LGPD e Inteligência Artificial: como garantir conformidade no uso de IA nas empresas

A inteligência artificial entrou na rotina das empresas antes mesmo de muitas políticas internas ficarem prontas. Em alguns casos, ela já aparece no recrutamento, na análise de currículos, na gestão de desempenho, no atendimento aos colaboradores, na organização de benefícios, na automação de tarefas administrativas e até no apoio à tomada de decisão. Em outros, ainda está em fase de teste: um time usando uma ferramenta para resumir documentos, outro criando relatórios com IA generativa, outro avaliando plataformas para automatizar processos de RH.

A questão é que, quando a IA entra na operação, os dados entram junto. E, no ambiente corporativo, esses dados quase nunca são genéricos. Eles podem envolver informações de candidatos, colaboradores, dependentes, lideranças, fornecedores, clientes e parceiros. No RH, o cuidado precisa ser ainda maior, porque muitos processos lidam com informações pessoais, histórico profissional, remuneração, saúde, benefícios, dados bancários, avaliações, registros de conduta e até dados sensíveis.

Por isso, discutir IA nas empresas sem discutir LGPD é deixar uma parte essencial da conversa de fora. A Lei Geral de Proteção de Dados não impede o uso de tecnologia. Também não proíbe inovação. O que ela exige é que o tratamento de dados pessoais tenha finalidade, base legal, necessidade, transparência, segurança e responsabilidade. E isso vale tanto para processos manuais quanto para sistemas automatizados ou ferramentas de inteligência artificial.

Por que LGPD e IA precisam ser tratadas juntas 

A LGPD regula o tratamento de dados pessoais, inclusive em meios digitais. E tratamento é um conceito amplo: envolve coleta, uso, armazenamento, compartilhamento, classificação, análise, transmissão, eliminação e outras operações realizadas com dados.

Isso significa que uma ferramenta de IA pode envolver tratamento de dados em várias etapas. Quando uma empresa insere informações em uma plataforma, treina um modelo, automatiza uma triagem, gera um relatório ou cruza bases para identificar padrões, ela pode estar tratando dados pessoais.

No RH, esse ponto fica ainda mais sensível. Um sistema que analisa currículos pode tratar dados de candidatos. Uma ferramenta que sugere trilhas de desenvolvimento pode usar dados de performance. Um chatbot interno pode receber dúvidas sobre benefícios, afastamentos ou folha de pagamento. Um modelo preditivo pode cruzar informações para identificar risco de turnover. Uma plataforma de people analytics pode gerar insights sobre comportamento, engajamento ou produtividade. Todos esses usos podem ser legítimos, mas precisam ser desenhados com cuidado.

O primeiro passo é mapear onde a IA toca dados pessoais

Antes de criar uma política sofisticada, a empresa precisa enxergar a própria realidade. Muitas organizações já usam IA sem ter um inventário claro dessas iniciativas. Ferramentas são testadas por áreas diferentes, fornecedores são contratados com pouca avaliação técnica, dados são inseridos em plataformas externas e automações começam a operar antes de uma análise formal de risco.

Esse é um problema comum porque a adoção de IA costuma ser descentralizada. Nem sempre nasce como um grande projeto corporativo. Às vezes começa em uma demanda simples: resumir entrevistas, organizar currículos, responder dúvidas frequentes, gerar descrições de vaga, analisar comentários de pesquisa interna ou criar relatórios de indicadores. O mapeamento deve responder a perguntas práticas:

• Quais áreas usam IA hoje?
• Quais ferramentas estão em teste ou em produção?
• Que tipos de dados são inseridos nessas ferramentas?
• Há dados pessoais ou dados sensíveis envolvidos?
• Os dados ficam armazenados pelo fornecedor?
• Existe treinamento do modelo com informações da empresa?
• Há transferência internacional de dados?
• A ferramenta toma decisões ou apenas apoia análises?
• Existe revisão humana antes de qualquer decisão relevante?

Esse diagnóstico ajuda a separar usos de baixo risco de usos mais sensíveis. Criar um texto genérico com IA é uma coisa. Usar IA para avaliar candidatos, sugerir desligamentos, analisar desempenho ou interpretar informações de saúde é outra completamente diferente. Sem inventário, a empresa apenas reage.

Consentimento não é a única base legal para o uso de IA com dados pessoais

Um erro comum em projetos envolvendo dados é imaginar que o consentimento resolve tudo. Na prática, especialmente nas relações de trabalho, ele deve ser usado com bastante cautela.

A LGPD prevê diferentes hipóteses legais para tratamento de dados pessoais, como cumprimento de obrigação legal ou regulatória, execução de contrato, exercício regular de direitos, legítimo interesse e consentimento, entre outras. A escolha depende da finalidade e do contexto. No RH, o consentimento pode ser frágil porque existe uma assimetria natural entre empresa e colaborador. Em muitas situações, o colaborador pode sentir que não tem liberdade real para negar. Por isso, a empresa precisa avaliar se há outra base legal mais adequada para aquele tratamento.

