A LGPD é a regra geral para o tratamento de dados pessoais no Brasil, mas o art. 4º da Lei nº 13.709/2018 estabelece situações específicas em que ela não se aplica.
A imagem abaixo, sintetiza bem quatro campos sensíveis: uso pessoal, jornalismo e artes, pesquisa acadêmica e segurança pública/defesa. Ainda assim, há uma ressalva importante: essas exceções devem ser interpretadas de forma restritiva, pois “não se aplica” não significa autorização irrestrita para coletar, armazenar, treinar modelos de IA ou divulgar dados pessoais sem responsabilidade.
A ANPD explica que a LGPD protege dados pessoais de pessoas naturais, em meio físico ou digital, e que tratamento de dados inclui operações como coleta, uso, armazenamento, transmissão, classificação, eliminação, avaliação e controle da informação. Isso é especialmente relevante para sistemas de inteligência artificial, pois muitos modelos dependem de grandes volumes de dados pessoais para funcionar, treinar, classificar, recomendar ou automatizar decisões.
A regra: a LGPD se aplica ao tratamento de dados pessoais
A LGPD se aplica ao tratamento de dados pessoais realizado por pessoa natural ou jurídica, de direito público ou privado, com o objetivo de proteger direitos fundamentais como liberdade, privacidade e livre desenvolvimento da personalidade. A própria ANPD reforça que dado pessoal é qualquer informação relacionada a pessoa natural identificada ou identificável, incluindo dados cadastrais, hábitos de consumo, aparência, aspectos de personalidade e perfis comportamentais identificáveis.
No contexto de IA, isso significa que a lei tende a incidir quando houver uso de dados pessoais para treinar modelos, enriquecer bases, gerar perfis, reconhecer rostos, classificar riscos, automatizar decisões ou personalizar conteúdos. A tecnologia usada não elimina a natureza jurídica da operação: se há dado pessoal e tratamento, a LGPD deve ser considerada, salvo exceção legal expressa.
O art. 4º da LGPD: onde a lei não se aplica
O art. 4º da LGPD prevê hipóteses de não aplicação da lei ao tratamento de dados pessoais. Entre elas estão: tratamento realizado por pessoa natural para fins exclusivamente particulares e não econômicos; tratamento para fins exclusivamente jornalísticos, artísticos ou acadêmicos; tratamento para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou investigação e repressão de infrações penais; e determinada hipótese envolvendo dados provenientes de fora do território nacional sem comunicação, uso compartilhado ou transferência internacional envolvendo agentes brasileiros.
A imagem de referência é útil porque transforma o art. 4º em uma leitura visual simples. Mas, convém destacar duas observações: primeiro, a exceção para pesquisa é acadêmica, não uma autorização ampla para qualquer atividade “educacional”; segundo, o art. 4º também possui uma hipótese técnica relacionada a dados provenientes do exterior, que não aparece no infográfico.
1. Uso pessoal: quando a pessoa natural age fora de finalidade econômica
A LGPD não se aplica ao tratamento de dados feito por pessoa natural para fins exclusivamente particulares e não econômicos. Exemplos simples seriam uma agenda pessoal de contatos, fotos de família armazenadas em nuvem privada ou o uso doméstico de uma ferramenta de IA para organizar arquivos próprios.
A exceção deixa de fazer sentido quando existe finalidade profissional, econômica, institucional ou pública. Um consultor que usa IA para analisar dados de clientes, um influenciador que coleta dados de seguidores para segmentação comercial ou um desenvolvedor que alimenta um aplicativo com dados de usuários não está mais no campo puramente pessoal. Nesses casos, a LGPD volta a ser relevante.
Na GDPR, há regra semelhante: o art. 2º exclui o tratamento feito por pessoa natural no curso de atividade puramente pessoal ou doméstica. O Considerando 18 esclarece que essa exclusão não tem conexão com atividade profissional ou comercial, embora possa abranger correspondência, agenda de contatos e certas atividades em redes sociais dentro do contexto pessoal.
2. Jornalismo e artes: liberdade de expressão não é “terra sem lei”
A LGPD também não se aplica ao tratamento de dados para fins exclusivamente jornalísticos e artísticos. A razão é constitucional: proteger a liberdade de expressão, a liberdade de imprensa, a atividade cultural e a circulação de informações de interesse público.
