ChatGPT
Claude
Perplexity
Gemini
GrokQual regulação de IA se aplica à sua IES agora? A resposta objetiva
O Brasil não integra a União Europeia — mas isso não significa que as IES brasileiras operem em vácuo regulatório. A LGPD (Lei Geral de Proteção de Dados, Lei 13.709/2018) já se aplica a todos os sistemas de IA que processam dados pessoais, e o Projeto de Lei 2338/2023 — o Marco Legal da IA — avança no Congresso. Além disso, o AI Act europeu tem alcance extraterritorial que pode atingir IES brasileiras em circunstâncias específicas.
Este guia responde à pergunta que os gestores de conformidade de faculdades e universidades privadas no Brasil fazem com frequência: o que vale hoje, o que está chegando, e como se preparar sem esperar por uma legislação que ainda não foi promulgada.
O que já vale hoje: LGPD e sistemas de IA nas IES
A LGPD (Lei 13.709/2018) não é uma lei específica de IA — mas regula qualquer operação de tratamento de dados pessoais, inclusive quando realizada por sistemas automatizados. Para uma IES que utiliza chatbot de admissão, ferramenta de scoring de candidatos, sistema de proctoring ou algoritmo de recomendação de cursos, a LGPD já impõe obrigações concretas.
Artigo 20 da LGPD: decisões automatizadas
O artigo 20 da LGPD garante ao titular o direito de solicitar revisão humana de decisões tomadas unicamente com base em tratamento automatizado. Para uma IES, isso significa: nenhuma decisão de admissão, aprovação em processo seletivo ou resultado acadêmico pode ser produzida exclusivamente por um sistema de IA sem que o candidato ou aluno possa requerer análise por um ser humano.
Este artigo está em vigor desde setembro de 2020 e já é exigível pela ANPD (Autoridade Nacional de Proteção de Dados).
Relatório de Impacto à Proteção de Dados (RIPD) para IA
A ANPD pode exigir que a IES elabore um RIPD quando o tratamento de dados utiliza tecnologia nova ou ocorre em larga escala. Um chatbot de admissão que processa dados de milhares de candidatos por ciclo do ENEM/SISU, um sistema de proctoring em EAD, ou uma ferramenta de scoring que classifica candidatos automaticamente são casos típicos que ativam esse requisito.
O RIPD deve identificar os riscos para os titulares, as medidas de mitigação adotadas e os fundamentos de legitimidade do tratamento. É o instrumento equivalente mais próximo ao que o AI Act europeu chama de documentação técnica de sistemas de risco elevado.
Base legal e transparência no uso de IA
Todo tratamento de dados por IA deve ter base legal documentada nos termos do artigo 7º (dados comuns) ou artigo 11 (dados sensíveis) da LGPD. Para uma IES:
- Candidatos em processo seletivo: a base legal é geralmente a execução de contrato ou procedimentos preliminares (art. 7º, V) ou o legítimo interesse (art. 7º, IX), devidamente fundamentado
- Dados de ENEM/SISU: cumprimento de obrigação legal e execução de políticas públicas (art. 7º, II e III)
- Dados de saúde e deficiência (para adaptações de prova, apoio à inclusão): consentimento específico ou proteção da vida (art. 11)
72% das questões dos candidatos são automatizáveis por FAQ — apenas 7% requerem intervenção humana (Fonte: classificação automática de 12.000 conversas Skolbot, 2025). Cada uma dessas interações automatizadas gera dados pessoais que precisam de base legal documentada, aviso de privacidade claro e prazo de retenção definido.
O que está chegando: Marco Legal da IA (PL 2338/2023)
O Projeto de Lei 2338/2023, em tramitação no Congresso Nacional desde 2023, propõe um marco regulatório específico para inteligência artificial no Brasil. Em maio de 2026, o PL ainda não foi promulgado — mas seu texto consolidado já permite antecipar as principais obrigações que se tornarão exigíveis.
Classificação de risco proposta no Marco Legal
O Marco Legal da IA brasileiro adota uma estrutura de classificação de risco inspirada no AI Act europeu, com adaptações ao contexto brasileiro.
| Nível de risco (PL 2338/2023) | Descrição geral | Aplicação típica em IES |
|---|---|---|
| Risco excessivo (proibido) | Sistemas de pontuação social, manipulação comportamental, vigilância em massa | Não aplicável à maioria das IES |
| Alto risco | Sistemas com potencial de impacto significativo em direitos fundamentais em áreas sensíveis | Seleção automatizada de candidatos, proctoring, scoring de crédito estudantil |
| Risco limitado | Sistemas com impacto moderado, sujeitos a obrigações de transparência | Chatbots informativos, ferramentas de recomendação de cursos |
| Risco mínimo | Ferramentas sem impacto direto em direitos | Corretores ortográficos, filtros de spam |
O texto do PL prevê obrigações de transparência para sistemas de risco limitado (identificação como IA) e obrigações substanciais para alto risco: supervisão humana, avaliação de impacto, documentação técnica e auditabilidade.