Por exemplo: dados necessários para cumprir obrigações trabalhistas e previdenciárias tendem a se apoiar em obrigação legal. Informações necessárias para executar o contrato de trabalho podem ter outra justificativa. Já iniciativas de análise interna, prevenção de fraude, segurança ou melhoria de processos podem exigir avaliação de legítimo interesse, sempre considerando direitos e expectativas do titular.

Quando há dados sensíveis, o cuidado aumenta. A LGPD trata como sensíveis dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, dados genéticos e biométricos vinculados a uma pessoa natural. Esses dados têm hipóteses específicas de tratamento e exigem uma análise mais rigorosa.

A regra prática é: antes de colocar dados em uma ferramenta de IA, defina a base legal. Depois, documente a justificativa.

Minimização de dados: IA não precisa saber tudo 

Muitas soluções de inteligência artificial funcionam melhor quando recebem contexto. Mas isso não significa que a empresa deva compartilhar tudo. A LGPD estabelece o princípio da necessidade, que limita o tratamento ao mínimo necessário para alcançar a finalidade. Em outras palavras: a empresa deve usar apenas os dados pertinentes, proporcionais e não excessivos.

Esse princípio é especialmente importante em IA porque existe uma tendência de alimentar sistemas com grandes volumes de informação. No entusiasmo por automação, áreas podem enviar planilhas completas, históricos extensos, documentos integrais ou bases com campos que não são relevantes para a tarefa.

O risco é claro: quanto mais dados entram, maior a superfície de exposição. Imagine que o RH quer usar IA para resumir respostas abertas de uma pesquisa interna. A ferramenta precisa receber nome, CPF, salário, cargo, gestor e histórico individual? Provavelmente não. Talvez seja suficiente trabalhar com dados agregados ou anonimizados.

Agora imagine uma análise de turnover. O modelo precisa considerar dados de saúde, afastamentos específicos ou informações familiares? Antes de responder, a empresa precisa avaliar finalidade, proporcionalidade, risco discriminatório e base legal.

Minimização não é apenas cortar dados por segurança. É desenhar melhor o processo.

Sempre que possível, vale substituir dados identificáveis por dados agregados, anonimizados ou pseudonimizados. Também é importante remover campos desnecessários antes de enviar informações a fornecedores ou ferramentas externas.

Transparência: colaboradores precisam saber como seus dados são usados

Transparência é um dos pontos mais importantes para criar confiança no uso de IA dentro das empresas. Se uma ferramenta analisa dados de colaboradores, candidatos ou dependentes, as pessoas precisam entender, de forma clara, quais informações são tratadas, para quais finalidades, quem tem acesso, por quanto tempo os dados são mantidos e se existe algum tipo de decisão automatizada.

Isso não significa revelar segredo industrial, código-fonte ou detalhes técnicos complexos. Significa explicar o que impacta a pessoa.

No RH, a falta de transparência pode gerar insegurança rapidamente. Colaboradores podem se perguntar se estão sendo monitorados, se dados de performance serão usados fora de contexto, se uma IA pode influenciar promoções ou desligamentos, ou se informações sensíveis podem chegar a pessoas indevidas.

Em processos seletivos, o cuidado também é relevante. Candidatos devem ser informados quando seus dados forem usados em ferramentas automatizadas de triagem ou avaliação, especialmente quando isso puder influenciar etapas do processo.

A comunicação precisa ser simples. Avisos de privacidade longos, genéricos e difíceis de entender podem até cumprir uma formalidade, mas não ajudam a construir confiança. Uma boa prática é revisar avisos internos, políticas de privacidade, formulários de candidatura, comunicados de onboarding e materiais de RH para incluir usos de IA de forma objetiva.

Decisões automatizadas exigem atenção redobrada 

Nem toda IA toma decisão. Muitas ferramentas apenas organizam informações, geram sugestões ou apoiam análises. O risco aumenta quando a tecnologia passa a influenciar decisões que afetam interesses de pessoas.

No contexto de RH, isso pode acontecer em triagem de candidatos, avaliação de desempenho, elegibilidade para benefícios, análise de produtividade, definição de treinamentos, promoções, movimentações internas ou identificação de riscos comportamentais.

A LGPD prevê direitos relacionados a decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem interesses do titular, inclusive decisões destinadas a definir perfil profissional. Isso torna essencial entender o papel da IA no processo.

A ferramenta decide sozinha ou apenas recomenda? Há revisão humana real? O responsável pela decisão entende os critérios usados?

O maior erro é usar a revisão humana como formalidade. Se a pessoa apenas confirma automaticamente a recomendação do sistema, sem análise crítica, a governança é frágil.

A IA pode apoiar decisões, mas decisões relevantes sobre pessoas precisam de supervisão humana consistente, critérios documentados e possibilidade de contestação quando aplicável.

