A popularização das plataformas de inteligência artificial generativa, especialmente modelos como o ChatGPT e o DeepSeek, trouxe mudanças significativas na maneira como usuários interagem com tecnologias digitais. Desde sua ampla adoção pelo público em geral, o ChatGPT, desenvolvido pela empresa norte-americana OpenAI, destacou-se por oferecer respostas coerentes e quase sempre certeiras às mais diversas perguntas, conquistando rapidamente o público brasileiro e mundial.[1]
Por outro lado, o DeepSeek, modelo chinês de inteligência artificial, gerou grande repercussão em seu lançamento por sua eficiência comparada aos demais modelos[2], mas que, rapidamente se tornou mais conhecido por transferir dados pessoais dos usuários diretamente para a China[3], e por isso, suscitou preocupação generalizada e debates sobre segurança e privacidade[4].
O debate sobre as normas de proteção de dados e regulação de inteligência artificial está em constante evolução e, por isso, a recepção no lançamento de cada plataforma foi diametralmente distinta.
Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas
De todo modo, apesar da diferença de tratamento entre práticas semelhantes de uma empresa americana (ChatGPT) e uma chinesa (DeepSeek), devemos nos atentar à transferências que envolvam nossas informações pessoais, qualquer que seja o destino dos dados, a origem da plataforma ou o momento em que esta se consolidou no mercado.
O tratamento dado às aplicações sinaliza reflexos de discussões que envolvem desde disputas geopolíticas[5] a discussões sobre regulação de fluxo transfronteiriço de dados. Considerando que o embate geopolítico atual entre estas duas potências perpassa a barreira das normas de proteção de dados[6] e tampouco se estendem aos demais sistemas de IA generativa, restringiremos nossa análise apenas ao tema das transferências internacionais de dados pessoais, posto que este deve ser observado para qualquer uma das IAs disponíveis ao mercado brasileiro[7].
No Brasil, a transferência internacional de dados pessoais é regulada pela Lei Geral de Proteção de Dados (LGPD) (Lei 13.709/2018). De acordo com os artigos 33 a 36 da LGPD, a transferência internacional de dados pessoais somente pode ocorrer sob condições pré-determinadas – através dos mecanismos previstos no artigo 33 da Lei.
Entre eles estão listadas hipóteses como a transferência de dados pessoais para países com grau adequado de proteção (após avaliação e decisão de adequação pela Autoridade Nacional de Proteção de Dados), ou através de consentimento específico do titular, ou através do uso de cláusulas-padrão contratuais (disponibilizadas pela ANPD), bem como outras hipóteses, devendo o controlador oferecer e comprovar os mecanismos e salvaguardas que garantem o cumprimento da Lei.
Em agosto de 2024, a ANPD editou a Resolução CD 19/2024, regulamentando os procedimentos e regras para o reconhecimento da adequação de países e organismos pela ANPD, bem como a disponibilização das cláusulas-padrão oficiais e disposições sobre a avaliação de cláusulas específicas e sobre as normas corporativas globais.
Não obstante, os demais mecanismos para transferência internacional de dados mencionados no artigo 33 da lei, que não dependam de regulamentação, mesmo que não mencionados na resolução, são aplicáveis ao caso concreto, desde que atendidos os requisitos legais e especificidades necessários.
Ressalta-se que neste regulamento existe uma diferenciação entre a coleta internacional – que ocorre quando a própria controladora coleta dos dados pessoais em outro país/região – e a transferência internacional – quando um controlador envia os dados pessoais em sua custódia para outros países.
Destaque-se que os modelos de IA generativa mencionados e similares estão sob regência da LGPD brasileira (artigo 3º, II e III)[8][a][b][c], o que obriga que tais controladoras cumpram suas regras e princípios, especialmente no que diz respeito à transparência dos tratamentos realizados.
Considerando este arcabouço regulatório e a forma como tais IAs generativas se estabelecem no território brasileiro, entende-se que os termos de uso e, principalmente, os avisos de privacidade[9] devem indicar o mecanismo legal adotado, seguindo o princípio da transparência (artigo 6, VI, LGPD).
Partindo da análise da prática atual de mercado, para fins deste texto, entende-se que os avisos de privacidade são os documentos que usualmente abordam tal assunto. Contudo, nossa experiência com os avisos dos principais modelos de IA generativa resultou na constatação de práticas pouco transparentes.
Em pesquisa[10] recém-publicada pelo Centro de Tecnologia e Sociedade da FGV(CTS-FGV), em que fomos coautores, analisamos o cumprimento da LGPD por parte dos principais serviços de IA generativa[11] a partir da leitura de suas políticas.
