BaXiJen
Voltar ao blog
Guia prático de compliance LGPD para startups de IA no Brasil

LGPD e IA: Compliance na Prática para Startups Brasileiras

O Brasil tem mais de 975 startups de IA, investimentos crescendo 62% ao ano, e dois marcos regulatórios que vão mudar o jogo: a LGPD em plena vigência e o PL 2338/2023 prestes a ser aprovado. Este post detalha como uma startup de IA pode estruturar compliance de privacidade de dados sem travar a operação, com base na Nota Técnica 12/2025 da ANPD, nos requisitos do PL 2338 e em casos práticos de mercado.

Marcus Ramalho(CTO, BaXiJen)
13 min
LGPDIAcompliancestartupprivacidade de dadosPL 2338ANPDon-premiseBaXiJen

Startups de IA no Brasil vivem um paradoxo. De um lado, o mercado explode: 975 empresas de inteligência artificial mapeadas em 2025, crescimento de 177% em nove anos, investimentos que subiram 62% só em 2024. De outro, duas legislações convergem para criar um cenário em que quem não se adaptar pode pagar multas de até R$ 50 milhões.

A LGPD (Lei 13.709/2018) está em vigor há mais de cinco anos. O PL 2338/2023, o Marco Legal da Inteligência Artificial, foi aprovado por unanimidade no Senado em dezembro de 2024 e aguarda tramitação na Câmara. Em maio de 2025, a ANPD publicou a Nota Técnica 12/2025, consolidando contribuições sobre IA e decisões automatizadas. A mensagem é clara: compliance de dados e IA não é mais opcional, é pré-requisito para operar.

Este post é o guia prático que eu gostaria de ter quando comecei a estruturar a infraestrutura da BaXiJen. Vamos mapear o que a lei exige, o que está por vir, e como implementar compliance sem sacrificar velocidade.

1. O cenário regulatório brasileiro em 2026

1.1. LGPD: o que já está em vigor

A LGPD completou cinco anos de vigência em 2025. Os pontos que mais impactam startups de IA:

  • Bases legais para tratamento de dados (Art. 7): consentimento, contrato, obrigação legal, exercício de direitos. Para IA, as bases mais usadas são contrato (Art. 7, V) e legítimo interesse (Art. 7, IX), mas esta última exige balance test e DPIA.
  • Direito de explicação (Art. 20): o titular tem direito a solicitar revisão de decisões tomadas exclusivamente por algoritmo. Se a startup usa IA para decisões automatizadas (crédito, triagem, priorização), precisa conseguir explicar o raciocínio do modelo.
  • DPO obrigatório (Art. 41): toda empresa que trata dados pessoais precisa de um Encarregado de Proteção de Dados. Para startup early-stage, o DPO pode ser um dos fundadores, mas precisa existir.
  • Multa de até 2% do faturamento ou R$ 50 milhões por infração (Art. 52). A ANPD já multou empresas. Não é ameaça teórica.

1.2. PL 2338/2023: o Marco Legal da IA

O Projeto de Lei 2338/2023 foi aprovado pelo Senado em dezembro de 2024 e está na Câmara dos Deputados desde março de 2025, com relatoria do deputado Aguinaldo Ribeiro. A expectativa é de aprovação final em 2026.

Os pilares centrais do PL 2338:

PilarDescriçãoImpacto em startups
Classificação de riscoSistemas de IA divididos em risco excessivo (proibidos), alto risco, e baixo riscoStartups precisam classificar seus sistemas
Avaliação de impactoSistemas de alto risco exigem relatório de impacto antes da implantaçãoCusto e tempo de compliance aumentam
TransparênciaDireito à explicação de decisões automatizadasLogs, tracing e documentação são obrigatórios
GovernançaSistemas de governança de IA com responsáveis definidosPrecisa de estrutura, mesmo que enxuta
Supervisão humanaDecisões de alto risco exigem supervisão humanaAfeta design de produto e UX

O texto aprovado pelo Senado é inspirado no EU AI Act, mas com adaptações ao contexto brasileiro. Um ponto relevante: o PL 2338 fortalece a competência da ANPD para fiscalizar sistemas de IA, criando uma sobreposição regulatória entre proteção de dados e governança de IA que startups precisam monitorar.

