← Voltar ao Curso MB Contabilidade

LGPD : Lei de Proteção de Dados

Como aplicar a LGPD em soluções com IA: bases legais, minimização, anonimização, DPIA, segurança, governança de prompts e fluxos práticos por setor (Fiscal, Pessoal e Contábil).

Dado Pessoal

Informação relacionada a pessoa natural identificada ou identificável (ex.: nome, e-mail, CPF, IP).

Dado Sensível

Origem racial/étnica, convicção religiosa, opinião política, saúde, biometria etc. Regras mais rígidas.

Tratamento

Toda operação com dado: coleta, produção, recepção, classificação, acesso, uso, armazenamento, eliminação.

Princípios (LGPD)

  • Finalidade clara e legítima (descrever por que a IA precisa do dado).
  • Adequação ao contexto (uso compatível com a finalidade informada).
  • Necessidade (minimização: coletar o mínimo indispensável).
  • Livre acesso (transparência ao titular).
  • Qualidade dos dados (exatidão e atualização).
  • Transparência (informar riscos e medidas).
  • Segurança (técnica e organizacional).
  • Prevenção (evitar danos).
  • Não discriminação (tratar vieses em IA).
  • Responsabilização e prestação de contas (registros e auditoria).

Bases Legais para IA (exemplos)

  • Obrigação legal: folha, eSocial, obrigações fiscais.
  • Execução de contrato: prestação de serviços contábeis.
  • Legítimo interesse: melhoria de processos (exigir teste de balanceamento + opt-out).
  • Consentimento: treinamentos/IA com dados além do estritamente necessário.
  • Proteção do crédito: quando aplicável.

Para dados sensíveis, bases específicas (ex.: cumprimento de obrigação legal, exercício regular de direitos, tutela da saúde, consentimento específico etc.).

Controlador

Decide as finalidades e os meios do tratamento (MB/cliente, conforme contrato).

  • Define base legal, políticas e retenção.
  • Atende titulares e comunica incidentes.

Operador

Realiza o tratamento em nome do controlador (fornecedores/softwares/IA).

  • Executa conforme instruções e DPA (contrato).
  • Adota controles de segurança e confidencialidade.

Encarregado (DPO)

Ponto focal com titulares e ANPD, supervisiona conformidade.

  • Treina equipe e mantém registros (RoPA).
  • Orienta DPIA e respostas a incidentes.

Mapa de Dados por Setor

Fiscal

  • Dados: CNPJ/CPF, IE, NF-e, XML, endereço, e-mail fiscal.
  • Finalidade: escrituração, apuração de impostos, obrigações acessórias.
  • Base: obrigação legal/contratual.
  • IA: validação automática de NF, conciliação, alertas.
  • Riscos: exposição de CPF/endereços → anonimizar/máscara em prompts.

Pessoal

  • Dados: CPF, RG, endereço, dependentes, saúde (atestado) (sensível).
  • Finalidade: admissão, folha, benefícios, eSocial.
  • Base: obrigação legal/contratual; sensíveis sob bases específicas.
  • IA: checklists e conferências; evitar enviar dados sensíveis a LLMs.
  • Riscos: vazamento de holerites → criptografia, acesso mínimo.

Contábil

  • Dados: lançamentos, razão, balancetes, contratos, dados de sócios.
  • Finalidade: escrituração, demonstrações, auditoria interna.
  • Base: contratual/obrigação legal.
  • IA: revisões automáticas, explicações de variação, geração de notas técnicas.
  • Riscos: identificação de sócios em prompts → pseudonimização.

POP — Atendimento ao Titular (Modelo)

  1. Receber a solicitação (acesso, correção, exclusão, portabilidade, revogação, oposição).
  2. Identificar o solicitante (documento ou fluxo interno verificado).
  3. Classificar a demanda e acionar o Encarregado.
  4. Localizar os dados (sistemas, ERPs, pipes, planilhas, e-mails).
  5. Avaliar base legal e restrições (ex.: retenção por obrigação legal).
  6. Executar a ação (correção/eliminação/portabilidade) e registrar no log.
  7. Responder ao titular com explicação e prazos.
  8. Encerrar e arquivar evidências (chamado, prints, IDs de registro).

SLA sugerido: confirmação de recebimento em até 5 dias úteis; conclusão conforme complexidade e base legal.

Template de DPIA (Relatório de Impacto)

  1. Projeto: nome, escopo, responsável.
  2. Descrição do tratamento: dados, finalidade, bases legais, fontes, destinatários.
  3. IA envolvida: modelo, fornecedor, local de processamento, retenção.
  4. Riscos: vazamento, viés, identificação, uso indevido, transferência internacional.
  5. Controles: minimização, anonimização, criptografia, acesso, logs, revisão humana.
  6. Avaliação de necessidade/proporcionalidade; alternativas menos invasivas.
  7. Plano de mitigação (responsável, prazo, evidências).
  8. Revisão periódica e gatilhos (mudanças de escopo/fornecedor/lei).

Registros de Operações (RoPA)

  • Inventário de sistemas e datasets.
  • Finalidades, bases legais, prazos de retenção e descarte.
  • Operadores/subprocessadores (contratos e DPAs).
  • Fluxos de dados entre setores, países e terceiros.
  • Logs de acesso, versão de prompts e auditorias.

Controles Técnicos

  • Criptografia em repouso e em trânsito (TLS, at-rest).
  • Gestão de chaves e segredos (vault).
  • Controle de acesso (RBAC), MFA e segregação de ambientes.
  • Backups, retenção, eliminação segura.

Controles Organizacionais

  • Treinamento contínuo e POPs por setor.
  • Política de mesa limpa e uso de e-mail corporativo.
  • Homologação de fornecedores (DPA, sub-processadores, países).

Resposta a Incidentes

  • Detecção e contenção imediata.
  • Avaliação de impacto e evidências.
  • Notificação a controlador/ANPD/titulares quando aplicável.
  • Plano de melhoria pós-incidente.

Boas Práticas (Do)

  • Usar dados sintéticos ou mascarados (ex.: CPF 000.***.***-**).
  • Contexto mínimo necessário + objetivo claro.
  • Registrar versão do prompt e responsável.
  • Revisão humana para decisões de alto impacto.
  • Separar ambientes: teste vs. produção.

Evite (Don’t)

  • Enviar holerites, prontuários, dados sensíveis a modelos públicos.
  • Solicitar dados pessoais quando não indispensáveis.
  • Copiar/colar planilhas inteiras com CPFs/endereços nos prompts.
  • Usar contas pessoais; preferir contas corporativas.

Checklist de Implantação (IA + LGPD)

  1. Mapear dados, finalidade e base legal por processo.
  2. Definir minimização, retenção e descarte.
  3. Escolher fornecedores e assinar DPA.
  4. Elaborar e aprovar DPIA (quando aplicável).
  5. Implementar controles técnicos/organizacionais.
  6. Treinar a equipe e publicar POPs.
  7. Ativar logs, trilhas e rotina de auditoria.
  8. Plano de resposta a incidentes e contato do Encarregado.

Posso treinar IA com dados reais?

Somente com base legal adequada e controles fortes. Preferir dados anonimizados/pseudonimizados ou sintéticos.

ChatGPT/Gemini/Claude podem receber CPFs?

Evite em modelos públicos. Se indispensável, use ambiente corporativo, mascaramento e registro de justificativa.

Quem responde pelo titular?

O Controlador via Encarregado (DPO). O Operador auxilia conforme contrato (DPA).

Por quanto tempo guardar logs?

Defina na política de retenção. Manter o mínimo necessário para auditoria e defesa de direitos.