Isso não significa que qualquer blog, canal, newsletter ou perfil em rede social possa invocar a exceção automaticamente. A palavra-chave é exclusivamente. Se o tratamento de dados for usado para publicidade comportamental, venda de mailing, criação de perfis comerciais ou treinamento de IA para produto de mercado, a atividade pode sair da exceção.
Em projetos de IA, a cautela deve ser ainda maior. Usar IA para resumir documentos públicos, apoiar apuração jornalística ou organizar acervo artístico pode estar dentro da lógica da exceção. Porém, criar banco facial de pessoas, gerar deepfakes, expor dados sensíveis ou automatizar acusações sem critérios editoriais verificáveis pode gerar responsabilidade por outras normas, mesmo quando a LGPD não for o instrumento principal.
A GDPR trata o tema de modo diferente. Em vez de simplesmente retirar jornalismo, arte e expressão acadêmica do seu campo de aplicação geral, o art. 85 determina que os Estados-membros conciliem a proteção de dados pessoais com a liberdade de expressão e informação, incluindo finalidades jornalísticas, acadêmicas, artísticas e literárias.
3. Pesquisa acadêmica: exceção parcial e com bases legais preservadas
A imagem mostra “pesquisa acadêmica e educacional”, mas a redação legal brasileira fala em fins acadêmicos. Essa diferença é importante: uma universidade, grupo de pesquisa ou pesquisador pode estar em uma situação distinta de uma escola privada, edtech ou plataforma educacional que trata dados de alunos, pais e professores para fins administrativos, comerciais ou de produto.
Além disso, a própria LGPD prevê que, na hipótese acadêmica, aplicam-se os arts. 7º e 11, que tratam das bases legais para dados pessoais comuns e dados pessoais sensíveis. Portanto, não é uma exclusão absoluta. A pesquisa deve observar finalidade, necessidade, segurança, minimização e, sempre que possível, anonimização ou técnicas equivalentes de redução de risco.
Para IA, isso é decisivo. Treinar modelos com dados de estudantes, pacientes, servidores públicos ou participantes de pesquisa exige governança. A finalidade científica ou acadêmica não autoriza coleta excessiva, reidentificação desnecessária, compartilhamento inseguro ou reaproveitamento incompatível com o projeto original.
Na GDPR, a pesquisa científica, histórica e estatística é tratada principalmente pelo art. 89, que exige salvaguardas adequadas aos direitos e liberdades do titular, com medidas técnicas e organizacionais, especialmente minimização de dados e, quando possível, pseudonimização.
4. Segurança pública, defesa nacional, segurança do Estado e investigação penal
A LGPD não se aplica ao tratamento de dados pessoais realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais. Essa é uma das exceções mais sensíveis, porque envolve poder estatal, dados de vítimas, testemunhas, suspeitos, investigados, informantes, imagens, biometria, registros telefônicos, geolocalização e dados oriundos de sistemas públicos ou privados.
Mas a exceção não deve ser interpretada como ausência de limites. A própria lógica do art. 4º aponta para a necessidade de legislação específica, medidas proporcionais, devido processo legal, princípios de proteção de dados e respeito aos direitos dos titulares. Em outras palavras: a LGPD geral pode não se aplicar diretamente, mas a atividade estatal continua submetida à Constituição, à legalidade, à finalidade pública, à proporcionalidade, à segurança da informação, ao controle institucional e à cadeia de custódia quando houver elemento probatório.
No campo da IA policial, essa discussão é central. Reconhecimento facial, análise preditiva, mineração de redes sociais, cruzamento automatizado de bases, identificação de vínculos e classificação de risco investigativo podem ser úteis, mas exigem controle rigoroso: base normativa, registro de acesso, auditoria, supervisão humana, rastreabilidade, gestão de vieses e prevenção de uso discriminatório.
A União Europeia adotou arquitetura mais segmentada. A GDPR também exclui o tratamento por autoridades competentes para prevenção, investigação, detecção ou persecução de infrações penais e execução de sanções penais, mas esse campo é coberto por outro instrumento: a Law Enforcement Directive, Diretiva 2016/680, voltada justamente ao tratamento de dados por autoridades policiais e de justiça criminal.
