Artigo
13/10/2025

Inteligência Artificial e Proteção de Dados: A Responsabilidade do DPO e os Riscos da Nomeação Aleatória

Explora o papel estratégico do DPO na governança da IA e os riscos da nomeação inadequada conforme LGPD e normas internacionais.

Avatar Oerton Fernandes, MsC

Registros selecionados

Imagem de capa do artigo

Com o avanço acelerado da Inteligência Artificial (IA) nas empresas brasileiras, cresce também a responsabilidade do Encarregado de Dados (DPO) na supervisão ética e legal do tratamento de dados pessoais. A atuação do DPO não é apenas uma exigência formal da Lei Geral de Proteção de Dados (LGPD), mas uma função estratégica que exige conhecimento técnico, jurídico e ético profundo — especialmente diante dos riscos que a IA representa à privacidade e aos direitos fundamentais.

O DPO frente à IA: muito além da conformidade

A LGPD (Lei nº 13.709/2018) estabelece que o DPO é o responsável por atuar como canal de comunicação entre o controlador de dados, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD). Quando o tratamento envolve sistemas de IA, essa responsabilidade se intensifica:

  • O DPO deve garantir que algoritmos respeitem os princípios da LGPD, como finalidade, necessidade, transparência e segurança.
  • É sua função conduzir Avaliações de Impacto à Proteção de Dados (RIPD) em projetos de IA, especialmente aqueles que envolvem decisões automatizadas.
  • Deve atuar na prevenção de riscos como discriminação algorítmica, vazamentos de dados e uso indevido de informações sensíveis.

A Inteligência Artificial representa uma revolução tecnológica, mas também um desafio ético e jurídico. O DPO é o guardião da integridade nesse processo.

A ANPD tem reforçado seu papel como autoridade reguladora da IA no Brasil. Em notas técnicas e análises públicas, a entidade defende que sistemas de IA devem ser supervisionados por humanos, transparentes em suas decisões e submetidos a regras claras de governança.

O Projeto de Lei 2338/2023, atualmente em tramitação, propõe uma regulação específica para IA, classificando os sistemas por níveis de risco e exigindo supervisão reforçada nos casos de alto impacto — o que amplia ainda mais a responsabilidade do DPO.

ISO/IEC 42001:2023 — A nova norma internacional para IA

A publicação da ISO/IEC 42001:2023 marca um novo capítulo na governança da IA. Essa norma internacional, adotada no Brasil como ABNT NBR ISO/IEC 42001:2024, estabelece requisitos para a criação e manutenção de um Sistema de Gestão da Inteligência Artificial (SGIA). Ela exige que as organizações:

  • Implementem políticas claras de governança algorítmica.
  • Avaliem e mitiguem riscos específicos da IA.
  • Garanta transparência e supervisão humana em decisões automatizadas.
  • Monitorem continuamente o desempenho e os impactos dos sistemas de IA.

Essa norma é certificável e pode ser integrada a outras normas como ISO 9001 (qualidade) e ISO/IEC 27001 (segurança da informação), reforçando a necessidade de profissionais capacitados — especialmente o DPO — para garantir conformidade e responsabilidade.

Outras normas complementares incluem:

  • ISO/IEC 23894:2023 – Gestão de riscos em IA
  • ISO/IEC 22989:2023 – Conceitos e terminologia de IA
  • ISO/IEC 38507:2023 – Governança de TI aplicada à IA

Essas normas oferecem uma estrutura robusta para que o DPO atue com segurança e precisão na supervisão de sistemas inteligentes.

Comparativo internacional: como outros países tratam o tema

A atuação do DPO frente à IA não é exclusividade brasileira. Países que já avançaram na regulação da IA reforçam a necessidade de profissionais altamente capacitados:

  • União Europeia: O GDPR exige que o DPO tenha conhecimento especializado em legislação e práticas de proteção de dados. O AI Act, aprovado em 2024, impõe obrigações específicas para sistemas de alto risco, como auditorias, documentação técnica e supervisão humana — tudo sob responsabilidade do DPO.
  • Estados Unidos: O NIST AI Risk Management Framework recomenda que empresas tenham profissionais capacitados para avaliar riscos éticos e técnicos da IA, mesmo sem uma lei federal única.
  • Canadá: A CPPA propõe que empresas nomeiem responsáveis pela proteção de dados com conhecimento técnico e jurídico, especialmente em contextos de IA.

Esses modelos reforçam que o DPO não pode ser nomeado de forma aleatória ou apenas para cumprir formalidades. A função exige preparo técnico, visão estratégica e domínio das implicações legais da IA.

Os riscos da nomeação aleatória e da negligência

Infelizmente, muitas empresas brasileiras ainda tratam a nomeação do DPO como uma obrigação burocrática, delegando a função a profissionais sem formação adequada ou sem autonomia para atuar. Essa prática representa riscos sérios:

  • Multas e sanções: A LGPD prevê penalidades que podem chegar a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração.
  • Danos reputacionais: Vazamentos de dados ou decisões automatizadas injustas podem gerar crises de imagem irreversíveis.
  • Responsabilidade civil e criminal: O uso indevido de IA pode levar a processos judiciais, inclusive por discriminação ou violação de direitos fundamentais.
  • Perda de competitividade: Empresas que não adotam práticas éticas e transparentes com IA tendem a perder espaço em mercados regulados ou exigentes.

A importância da capacitação e da escolha estratégica

Diante desse cenário, é urgente que empresas revejam suas práticas de nomeação de DPOs. O profissional ideal deve reunir:

  • Conhecimento profundo da LGPD, GDPR e normas ISO aplicáveis à IA.
  • Entendimento técnico sobre funcionamento de sistemas de IA, machine learning e algoritmos.
  • Capacidade de dialogar com áreas jurídicas, técnicas e de negócios.
  • Autonomia para implementar políticas de governança e conduzir auditorias internas.

