Key Takeaways
- A LGPD (Lei nº 13.709/2018) é a lei brasileira de proteção de dados, em vigor desde setembro de 2020 e com sanções aplicáveis desde agosto de 2021; o regulador é a ANPD.
- Um estudo da FGV apontou que todas as sete grandes plataformas de IA na nuvem (ChatGPT, Gemini, Claude, Copilot, Grok, DeepSeek, Meta AI) não cumprem integralmente a LGPD em 14 critérios.
- Uma falha comum na nuvem: políticas de privacidade indisponíveis em português, uma exigência clara da LGPD.
- A IA na nuvem normalmente transfere dados para fora do Brasil na inferência — a LGPD restringe transferências internacionais sem salvaguardas.
- Rodar LLMs localmente mantém os dados no país no momento da inferência, atacando o problema da transferência pela raiz.
- A IA local não é uma solução mágica de conformidade: você ainda precisa de base legal, processos para o titular e um DPO quando exigido.
- Isto é informativo, não é aconselhamento jurídico. Consulte um DPO ou advogado para a sua situação específica.
O que é a LGPD?
A LGPD (Lei Geral de Proteção de Dados, Lei nº 13.709/2018) é a lei geral de proteção de dados do Brasil. Entrou em vigor em setembro de 2020, com sanções administrativas aplicáveis desde agosto de 2021. O regulador é a ANPD (Autoridade Nacional de Proteção de Dados).
A LGPD se aplica a qualquer organização que trate dados pessoais de indivíduos no Brasil, independentemente de onde a própria organização esteja localizada. Assim como o GDPR da União Europeia, ela tem alcance extraterritorial.
Obrigações centrais relevantes para o uso de IA: uma base legal para cada atividade de tratamento, direitos do titular (acesso, correção, eliminação, portabilidade), minimização de dados e restrições a transferências internacionais sem salvaguardas adequadas. A política de privacidade deve estar disponível em português.
As penalidades chegam a 2% do faturamento da empresa no Brasil, limitadas a R$ 50 milhões por infração, além de advertências, suspensão do tratamento de dados e divulgação pública da infração.
A LGPD (Lei nº 13.709/2018) é a lei brasileira de proteção de dados, fiscalizada pela ANPD, exigindo base legal, direitos do titular e restrições à transferência de dados pessoais para fora do Brasil.
A LGPD é a versão brasileira de uma lei de privacidade como o GDPR europeu. Se a sua empresa lida com informações pessoais de pessoas no Brasil — nomes, e-mails, documentos, qualquer coisa que identifique alguém — a LGPD diz que você precisa de um motivo legal para fazer isso, deve permitir que as pessoas vejam e excluam seus dados, e deve ter cuidado ao enviar esses dados para outros países. O órgão que fiscaliza chama-se ANPD. As multas podem chegar a 2% do faturamento no Brasil, até R$ 50 milhões por infração.
Por que a IA na nuvem tem dificuldade com a LGPD
Um estudo do Centro de Tecnologia e Sociedade da FGV Direito Rio (parte do seu projeto Governança de Plataformas e Regulação de Dados) avaliou como as grandes plataformas de IA generativa atendem às obrigações da LGPD. Examinou 14 critérios em ChatGPT, Gemini, Claude, Copilot, Grok, DeepSeek e Meta AI — e constatou que nenhuma cumpria integralmente. Gemini, Claude e Meta AI tiveram os melhores resultados, cada uma atendendo a 10 dos 14 critérios.
A falha mais consistente foi a transparência: muitas plataformas não disponibilizam suas políticas de privacidade em português, o que contraria diretamente uma exigência da LGPD. A ANPD também publicou um estudo preliminar sobre IA generativa, sinalizando a atenção regulatória ao setor.
Um segundo problema estrutural é a localização dos dados. Quando você envia um prompt para um serviço de IA na nuvem, esses dados normalmente saem do Brasil e são processados em servidores no exterior. A LGPD restringe transferências internacionais de dados pessoais a menos que se apliquem salvaguardas específicas — então o uso rotineiro de IA na nuvem estrangeira para dados pessoais ou sensíveis carrega risco de transferência.