5. Dados vindos do exterior: a exceção pouco lembrada
Além dos blocos destacados na imagem, a LGPD também prevê hipótese de não aplicação para dados pessoais provenientes de fora do território nacional que não sejam objeto de comunicação, uso compartilhado com agentes de tratamento brasileiros ou transferência internacional para outro país que não o de origem, desde que o país de origem proporcione grau de proteção adequado.
Essa exceção é técnica e menos intuitiva, mas pode afetar ambientes de nuvem, processamento internacional, pipelines de IA e operações de empresas multinacionais. Na prática, se houver agente brasileiro tratando, compartilhando, enriquecendo, usando ou transferindo dados, a análise deve ser feita com cautela, porque a exceção pode deixar de ser aplicável.
Comparativo direto: LGPD x GDPR
| Tema | LGPD — Brasil | GDPR — União Europeia |
|---|---|---|
| Uso pessoal/doméstico | Não se aplica a pessoa natural em finalidade exclusivamente particular e não econômica. | Não se aplica a atividade puramente pessoal ou doméstica, sem conexão profissional ou comercial. |
| Jornalismo e artes | Não se aplica a fins exclusivamente jornalísticos e artísticos. | Não há exclusão simples; há conciliação entre proteção de dados e liberdade de expressão/informação pelo art. 85. |
| Pesquisa acadêmica/científica | A LGPD afasta parcialmente a aplicação para fins acadêmicos, mas preserva bases legais dos arts. 7º e 11. | O art. 89 admite tratamento para pesquisa com salvaguardas, minimização e possível pseudonimização. |
| Segurança pública e investigação penal | A LGPD não se aplica diretamente, mas exige legislação específica e respeito a princípios, proporcionalidade e devido processo. | A GDPR exclui esse campo, mas a UE possui a Diretiva 2016/680 para autoridades policiais e de justiça criminal. |
| IA | IA não é exceção autônoma. Se houver tratamento de dados pessoais, aplica-se a LGPD, salvo hipótese legal específica. | IA também não é exceção autônoma. A GDPR se aplica quando há tratamento de dados pessoais, além das regras europeias específicas sobre IA. |
O principal erro: confundir exceção com ausência de responsabilidade
O ponto mais importante para organizações, pesquisadores, jornalistas, órgãos públicos e desenvolvedores de IA é simples: o art. 4º da LGPD define hipóteses de não aplicação da lei, mas não cria imunidade geral. Uma operação pode estar fora da LGPD e, ainda assim, violar direitos de personalidade, sigilo profissional, segredo de justiça, direitos autorais, normas éticas de pesquisa, regras administrativas, princípios constitucionais ou legislação penal.
Em IA, essa fronteira é ainda mais delicada. Um banco de dados usado para pesquisa pode ser posteriormente reaproveitado para produto comercial. Uma apuração jornalística pode se transformar em base de treinamento. Um sistema de segurança pública pode incorporar dados de fontes privadas. Um modelo generativo pode memorizar dados pessoais e reproduzi-los indevidamente. Em todos esses casos, a finalidade original deve ser documentada e reavaliada.
Conclusão
A LGPD não se aplica em situações específicas: uso pessoal não econômico, jornalismo e artes, pesquisa acadêmica em regime próprio, segurança pública/defesa/investigação penal e determinadas operações internacionais sem conexão material com agentes brasileiros. Porém, essas exceções são estreitas.
Para blogs, empresas, pesquisadores e órgãos públicos que trabalham com inteligência artificial, a regra prática é: antes de concluir que a LGPD “não se aplica”, verifique a finalidade, quem trata os dados, se há vantagem econômica, se existe compartilhamento, se os dados identificam pessoas, se há dados sensíveis, se há risco de reidentificação e se a IA está apenas auxiliando uma atividade legítima ou criando uma nova operação de tratamento.
A pergunta correta não é apenas “a LGPD se aplica?”, mas também: mesmo que a LGPD não se aplique diretamente, quais deveres de proporcionalidade, segurança, transparência, ética e responsabilização continuam existindo?