Considerando que tais controladoras afirmam a existência de infraestrutura tecnológica em diversos países para sustentação dos serviços, em nosso relatório verificamos que 6 dos 7 modelos avaliados não oferecem informações essenciais sobre as condições da transferência de dados, tais como qual é o mecanismo adotado para a transferência (mecanismo autorizador do artigo 33 da LGPD), bem como os países-destino dos dados tratados.
Voltando ao caso analisado, com fim apenas de ilustrar a dicotomia infundada, em relação ao DeepSeek, uma das maiores críticas está relacionada ao envio de informações pessoais para servidores chineses. De acordo com sua política de privacidade[d][e][12] não existe clareza sobre quais dados pessoais são coletados diretamente para servidores na China, bem como se retransmitem as informações para servidores localizados em outros países ou regiões, gerando questionamentos legais e regulatórios em diversas jurisdições.[13] Ilustrativamente, a plataforma já foi alvo de notificação por autoridades europeias justamente por sua nebulosa abordagem de dados pessoais.[14]
Em contrapartida, a repercussão sobre o tratamento dos dados pelo ChatGPT foi relativamente discreta, apesar de práticas semelhantes. Assim como o DeepSeek envia dados para a China, o ChatGPT também realiza transferências internacionais, no caso para servidores localizados, ao menos inicialmente, nos Estados Unidos, fato que não recebeu a mesma atenção negativa por parte do público ou da imprensa. Na mesma toada que o DeepSeek, a política de privacidade do ChatGPT tampouco menciona o mecanismo e salvaguardas para a transferência internacional de dados[15].
Importante mencionar que, enquanto a China possui normas nacionais de proteção de dados pessoais[16], os EUA não possuem arcabouço jurídico nacional sobre o tema ou mesmo uma Autoridade Nacional de Proteção de Dados que regule e fiscalize o tema. Inclusive, a lei americana também é expressa[17] e clara quanto à possibilidade de acesso a dados de estrangeiros, tal qual eles próprios acusaram[18] a China de realizar.[f]
A ausência de uma regulação norte-americana nacional e de uma autoridade dedicada à esta função reverbera, por exemplo, na dificuldade de sustentação jurídica de acordos sobre transferências internacionais de dados pessoais entre EUA e União Europeia ao longo dos últimos 25 anos – que já se encontram em sua terceira tentativa após duas invalidações pela Corte de Justiça da União Europeia a partir do entendimento que os EUA não oferecem garantias e proteção suficientes aos titulares de dados por conta de violações à privacidade e vigilância massiva das comunicações telemáticas.[19]
Recorda-se ainda que o acordo em vigor (o Data Privacy Framework US-EU) é bilateral, ou seja, aplicado apenas na transferência internacional entre os territórios mencionados, sem qualquer aplicação válida ao Brasil.[20]
Quando o tema é analisado frente às demais plataformas objeto da pesquisa, a conclusão não é diferente. Em sua grande maioria, as plataformas de IA generativa não cumprem com a legislação brasileira neste quesito. Conclui-se que as plataformas de inteligência artificial generativa, independentemente de seu país de origem, possuem desafios semelhantes em termos de transparência e conformidade regulatória no tratamento e transferência internacional de dados pessoais.
Por mais que as IA generativas menos populares não entrem no escrutínio ou na graça do público, o tema não deixa de merecer uma análise e fiscalização mais aprofundada da ANPD. É notório que o choque do público parece ter sido mais uma questão relacionada à percepção cultural e política do que uma preocupação estritamente técnica sobre proteção de dados pessoais.
Destaca-se que desde a década de 1980, com a coleta de dados financeiros concentrado em duas bandeiras estrangeiras até a atual renderização[21] de cada aspecto de vida pessoal ao redor do mundo diretamente nos sensores de smartphones pessoais, a preocupação com a coleta e posterior transferência internacional de dados permanece.
A novidade se transpõe na escalabilidade do monitoramento e na predição coletiva, aumentando a vulnerabilidade do titular de dados diante do quadro digno de filme de espionagens, vez que para além do monitoramento nacional escancara-se o acesso ao âmago dos titulares por empresas privadas e o compartilhamento de tais informações com governos estrangeiros.
Por isso, o convidamos também para uma reflexão sobre as implicações coletivas do tema para nosso país. A espionagem entre nações continua ocorrendo, independentemente de eventual regulação comercial sobre o tema e nossos atores políticos deveriam estar conscientes de tal situação.
