Módulo 11 - Segurança, privacidade e ética
LGPD e dado pessoal no Brasil
10 min de leitura · por Cesar Gargiulo, revisado pela equipe ValorFinal e GuardiaSec · Atualizado em 14/07/2026
O que você vai aprender
- Distinguir dado pessoal de dado pessoal sensível pela LGPD.
- Entender por que o dado sensível tem regra mais rígida no artigo 11.
- Reconhecer que a responsabilidade é de quem decide colar.
- Aplicar um procedimento prático antes de enviar dado de terceiro.
Ouvir o resumo desta aula
Um recap de cerca de 2 minutos na voz do Valim, para ouvir no trânsito ou na academia.
Ler a transcrição do resumo
Resumo da aula: LGPD e dado pessoal no Brasil.
Os objetivos desta aula. Distinguir dado pessoal de dado pessoal sensível pela LGPD. Entender por que o dado sensível tem regra mais rígida no artigo 11. Reconhecer que a responsabilidade é de quem decide colar. Aplicar um procedimento prático antes de enviar dado de terceiro.
Veja o essencial, parte por parte.
O que a lei chama de dado pessoal. Dado pessoal é informação relacionada a pessoa identificada ou identificável (LGPD, artigo 5, inciso I). Não precisa ter o nome escrito.
Quando colar no chat vira problema. O contador cola a folha de pagamento inteira para o ChatGPT organizar em tabela. Ali vão CPF, salário e, se houver desconto sindical, dado sensível.
O que fazer na prática. Pergunte: esse texto aponta para uma pessoa, mesmo sem o nome? Se sim, ainda é dado pessoal.
Esse foi o resumo do essencial. Para se aprofundar, leia a aula completa e responda os exercícios.
O que a lei chama de dado pessoal
Se você é contador, advogado, médico, profissional de RH ou professor, esta aula não é detalhe, é o seu trabalho. E ela começa com uma definição que parece técnica e é decisiva. A LGPD, no artigo 5, inciso I, define dado pessoal como informação relacionada a pessoa natural identificada ou identificável. Guarde a palavra identificável. Muita gente acha que basta tirar o nome e pronto, virou anônimo. Não vira. Se o conjunto do que sobrou permite chegar na pessoa, o cargo, a data de admissão, o bairro, o número do processo, aquilo continua sendo dado pessoal e a lei continua valendo. Tirar o nome não é anonimizar, é remover o nome.
Agora a categoria que muda tudo. O artigo 5, inciso II, define dado pessoal sensível como o dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, e dado genético ou biométrico, quando vinculado a uma pessoa natural. Leia essa lista devagar e pense no que passa pela sua mesa. O laudo do paciente é saúde. O atestado que chegou no RH é saúde. A ficha do funcionário com o desconto do sindicato é filiação sindical. A foto do rosto usada para reconhecimento é biometria. Muita coisa banal do dia a dia é dado sensível pela letra da lei, e quase ninguém percebe.
Por que a distinção importa tanto? Porque a LGPD trata as duas categorias de formas diferentes. Para dado pessoal comum, o artigo 7 lista as hipóteses que autorizam o tratamento, entre elas o consentimento do titular, o cumprimento de obrigação legal, a execução de contrato e o legítimo interesse. Para dado sensível, o artigo 11 monta uma lista própria e visivelmente mais estreita: ou consentimento específico e destacado do titular, para finalidades específicas, ou uma das hipóteses do inciso II, como cumprimento de obrigação legal, exercício regular de direitos e tutela da saúde por profissional ou serviço de saúde. Repare no que sumiu nessa segunda lista: não existe legítimo interesse, e não existe execução de contrato. O que resolvia o dado comum simplesmente não está disponível para o sensível.
