A Nota Técnica nº 1 de 2026 da ANPD inaugura um novo nível de escrutínio regulatório sobre sistemas de Inteligência Artificial no Brasil.
O documento analisa possíveis violações à Lei Geral de Proteção de Dados relacionadas ao sistema Grok, da X Corp., especialmente quanto à geração de deepfakes de teor sexual sem consentimento. Segundo a investigação preliminar, a ferramenta permitiria a manipulação de imagens reais, inclusive de crianças e adolescentes, para contextos íntimos, levantando questionamentos relevantes sobre finalidade, segurança e proteção de dados sensíveis.
A discussão vai além do caso concreto. A Nota Técnica sinaliza como a autoridade brasileira pretende avaliar arquitetura de sistemas de IA, coerência entre política declarada e capacidade técnica e a efetividade das salvaguardas implementadas.
O que está em debate
A ANPD identificou que, embora existam políticas internas proibindo deepfakes, a estrutura técnica do sistema permitiria a manipulação de fotografias reais para geração de conteúdo íntimo.
Esse ponto é central. O regulador não analisou apenas o texto das políticas de uso, mas a real capacidade tecnológica do sistema.
A partir dessa lógica, destacam-se quatro eixos de preocupação regulatória:
Violação de dados pessoais sensíveis, especialmente biométricos.
Proteção reforçada de crianças e adolescentes.
Desvio de finalidade no uso de imagens originalmente disponibilizadas para outros contextos.
Ineficácia prática das salvaguardas técnicas implementadas.
A mensagem institucional da ANPD é clara. A governança de IA não pode ser apenas declaratória.
Riscos e implicações para empresas
A Nota Técnica amplia o risco regulatório para empresas que desenvolvem ou utilizam sistemas de Inteligência Artificial.
O tratamento de imagens reais para geração de conteúdo sintético pode caracterizar tratamento de dados sensíveis, exigindo base legal robusta nos termos do artigo 11 da LGPD.
O argumento de legítimo interesse tende a ser insuficiente quando envolve dados biométricos ou riscos à dignidade da pessoa humana.
Além disso, há impacto reputacional significativo quando a arquitetura do sistema permite resultados incompatíveis com a expectativa legítima do titular dos dados.
Outro ponto sensível envolve o tratamento de dados de menores. O princípio do melhor interesse da criança impõe padrão de segurança máximo.
Autoridades internacionais já iniciaram investigações semelhantes, o que demonstra que o tema possui dimensão global.
Checklist estratégico pós-Grok
Empresas que desenvolvem ou utilizam IA devem revisar com urgência:
A coerência entre política de uso e capacidade técnica real do sistema.
A efetividade dos filtros de prompt e mecanismos de restrição de saída.
A base legal utilizada para tratamento de dados sensíveis e biométricos.
O inventário de dados utilizados no treinamento de modelos.
A compatibilidade entre a finalidade informada ao titular e o uso efetivo em soluções baseadas em IA.
Mecanismos robustos de verificação de idade e proteção específica para crianças e adolescentes.
A governança algorítmica passa a ser elemento central de conformidade regulatória.
Reflexão institucional
A Nota Técnica sobre o caso Grok representa um divisor de águas na atuação da ANPD. O foco deixa de ser apenas o tratamento tradicional de dados e passa a alcançar arquitetura, design e funcionamento técnico de sistemas de Inteligência Artificial.
Empresas que utilizam IA precisam incorporar avaliações contínuas de risco, testes de estresse e revisão permanente de salvaguardas.
O PDK Advogados acompanha a evolução regulatória envolvendo Inteligência Artificial, proteção de dados e responsabilidade digital. Em nossos conteúdos institucionais analisamos decisões, notas técnicas e tendências internacionais que impactam a governança tecnológica empresarial.
