Skip to main navigation menu Skip to main content Skip to site footer

Vol. 155 (2025)
Revista do TCU

Articles

Personal data regulation in Brazil, ChatGPT and artificial intelligence: challenges and proposals

https://doi.org/10.69518/rtcu.155.185-206

Published 2025-08-27

  • Daniel de Oliveira Sampaio
    • ,
  • Jonathan Barros Vita

Daniel de Oliveira Sampaio
Universidade de Marília (UNIMAR)

Jonathan Barros Vita
Universidade de Marília (UNIMAR)

Abstract

This article explores the challenges that the evolution of artificial intelligence (AI), as evidenced by the widespread adoption of ChatGPT, poses to the Brazilian regulatory framework for personal data protection. The study aims to evaluate the adequacy of the Brazilian General Data Protection Law (LGPD) in light of ongoing technological advancements and to propose guidelines for regulatory improvement. A qualitative methodology with a descriptive and exploratory approach was adopted, based on literature review and documentary analysis of national and international legislation, such as the General Data Protection Regulation (GDPR). The findings indicate that, while the LGPD constitutes significant progress, it remains limited in its ability to address the growing impacts of AI. The study reveals regulatory gaps, ethical risks, and the absence of specific guidelines for systems based on generative AI. The study concludes with the urgent need for legislative updates and the creation of a specific regulatory framework for AI, while highlighting the importance of continuous institutional dialogue and multidisciplinary research to support effective and equitable technological governance.

Keywords

Regulation, personal data, artificial intelligence, challenges, proposals

PDF (Português)

Author Biography

Daniel de Oliveira Sampaio

Master’s student in Law at the University of Marília (UNIMAR) and the Federal University of Bahia (UFBA). Specialist in Public Law from Anhanguera University. Bachelor of Law from the Faculty of Technology and Sciences of Itabuna (FTC). Holder of an extrajudicial notary office in Senhor do Bonfim.

Jonathan Barros Vita

PhD in Law from the Pontifical Catholic University of São Paulo (PUC-SP). Master’s degree in Law from the Pontifical Catholic University of São Paulo (PUC-SP). Master’s degree in Tax Law from Luigi Bocconi Commercial University (Italy). Specialist in Tax Law from the Brazilian Institute of Tax Studies (Ibet-SP). Bachelor of Law from the Federal University of Paraíba (UFPB). Bachelor of Accounting from the Federal University of Paraíba (UFPB). Lawyer, legal consultant, accountant, professor, and coordinator of the Graduate Program in Law at the University of Marília (UNIMAR).

