Pesquisa Painel LGPD aponta avanço das decisões automatizadas

A 5ª edição da Pesquisa Painel LGPD, conduzida pelo Centro de Direito, Internet e Sociedade (Cedis) do IDP em parceria com o Jusbrasil, foi apresentada durante a 3ª edição do encontro Diálogos sobre Inovação & Direito, realizado em Oeiras, Portugal, em 31 de maio. O levantamento aponta o avanço acelerado do uso de decisões automatizadas no Brasil — fenômeno que coloca em xeque a efetividade do regime de governança de dados desenhado pela Lei 13.709/2018.

Contexto

Desde a entrada em vigor pleno da Lei Geral de Proteção de Dados (LGPD), em agosto de 2020, e a estruturação da Autoridade Nacional de Proteção de Dados (ANPD), o ecossistema brasileiro vem amadurecendo controles de conformidade. A Pesquisa Painel LGPD, em suas edições anteriores, tem funcionado como termômetro do setor, monitorando indicadores como nomeação de encarregado (DPO), mapeamento de dados, resposta a titulares e maturidade de programas de privacidade.

O recorte da 5ª edição — decisões automatizadas — toca um dos pontos mais sensíveis da regulação. Sistemas de inteligência artificial, scoring de crédito, triagem curricular, precificação dinâmica e moderação algorítmica vêm sendo incorporados a fluxos decisórios sem que, em muitos casos, exista governança proporcional. A controvérsia ganha contornos institucionais no Congresso, que discute o marco regulatório da IA (PL 2.338/2023), e na própria ANPD, que tem emitido pareceres e estudos preliminares sobre tratamento algorítmico.

O que foi decidido

Não se trata, aqui, de decisão judicial ou administrativa, mas de divulgação acadêmica. O estudo conduzido pelo Cedis/IDP e pelo Jusbrasil aponta que as decisões automatizadas se tornaram tema crescente nas estruturas de compliance das empresas brasileiras. O lançamento internacional, em Portugal, reforça o diálogo entre as legislações brasileira (LGPD) e europeia (Regulamento Geral de Proteção de Dados — RGPD/UE 2016/679), cuja inspiração comum é evidente.

A pesquisa serve como insumo para reguladores, magistrados e operadores do direito digital sobre o ritmo em que o tratamento algorítmico avança — e em que medida os mecanismos de revisão e transparência previstos em lei estão sendo, de fato, implementados.

Base normativa e precedentes

• Art. 20 da LGPD (Lei 13.709/2018) — assegura ao titular o direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluindo perfilamento (definição de perfil pessoal, profissional, de consumo e de crédito).
• Art. 6º da LGPD — princípios de finalidade, adequação, necessidade, transparência e prestação de contas, que estruturam qualquer tratamento — manual ou algorítmico.
• Art. 5º, X e XII, da CF/88 — proteção à intimidade, vida privada e ao sigilo de dados, bases constitucionais reforçadas pela EC 115/2022, que erigiu a proteção de dados pessoais a direito fundamental autônomo.
• Resolução CD/ANPD nº 2/2022 — regulamenta a aplicação da LGPD para agentes de pequeno porte, com reflexos sobre obrigações de transparência também em sistemas automatizados.
• RGPD (UE 2016/679), art. 22 — paralelo europeu que veda decisões exclusivamente automatizadas com efeitos significativos, salvo exceções, e exige intervenção humana, contraditório e explicabilidade.
• PL 2.338/2023 (Marco Legal da IA) — em tramitação, prevê classificação de riscos, direito à explicação e responsabilização de fornecedores de sistemas de IA.

Impacto prático

• Para controladores e operadores de dados: cresce a exigência de Relatório de Impacto à Proteção de Dados Pessoais (RIPD), especialmente quando há decisão automatizada com efeito jurídico ou significativo sobre o titular.
• Para departamentos jurídicos: revisão de contratos com fornecedores de IA, cláusulas de auditabilidade, registro de modelos e logs de decisão tornam-se elementos centrais de qualquer programa de privacidade.
• Para consumidores e trabalhadores: o direito de revisão do art. 20 ganha relevância em cenários de negativa de crédito, descredenciamento em plataformas, demissão automatizada e classificação de risco em seguros.
• Para o contencioso: tende a se intensificar a litigância coletiva — via Ministério Público, Defensoria e associações — questionando opacidade algorítmica e ausência de revisão humana.
• Para a advocacia: abre-se espaço de atuação consultiva em explicabilidade (XAI), auditoria algorítmica e governança de IA, especialmente em setores regulados (financeiro, saúde, seguros).

O que observar

O próximo ciclo regulatório dependerá de três frentes interligadas. A primeira é a votação do marco da IA, que pode redesenhar o art. 20 da LGPD ao trazer obrigações específicas de explicabilidade e classificação de risco. A segunda é a atuação fiscalizatória da ANPD, que sinalizou priorizar agentes que tratam grandes volumes de dados e operam decisões com impacto significativo. A terceira é a consolidação jurisprudencial sobre o alcance do direito de revisão — ainda incipiente nos tribunais superiores, mas com casos relevantes em curso no STJ envolvendo scoring de crédito e plataformas digitais.

Para o operador do direito, o recado da pesquisa é direto: a maturidade declarada de programas de privacidade nem sempre acompanha a velocidade da adoção de IA. O hiato entre prática empresarial e exigência normativa deve ser, nos próximos anos, o eixo central do contencioso em direito digital.