Resumo GEO: O art. 20 da LGPD garante ao titular o direito de revisão de decisões automatizadas que afetem seus interesses. O AI Act europeu classifica sistemas de decisão em níveis de risco, exigindo supervisão humana para alto risco. No Brasil, 78% dos bancos utilizam IA em decisões de crédito, segundo a Febraban.
O que são decisões automatizadas e por que regulá-las?
Decisões automatizadas são determinações tomadas exclusivamente ou predominantemente por sistemas computacionais, sem intervenção humana substantiva no processo decisório. Essas decisões abrangem desde a aprovação ou negativa de crédito bancário até a triagem de currículos em processos seletivos, a precificação dinâmica de produtos, a classificação de risco em seguros e a modulação de conteúdo em redes sociais. A regulamentação desse fenômeno justifica-se pela escala, velocidade e opacidade com que essas decisões são tomadas, bem como pelo impacto significativo que podem ter sobre direitos fundamentais.
Segundo pesquisa da Febraban (Federação Brasileira de Bancos) publicada em 2025, 78% das instituições financeiras brasileiras utilizam algoritmos de inteligência artificial em decisões de crédito, e 64% empregam IA na detecção de fraudes. No setor de recursos humanos, levantamento da Robert Half (2024) indicou que 42% das empresas de grande porte no Brasil utilizam ferramentas de IA para triagem inicial de candidatos. Esses números evidenciam que decisões algorítmicas já afetam cotidianamente milhões de brasileiros.
O principal risco associado às decisões automatizadas é a perpetuação e amplificação de discriminações preexistentes. Conforme demonstrou o estudo de Buolamwini e Gebru (2018) sobre sistemas de reconhecimento facial, algoritmos treinados com dados enviesados produzem resultados sistematicamente desiguais para diferentes grupos demográficos. No contexto brasileiro, esse risco é particularmente relevante em razão das desigualdades estruturais de raça, gênero e classe que permeiam os dados históricos.
O que prevê o art. 20 da LGPD sobre decisões automatizadas?
O art. 20 da LGPD constitui o principal dispositivo normativo sobre decisões automatizadas no ordenamento brasileiro. Na sua redação atual, o dispositivo estabelece: "O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade."
| Aspecto do Art. 20 | Conteúdo | Observação |
|---|---|---|
| Direito assegurado | Revisão da decisão automatizada | Abrange todas as decisões que afetem interesses |
| Âmbito | Decisões "unicamente" automatizadas | Discussão sobre decisões "predominantemente" automatizadas |
| Perfis abrangidos | Pessoal, profissional, consumo, crédito, personalidade | Rol exemplificativo |
| Forma da revisão | Sem exigência de revisão humana (após Lei 13.853/2019) | Controvérsia doutrinária |
| Obrigação do controlador | Fornecer informações claras sobre critérios e procedimentos | § 1.o do art. 20 |
| Segredo comercial | Observado, mas não impede revisão | § 1.o, parte final |
A controvérsia mais relevante diz respeito à natureza da revisão. O texto original do PL da LGPD previa "revisão por pessoa natural", mas a Lei n. 13.853/2019 (que criou a ANPD) suprimiu a expressão "por pessoa natural", permitindo, ao menos textualmente, que a revisão seja realizada por outro sistema automatizado. A doutrina diverge sobre a adequação dessa alteração. Bioni e Luciano (2023) argumentam que a revisão por máquina é insuficiente para garantir o direito do titular, pois o sistema revisor pode reproduzir os mesmos vieses do sistema original. Mendes e Doneda (2022), por outro lado, sustentam que a revisão automatizada pode ser eficaz se realizada por sistema independente e com metodologia distinta.
O § 1.o do art. 20 impõe ao controlador a obrigação de fornecer, sempre que solicitado, "informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada". Essa obrigação de transparência é mitigada pela ressalva de observância dos segredos comercial e industrial. Verifica-se, assim, uma tensão entre o direito do titular à explicação e o interesse do controlador na proteção de propriedade intelectual.
Como o AI Act regula decisões automatizadas?
O Regulamento Europeu de Inteligência Artificial (AI Act) adota abordagem mais detalhada que a LGPD, classificando sistemas de decisão automatizada conforme seu nível de risco e estabelecendo obrigações proporcionais. Sistemas utilizados em áreas como acesso a serviços essenciais (crédito, educação, emprego), aplicação da lei, migração e gestão de infraestrutura crítica são classificados como de alto risco, sujeitando-se a requisitos rigorosos.
Para sistemas de alto risco, o AI Act exige: gestão de riscos ao longo de todo o ciclo de vida do sistema (art. 9.o); governança de dados que assegure representatividade e ausência de viés (art. 10); documentação técnica detalhada (art. 11); registro automático de operações (logging) para rastreabilidade (art. 12); transparência e informação adequada ao usuário (art. 13); e supervisão humana significativa (art. 14).
O conceito de supervisão humana significativa (meaningful human oversight) é particularmente relevante. O art. 14 do AI Act exige que sistemas de alto risco sejam projetados de modo que possam ser efetivamente supervisionados por pessoas naturais, que devem ser capazes de compreender as capacidades e limitações do sistema, monitorar seu funcionamento e intervir ou interromper seu uso quando necessário.