References

  1. AGÊNCIA REUTERS. Após suspensão, ChatGPT está disponível novamente na Itália, diz porta-voz. Época NEGÓCIOS, [s. l.], 28 de abril de 2023. Disponível em: https://epocanegocios.globo.com/tecnologia/noticia/2023/04/chatgpt-esta-disponivel-novamente-a-usuarios-na-italia-diz-porta-voz.ghtml. Acesso em: 21 set. 2023.
  2. ANDRADE, Janine Praxedes do Nascimento Ribeiro de. Funções dos órgãos de proteção de dados: um estudo comparativo entre a Autoridade Nacional de Proteção de Dados (ANPD) e o Comitê Europeu de Proteção de Dados (CEPD). Monografia (Graduação em Direito) – Universidade Federal do Rio Grande do Norte, Centro de Ciências Sociais Aplicadas, Departamento de Direito, Natal, RN, 2023.
  3. AMOROZO, Marcos. Congresso tem pelo menos 46 projetos de lei para regulamentar o uso de inteligência artificial. CNN Brasil, Brasília, DF, 18 fev. 2024. Política. Disponível em: https://www.cnnbrasil.com.br/politica/congresso-tem-pelo-menos-46-projetos-de-lei-para-regulamentar-do-uso-de-inteligencia-artificial. Acesso em: 11 mar. 2024.
  4. BEZERRA, Maria Ruth Borges. Autoridade Nacional de Proteção de Dados Pessoais: a importância do modelo institucional independente para a efetividade da lei. Caderno Virtual, IDP, v. 2, n. 44, p. 1-95, abr/jun. 2019.
  5. BONE, Leonardo Castro de; MOMO, Maria Vitória Galvan. Da privacidade à proteção de dados pessoais: uma análise comparada da GDPR do Parlamento Europeu e do Conselho da União Europeia e a LGPD brasileira. Revista Jurídica Luso Brasileira, Lisboa, v. 7, n. 2, p. 957-982, 2021.
  6. BRASIL. [Constituição (1988)]. Constituição da República Federativa do Brasil de 1988. Brasília: Presidência da República, [2024]. Disponível em: https://www.planalto.gov.br/ccivil_03/Constituicao/Constituicao.htm. Acesso em: 20 jun. 2023.
  7. BRASIL. Emenda Constitucional n. 8, de 15 de agosto de 1995. Altera o inciso XI e a alínea “a” do inciso XII do art. 21 da Constituição Federal. Brasília: Presidência da República, 1995a. Disponível em: https://www.planalto.gov.br/ccivil_03/constituicao/emendas/emc/emc08.htm. Acesso em: 20 jun. 2023.
  8. BRASIL. Emenda Constitucional n. 9, de 09 de novembro de 1995. Dá nova redação ao art. 177 da Constituição Federal, alterando e inserindo parágrafos. Brasília: Presidência da República, 1995b. Disponível em: https://www.planalto.gov.br/ccivil_03/constituicao/emendas/emc/emc09.htm. Acesso em: 20 jun. 2023.
  9. BRASIL. Emenda Constitucional n. 115, de 10 de fevereiro de 2022. Altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais. Brasília: Presidência da República, 2022a. Disponível em: https://www.planalto.gov.br/ccivil_03/constituicao/Emendas/Emc/emc115.htm. Acesso em: 20 jun. 2023.
  10. BRASIL. Lei n. 7.232, de 29 de outubro de 1984. Dispõe sobre a Política Nacional de Informática, e dá outras providências. Brasília: Presidência da República, 1984. Disponível em: https://www.planalto.gov.br/ccivil_03/Leis/L7232.htm. Acesso em: 20 jun. 2023.
  11. BRASIL. Lei n. 8.078, de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras providências. Brasília: Presidência da República, 1990. Disponível em: https://www.planalto.gov.br/ccivil_03/leis/l8078.htm. Acesso em: 20 jun. 2023.
  12. BRASIL. Lei n. 12.414, de 9 de junho de 2011. Disciplina a formação e consulta a bancos de dados com informações de adimplemento de pessoas naturais ou jurídicas, para formação de histórico de crédito. Brasília: Presidência da República, 2011. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12414.htm. Acesso em: 20 jun. 2023.
  13. BRASIL. Lei n. 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Brasília: Presidência da República, 2014. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm. Acesso em: 20 jun. 2023.
  14. BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília: Presidência da República, 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 20 jun. 2023.
  15. BRASIL. Lei n. 13.853, de 8 de julho de 2019. Altera a Lei n. 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados; e dá outras providências. Diário Oficial da União: seção 1, Brasília, DF, p. 1-7, 9 jul. 2019. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/lei/l13853.htm. Acesso em: 20 jun. 2023.