Embora o PL ainda não seja lei, adotar suas diretrizes desde já tem dupla vantagem: antecipa a conformidade quando o texto for aprovado e fortalece a posição da IES perante a ANPD, que já avalia condutas à luz dos princípios gerais da LGPD.
Quando o AI Act europeu atinge IES brasileiras
O Regulamento IA da UE (Regulamento 2024/1689) tem alcance extraterritorial: aplica-se a qualquer sistema de IA cujos resultados sejam utilizados no território da União Europeia, independentemente de onde o fornecedor ou utilizador está estabelecido.
Para uma IES brasileira, o AI Act pode ser diretamente aplicável em três cenários:
Cenário 1 — Recrutamento de candidatos residentes na UE: uma universidade brasileira que utiliza ferramenta de ranking ou scoring para selecionar candidatos com residência em países da UE está sujeita ao AI Act para esse processo específico.
Cenário 2 — Parcerias e programas de dupla titulação com instituições europeias: quando dados de candidatos ou estudantes da UE são processados por sistemas de IA operados pela IES brasileira, as obrigações do AI Act se ativam para esses dados.
Cenário 3 — Filiais, polos ou representações na UE: uma IES brasileira com escritório de representação ou polo em Portugal, Espanha ou qualquer outro país da UE que utilize sistemas de IA nessas operações está sujeita ao AI Act.
Se qualquer desses cenários se aplica à sua IES, as obrigações relevantes são as mesmas exigidas das instituições europeias — incluindo a deadline de 2 de agosto de 2026 para sistemas de risco elevado.
Comparativo: AI Act europeu vs. LGPD/Marco Legal da IA
| Dimensão | AI Act (UE) | LGPD (Brasil, vigente) | Marco Legal da IA (PL 2338/2023) |
|---|---|---|---|
| Status | Vigente (obrigações escalonadas até 2027) | Vigente desde 2020 | Em tramitação no Congresso |
| Abordagem | Classificação por nível de risco do sistema de IA | Proteção de dados pessoais; art. 20 para decisões automatizadas | Classificação por risco (inspirada no AI Act) |
| Chatbot informativo | Risco limitado — identificar como IA (Art. 50) | Transparência exigida por princípio (art. 6º) + base legal de tratamento | Risco limitado — transparência obrigatória |
| Seleção automatizada de candidatos | Risco elevado — supervisão humana, RIPD, documentação | Art. 20: revisão humana disponível ao titular | Alto risco — supervisão humana, avaliação de impacto |
| Autoridade competente | CNPD (PT), AP (NL), etc. — autoridade nacional de cada EM | ANPD | ANPD (prevista como autoridade) |
| Sanção máxima | 35 M€ ou 7% do faturamento global | 2% do faturamento (máx. R$50 milhões por infração) | Prevista em escala gradual (texto ainda em discussão) |
| Aplicação extraterritorial | Sim — qualquer IA cujo output é usado na UE | Sim — qualquer tratamento de dados de residentes no Brasil | Prevista — alinhada à LGPD |
O que a sua IES deve fazer agora
Aguardar a promulgação do Marco Legal da IA para agir é a estratégia de maior risco. A LGPD já está vigente e exige ação imediata para quem ainda não documentou os tratamentos de dados realizados por sistemas automatizados.
Passo 1 — Inventário de sistemas de IA (semana 1–2): liste todas as ferramentas de IA em uso: chatbot de admissão, módulos de scoring em CRM, detecção de plágio, proctoring de EAD, recomendações de cursos, ferramentas de análise de candidatos no processo ENEM/SISU/vestibular próprio.
Passo 2 — Mapeamento de dados e base legal (semana 2–4): para cada sistema, identifique os dados pessoais tratados, a base legal aplicável (art. 7º ou art. 11 da LGPD), os titulares envolvidos e os prazos de retenção. Registre no Mapeamento de Tratamentos exigido pela LGPD.
Passo 3 — Avaliação de decisão automatizada (semana 3–5): identifique quais sistemas produzem ou influenciam decisões que afetam direitos de candidatos ou alunos (admissão, aprovação, bolsas, advertências). Para todos eles, garanta que existe um processo de revisão humana acessível ao titular.
Passo 4 — RIPD para sistemas de alto impacto (semana 4–8): elabore um RIPD para cada sistema que utilize tecnologia nova ou processe dados em larga escala. Consulte as orientações da ANPD sobre RIPD. Envolva o Encarregado de Proteção de Dados desde o início.
Passo 5 — Transparência do chatbot (semana 4–5): adicione identificação clara como IA a cada interface de chatbot. Inclua uma opção de contato humano acessível. Documente o tratamento de dados do chatbot na política de privacidade e nos avisos de privacidade disponíveis ao candidato.
Passo 6 — Contratos com fornecedores de IA (semana 5–8): todo fornecedor que trata dados em nome da IES é um operador nos termos do art. 39 da LGPD. Os contratos devem incluir cláusulas de proteção de dados. Solicite de cada fornecedor: documentação técnica do sistema, política de segurança e informação sobre suboperadores.