1.3. Nota Técnica 12/2025 da ANPD

Publicada em 15 de maio de 2025, a Nota Técnica 12/2025 consolida os resultados da Tomada de Subsídios sobre o uso de IA e decisões automatizadas. Os pontos-chave:

  • Consentimento e transparência: indivíduos devem ser informados sobre como seus dados são usados em decisões automatizadas e ter a opção de contestá-las
  • Explicabilidade: a ANPD reforça que o Art. 20 da LGPD (revisão de decisões automatizadas) é aplicável a sistemas de IA
  • Avaliação de impacto: sistemas que tomam decisões automatizadas com efeitos jurídicos ou significativos para o titular devem ter DPIA
  • Supervisão humana: a nota recomenda que decisões de alto impacto não sejam 100% automatizadas sem revisão humana

Para startups, a mensagem é clara: mesmo antes da aprovação do PL 2338, a LGPD já exige explicabilidade, transparência e avaliação de impacto para decisões automatizadas.

2. Compliance na prática: o que sua startup precisa ter

2.1. Mapa de dados: o passo zero

Antes de qualquer outra ação, sua startup precisa saber:

  1. Quais dados pessoais são coletados (entradas do modelo)
  2. Como são tratados (processamento, armazenamento, compartilhamento)
  3. Onde estão armazenados (servidor físico, jurisdição)
  4. Quem tem acesso (funcionários, prestadores, subprocessadores)
  5. Por quanto tempo ficam (retenção e descarte)

Esse mapeamento é a base de tudo. Sem ele, não é possível definir base legal, fazer DPIA, ou responder a uma solicitação do titular.

Ferramentas simples que funcionam para startups early-stage:

  • Planilha de inventário de dados pessoais (pode ser Google Sheets com controle de acesso)
  • Fluxograma de dados (Lucidchart, draw.io, ou até papel e caneta no início)
  • Registro de operações (Art. 37 da LGPD): documentar cada finalidade de tratamento

2.2. Base legal: qual usar para cada caso

Para startups de IA, a escolha da base legal é estratégica. A tabela abaixo mapeia os cenários mais comuns:

CenárioBase legal recomendadaRequisitos adicionais
Chatbot de atendimento ao clienteContrato (Art. 7, V)Termos de uso com cláusula de IA
Triagem de currículos com IAConsentimento (Art. 7, I)Consentimento expresso, específico, informado
Análise de risco de créditoLegítimo interesse (Art. 7, IX)Balance test + DPIA + direito de revisão (Art. 20)
Monitoramento de segurança on-premiseObrigação legal (Art. 7, II)Baseado em norma setorial
Recomendação personalizada (e-commerce)Consentimento ou contratoOpt-out obrigatório
Processamento para melhoria do modeloLegítimo interesseAnonimização preferível, DPIA

A regra prática: se o tratamento de dados tem impacto direto no direito do titular (crédito, emprego, saúde), use consentimento ou contrato. Se é tratamento indireto (analytics, melhoria de modelo), legítimo interesse funciona, mas exige balance test documentado.

2.3. DPIA: Avaliação de Impacto à Proteção de Dados

A DPIA (ou RIPD, na sigla em português) é obrigatória quando o tratamento de dados pode gerar risco significativo ao titular. Para startups de IA, praticamente qualquer sistema que toma decisões automatizadas precisa de uma.

Estrutura mínima de uma DPIA:

  1. Descrição da operação: o que o sistema faz, que dados usa, qual a saída
  2. Necessidade e proporcionalidade: por que precisa de dados pessoais, por que essa quantidade
  3. Avaliação de riscos: identificação e classificação dos riscos ao titular
  4. Medidas de mitigação: criptografia, anonimização, pseudonimização, logs, supervisão humana
  5. Plano de resposta a incidentes: o que fazer em caso de vazamento ou uso indevido

A DPIA não precisa ser um documento de 50 páginas. Para startups early-stage, uma versão enxuta de 5 a 10 páginas cobre o essencial. O importante é ter o processo documentado e revisável.

2.4. On-premise como compliance por design

Para startups de IA que operam no Brasil, on-premise não é apenas uma escolha técnica. É uma estratégia de compliance.