Infelizmente, muitas empresas brasileiras ainda tratam a nomeação do DPO como uma obrigação burocrática, delegando a função a profissionais sem formação adequada ou sem autonomia para atuar.

A contratação de DPOs altamente capacitados não é apenas uma exigência legal — é um investimento em segurança, reputação e sustentabilidade empresarial.

A Inteligência Artificial representa uma revolução tecnológica, mas também um desafio ético e jurídico. O DPO é o guardião da integridade nesse processo.

Empresas que ignorarem essa realidade e continuarem nomeando profissionais sem preparo estarão expostas a riscos graves. Já aquelas que valorizarem a capacitação e a atuação estratégica do DPO estarão mais preparadas para inovar com responsabilidade e crescer com segurança — alinhadas às melhores práticas internacionais e às normas ISO que moldam o futuro da IA.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Perguntas e respostas

Qual é a principal responsabilidade do Encarregado de Dados (DPO) segundo a LGPD?
O DPO atua como canal de comunicação entre o controlador de dados, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD), supervisionando todo o tratamento de dados pessoais para garantir conformidade com a Lei nº 13.709/2018.
De que forma a atuação do DPO se torna mais complexa quando há uso de Inteligência Artificial?
Em projetos de IA, o DPO precisa garantir que algoritmos respeitem princípios da LGPD, conduzir Avaliações de Impacto à Proteção de Dados (RIPD), prevenir discriminação algorítmica, vazamentos e uso indevido de dados sensíveis, além de assegurar transparência e supervisão humana.
O que são Avaliações de Impacto à Proteção de Dados (RIPD) e quando elas são necessárias?
RIPDs são análises estruturadas que identificam e mitigam riscos da operação de tratamento, devendo ser feitas especialmente em sistemas de IA que envolvem decisões automatizadas ou uso de dados sensíveis.
Quais princípios da LGPD devem ser observados por algoritmos de IA?
Entre os princípios exigidos estão finalidade, necessidade, transparência e segurança, todos fundamentais para proteger direitos dos titulares.
Qual é o papel da ANPD na regulação da Inteligência Artificial no Brasil?
A ANPD emite notas técnicas e análises públicas que defendem transparência, supervisão humana e governança clara em sistemas de IA, reforçando sua função de autoridade reguladora.
O que propõe o Projeto de Lei 2338/2023 sobre Inteligência Artificial?
O PL 2338/2023 cria uma regulação específica que classifica sistemas de IA por níveis de risco e exige supervisão reforçada em casos de alto impacto, ampliando as responsabilidades do DPO.
O que estabelece a ISO/IEC 42001:2023 (ABNT NBR ISO/IEC 42001:2024)?
Essa norma define requisitos para implementar e manter um Sistema de Gestão da Inteligência Artificial (SGIA), incluindo políticas de governança algorítmica, avaliação de riscos, transparência e monitoramento contínuo.
Como a ISO/IEC 42001:2023 se integra a outras normas de gestão?
A certificação pode ser combinada com sistemas baseados em ISO 9001 (qualidade) e ISO/IEC 27001 (segurança da informação), criando uma estrutura unificada de governança corporativa.
Quais outras normas internacionais complementam a governança de IA?
Destacam-se a ISO/IEC 23894:2023 (gestão de riscos em IA), a ISO/IEC 22989:2023 (conceitos e terminologia de IA) e a ISO/IEC 38507:2023 (governança de TI aplicada à IA).
Como a União Europeia reforça a responsabilidade do DPO em sistemas de IA?
O GDPR exige conhecimento especializado do DPO, e o AI Act (2024) impõe auditorias, documentação técnica e supervisão humana para sistemas de alto risco, tudo sob responsabilidade desse profissional.
Quais diretrizes o NIST AI Risk Management Framework sugere para empresas nos Estados Unidos?
O framework recomenda a presença de profissionais capazes de avaliar riscos éticos e técnicos da IA, mesmo na ausência de uma lei federal única.
Que riscos uma empresa corre ao nomear DPOs sem qualificação adequada?
Há perigo de multas, danos reputacionais, responsabilização civil ou criminal e perda de competitividade devido a falhas na governança de IA.
Quais competências são desejáveis em um DPO que lida com projetos de IA?
Conhecimento da LGPD, GDPR e normas ISO, domínio técnico de IA e machine learning, habilidade de dialogar com áreas diversas e autonomia para aplicar políticas e realizar auditorias.
Qual é o limite de multa previsto pela LGPD para infrações no tratamento de dados?
A lei permite multas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração.
Por que investir em DPOs qualificados é considerado estratégico?
Porque profissionais capacitados reduzem riscos legais, fortalecem a reputação e permitem inovação responsável, alinhada às melhores práticas internacionais de governança de IA.

Autor

Foto de perfil de Oerton Fernandes, MsC

Oerton Fernandes, MsC

Professor MIT | Especialista em Segurança da Informação | Perito Forense Digital | Investigador em Cibersegurança | Auditor Líder | Ethical Hacker | DPO | CPO | DPE | Teólogo

Tags

Itens vinculados

Nenhum item vinculado a este artefato.

Recomendações

Artigo

O Papel do DPO na Regulação da Inteligência Artificial: Perspectivas no Brasil e na União Europeia

Artigo

Proteção de Dados Pessoais na Era da Inteligência Artificial: Desafios e Perspectivas Futuras

Artigo

Inteligência Artificial e Proteção de Dados Pessoais no Brasil e América Latina: Aspectos Técnicos e Regulatórios