A falta de conscientização de nossa população em tecnologia e direitos digitais, somado à dependência e verdadeira colonização de dados[22] feita por soluções estrangeiras deveria provocar uma reação de nosso governo e reguladores no sentido de fomentar o desenvolvimento nacional de proteções e salvaguardas até mesmo como condição para podermos negociar acordos de forma paritária.[g]
Desse modo, alerta-se, cabe à sociedade e aos órgãos reguladores brasileiros manterem vigilância constante sobre todas as plataformas tecnológicas que operam no país, aplicando padrões consistentes de proteção de dados pessoais e evitando julgamentos enviesados apenas pela origem geográfica das empresas ou pelo seu grau de popularidade entre os titulares brasileiros.
[1] HELDER, Darlan; OLIVEIRA, Luciana de. G1. ChatGPT: Conheça o robô conversador que viralizou por ter resposta para (quase) tudo. Disponível em: https://g1.globo.com/tecnologia/noticia/2022/12/08/chatgpt-conheca-o-robo-conversador-que-viralizou-por-ter-resposta-para-quase-tudo.ghtml. Último acesso em 09 abr. 2025.
[2] CARTA CAPITAL. “DeekSeek: Mais eficiente, nova IA chinesa assusta o Vale do Silício e abala a bolsa america”. Disponível em: https://www.cartacapital.com.br/mundo/deepseek-mais-eficiente-nova-ia-chinesa-assusta-o-vale-do-silicio-e-abala-a-bolsa-americana/ Último acesso em 16 abr. 2025.
[3] YAMAKAMI, Letícia. Veja. Coleta e envio de informações à China: a nebulosa política de dados da DeepSeek. Disponível em: https://veja.abril.com.br/economia/coleta-e-envio-de-informacoes-a-china-a-nebulosa-politica-de-dados-da-deepseek/. Último acesso em 09 abr. 2025.
[4] FAERMANN, Patrícia. GGN. Boicote? DeepSeek envia dados à China assim como ChatGPT envia aos EUA. Disponível em: https://jornalggn.com.br/tecnologia/ia-deepseek-dados-a-china-chatgpt-envia-dados-eua/. Último acesso em 09 abr. 2025.
[5] TIOSSI, Saulo. “DeepSeek redesenha disputa entre EUA e China pela inteligência artificial”. Disponível em: https://www.cnnbrasil.com.br/economia/deepseek-redesenha-disputa-entre-eua-e-china-pela-inteligencia-artificial/ Último acesso em 16 abr. 2025.
[6]Trazemos a guerra tarifária apenas a título exemplificativo. CHU, Ben, “Guerra de tarifas EUA x China”. Disponível em: https://www.bbc.com/portuguese/articles/creqq75dnn9o Último acesso em 16 abr. 2025.
[7] Ressalta-se que por mais que as sedes das empresas que disponibilizam esse tipo de IA não estejam no Brasil, o artigo 3º da LGPD é direto ao indicar que a norma será aplicada para qualquer tratamento de dados pessoais desde que “(i) a operação de tratamento seja realizada no território nacional; (ii) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou (iii) os dados pessoais objeto do tratamento tenham sido coletados no território nacional”. Isto será reforçado mais à frente no texto.
[8] Por mais que a legislação seja clara quanto a sua aplicação na hipótese de coleta de dados no território nacional – fato que ocorre quando o titular brasileiro se cadastra na plataforma ou interage com o LLM, existe discussão acadêmica sobre o que caracteriza a oferta de serviço a determinado país, para além da seara consumerista que possui entendimento consolidado sobre o tema. Esta discussão está mais madura em território europeu; o GDPR possui interpretação legislativa e do regulador sobre o que significa um serviço estar disponível em determinado país (Considerando 23 do RGPD e as Diretrizes 3/2018 do European Data Protection Board – EDPB) – ambos esclarecem precisamente que há a necessidade de avaliar circunstâncias concretas, além da mera acessibilidade, para determinar o direcionamento do serviço. Enquanto a ANPD não publica orientação sobre este assunto, podemos nos pautar tanto pela construção consumerista – quando frente a uma relação de consumo -, quanto pela orientação europeia devido à similaridade de sistemas protetivos. Ao analisarmos as plataformas, é possível perceber o direcionamento ao público brasileiro a partir do momento em que alguns oferecem a venda de modalidade premium do serviço a partir de cartões de crédito com pagamento em reais, somados também ao fato de serem disponibilizados em lojas brasileiras de aplicativo (App Store e Google Play), atraindo a incidência da LGPD às hipóteses de coleta internacional e transferências internacionais de dados pessoais. Essa discussão será aprofundada no relatório final do Grupo de Pesquisa Data Regulations.