Os motivos são diretos:

  • Residência de dados: dados pessoais processados no Brasil ficam no Brasil. Sem transferência internacional, sem necessidade de cláusulas contratuais específicas (Art. 33 da LGPD).
  • Soberania de dados: o cliente mantém controle total sobre onde os dados estão e quem acessa. Para setor público e saúde, isso é requisito, não diferencial.
  • Jurisdição: em caso de incidente, a legislação aplicável é brasileira. Sem conflito de jurisdição.
  • Simplicidade contratual: sem subprocessadores internacionais, sem adequação de países terceiros, sem cláusulas padrão da Comissão Europeia.

Na BaXiJen, essa é a nossa arquitetura por design. O BXat roda na infraestrutura do cliente, os dados não saem do ambiente, e o contrato de processamento é direto e transparente. Isso simplifica a conversa de compliance com qualquer cliente, especialmente do setor público.

3. Os erros mais comuns de startups em compliance

3.1. Tratar compliance como "problema do jurídico"

O erro mais frequente é delegar LGPD exclusivamente para a área jurídica e esquecer que compliance é, antes de tudo, arquitetura de produto. As decisões que mais impactam a privacidade são técnicas: onde os dados são armazenados, como o modelo os processa, quais logs são gerados, quanto tempo ficam retidos.

Se o CTO e o time de engenharia não participam da discussão de compliance, a startup vai ter documentos bonitos e código vulnerável.

3.2. Usar modelos de API sem contrato de processamento

Integrar APIs de IA (OpenAI, Anthropic, Google) sem contrato de processamento de dados é um risco direto de LGPD. Mesmo que o provedor diga que "não treina com seus dados", a transferência de dados pessoais para servidores fora do Brasil exige base legal específica (Art. 33) e, em muitos casos, cláusulas contratuais.

A Nota Técnica 12/2025 da ANPD reforça a atenção sobre transferências internacionais de dados no contexto de IA. Em 2026, a fiscalização sobre empresas que enviam dados para jurisdições sem nível adequado de proteção está sendo intensificada.

3.3. Não documentar decisões de arquitetura

Quando a ANPD ou um cliente pede "como o sistema toma decisões automatizadas", a resposta precisa estar documentada. Não em código comentado, mas em um documento acessível que explique:

  • Que dados entram no modelo
  • Como o modelo processa esses dados
  • Que saídas são geradas
  • Como o humano pode intervir

Sem essa documentação, responder ao Art. 20 (direito de revisão) é impossível.

3.4. Ignorar os direitos do titular

A LGPD garante 10 direitos ao titular (Art. 18). Para startups de IA, os mais relevantes são:

  • Acesso: saber quais dados são tratados
  • Correção: atualizar dados incompletos ou inexatos
  • Eliminação: excluir dados desnecessários ou em excesso
  • Revisão de decisões automatizadas (Art. 20): contestar decisões tomadas exclusivamente por algoritmo
  • Portabilidade: transferir dados para outro fornecedor

Sua startup precisa ter um processo para atender a cada um desses direitos em até 15 dias (prazo regulamentar). E precisa comunicar ao titular como exercê-los, inclusive nos termos de uso.

4. Checklist de compliance LGPD para startups de IA

Um checklist prático para implementar compliance sem travar a operação:

Governança

  • Nomear um DPO (pode ser fundador, mas precisa ser formalizado)
  • Criar um Registro de Operações de Tratamento (Art. 37)
  • Definir política de privacidade e termos de uso com cláusulas de IA
  • Estabelecer canal de atendimento ao titular (e-mail ou formulário)

Dados

  • Fazer inventário de dados pessoais coletados e processados
  • Mapear fluxo de dados (entrada, processamento, armazenamento, saída)
  • Definir base legal para cada finalidade de tratamento
  • Documentar tempo de retenção e método de descarte

IA e decisões automatizadas

  • Classificar o sistema de IA por nível de risco (PL 2338)
  • Elaborar DPIA para sistemas de alto risco
  • Implementar logs de decisão (quem decidiu, quando, com que dados)
  • Garantir supervisão humana para decisões de alto impacto
  • Disponibilizar mecanismo de revisão humana (Art. 20)

Segurança e infraestrutura

  • Criptografia em trânsito e em repouso
  • Controle de acesso baseado em função (RBAC)
  • Logs de auditoria com retenção mínima de 6 meses
  • Plano de resposta a incidentes de segurança
  • Backup e disaster recovery