Isto não é aconselhamento jurídico. A tabela abaixo resume fatores de risco publicamente observáveis; consulte um DPO ou advogado antes de confiar qualquer plataforma com dados regulados.
| Plataforma de IA na nuvem | Política de privacidade em PT? | Os dados saem do Brasil? | Risco LGPD |
|---|---|---|---|
| ChatGPT | Não | Sim | Alto |
| Gemini | Parcial* | Sim | Alto |
| Claude | Parcial* | Sim | Alto |
| Copilot | Parcial* | Sim | Alto |
| DeepSeek | Não | Sim | Alto |
| Grok | Não | Sim | Alto |
| Meta AI | Parcial* | Sim | Alto |
*"Parcial" reflete cobertura mista ou incompleta em português na época do estudo da FGV; verifique o status atual diretamente com cada provedor. Todas as sete plataformas tiveram falhas nos 14 critérios da LGPD examinados. Esta tabela resume fatores de risco e não é aconselhamento jurídico.
Como a IA local resolve a soberania de dados
Rodar um LLM localmente significa que a inferência acontece em hardware que você controla — um notebook, uma estação de trabalho ou um servidor on-premise. Os prompts que você envia, os documentos que você fornece e as respostas geradas nunca saem da sua infraestrutura. Não há transferência internacional de dados no momento da inferência, o que elimina o maior ponto de atrito da LGPD com a IA na nuvem.
Para uma configuração local rápida, o Ollama roda modelos com um único comando no Windows, macOS ou Linux. Para servidores apenas com CPU ou ambientes isolados (air-gapped), o llama.cpp oferece controle granular. Ambos mantêm todo o processamento local.
A IA local não é, por si só, uma solução completa de conformidade. Você ainda precisa de uma base legal para tratar dados pessoais, de processos para atender aos direitos do titular sobre quaisquer dados armazenados em logs ou bancos de dados, de uma política de retenção de dados e de governança interna. Quando a sua escala e os tipos de dados exigirem, você ainda precisa de um DPO/encarregado. O que a inferência local elimina é o problema da transferência internacional — ela não elimina suas outras obrigações da LGPD.
Isto é informativo, não é aconselhamento jurídico. Uma implementação local deve ser revisada pelo seu DPO ou assessoria jurídica como parte de um programa geral de conformidade.
Configuração recomendada para empresas brasileiras
Uma stack de IA local prática e amigável à LGPD para a maioria das empresas brasileiras combina um runtime fácil com um modelo capaz em português. Para a parte de modelos especificamente, veja nosso guia complementar sobre os melhores LLMs locais para português brasileiro.
- Runtime — Ollama (recomendado): instalação e gerenciamento de modelos com um comando no Windows, macOS ou Linux. Melhor ponto de partida para a maioria das equipes.
- Runtime — LM Studio: uma interface gráfica para usuários não técnicos; suporta carregar modelos GGUF diretamente.
- Modelo — Qwen3 8B: português brasileiro forte, roda em 8GB de VRAM. `ollama run qwen3:8b`.
- Modelo — Qwen3 14B: maior qualidade para português com nuances, precisa de ~9GB de VRAM. `ollama run qwen3:14b`.
- Modelo — Llama 3.1 8B: alternativa competitiva em português, também no Ollama. `ollama run llama3.1:8b`.
- Hardware: qualquer máquina com 8GB+ de RAM roda modelos pequenos apenas com CPU; 16GB de RAM (ou GPU com 8GB+ de VRAM) dá velocidade interativa utilizável para modelos 8B; 16GB+ de VRAM para modelos 14B.
IA na nuvem vs LLM local para a LGPD
A comparação abaixo foca nas diferenças relevantes para a LGPD entre usar um serviço de IA na nuvem estrangeiro e rodar um LLM local na sua própria infraestrutura.
| Fator | IA na nuvem (ChatGPT/Gemini/Claude) | LLM local (Ollama + Qwen3) |
|---|---|---|
| Localização dos dados | Servidores no exterior | Seu próprio hardware no Brasil |
| Política de privacidade em português | Muitas vezes ausente ou parcial | Você controla a documentação |
| Risco de transferência internacional | Alto (dados saem do Brasil) | Nenhum na inferência |
| Controle dos dados na inferência | Controlado pelo provedor | Totalmente seu |
| Custo de implementação | Baixa configuração, taxas por uso | Hardware inicial, sem taxas por uso |
| Exposição a auditoria da ANPD | Maior (transferência + lacunas de transparência) | Menor para residência de dados |
| Necessidade de supervisão de DPO | Sim | Sim (a IA local não elimina isso) |
A implementação local reduz o risco de residência e transferência de dados, mas não entrega, por si só, conformidade total com a LGPD. Esta tabela é informativa, não é aconselhamento jurídico.