Como identificar dados sensíveis nos processos de RH que usam IA 

O RH lida com dados sensíveis com mais frequência do que muitas áreas imaginam. Informações de saúde aparecem em afastamentos, atestados, benefícios, programas de bem-estar, ergonomia e saúde ocupacional. Dados biométricos podem estar em controle de ponto ou acesso físico. Informações sindicais podem surgir em rotinas trabalhistas. Dados sobre deficiência podem aparecer em processos de inclusão e cumprimento de cotas. Informações sobre dependentes podem ser necessárias para benefícios.

Quando a IA entra nesses processos, o cuidado precisa ser proporcional ao risco. Uma ferramenta que resume documentos de afastamento pode acabar processando dados de saúde. Uma solução de análise de absenteísmo pode revelar padrões sensíveis. Um sistema de reconhecimento facial envolve biometria. Uma plataforma de benefícios pode tratar informações sobre dependentes.

Nesses casos, a empresa deve avaliar se o uso é realmente necessário, se existe base legal específica, se o acesso está restrito, se o fornecedor oferece segurança adequada e se os dados não serão usados para finalidades incompatíveis. Também é importante evitar inferências indevidas. Mesmo quando a empresa não insere diretamente um dado sensível, a IA pode gerar conclusões ou perfis que revelem aspectos sensíveis de uma pessoa.

Segurança da informação não pode ficar para depois 

Toda iniciativa com IA precisa considerar segurança desde o início. No uso cotidiano, um dos riscos mais comuns é a inserção de dados corporativos em ferramentas públicas sem avaliação prévia. Um colaborador pode colar uma planilha com informações pessoais em uma IA generativa para “ganhar tempo”. Outro pode enviar descrições de casos internos para resumir. Outro pode usar uma ferramenta gratuita para organizar dados de candidatos.

Mesmo sem intenção de causar dano, essas práticas podem expor informações que deveriam permanecer protegidas. A empresa precisa definir regras claras sobre quais ferramentas podem ser usadas, que tipos de dados podem ser inseridos, quais usos são proibidos e quais aprovações são necessárias antes de contratar uma solução.

Também deve avaliar controles técnicos, como criptografia, segregação de ambientes, gestão de acessos, autenticação, logs, retenção de dados, exclusão segura, resposta a incidentes e localização ou transferência internacional das informações.

No caso de fornecedores, a análise precisa ir além da promessa comercial. É necessário verificar contrato, política de privacidade, termos de uso, suboperadores, uso dos dados para treinamento, práticas de segurança e responsabilidade em caso de incidente.

Governança: quem aprova, quem acompanha e quem responde 

Uma das diferenças entre uso experimental e uso maduro de IA está na governança. Quando não há responsáveis definidos, cada área decide sozinha. O RH escolhe uma ferramenta, o marketing testa outra, o financeiro automatiza uma planilha, a liderança usa uma IA pública para avaliar relatórios, e ninguém tem visão consolidada do risco.

A empresa pode estabelecer um processo interno para avaliação de novas ferramentas de IA, envolvendo áreas como jurídico, privacidade, segurança da informação, TI, compliance, RH e negócio. O nível de análise pode variar conforme o risco. Usos simples passam por um fluxo mais leve. Usos que envolvem dados pessoais, dados sensíveis ou decisões sobre pessoas exigem avaliação mais cuidadosa.

Também é importante definir papéis:

• Quem aprova uma nova ferramenta?
• Quem avalia riscos de LGPD?
• Quem revisa contratos?
• Quem monitora fornecedores?
• Quem treina colaboradores?
• Quem responde a incidentes?
• Quem acompanha decisões automatizadas?
• Quem revisa modelos e resultados ao longo do tempo?

IA com governança: o caminho para usar dados a favor da empresa 

A discussão sobre LGPD e IA não deve ser vista apenas pela ótica do medo. Existe uma oportunidade importante para as empresas que organizam bem seus dados. Ou seja, aquelas que escolhem fornecedores com critério, comunicam usos de forma transparente e criam processos de governança conseguem usar IA com mais confiança. Isso melhora a tomada de decisão, reduz retrabalho, fortalece compliance e protege a relação com colaboradores.

No RH, essa vantagem pode aparecer de várias formas: processos seletivos mais estruturados, atendimento interno mais ágil, gestão de benefícios mais eficiente, análises de clima mais responsáveis, relatórios mais inteligentes e decisões mais bem documentadas. A vantagem não vem da ferramenta sozinha, mas da combinação entre tecnologia, processo e responsabilidade.

‍

Cuidar das pessoas também é crescer 

Na Niky, sua empresa organiza benefícios com mais flexibilidade, clareza e controle, ajudando negócios de diferentes tamanhos a criar uma experiência mais simples, relevante e conectada à rotina dos colaboradores.

Conheça nosso cartão multibenefícios NikyFlex‍