Para o quadro completo de conformidade com a LGPD no ensino superior, consulte o nosso guia completo de dados estudantis e nosso artigo sobre chatbot de IA e coleta de dados nas escolas.
A ANPD como autoridade competente no Brasil
A ANPD (Autoridade Nacional de Proteção de Dados) é a autoridade responsável pela fiscalização da LGPD no Brasil e deverá ser a principal autoridade competente para o Marco Legal da IA quando aprovado. A ANPD tem intensificado sua atuação fiscalizadora desde 2022, com processos administrativos sancionatórios concluídos em diferentes setores.
Para IES, a ANPD pode:
- Instaurar processo administrativo de ofício ou mediante denúncia de titular
- Determinar medidas corretivas e prazo para adequação
- Aplicar advertência, publicização da infração, bloqueio de dados e multa de até 2% do faturamento (máximo R$ 50 milhões por infração)
- Exigir o RIPD para tratamentos de alto risco identificados em fiscalização
A IES que não tiver o Encarregado de Proteção de Dados formalizado, o Mapeamento de Tratamentos atualizado e os contratos com operadores em ordem terá dificuldades em demonstrar boa-fé regulatória perante a ANPD. O MEC (Ministério da Educação) e o INEP também exigem práticas de proteção de dados adequadas nos processos de supervisão das IES privadas — o que cria uma camada adicional de accountability.
Para aprofundar o papel do Encarregado de Proteção de Dados na sua IES, consulte nosso guia sobre direito ao apagamento e RGPD para dados de candidatos.
FAQ
A LGPD se aplica ao chatbot de admissão da minha IES?
Sim, sem exceção. Qualquer chatbot que coleta nome, e-mail, CPF, preferência de curso ou qualquer outra informação de um candidato está realizando tratamento de dados pessoais sob a LGPD. A base legal deve estar documentada, o aviso de privacidade deve estar acessível, e o prazo de retenção dos dados deve estar definido. A identificação do chatbot como sistema de IA, embora não exigida explicitamente pela LGPD, é uma obrigação prevista no PL 2338/2023 e alinhada ao princípio de transparência (art. 6º, VI da LGPD).
O AI Act europeu se aplica à minha universidade se ela não recruta na Europa?
Não, nesse caso específico. O AI Act só se aplica quando os resultados do sistema de IA são utilizados no território da UE. Se a sua IES não recruta candidatos residentes na UE, não tem filiais ou representações na Europa e não processa dados de residentes europeus, o AI Act não é diretamente aplicável. Mesmo assim, adotar os princípios do AI Act como referência de boas práticas é recomendável para futuras parcerias internacionais.
Qual é a diferença prática entre a LGPD e o Marco Legal da IA para uma IES?
A LGPD regula o tratamento de dados pessoais — ela se preocupa com o que acontece com os dados dos candidatos e alunos. O Marco Legal da IA (quando aprovado) regulará os sistemas de IA em si — independentemente de processarem ou não dados pessoais — com foco nos riscos que esses sistemas representam para direitos fundamentais. Para uma IES, os dois marcos são complementares: a LGPD já exige ação imediata; o Marco Legal da IA exigirá documentação e supervisão adicionais para sistemas de alto risco.
O que acontece se a minha IES usar uma ferramenta de seleção automatizada de candidatos sem revisão humana?
A IES estará em violação do artigo 20 da LGPD se não garantir ao candidato o direito de solicitar revisão humana da decisão. Além da sanção administrativa da ANPD, há risco de ação coletiva por candidatos prejudicados. Com a aprovação do Marco Legal da IA, a ausência de supervisão humana em sistemas de alto risco passará a ter um enquadramento regulatório ainda mais explícito. O risco jurídico e reputacional de manter processos seletivos totalmente automatizados supera qualquer ganho de eficiência.
A minha IES precisa de um RIPD para implantar um chatbot de admissão?
Provavelmente sim, se o chatbot processar dados de um grande volume de candidatos com tecnologia nova. A ANPD considera tecnologia nova e larga escala de dados como critérios que ativam a necessidade de RIPD. Um chatbot de admissão em IES com centenas ou milhares de candidatos por ciclo normalmente atende a esses critérios. O RIPD deve ser elaborado antes da implantação, não depois, e supervisionado pelo Encarregado de Proteção de Dados. Consulte as orientações da ANPD disponíveis em gov.br/anpd para o modelo e os critérios detalhados.
Para o quadro completo de proteção de dados no ensino superior brasileiro, consulte também o nosso artigo sobre viés de IA no recrutamento estudantil e o guia sobre regulamento de IA no ensino superior.
Teste o Skolbot na sua IES em 30 segundosEste artigo tem caráter informativo geral e não constitui consultoria jurídica. Para decisões sobre as obrigações específicas da sua IES perante a LGPD e o Marco Legal da IA, consulte um profissional especializado em direito de proteção de dados ou o Encarregado de Proteção de Dados da sua instituição.