Contratos

  • Contrato de processamento de dados com subprocessadores
  • Cláusulas de confidencialidade com funcionários e prestadores
  • Termos de uso com política de privacidade integrada
  • Análise de adequação para transferências internacionais (se aplicável)

Comunicação

  • Política de privacidade acessível e em linguagem clara
  • Aviso de uso de IA e decisões automatizadas
  • Canal para exercício de direitos do titular
  • Processo de notificação à ANPD em caso de incidente

5. O custo de não fazer compliance

Os números são claros:

  • Multa máxima da LGPD: 2% do faturamento ou R$ 50 milhões (o que for menor), por infração
  • Multa prevista no PL 2338: até 2% do faturamento, com teto de R$ 50 milhões
  • Custo médio de um vazamento de dados no Brasil: R$ 6,6 milhões (IBM Cost of a Data Breach Report, adaptado para o mercado brasileiro pela Kaspersky)
  • Perda de confiança do cliente: 81% dos consumidores brasileiros dizem que parariam de interagir com uma marca após um vazamento de dados (Cisco Data Privacy Benchmark, 2024)

Para uma startup early-stage, uma multa de R$ 50 milhões é letal. Mas mesmo uma multa menor pode destruir a reputação e afastar investidores. Compliance não é custo. É seguro contra risco existencial.

6. Conclusão

O cenário regulatório brasileiro para IA está se moldando rapidamente. A LGPD já está em vigor, o PL 2338 está prestes a ser aprovado, e a ANPD está fiscalizando ativamente. Para startups de IA, a pergunta não é se precisam fazer compliance, mas como fazer compliance sem perder velocidade.

A resposta é: integrar privacidade e governança na arquitetura do produto desde o início. Não é uma camada que se adiciona depois. É um princípio de design. On-premise por design simplifica LGPD. Logs e documentação tornam o Art. 20 trivial. DPIA bem feita é roteiro de engenharia, não burocracia.

Na BaXiJen, compliance é parte da stack. Dados no Brasil, modelo rodando na infra do cliente, contrato transparente, logs acessíveis, revisão humana garantida. Não porque a lei exige, mas porque é o jeito certo de construir IA para instituições brasileiras.

Antes de tudo, Brasileiro. 🇧🇷

Referências

  • Brasil. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União, 2018.
  • Brasil. Projeto de Lei nº 2.338, de 2023. Estabelece normas gerais para a governança responsável de sistemas de inteligência artificial no Brasil. Senado Federal, aprovado em dezembro de 2024.
  • ANPD. Nota Técnica nº 12/2025/CON1/CGN/ANPD. Consolidação das contribuições sobre o uso de inteligência artificial e decisões automatizadas. Brasília: ANPD, maio de 2025.
  • ANPD. Agenda Regulatória da ANPD 2025-2026. Brasília: ANPD, 2025.
  • IBGIA. PB-2026-010: Startups de IA no Brasil: Guia de Conformidade Regulatória. Instituto Brasileiro de Governança de IA, 2026.
  • Moraes, T. Regulatory sandboxes for trustworthy artificial intelligence: global and Latin American experiences. International Review of Law Computers & Technology, 2024. DOI: 10.1080/13600869.2024.2351674
  • IBM Security. Cost of a Data Breach Report 2024. Armonk: IBM, 2024.
  • Cisco. Data Privacy Benchmark Study 2024. San Jose: Cisco, 2024.
  • Exame/Value Capital. Número de startups de IA no Brasil salta de 352 para 975 entre 2016 e 2025. São Paulo: Exame, 2025.
  • Matos, A. et al. Data Privacy in Software Practice: Brazilian Developers' Perspectives. Journal of Internet Services and Applications, v. 16, 2025. DOI: 10.5753/jisa.2025.5302
Compartilhar:

Quer construir IA soberana?

Fale com a BaXiJen e descubra como agentes autônomos podem transformar sua operação.

Fale conosco

Newsletter BaXiJen

Conteúdo técnico sobre IA, soberania e produto.

Análises com dados reais, papers acadêmicos e lições de produção. Sem spam, sem buzzword. Um email por semana.

Sem spam. Desinscreva a qualquer momento. Dados protegidos pela LGPD.

Precisa de ajuda?

Clique no chat para conversar com nosso consultor