  16. BRASIL. Lei n. 14.460, de 25 de outubro de 2022. Transforma a Autoridade Nacional de Proteção de Dados (ANPD) em autarquia de natureza especial e transforma cargos comissionados; altera as Leis nºs 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais), e 13.844, de 18 de junho de 2019; e revoga dispositivos da Lei nº 13.853, de 8 de julho de 2019. Presidência da República, 2022b. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2022/lei/l14460.htm. Acesso em: 20 jun. 2023.
  17. BRASIL. Medida Provisória n. 1.124, de 13 de junho de 2022. Brasília: Câmara dos Deputados, 2022c. Disponível em: https://www2.camara.leg.br/legin/fed/medpro/2022/medidaprovisoria-1124-13-junho-2022-792818-exposicaodemotivos-165645-pe.html. Acesso em: 20 jun. 2023.
  18. CAMARGO, Solano de. ANPD autoriza Meta a retomar uso de dados pessoais para IA: inovação ou risco à privacidade? Jornal da Advocacia – OAB-SP, São Paulo, 04 set. 2024. Disponível em: https://www.oabsp.org.br/jornaldaadvocacia/24-09-02-1548-anpd-autoriza-meta-a-retomar-uso-de-dados-pessoais-para-ia-inovacao-ou-risco-a-privacidade. Acesso em: 4 set. 2024.
  19. COIMBRA, Márcio Chalegre. O Direito Regulatório Brasileiro. Jus.com.br, Teresina, 1 de outubro de 2001. Artigos. Disponível em: https://jus.com.br/artigos/2076. Acesso em: 27 jun. 2023.
  20. CONSELHO DA EUROPA. Europeans Convention on Human Rights. Estrasburgo: Conselho da Europa, 1950. Disponível em: https://www.echr.coe.int/Documents/Convention_ENG.pdf. Acesso em: 20 mar. 2024.
  21. CONSELHO DA EUROPA. Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108). Estrasburgo, 28 jan. 1981. Disponível em: https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108. Acesso em: 20 mar. 2024.
  22. CORVALÁN, Juan Gustavo. Inteligencia Artificial GPT-3 pretoria y oráculos algorítmicos en el derecho. International Journal of Digital Law, Curitiba, v. 1, n. 1, p. 11-52, jan./abr. 2020.
  23. COSTA, Ana Paula Motta; SARLET, Gabrielle Bezerra Sales. A perspectiva da proteção de dados pessoais em face dos direitos das crianças e dos adolescentes no sistema normativo brasileiro. In: SARLET, Ingo Wolfgang; LINDEN, Regina; FONTANIVE, Augusto Antônio (org.). Direito, ambiente e tecnologia: estudos em homenagem ao professor Carlos Alberto Molinaro. Porto Alegre: Editora Fundação Fênix, 2021. p. 489-511.
  24. DALE, Robert. GPT-3: what’s it good for? Natural Language Engineering, Cambridge, v. 27, p. 113-118, 2021. DOI: https://doi.org/10.1017/S1351324920000601. Disponível em: https://www.cambridge.org/core/journals/natural-language-engineering/article/gpt3-whats-it-good-for/0E05CFE68A7AC8BF794C8ECBE28AA990. Acesso em: 10 mar. 2024.
  25. HIJMANS, Hielke; RAAB, Charles. Ethical dimensions of the GDPR AI regulation and beyond. Revista Direito Público, Brasília, v. 18, n. 100, p. 63-90, out./dez. 2021. DOI: 10.11117/rdp.v18i100.6197. Disponível em: https://www.portaldeperiodicos.idp.edu.br/direitopublico/article/view/6197. Acesso em: 10 mar. 2024.
  26. LIMA, Cíntia Rosa Pereira de. A proteção de dados pessoais no contexto da economia informacional: desafios regulatórios do marketing comportamental. Revista Eletrônica do Curso de Direito da UFSM, Santa Maria, v. 16, n. 2, nov. 2021.
  27. LIMA, Ricardo Alves de; GARRIDO, Guilherme Leite. Lei Geral de Proteção de Dados Pessoais (LGPD) e Compliance: um panorama da adequação normativa para organizações contemporâneas. Revista Eletrônica do Curso de Direito da UFSM, Santa Maria, v. 17, n. 1, nov. 2022.
  28. LOPEZOSA, Carlos. ChatGPT y comunicación científica: hacia un uso de la Inteligencia Artificial que sea tan útil como responsable. Hipertext.net, Barcelona, n. 26, p. 17-21, maio 2023. DOI: https://doi.org/10.31009/hipertext.net.2023.i26.03. Disponível em: https://raco.cat/index.php/Hipertext/article/view/412774. Acesso em: 15 fev. 2024.
  29. MACEDO, Rommel. Advocacia-Geral da União e a nova onda tecnológica. Consultor Jurídico, São Paulo, 31 de dezembro de 2023. Administrativo. Disponível em: https://www.conjur.com.br/2023-dez-31/advocacia-geral-da-uniao-e-a-nova-onda-tecnologica/. Acesso em: 11 mar. 2024.