FAQ
Rodar um LLM local torna minha empresa conforme com a LGPD?
Não — não por si só. Ajuda muito com a residência de dados, porque os dados nunca saem da sua infraestrutura no momento da inferência. Mas você ainda precisa de uma base legal para o tratamento, de processos para os direitos do titular, de políticas de retenção de dados e de um DPO quando exigido. Isto é informativo, não é aconselhamento jurídico.
É ilegal empresas brasileiras usarem ChatGPT ou Gemini?
Não automaticamente. Usar IA na nuvem não é proibido, mas as organizações podem enfrentar escrutínio da ANPD — especialmente ao tratar dados pessoais sensíveis por meio de serviços que transferem dados para o exterior sem salvaguardas adequadas ou que não têm política de privacidade em português. Avalie o risco com seu DPO.
Quais dados ficam locais quando rodo um LLM localmente?
Tudo que está envolvido na inferência: os prompts que você envia, quaisquer documentos que você fornece ao modelo e as respostas que ele gera. Nada disso sai da sua máquina ou servidor durante o processamento.
Ainda preciso de um DPO se uso IA local?
Depende da sua escala de tratamento e dos tipos de dados que você manipula. A IA local simplifica o quadro de residência de dados, mas não elimina as obrigações de DPO. Confirme sua exigência específica com assessoria jurídica.
Qual modelo de LLM local funciona melhor para português?
O Qwen3 8B é a escolha prática mais forte para a maioria dos usuários, com o Sabiá-3 da Maritaca AI oferecendo a mais alta qualidade em português. Veja nosso guia complementar: melhores LLMs locais para português brasileiro.
Posso rodar IA local em um notebook empresarial comum?
Sim. O Qwen3 8B roda em uma máquina com 16GB de RAM a cerca de 2–4 tokens/seg apenas com CPU via Ollama. Com uma GPU (8GB+ de VRAM), a velocidade interativa salta para 15–20 tokens/seg.
O que é a ANPD?
A ANPD (Autoridade Nacional de Proteção de Dados) é a autoridade nacional de proteção de dados do Brasil, criada pela LGPD para supervisionar e fiscalizar a lei. A orientação oficial está em gov.br/anpd.
O estudo da FGV é orientação oficial do governo?
Não. O estudo vem do Centro de Tecnologia e Sociedade da FGV Direito Rio, uma instituição acadêmica. Para orientação oficial, consulte a ANPD em gov.br/anpd.
E a LGPD para dados de RH e de funcionários em ferramentas de IA?
Dados de funcionários e candidatos são dados pessoais sob a LGPD, e o tratamento de RH muitas vezes envolve categorias sensíveis. Inserir esses dados em IA na nuvem levanta questões de transferência e base legal; a IA local mantém tudo internamente, mas você ainda precisa de governança. Revise com seu DPO.
Como a LGPD se compara ao GDPR?
Elas compartilham uma estrutura: ambas concedem direitos ao titular, exigem base legal e restringem transferências internacionais. As penalidades da LGPD chegam a 2% do faturamento no Brasil, limitadas a R$ 50 milhões por infração — limites nominais menores que os do GDPR, mas fiscalizadas pela ANPD do Brasil.
Leitura relacionada
- Melhores LLMs Locais para Português Brasileiro (2026) — Quais modelos produzem o melhor output em PT-BR e como rodá-los
- Local AI and LGPD — English Version
- Checklist de Segurança e Privacidade de LLM Local — Como proteger uma implementação de IA local
- Conformidade Corporativa: GDPR, HIPAA, SOC2 — Como os LLMs locais se enquadram em outros marcos regulatórios
- O que são LLMs locais?
- Configuração de LLM Local para Equipes — Implantando IA local em uma empresa
- LLMs Locais On-Prem e Air-Gapped — Máximo isolamento de dados para cargas reguladas
Fontes
- FGV Direito Rio, Centro de Tecnologia e Sociedade. "Estudo avalia como plataformas de IA generativa cumprem obrigações legais no tratamento de dados pessoais." Projeto Governança de Plataformas e Regulação de Dados — https://portal.fgv.br/en/noticias/study-assesses-how-generative-ai-platforms-fulfill-legal-obligations-processing-personal
- ANPD (Autoridade Nacional de Proteção de Dados). Estudo preliminar sobre IA generativa — referenciado via análise do Future of Privacy Forum, fpf.org
- Brasil. Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD). Texto oficial — planalto.gov.br