[9] Comumente referenciados pelas empresas como Políticas de Privacidade. Embora exista diferença acadêmica na nomenclatura, adotaremos os termos de forma intercambiável neste texto.
[10] Belli et al., “IA GENERATIVA E LGPD: TRANSPARÊNCIA, DESAFIOS REGULATÓRIOS E CAMINHOS PARA A CONFORMIDADE”.
[11] Analisamos os documentos disponíveis de 7 serviços: Anthropic Claude, Google Gemini, Hangzhou Deepseek, Meta AI, Microsoft Copilot, OpenAi ChatGPT, X Grok.
[12] https://cdn.deepseek.com/policies/en-US/deepseek-privacy-policy.html
[13] SHIMABUKURO, Igor; TOLEDO, Victor. Tecnoblog. DeepSeek envia dados para a China? Entenda os termos de uso da plataforma. Disponível em: https://tecnoblog.net/responde/deepseek-envia-dados-para-a-china-entenda-os-termos-de-uso-da-plataforma/. Último acesso em 09 abr. 2025.
[14] BARONE, Bruna. Olhar Digital. Como a DeepSeek lida com dados pessoais? IA chinesa é notificada na Europa. Disponível em: https://olhardigital.com.br/2025/01/29/pro/como-a-deepseek-lida-com-dados-pessoais-ia-chinesa-e-notificada-na-europa/. Último acesso em 09 abr. 2025.
https://www.tecmundo.com.br/seguranca/404157-coreia-do-sul-acusa-deepseek-de-transferir-dados-de-usuarios-sem-consentimento.htm
[15] https://openai.com/pt-BR/policies/row-privacy-policy/
[16] Lei de Proteção de Informações Pessoais (PIPL) que foi implementada na China em 2021, com similaridades ao GDPR e à LGPD. Para mais, ver: BATISTA, Simmône Corrêa da Silva. “Uma análise comparativa entre a Lei Geral de Proteção de Dados Pessoais Brasileira e Chinesa”. Revista Foco, Curitiba, PR, v. 16, n. 12, p01-11, 2023.
[17] Nomeadamente, a Foreign Intelligence Surveillance Act (FISA), Section 702, que autoriza que o governo americano direcione espionagem de comunicações para alvos fora dos Estados Unidos em nome da segurança nacional.
[18] Disponível em:< https://selectcommitteeontheccp.house.gov/sites/evo-subsites/selectcommitteeontheccp.house.gov/files/evo-media-document/DeepSeek%20Final.pdf>
[19] Cf. DORE LAGE, D. Pode o mecanismo Data Privacy Framework servir como alternativa
regulatória para o sistema de transferências internacionais de dados
pessoais brasileiro? Dissertação (Mestrado em Direito da Regulação) – Faculdade de Direito, Fundação Getúlio Vargas. Rio de Janeiro, 2025.
[20] EU-US Data Privacy Framework: https://www.dataprivacyframework.gov/EU-US-Framework
[21] ZUBOFF, Shoshana. A era do capitalismo de vigilância: a luta por um futuro humano na nova
fronteira do poder. Tradução de George Schlesinger. Rio de Janeiro, RJ: Intrínseca, 2020.
[22] COULDRY, N.; MEJÍAS, U. A. Colonialismo de datos: repensando la relación de los datos masivos con el sujeto contemporáneo. Virtualis: Revista de cultura digital, v. 10, n. 18, p. 78-97, 20 maio 2019. Disponível em: http://www.revistavirtualis.mx/index.php/virtualis/article/view/289.
[a]Trazer para o texto a discussão da nota?
[b]Acho que podemos deixar na nota.
[c]Fiz um ajuste para tornar o parágrafo mais fluido.
[d]Pegar algum trecho da política e fazer menção ao link
[e]@Daniel Dore Lage , tá comigo, ok? Eu só não tive tempo de fazer agora. Tanto a nota 15 quanto a 18.
[f]Talvez dê para reduzir isso tudo para um parágrafo menor. Do tipo “Da coleta dos dados financeiros nos anos 80 pelo mercado concentrado de cartão de crédito em somente duas empresas americanas até a atual renderização”…
Mas sugiro colocar uma fonte para essa afirmativa da renderização.
[g]Tentei deixar mais direcionado para o público. Veja se funciona. Se quiser citação (que eu acho que já ´temos demais), podemos colocar Shoshanna ou Byung.