Quando colar no chat vira problema
Este ponto não é opinião do curso, é a autoridade brasileira dizendo por escrito, e em contexto de inteligência artificial generativa. Na Nota Técnica 27/2024, de 27 de junho de 2024, a ANPD analisou o uso de dados pessoais para desenvolver modelo de IA generativa e afirmou que o legítimo interesse, previsto no artigo 7, inciso IX, trata-se de dispositivo legal aplicável somente a dados pessoais simples, não se podendo legitimar o tratamento de dados pessoais sensíveis com base nesse fundamento. Na mesma nota, a ANPD lembrou algo ainda mais interessante: o tratamento indiscriminado de fotografias, imagens, vídeos e áudios, especialmente por sistemas de inteligência artificial, pode revelar vinculações políticas, religiosas, sindicais e sexuais dos titulares. É o efeito revelador, que o artigo 11, parágrafo 1, prevê expressamente ao dizer que o artigo se aplica a qualquer tratamento que revele dados sensíveis e possa causar dano ao titular.
A ANPD também já falou de prompt, com essa palavra. No Radar Tecnológico número 3, de novembro de 2024, dedicado à inteligência artificial generativa, a autoridade trata do cuidado de evitar dados pessoais não úteis nas bases de treinamento e também inseridos posteriormente por meio do prompt ou de anexos. Vale a honestidade sobre o peso disso: o Radar Tecnológico é uma série de estudo técnico, e o próprio documento diz que a série não tem a intenção de esgotar as temáticas nem de firmar posicionamentos institucionais. É material de estudo, não é norma. Ainda assim, é a autoridade brasileira registrando, por escrito, que o dado colado no prompt é um problema de proteção de dados. Quem diz que ninguém nunca falou nada sobre isso não leu.
E de quem é a responsabilidade nesses três casos? De quem colou. A LGPD define controlador, no artigo 5, inciso VI, como aquele a quem competem as decisões referentes ao tratamento. Quem escolheu abrir o chat, colar o documento e pedir o resumo tomou a decisão, e portanto é o controlador daquele tratamento. Não adianta dizer que a ferramenta é que processou. Some a isso o artigo 6, inciso I, que exige finalidades legítimas, específicas, explícitas e informadas ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. O cliente entregou o documento para você fazer a contabilidade dele, não para alimentar um chat. Isso é tratamento posterior, e ele não herda automaticamente a base legal do primeiro. Vale a mesma nota que este curso repete: aqui se explica o que a lei diz e onde ela está escrita, não se dá consultoria jurídica. Caso concreto e sério é conversa com advogado.
🎮 Jogo da aula
Pode colar no chat?
Classifique cada situação. Pense em duas perguntas: isso identifica alguém, e isso é dado sensível pelo artigo 5, inciso II?
O que fazer na prática
Falta ainda uma peça que quase todo curso ignora: os dados atravessam a fronteira. A LGPD trata disso no artigo 33, que lista as hipóteses de transferência internacional. Duas coisas precisam ficar claras e são fáceis de errar. A primeira: o inciso IX do artigo 33 remete apenas aos incisos II, V e VI do artigo 7, e o legítimo interesse, que é o inciso IX do artigo 7, não está nessa lista. Ou seja, legítimo interesse não é passaporte para mandar dado pessoal para fora. A segunda: a ANPD reconheceu adequação apenas para a União Europeia e o Espaço Econômico Europeu, na Resolução 32/2026. Não existe decisão de adequação para os Estados Unidos. Portanto, mandar dado pessoal para o servidor da OpenAI não se apoia no artigo 33, inciso I. Isso não quer dizer que usar o ChatGPT seja ilegal: quer dizer que a transferência precisa de um fundamento, e que ele não cai do céu.
Na prática, o que funciona é um procedimento chato e curto, feito antes de apertar o enter. Anonimize de verdade: troque nome por funcionário A, corte CPF e matrícula, generalize o que localiza a pessoa e remova o dado sensível que não é necessário para a sua dúvida. Quase sempre você descobre que a pergunta que interessa não precisava do dado nenhum: o que você queria era entender a regra, não processar a pessoa. Para o pontual, use chat temporário. Se você lida com dado de terceiro todo dia, avalie a conta corporativa, onde o padrão declarado é não treinar. E se a sua organização usa IA para valer, saiba que o artigo 52, parágrafo 1, inciso IX, coloca a adoção de política de boas práticas e governança como critério na hora de dosar a sanção. Política interna de uso de IA reduz sanção por texto de lei, o que é um argumento e tanto para levar ao chefe.
