LGPD e Pesquisa com IA: O Que Você Precisa Saber
O que a LGPD exige quando você usa IA na pesquisa científica com dados pessoais. Entenda as obrigações, os cuidados necessários e como proteger seus participantes.
LGPD e pesquisa: um casamento complicado que todo pesquisador precisa entender
Vamos lá: a Lei Geral de Proteção de Dados (Lei 13.709/2018, a LGPD) entrou em vigor no Brasil em 2020 e ainda hoje gera muita confusão no contexto da pesquisa científica. Parte dessa confusão vem de uma leitura incompleta da lei. Parte vem da velocidade com que a IA entrou na pesquisa antes que as práticas de proteção de dados tivessem se consolidado.
O resultado são pesquisadores inserindo transcrições de entrevistas com participantes em ferramentas de IA sem pensar nas implicações, ou programas de pós-graduação que ainda não têm orientações claras sobre isso.
Esse post é uma tentativa de organizar o que você precisa saber, sem ser alarmista nem negligente.
O que a LGPD diz sobre pesquisa científica
A LGPD tem uma disposição específica para pesquisa. O artigo 4º exclui do âmbito de aplicação da lei o tratamento de dados para fins exclusivamente acadêmicos, científicos, jornalísticos ou artísticos, garantida a privacidade dos titulares.
Isso significa que a pesquisa não está fora do alcance da proteção de dados. Significa que ela tem uma base legal própria e que a proteção da privacidade dos participantes é uma condição dessa exceção.
Na prática, o que isso implica: você pode tratar dados pessoais para fins de pesquisa mesmo sem consentimento em alguns casos, se a pesquisa for de relevância científica, se os dados forem usados de forma que não permita a identificação dos participantes no resultado final, e se as medidas de segurança adequadas forem adotadas. Mas você não pode usar esses dados para nenhuma outra finalidade além da pesquisa declarada.
Dado pessoal, dado sensível e dado anonimizado: a distinção que importa
Para entender o que a LGPD exige em cada situação, é fundamental saber com que tipo de dado você está trabalhando.
Dado pessoal é qualquer informação que identifique ou possa identificar uma pessoa natural: nome, CPF, e-mail, IP, geolocalização. Se você tem a entrevista transcrita com o nome do participante, isso é dado pessoal.
Dado sensível é um subconjunto especialmente protegido: origem racial ou étnica, convicção religiosa, opinião política, dados de saúde, dados genéticos, dados biométricos. Em muitas pesquisas em saúde, psicologia, ciências sociais e educação, você vai trabalhar com dados sensíveis. O tratamento deles exige atenção especialmente às obrigações de consentimento.
Dado anonimizado é aquele que, após processo técnico de anonimização, não permite mais a identificação direta ou indireta do titular. Dado anonimizado sai do escopo da LGPD. Mas atenção: pseudonimização (substituir o nome por um código) não é o mesmo que anonimização se a correspondência ainda existir em algum arquivo. Só é dado anonimizado quando a reidentificação é tecnicamente impossível.
Essa distinção importa muito quando você decide o que pode ou não inserir em ferramentas de IA.
O problema das ferramentas de IA e os dados de pesquisa
Aqui chegamos ao ponto mais concreto para quem está usando IA na pesquisa.
Ferramentas como ChatGPT, Claude, Gemini e similares são fornecidas por empresas localizadas fora do Brasil. Quando você insere dados numa dessas ferramentas, está fazendo uma transferência internacional de dados. A LGPD regula esse tipo de transferência e exige que o país ou organização destinatária ofereça nível de proteção equivalente ao brasileiro.
Isso não significa que não pode usar. Significa que precisa verificar os termos de uso da ferramenta e entender como ela trata os dados inseridos. Algumas ferramentas oferecem versões enterprise onde os dados não são usados para treinar modelos. Outras armazenam e podem usar para melhorar os sistemas. Para dados de pesquisa com participantes, esse detalhe importa.
A pergunta prática que você precisa se fazer antes de inserir qualquer dado de participante numa ferramenta de IA: se o titular desses dados soubesse que eles estão sendo processados por essa ferramenta, com esses termos de uso, ele consentiria?
O TCLE e a cobertura para uso de IA
O Termo de Consentimento Livre e Esclarecido (TCLE) é o instrumento principal de proteção dos participantes na pesquisa. E muitos TCLEs em uso hoje foram escritos antes de as ferramentas de IA se tornarem parte do fluxo de trabalho da pesquisa.
Se o TCLE do seu projeto não menciona a possibilidade de uso de ferramentas de processamento de dados por IA, você está num terreno cinza. O participante consentiu com a pesquisa, mas não necessariamente com que suas informações passem por uma plataforma de terceiros para análise.
