Governança da Inteligência Artificial e a relevância do Encarregado de Dados
Fonte: https://www.inpd.com.br
23/09/2025
Cathiani Bellé, Encarregada de Dados (DPO) do Instituto Nacional de Proteção de Dados, Doutoranda e Mestra em Ética e Política (UFPR); Pós-Graduada em Advocacia no Direito Digital e Proteção de Dados (EBRADI); Pós-Graduada em Direito Digital, Compliance e LGPD (UNINTER); Bacharel em Direito (FESP) e Bacharel com Licenciatura Plena em Filosofia (UFPR)
O avanço no uso de tecnologias de inteligência artificial (IA) e a ampliação do debate em torno do Projeto de Lei nº 2.338/2023 — que trata do desenvolvimento, fomento e uso ético e responsável da IA, com base na centralidade da pessoa humana — intensificam as discussões sobre sua regulação e, consequentemente, sobre os responsáveis por sua adequada aplicação e conformidade.
Nesse contexto, a Autoridade Nacional de Proteção de Dados (ANPD) tem se posicionado de forma estratégica, demonstrando proatividade na missão de assumir o papel central como autoridade competente pela inteligência artificial no Brasil.
Em eventos recentes, como o 1º Congresso de Governança de Segurança da Informação e Privacidade de Dados (realizado em 28 de agosto de 2025) e o 2º Encontro ANPD de Encarregados (em 7 de agosto de 2025), o Diretor-Presidente da ANPD reafirmou o compromisso da Autoridade em atuar como órgão coordenador do Sistema Nacional de Regulação e Governança de Inteligência Artificial (SIA), nos termos do art. 45, § 1º, inciso I, do Projeto de Lei nº 2.338/2023.
Segundo a definição prevista no art. 4º, inciso X, do referido projeto, o SIA constitui um "ecossistema regulatório coordenado pela autoridade competente, com a finalidade de promover e garantir a cooperação e a harmonização com as demais autoridades setoriais e entes reguladores, sem vínculo de subordinação hierárquica entre eles, e com outros sistemas nacionais, para a plena implementação e fiscalização do cumprimento desta Lei em todo o território nacional, com segurança jurídica".
Ainda conforme o PL (art. 4º, inciso IX), a ANPD é indicada como a autoridade competente para exercer essa coordenação, reforçando o paralelo com o papel que já desempenha no âmbito da Lei Geral de Proteção de Dados Pessoais (LGPD), nos termos do art. 5º, inciso XIX, da Lei nº 13.709/2018.
Nesse contexto de fortalecimento da governança e da conformidade, em relação aos papéis que estão sendo definidos pelo Projeto de Lei, passamos à análise do Capítulo VII – Da Segurança e das Boas Práticas da LGPD, com a premissa de identificar aproximações, em outros aspectos, entre o PL e a própria LGPD.
O art. 50 da referida Lei estabelece diretrizes para que os agentes de tratamento de dados pessoais — controlador (art. 5º, VI) e operador (art. 5º, VII) — implementem regras e medidas de boas práticas, bem como um programa de governança em privacidade, como forma de demonstrar o comprometimento contínuo com a proteção dos dados pessoais.
Alinhada a esses princípios, a Resolução CD/ANPD nº 18/2024, que regulamenta a atuação do encarregado pelo tratamento de dados pessoais, aprofunda essas diretrizes ao atribuir ao encarregado o papel de orientar e auxiliar o agente de tratamento na elaboração e implementação de regras de boas práticas e programas de governança em privacidade, conforme prevê o art. 16, inciso IX, da Resolução.
Desse modo, se a ANPD será responsável por coordenar o ecossistema regulatório da inteligência artificial no Brasil para o cumprimento da futura lei, caberia também ao encarregado pelo tratamento de dados pessoais assumir um papel semelhante no que se refere à governança da conformidade no uso da inteligência artificial? O PL 2.338/2023, em seu art. 4º, inciso VIII, define o "agente de inteligência artificial" como desenvolvedores, distribuidores e aplicadores que atuem na cadeia de valor e na governança interna de sistemas de IA.
Os arts. 40 e 41 do mesmo projeto, inseridos no Capítulo VI – Das Boas Práticas e da Governança, incentivam esses agentes — especificamente desenvolvedores (art. 4º, V) e aplicadores (art. 4º, VII) — a instituírem programas de governança e mecanismos de autorregulação, inclusive com a designação de responsáveis internos por sua implementação.
Conforme dispõe o art. 17 da Resolução CD/ANPD nº 18/2024, o encarregado pelo tratamento de dados pessoais não é o responsável, perante a ANPD, pela conformidade do tratamento realizado pelo agente de tratamento no exercício de suas atividades e atribuições. Todavia, é de sua responsabilidade prestar assistência e orientação quanto às atividades e às decisões estratégicas relacionadas ao tratamento de dados pessoais.
A Seção 4 – Encarregado da Proteção de Dados do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados – GDPR), destaca a função do encarregado como figura de controle da conformidade (art.39, 1, "b"), pois ainda que ele não seja o responsável legal pela conformidade, sua atuação é fundamental para os agentes de tratamento, contribuindo diretamente para a governança em proteção de dados pessoais.
Dessa forma, ainda que o PL nº 2.338/2023 não trate diretamente da figura do encarregado nos moldes previstos pela LGPD, é possível vislumbrar uma aproximação natural de suas atribuições no contexto da governança da inteligência artificial.
No Guia Orientativo: atuação do encarregado pelo tratamento de dados pessoais, publicado em 2024 pela ANPD é destaque que o encarregado "não detém competência decisória no que se refere ao tratamento de dados pessoais, porém está sob sua incumbência prestar o auxílio em atividades tipicamente multidisciplinares para a preservação da privacidade e dos dados pessoais dos titulares" (ANPD, 2024, p. 24).
Isso reforça que, embora não recaia sobre ele a responsabilidade direta pela conformidade — uma vez que esta é dos agentes de tratamento, assim como será dos agentes de inteligência artificial —, cabe ao encarregado desempenhar um papel de assessoria estratégica no interior da organização, visando à aplicação de uma governança adequada.
Nesse ínterim, é fundamental destacar que a atuação do encarregado deve estar pautada na ética, integridade e autonomia técnica, evitando situações que possam configurar conflito de interesses (art. 18 da Resolução nº 18/2024). Além disso, conforme estabelece o GDPR, integra suas atribuições a "obrigação de sigilo ou de confidencialidade no exercício das suas funções" (art. 38, § 5º).
Assim, com uma atuação alinhada aos preceitos legais e regulatórios, o encarregado poderá, no futuro, ser um profissional de referência também para os agentes de inteligência artificial, contribuindo para a conformidade no uso ético e responsável da IA, especialmente no que se refere às práticas de tratamento de dados pessoais e à preservação dos direitos fundamentais, atuando como aplicador da governança.
Leia na íntegra.