IA Processando Dados Pessoais sem Base Legal LGPD
Categoria: Compliance · Por Anderson Chipak · ALC Consultoria
Regulacoes afetadas
LGPD art. 7 - LGPD art. 11 - ANPD
O risco
Sistemas de IA que tratam dados pessoais de clientes, funcionarios ou parceiros sem que a empresa tenha documentado a base legal aplicavel. A infracao pode ser por ausencia total de base legal, por base legal invalida para o tipo de dado ou por base legal que nao se sustenta na analise do balanceamento de interesses.
Impacto regulatorio e empresarial
Esta e a infracao mais comum encontrada em auditorias de LGPD em empresas que adotaram IA rapidamente. Para dados sensiveis (saude, biometria, financeiros), a base legal do art. 11 e mais restritiva e frequentemente ausente nos sistemas implantados.
Como identificar na sua empresa
Para cada sistema de IA que usa dados pessoais, existe um mapeamento no RoPA? A base legal esta documentada e revisada por juridico? Para dados sensiveis, qual das hipoteses do art. 11 se aplica? Se a base for legitimo interesse, existe teste de balanceamento documentado?
Como mitigar
1. Incluir todos os sistemas de IA no RoPA da empresa com base legal especifica para cada uso. 2. Para IA que usa dados sensiveis, engajar DPO e juridico para definir base legal do art. 11. 3. Revisar bases legais anualmente. 4. Documentar o raciocinio juridico, nao apenas a conclusao.
Este risco existe na sua empresa?
A auditoria da ALC identifica quais dos 50 riscos existem nos seus sistemas e prioriza os de maior impacto. Parecer tecnico em 5 dias uteis.