco.

Fontes consultadas

Esta análise separa os fatos publicados das interpretações editoriais de Moisés Kalebbe.

Onde sua operação ainda depende de improviso?

Em 9 perguntas, veja qual processo merece atenção primeiro.

Fazer diagnóstico

Continue lendo

xAI processa usuário por deepfakes gerados no Grok, sua empresa pode enfrentar custo similar

Gestão e governança 15 de jul. de 2026

xAI processa usuário por deepfakes gerados no Grok, sua empresa pode enfrentar custo similar