  30. MAGRO, Américo Ribeiro; MORONG, Fábio Ferreira. Regulação, regulamentação e função regulatória: diversidade de conceitos administrativos. Colloquium Socialis, Presidente Prudente, v. 02, n. Especial 2, p. 444-450, jul./dez. 2018. DOI: http://doi.org/10.5747/cs.2018.v02.nesp2.s0318. Disponível em: https://www.unoeste.br//site/enepe/2018/suplementos/area/Socialis/Direito/REGULAÇÃO%20REGULAMENTAÇÃO%20E%20FUNÇÃO%20REGULATÓRIA%20DIVERSIDADE%20DE%20CONCEITOS%20ADMINISTRATIVOS.pdf. Acesso em: 08 mar. 2024.
  31. MARQUES NETO, Floriano de Azevedo. A nova regulação dos serviços públicos. Revista de Direito Administrativo, Rio de Janeiro, n. 228, p. 13-29, abr./jun. 2002.
  32. MOREIRA, Egon Bockmann. Qual é o Futuro do Direito da Regulação no Brasil? In: SUNDFELD, Carlos Ari; ROSILHO, André (org.). Direito da regulação e políticas públicas. 1. ed. São Paulo: Malheiros Editores, 2014. p.107-139.
  33. NIARADI, George Augusto; NASCIMENTO, Nilson Neves. Inteligência artificial e os riscos nas fiscalizações do controle externo. SUPREMA – Revista de Estudos Constitucionais, Brasília, v. 3, n. 1, p. 439-469, jan./jun. 2023.
  34. OLIVEIRA, Robson Rocha de. Dos conceitos de regulação às suas possibilidades. Saúde e Sociedade, São Paulo, v. 23, n. 4, p. 1198-1208, out./dez. 2014. Disponível em: https://www.scielo.br/j/sausoc/a/pkTKqybVJWpgbR6D4VfdwHt/?lang=pt#. Acesso em: 20 jun. 2023.
  35. ORGANIZAÇÃO DAS NAÇÕES UNIDAS. Resolution adopted by the General Assembly on 18 december 2013: the right to privacy in the digital age. ONU, 2014. Disponível em: https://undocs.org/A/RES/68/167. Acesso em: 20 mar. 2024.
  36. ORGANIZAÇÃO PARA A COOPERAÇÃO E DESENVOLVIMENTO ECONÔMICO. Recommendation of the Council concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data. OECD Legal Instruments. Paris: OECD, 1980. Disponível em: https://one.oecd.org/document/C/M(80)17/PROV/en/pdf. Acesso em: 10 mar. 2024.
  37. PACETE, Luiz Gustavo. O que diz a carta assinada por Musk e milhares contra experimentos de IA? Forbes, São Paulo, 30 de março de 2023. Forbes Tech. Disponível em: https://forbes.com.br/forbes-tech/2023/03/o-que-diz-a-carta-assinada-por-musk-e-milhares-contra-experimentos-de-ia/. Acesso em: 27 jun. 2023.
  38. PORTO, Antônio Maristrello; GAROUPA, Nuno. Curso de análise econômica do direito. 2. ed. Barueri: Atlas, 2022.
  39. RIVEIRA, Carolina. Por que a Europa está em guerra com o ChatGPT. Metrópoles, 06 jul. 2023. Disponível em: https://www.metropoles.com/negocios/por-que-a-europa-esta-em-guerra-com-o-chatgpt. Acesso em: 11 mar. 2024.
  40. SALGADO, Lucia Helena. Agências regulatórias na experiência brasileira: um panorama do atual desenho institucional. Textos para discussão n. 941. Rio de Janeiro: IPEA, mar. 2003. Disponível em: https://repositorio.ipea.gov.br/bitstream/11058/2859/1/TD_941.pdf. Acesso em: 20 jun. 2023.
  41. TRAJTENBERG, Manuel. AI as the next GPT: a political-economy perspective. National Bureau of Economic Research, Cambridge, n. 24245, p. 1-11, jan. 2018. Disponível em: http://www.nber.org/papers/w24245. Acesso em: 10 mar. 2024.
  42. UNIÃO EUROPEIA. Carta dos Direitos Fundamentais da União Europeia. Jornal Oficial das Comunidades Europeias, C 364, p. 1-22, 18 dez. 2000. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A12012P%2FTXT. Acesso em: 10 mar. 2024.
  43. UNIÃO EUROPEIA. Diretiva 95/46/CE do Parlamento Europeu e do Conselho de 24 de outubro de 1995 relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Luxemburgo: Jornal Oficial das Comunidades Europeias n. L 281, p. 31-50, 23 nov. 1995. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A31995L0046. Acesso em: 10 mar. 2024.
  44. UNIÃO EUROPEIA. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016, relativo à proteção das pessoas singulares, no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). Bruxelas: Jornal Oficial da União Europeia n. L 119, p. 1-88, 4 maio 2016. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A32016R0679. Acesso em: 10 mar. 2024.
  45. ZOCKUN, Maurício; ZOCKUN, Carolina Zancaner. A regulação administrativa por entidades privadas e o caso da ABNT. Consultor Jurídico, São Paulo, 28 de setembro de 2023. Administrativo. Disponível em: https://www.conjur.com.br/2023-set-28/zockun-zockun-regulacao-administrativa-entidades-privadas2__trashed/. Acesso em: 28 set. 2023.