A pergunta mais comum de quem vai adotar IA no Brasil não é “qual ferramenta?”, é “e a LGPD?”. A resposta curta: a LGPD se aplica sempre que a IA toca dados pessoais — e dá para usar IA em conformidade desde o desenho. A dgm implementa IA com controle de dados desde o início, na plataforma osFoundry. (Conteúdo informativo, não é consultoria jurídica.)

A LGPD vale, mesmo sem Lei de IA

O Brasil ainda não tem uma Lei de IA em vigor (o Marco Legal da IA / PL 2338 está em tramitação). Mas isso não significa terra de ninguém: a LGPD (Lei 13.709/2018) já rege todo tratamento de dados pessoais por sistemas de IA. (texto da lei)

Todo tratamento de dados pessoais precisa de uma base legal (Art. 7) — consentimento, execução de contrato, legítimo interesse, cumprimento de obrigação legal, entre as dez hipóteses. Antes de jogar dados em um sistema de IA, a pergunta é: qual a base legal e a finalidade?

Para dados sensíveis — saúde, biometria, origem racial, opinião política, dado de criança/adolescente — o regime é mais restrito (Art. 11). Em IA, isso pesa em saúde, RH e atendimento.

Minimização: a melhor defesa técnica

A LGPD exige minimização — tratar apenas o necessário. Em IA, isso vira decisão de arquitetura: quanto menos dado pessoal a IA precisa ver, menor o risco. Boas práticas:

  • minimizar o que entra no modelo (anonimizar/pseudonimizar quando possível);
  • controlar onde os dados são processados e armazenados;
  • registrar finalidade, base legal e fluxos;
  • manter supervisão humana em decisões sensíveis.

Decisões automatizadas (Art. 20)

O Art. 20 dá ao titular o direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses — incluindo perfis de consumo e de crédito. Atenção à nuance: após a Lei 13.853/2019, o texto não exige expressamente revisor humano, embora boa parte da doutrina defenda a revisão humana. Em decisões de crédito e RH, manter um humano no loop é o caminho mais seguro. Veja revisão de decisões automatizadas.

O papel da ANPD

A ANPD (Autoridade Nacional de Proteção de Dados) fiscaliza a LGPD e colocou IA entre seus temas prioritários. Ela realizou uma Tomada de Subsídios sobre IA e revisão de decisões automatizadas (nov/2024 a jan/2025), sinalizando salvaguardas como anonimização, avaliação de impacto e explicabilidade. (ANPD) Em jan/2026, ANPD e Comissão Europeia reconheceram níveis equivalentes de proteção entre LGPD e GDPR, facilitando fluxos de dados.

Dados no Brasil: a forma honesta

Quando a empresa precisa que os dados fiquem no Brasil, há um ponto que a dgm não esconde: o osFoundry publica regiões US/EU/JP — não uma região no Brasil. A forma factualmente correta de manter dados em solo brasileiro é o self-host (BYO Cloud) na própria conta de nuvem São Paulo do cliente (AWS sa-east-1, Azure Brazil South ou Google Cloud southamerica-east1). As três nuvens têm região São Paulo, então isso é tecnicamente possível. Veja como garantir residência de dados no Brasil com IA.

Onde a dgm entra

A dgm é um parceiro de integração independente (o osFoundry é um produto da OS LLC). Implementamos IA com minimização, controle de dados e supervisão humana desde o início, na plataforma osFoundry, e desenhamos o self-host quando a residência de dados é requisito. Para compliance estruturado, veja governança de IA e consultoria de IA em conformidade com a LGPD.

A dgm ainda não integrou nenhuma empresa — dizemos isso abertamente, em vez de inventar casos. Para adotar IA em conformidade com a LGPD, agende uma conversa com a dgm. Conteúdo informativo; não substitui análise jurídica individualizada.