Alinhando-se ao movimento global de autoridades de proteção de dados, a Agência Nacional de Proteção de Dados (ANPD) do Brasil, em conjunto com o Ministério Público Federal e a Secretaria Nacional do Consumidor (Senacon), emitiu uma recomendação conjunta à plataforma X. O objetivo é interromper a geração e circulação de conteúdos sintéticos de caráter sexual (deepfakes) produzidos pela inteligência artificial Grok.
A medida ocorre após denúncias de que a ferramenta estaria sendo utilizada para criar imagens eróticas e sexualizadas de mulheres e menores de idade reais, sem consentimento, a partir da manipulação de fotografias legítimas.
Neste primeiro momento, as autoridades solicitaram a implementação de algumas medidas para a conformidade da plataforma:
- Cessação imediata da geração de qualquer conteúdo sexualizado ou erotizado de menores, bem como de adultos sem autorização.
- Criação, em 30 dias, de procedimentos técnicos eficazes para identificar, revisar e remover conteúdo desse tipo já disponíveis na plataforma.
- Implementação de mecanismos acessíveis para que os titulares exerçam seus direitos e denunciem abusos.
- Elaboração de um Relatório de Impacto à Proteção de Dados Pessoais (RIPD) específico para as atividades de geração de conteúdo sintético do Grok.
- Suspensão imediata e permanente de contas envolvidas na produção ou compartilhamento exclusivo de tais mídias.
Adicionalmente, a ANPD abriu um processo de fiscalização para se aprofundar no caso e avaliar de forma mais detalhada se houve violações de dispositivos da Lei Geral de Proteção de Dados Pessoais (LGPD).
Para além das medidas imediatas, o que realmente chama a atenção e pode ter impactos além do caso Grok, é a Nota Técnica 1/2026 da Coordenação-Geral de Fiscalização da Agência, que embasou a aplicação destas medidas e que traz algumas interpretações de aplicação prática da LGPD.
O primeiro ponto de destaque é a afirmação da ANPD de que o conteúdo sintético gerado por sistemas de IA generativa, que se refiram a pessoas naturais identificadas ou identificáveis deve ser considerado dado pessoal. Consequentemente, a geração desta imagem e o uso posterior dela, é uma atividade de tratamento de dados pessoais, sujeita a todas as obrigações previstas na LGPD.
Outro ponto interessante foi a indicação de que todo tratamento de dados pessoais que aconteça dentro da plataforma e que não esteja alinhada as suas próprias regras, explicitadas por meio dos termos e condições de uso, extrapolam a legítima expectativa do titular de dados e, portanto, afronta o princípio da boa-fé previsto no caput do art. 6º, da LGPD.
Mas existem duas afirmações, mencionadas na nota técnica de forma sucinta e superficial, que podem ter impactos significativos em uma série de outros casos práticos, além do Grok.
A primeira afirmação é de que “quando tal atividade (gerar conteúdo sintético de pessoas identificadas ou identificáveis) implicar o uso de dados biométricos, o conteúdo sintético resultante assumirá a qualificação de dado pessoal sensível”.
Ocorre que a própria ANPD, no Radar Tecnológico sobre biometria e reconhecimento facial, diz que “biometria é a análise técnica, realizada por meios matemáticos e estatísticos, das características físicas/fisiológicas ou comportamentais de um indivíduo” e depois complementa que o uso desta tecnologia é para “reconhecer uma pessoa por meio de suas características fisiológicas”.
O que ocorre no Grok ao gerar uma nova imagem a partir de uma imagem pré-existente é a “tokenização” da imagem original, que é fornecida como contexto para o modelo, que depois gera uma nova imagem a partir de tokens preditivos. Reconhecendo que estes processos são complexos e que a forma como o resultado gerado ainda não é totalmente compreendida, não nos parece que há análise de características do indivíduo, muito menos a tentativa de reconhecer este indivíduo por meio de suas características fisiológicas.
Voltando ao texto da nota técnica, o segundo ponto que merece atenção está na conclusão do texto, onde a ANPD diz que a “geração de conteúdo sintético sexualizado ou erotizado afronta dispositivos diversos da LGPD”, incluindo a ausência de hipótese legal para o tratamento de dados pessoais sensíveis.
Não fica claro o motivo pelo qual estes dados seriam sensíveis. Se é pelo fato de, na visão da ANPD, envolver o uso de dados biométricos, ou por serem imagens cujo conteúdo tem ‘natureza sensível’ e sexual, sendo considerada dados referentes “a vida sexual”.
Caso prevaleça a primeira hipótese, temos os desafios indicados acima, especialmente porque não nos parecer que o Grok ou outras ferramentas de IA de geração de imagem sintética envolvem o tratamento de dados pessoais biométricos. A segunda hipótese é ainda mais complexa, pois estende o conceito de dados pessoais sensíveis ou de dados referentes a vida sexual de uma forma não prevista na LGPD ou em outras regulações que compartilham as mesmas bases fundamentais da nossa lei, como o GDPR.
Essa expansão do conceito de dado pessoal sensível não é novidade. Na nota técnica que tratava da análise do uso de dados no varejo farmacêutico (Nota Técnica nº 06/2023/CGTP/ANPD), a Agência indicou que a possibilidade de inferência de informações sobre saúde ou vida sexual das pessoas a partir do histórico de compras de medicamentos seria suficiente para considerá-los dados sensíveis.
Já no caso contra a Meta, no Voto, a ANPD indica que imagens, vídeos áudios dos usuários das redes sociais, especialmente quando tratados por sistemas de IA, podem revelar vinculações políticas, religiosas, sindicais e sexuais dos titulares e, portanto, deveriam ser considerados dados pessoais sensíveis.
Portanto, é importante acompanhar os desdobramentos deste caso, para entender como se a ANPD irá confirmar ou não este caminho interpretativo, com o potencial impacto de expandir o conceito de dado pessoal sensível, o que, por sua vez, traz impactos práticos significativos para todos os agentes de tratamento.