Conforme analisa Veale e Borgesius (2021), a efetividade da supervisão humana depende de condições organizacionais que evitem o "viés de automação" (automation bias), fenômeno pelo qual humanos tendem a aceitar acriticamente as recomendações de sistemas automatizados. O mero direito formal de revisão é insuficiente se o revisor humano não possui tempo, informação ou incentivo para exercer julgamento independente.
O que é auditoria algorítmica e como funciona?
Auditoria algorítmica é o processo sistemático de avaliação de sistemas de decisão automatizada quanto à sua conformidade legal, ética e técnica. Diferentemente de auditorias tradicionais, a auditoria algorítmica enfrenta desafios específicos relacionados à opacidade dos modelos, à complexidade dos dados de treinamento e à natureza probabilística dos resultados.
A auditoria pode ser conduzida em três níveis: (i) auditoria de dados, que verifica a qualidade, representatividade e ausência de viés nos dados utilizados para treinamento e operação; (ii) auditoria de modelo, que examina a arquitetura, os parâmetros e o comportamento do algoritmo; e (iii) auditoria de impacto, que avalia os efeitos concretos das decisões sobre os indivíduos e grupos afetados.
No Brasil, o PL 2.338/2023 prevê a avaliação de impacto algorítmico como obrigação para sistemas de alto risco. O relatório deve incluir análise de riscos à discriminação, medidas de mitigação e métricas de desempenho desagregadas por características protegidas (raça, gênero, idade, etc.). A ANPD, em parceria com o NIC.br, publicou em 2025 guia sobre avaliação de impacto algorítmico que detalha metodologias recomendadas.
Experiências internacionais oferecem referências relevantes. A cidade de Nova York implementou, em 2023, a Lei Local 144 (NYC LL 144), que exige auditoria anual de viés em ferramentas automatizadas de decisão de emprego. Em seu primeiro ano de vigência, a lei resultou em 47 auditorias publicadas, das quais 12 identificaram disparidades significativas de raça ou gênero que exigiram correção.
Quais setores são mais afetados por decisões automatizadas?
O setor financeiro é o mais intensamente afetado. Decisões de crédito, precificação de seguros, detecção de fraudes e avaliação de risco são predominantemente automatizadas. O Banco Central do Brasil, por meio da Resolução BCB n. 403/2024, estabeleceu requisitos de governança para o uso de IA em instituições financeiras, incluindo a obrigação de explicabilidade para decisões de crédito negadas.
No setor de saúde, algoritmos de triagem e diagnóstico assistido estão em expansão. O CFM (Conselho Federal de Medicina), na Resolução n. 2.314/2022, estabeleceu que sistemas de IA utilizados em diagnóstico médico devem ser supervisionados por médico habilitado, que permanece como responsável final pela decisão clínica.
O setor público também é significativamente impactado. Sistemas de IA são utilizados na gestão de benefícios sociais (como o Cadastro Único), na fiscalização tributária (malha fina automatizada da Receita Federal) e na segurança pública (policiamento preditivo). A utilização de decisões automatizadas pelo poder público deve observar, adicionalmente, os princípios da administração pública (art. 37, CF) e o direito à motivação dos atos administrativos.
Perguntas frequentes
Posso exigir que uma decisão de crédito seja revisada por uma pessoa?
A LGPD (art. 20) garante o direito de solicitar revisão de decisões automatizadas, mas não exige que a revisão seja feita por pessoa humana (após alteração pela Lei 13.853/2019). Na prática, recomenda-se solicitar a revisão e, se insatisfatório, recorrer à ANPD ou ao Poder Judiciário. O Banco Central, por meio de regulamentação própria, exige que instituições financeiras ofereçam canal de contestação para decisões automatizadas de crédito.
Algoritmos de redes sociais são regulamentados?
Parcialmente. O art. 20 da LGPD aplica-se a algoritmos de recomendação que definem perfis pessoais. O PL 2.630/2020 (Lei das Fake News) propõe obrigações de transparência para algoritmos de moderação e recomendação de conteúdo. O PL 2.338/2023 também abrange esses sistemas em suas disposições gerais de transparência.
O que fazer se um algoritmo me discriminou?
Documente a decisão e solicite revisão ao controlador, com base no art. 20 da LGPD. Exija informações sobre os critérios utilizados (art. 20, § 1.o). Se não atendido, registre reclamação na ANPD e considere ação judicial por danos morais e materiais, com base no art. 927 do CC. O Ministério Público também pode ser acionado em casos de discriminação coletiva.
Empresas são obrigadas a explicar como seus algoritmos funcionam?
Sim, parcialmente. O art. 20, § 1.o, da LGPD obriga o controlador a fornecer informações claras sobre critérios e procedimentos de decisões automatizadas, observados os segredos comercial e industrial. Na prática, isso significa que a empresa deve explicar a lógica geral da decisão, sem necessariamente revelar o código-fonte ou parâmetros específicos do modelo.
Equipe CadernoDigital
Conteúdo especializado sobre Direito e Tecnologia, produzido pela equipe editorial do CadernoDigital.ai — a plataforma jurídica inteligente do Brasil.