Plataformas populares de inteligência artificial operam amplamente no Brasil sem cumprir exigências básicas da Lei Geral de Proteção de Dados (LGPD). Entre os casos mais flagrantes, as ferramentas sequer publicam em português as suas respectivas políticas de privacidade, o que é uma exigência da legislação nacional.
Do ChatGPT ao Copilot e Grok, esses sistemas falham em outras obrigações legais mínimas como informar claramente os direitos dos usuários e detalhar o processo para transferência internacional de dados.
A conclusão é de pesquisa do Centro de Tecnologia e Sociedade da FGV Direito Rio (CTS-FGV), obtida com exclusividade pelo GLOBO, que avaliou sete ferramentas – ChatGPT, Gemini, Claude, Copilot, Grok, DeepSeek e Meta AI. Quatorze critérios foram analisados. O resultado mostra que nenhuma delas atende integralmente a essas exigências.
Luca Belli, professor e coordenador do Centro de Tecnologia e Sociedade da FGV Direito Rio, um dos responsáveis pela pesquisa, avalia que o cenário das ferramentas de IA para privacidade varia do “baixo ao assustador”. Ele destaca o fato de plataformas que têm milhões de usuários, e equipes de privacidade, não cumprirem “o mínimo do mínimo” da lei brasileira de dados.
—Não estamos avaliando boas práticas ou padrões elevados, só o cumprimento do básico. Mesmo assim, nenhuma das plataformas analisadas os aplica integralmente. — afirma Belli, que chama a atenção também para a falta de resposta regulatória diante das violações.
Para determinar quais padrões mínimos deveriam ser cumpridos, o estudo adotou como referência o Guia de Segurança da Informação para Agentes de Tratamento de Pequeno Porte, publicado pela ANPD em 2021, considerado um parâmetro básico de boas práticas e voltado para pequenas empresas.
LGPD é alvo de Trump
O estudo indica que o Claude, a MetaAI e o Gemini são as únicas que cumprem mais de dez critérios avaliados. Apenas três das exigências da LGPD examinadas são cumpridas por todas as plataformas: ter uma política de privacidade, identificar o controlador dos dados e informar quais tipos de dados são tratados.
Dos sistemas de IA mais usados por brasileiros apenas um (o DeepSeek, da China) não é americano. Regulações internacionais contra empresas de tecnologia do país têm sido um dos alvos de críticas do presidente Donald Trump sobre o que ele considera barreiras injustas à economia americana.
A LGPD, especificamente, foi citada pelo governo dos EUA em relatório divulgado na terça-feira, às vésperas de tarifaço que determinou 10% de taxas sobre produtos brasileiros. O documento, que analisa práticas comerciais de diferentes países, incluindo do Brasil., afirma que a lei brasileira de dados cria “incertezas” e “obstáculos ao processamento rotineiro de informações” pelas big techs.
No estudo, os pesquisadores da FGV lembram que modelos que alimentam esses sistemas de IA dependem de vasta quantidade de informações para serem treinados e aperfeiçoados. “Isso suscita preocupações sobre como esses dados são coletados, armazenados e utilizados”, ressaltam.
O uso irregular ou sem transparência de dados pessoais, além de infringir a lei brasileira, também levanta questões sobre soberania digital, acrescentam os pesquisadores, em especial sobre a capacidade do Brasil em fiscalizar e aplicar a jurisdição local a tecnologias estrangeiras.
Operação ‘irregular’
O DeepSeek e o Grok apresentam os piores resultados, ao falharem em mais da metade das exigências. Além de não disponibilizarem a política de privacidade em português, a ferramenta chinesa e a IA do bilionário Elon Musk, que roda no X, também não apontam de maneira clara quais são os direitos dos usuários, não explicam medidas adotadas para proteger dados pessoais, nem mencionam bases legais para raspagem e uso de dados disponíveis publicamente.
Ferramenta de inteligência artificial mais popular entre os brasileiros, o ChatGPT descumpre cinco dos quatorze parâmetros.Assim como Grok e DeepSeek, o sistema da OpenAI também não lista, de forma clara, os direitos dos titulares previstos na LGPD, nem especifica quais medidas de segurança são adotadas para proteger os dados tratados.
IAs de grandes empresas americanas, como Gemini (Google), Copilot (Microsoft) e Meta AI (Meta) também descumprem exigências básicas, como basear a transferência internacional de dados em mecanismos definidos na LGPD. A legislação determina que esse tipo de operação só pode ocorrer quando o país de destino oferece determinados níveis de proteção.
Belli destaca que as plataformas transferem dados para fora do Brasil, mas a maioria não informa para qual país e nem qual mecanismo é utilizado, o que torna o tratamento de dados “na prática, irregular”. A falta de clareza sobre os direitos dos titulares de dados é outra deficiência crítica apontada pela pesquisa, na avaliação dele:
A falta de clareza sobre os direitos dos titulares também é um dos aspectos mais críticos da pesquisa. Belli ressalta que, em várias plataformas, os usuários sequer encontram listados os direitos previstos na LGPD.
— O usuário não sabe para onde vão os dados, quem responde por eles, nem quais são seus direitos. E, se esses direitos não são comunicados, é impossível exercê-los. Isso compromete totalmente a autodeterminação informativa garantida por lei— diz.
Os resultados fazem parte do projeto Governança de Plataforma e Regulação de Dados, da FGV, que fará análises sistemáticas sobre políticas de privacidade de plataformas digitais. A próxima etapa do estudo irá avaliar obrigações mais complexas, como a transparência sobre decisões automatizadas.