A solução mais segura para projetos novos é incluir no TCLE uma menção específica: que o processamento e análise dos dados pode contar com o apoio de ferramentas computacionais ou de inteligência artificial, com garantia de que os dados serão anonimizados antes desse processamento. Para projetos em andamento, vale consultar o Comitê de Ética em Pesquisa (CEP) sobre como atualizar o consentimento.
Boas práticas que protegem você e seus participantes
Olha só: a LGPD não precisa ser um impedimento à pesquisa com IA. Precisa ser um guia para fazer isso de forma responsável. Algumas práticas concretas:
Anonimize antes de inserir. Se você vai usar IA para análise de entrevistas, remova ou substitua identificadores antes de inserir o texto na ferramenta. Substitua nomes por códigos, remova localizações específicas, altere detalhes que permitam identificação.
Documente o fluxo de dados. Saber exatamente quais dados foram inseridos em quais ferramentas, em quais datas, com quais termos de uso vigentes, é tanto uma boa prática de pesquisa quanto uma medida de proteção em caso de questionamento.
Verifique a política de privacidade da ferramenta periodicamente. Termos de uso mudam. Uma ferramenta que não usava dados para treinamento de modelos pode mudar essa política. Vale revisar antes de cada projeto novo.
Consulte o CEP quando tiver dúvida. Os Comitês de Ética em Pesquisa existem exatamente para ajudar pesquisadores a navegar essas questões. Uma consulta proativa é muito melhor do que uma pendência depois.
O que fazer quando você já tem dados coletados e quer usar IA
Uma situação que aparece com frequência: o mestrando coletou dados antes de a IA ser uma parte relevante do fluxo de trabalho da pesquisa, ou antes de ter clareza sobre as implicações da LGPD, e agora quer usar ferramentas de IA para análise. O que fazer?
A primeira verificação é sobre o TCLE: o que os participantes consentiram? Se o documento menciona apenas que os dados serão usados para fins da pesquisa, sem detalhar ferramentas ou plataformas, você está numa zona cinza.
A segunda verificação é sobre a natureza dos dados: eles são anonimizáveis? Se você consegue remover todos os identificadores e garantir que a reidentificação é impossível, o dado anonimizado está fora do escopo da LGPD e você pode usar ferramentas de IA com mais tranquilidade.
Se os dados são sensíveis e não totalmente anonimizáveis, o caminho mais seguro é consultar o CEP que aprovou o projeto e perguntar diretamente o que é adequado no seu caso. Essa consulta proativa protege você, protege os participantes e demonstra boa-fé no processo de pesquisa.
Autorização e auditoria: o que guardar
Mesmo que tudo esteja correto no seu uso de IA com dados de pesquisa, é uma boa prática manter um registro do que foi feito. Isso inclui: quais ferramentas foram usadas em quais etapas, em quais datas, quais dados foram inseridos (descrição, não os dados em si), e quais eram os termos de uso da ferramenta naquele momento.
Esse registro tem um propósito duplo. Primeiro, é transparência: se alguém questionar seu processo depois, você pode demonstrar que agiu com consciência. Segundo, é auditabilidade: pesquisa reproduzível inclui saber exatamente como os dados foram processados, e o uso de IA faz parte desse processo.
Para pesquisas com financiamento público ou que envolvem parecerias institucionais, essa documentação pode ser exigida formalmente. Mas vale adotar como prática mesmo sem exigência, porque ela reflete o tipo de rigor que pesquisa séria requer.
LGPD, ética em pesquisa e IA: a convergência necessária
A LGPD e a ética em pesquisa não são sistemas separados. Eles convergem numa mesma direção: garantir que os participantes de pesquisa sejam tratados com respeito, que suas informações sejam usadas para os fins que consentiram, e que pesquisadores assumam responsabilidade pelo que fazem com os dados.
A IA não muda esses princípios. Ela cria novas formas de os violá-los, se não houver atenção. E cria também novas ferramentas para cumpri-los melhor: analisar dados com mais eficiência, identificar padrões que seriam invisíveis manualmente, produzir resultados mais robustos.
A diferença está em como a ferramenta é usada. E essa escolha é sempre do pesquisador.
Para quem quer aprofundar o tema da ética no uso de IA na pesquisa, os recursos sobre IA responsável trazem referências adicionais. O diálogo entre proteção de dados, ética em pesquisa e uso de tecnologia é um dos mais importantes que a academia brasileira precisa ter agora.
A LGPD não é um obstáculo à pesquisa com IA. É uma moldura que obriga a pensar sobre o que estamos fazendo com os dados de outras pessoas. Quando esse pensamento é feito com seriedade, o resultado é uma pesquisa mais responsável, mais transparente e, em última análise, mais confiável. E isso é exatamente o que a ciência precisa ser.