Uma última correção de rota, porque a informação errada circula muito. O caso da ANPD envolvendo a OpenAI existe, é o processo 00261.001330/2023-46, e foi arquivado sem análise do mérito: a autoridade entendeu que a empresa prestou os esclarecimentos, e o recurso foi negado. Quem diz que a ANPD aprovou o ChatGPT está errado, e quem diz que condenou também. O precedente concreto sobre treinar IA com dados pessoais é o caso Meta, do Despacho Decisório 20/2024, que suspendeu o tratamento sob pena de multa diária de 50 mil reais, mas a medida cautelar foi suspensa depois e a ANPD nunca decidiu o mérito. E o PL 2338/2023, o projeto de marco legal de IA, não virou lei: seguia na Câmara em julho de 2026. Ou seja: no Brasil, o que regula o seu uso de IA hoje é a LGPD, não um marco legal de IA que ainda não existe.
Teste rápido
Uma analista de RH cola no ChatGPT os atestados médicos dos funcionários para gerar um resumo de faltas. Do ponto de vista da LGPD, o que é correto dizer?
Perguntas frequentes
- Posso colar o CPF de um cliente no ChatGPT?
- CPF é dado pessoal pelo artigo 5, inciso I, e a decisão de colar é sua, o que faz de você o controlador daquele tratamento. Na prática, quase nunca é necessário: o que você quer costuma ser a regra, não o processamento da pessoa identificada. Reescreva a dúvida sem o dado. Se o caso é sério e tem consequência, converse com um advogado antes.
- Tirar o nome do documento resolve?
- Não necessariamente. A LGPD fala em pessoa identificada ou identificável, e o identificável é o que pega. Se o que sobrou, como cargo, data de admissão, bairro e número do processo, permite chegar na pessoa, aquilo continua sendo dado pessoal. Anonimizar é fazer o texto deixar de apontar para alguém, e isso costuma exigir mais do que apagar o nome.
- Por que dado sensível tem regra diferente?
- Porque a LGPD dedicou a ele o artigo 11, com uma lista mais estreita que a do artigo 7. Para dado sensível não existe legítimo interesse nem execução de contrato: ou consentimento específico e destacado para finalidades específicas, ou uma das hipóteses do inciso II. A ANPD confirmou isso por escrito na Nota Técnica 27/2024, dizendo que o legítimo interesse se aplica somente a dados pessoais simples.
- A LGPD vale mesmo se o servidor está fora do Brasil?
- A lei não deixa de valer por causa disso. Ela trata do assunto no artigo 33, que lista as hipóteses de transferência internacional. Vale saber duas coisas: o legítimo interesse não está entre as hipóteses que o inciso IX autoriza, e a ANPD reconheceu adequação apenas para a União Europeia e o Espaço Econômico Europeu, na Resolução 32/2026. Não há decisão de adequação para os Estados Unidos.
- A ANPD já disse que o ChatGPT é irregular?
- Não. O processo existiu, é o 00261.001330/2023-46, e foi arquivado sem análise do mérito, com recurso negado. A ANPD nunca enfrentou o mérito, então dizer que ela aprovou é errado, e dizer que condenou também. O precedente real sobre treinar IA é o caso Meta, cuja medida cautelar foi depois suspensa, e o mérito segue sem decisão.
- Existe uma lei de inteligência artificial no Brasil?
- Não até julho de 2026. O PL 2338/2023 foi aprovado no Senado e seguia na Câmara, sem virar lei. Quem regula o seu uso de IA hoje é a LGPD, aplicada às suas finalidades concretas. Como isso pode mudar, confira a tramitação na fonte oficial antes de repetir qualquer coisa que você ouviu por aí.
Fontes
Seu progresso fica salvo neste aparelho. Assinantes sincronizam entre os aparelhos.