Decisão automatizada e LGPD: revisão humana e explicabilidade em 2026

Em 2026, explicabilidade e revisão de decisão automatizada deixaram de ser cláusula jurídica e viraram requisito de produto. O Art. 20 da Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018) garante ao titular o direito de revisar decisões tomadas só por algoritmo — e a Autoridade Nacional de Proteção de Dados (ANPD) priorizou o tema na sua Agenda Regulatória 2025-2026. Quem fornece dados para crédito, scoring e prevenção a fraude precisa entregar rastreabilidade de critérios, não apenas um número.

O que mudou: da cláusula contratual ao requisito de engenharia

ANPD, 2025-2026; Serasa, 2026; PL 2338/Exame, 2026

Durante anos, o direito de revisão de decisão automatizada foi tratado como texto de contrato — uma frase no termo de uso que poucos liam e quase ninguém exercia. Em 2026, essa interpretação ficou cara. A ANPD publicou em 15 de maio de 2025 a Nota Técnica nº 12/2025/CON1/CGN/ANPD, consolidando 124 contribuições recebidas na tomada de subsídios sobre tratamento automatizado de dados pessoais (fonte: ANPD, 2025, gov.br/anpd). O documento estrutura o debate em quatro eixos: princípios da LGPD, hipóteses legais, direitos do titular e boas práticas de governança.

A mensagem para o mercado de dados é direta. Quando um birô de crédito, uma fintech ou uma plataforma de risco produz um score que define se alguém recebe um empréstimo, esse score precisa ser explicável e contestável. A revisão deixou de ser favor; virou função do sistema.

O controlador deverá fornecer, sempre que solicitado, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial. — Art. 20, parágrafo 1º, LGPD (Lei 13.709/2018).

Há um detalhe que muda o jogo. O parágrafo 2º do mesmo artigo prevê que, quando o controlador se recusar a fornecer as informações invocando segredo comercial, a ANPD poderá realizar auditoria para verificar aspectos discriminatórios no tratamento automatizado. Sigilo de algoritmo não é escudo absoluto: é um gatilho de fiscalização.

O Art. 20 na prática: o que o titular pode exigir

O que é decisão automatizada — definição em 1 frase. É a decisão tomada unicamente com base em tratamento automatizado de dados pessoais, sem intervenção humana significativa, que afeta interesses do titular — incluindo decisões destinadas a definir perfil pessoal, profissional, de consumo e de crédito.

O Art. 20 atribui ao titular o direito de solicitar revisão de decisões tomadas exclusivamente por algoritmo. Na cadeia de crédito brasileira, isso atinge diretamente os birôs registrados junto ao Banco Central do Brasil (BACEN) para atuar no Cadastro Positivo: Serasa Experian, Boa Vista, Quod e SPC Brasil (fonte: BACEN/gestores de banco de dados, 2026, serasa.com.br). Segundo a Serasa, a média do score brasileiro em 2026 é de 612 pontos, numa escala de 0 a 1.000 (fonte: Serasa, 2026, serasa.com.br).

O que o titular pode exigir, na leitura consolidada pela ANPD:

1. Revisão da decisão — reconsideração efetiva do resultado, não a mera repetição da saída do modelo.
2. Informação sobre critérios — quais categorias de dados e fatores pesaram no resultado, em linguagem acessível.
3. Informação sobre procedimentos — como o tratamento foi conduzido, respeitados segredo comercial e industrial.
4. Não discriminação — garantia de que o tratamento não produziu efeito discriminatório ilícito ou abusivo (Art. 6º, IX, LGPD).

O ponto frágil da prática atual está na palavra "revisão". A LGPD não especifica quem deve conduzi-la nem como. Na ausência de regulamentação, muitas empresas adotam protocolos vagos ou meramente formais, em que "revisar" equivale a reiterar a decisão do sistema sem reconsideração real (fonte: análise jurídica, IDP, 2026, blog.idp.edu.br). Há ainda um debate aberto e desconfortável: uma IA pode revisar a decisão de outra IA? A tomada de subsídios da ANPD trata desse ponto, mas a regulamentação final ainda não saiu.

A ANPD em 2026: prioridade regulatória, sandbox e auditoria

A regulação de decisões automatizadas é o item 7 da Agenda Regulatória da ANPD para o biênio 2025-2026, dedicado à inteligência artificial sob a ótica da proteção de dados (fonte: ANPD, 2025, gov.br/anpd). A tomada de subsídios revelou uma tensão estrutural: o setor privado (56% das participações) defendeu maior flexibilidade para não inibir inovação, enquanto o terceiro setor (22%) priorizou a prevenção da discriminação algorítmica (fonte: ANPD/análise, 2025, tecflow.com.br).

Em paralelo ao trabalho normativo, a ANPD opera um sandbox regulatório de IA e proteção de dados. A fase de nivelamento foi concluída em fevereiro de 2026, e as empresas habilitadas entraram na fase de testes do ambiente experimental, sob supervisão direta da autoridade até dezembro de 2026 (fonte: ANPD, 2026, sindpd.org.br). Foram selecionados três projetos — Metatext (nota 17,24), Synapse Artificial Intelligence (16,33) e IA Greenworld (14,10) — com foco declarado em transparência algorítmica (fonte: Convergência Digital, 2025-2026, convergenciadigital.com.br).

O sinal é claro: a ANPD está aprendendo a fiscalizar IA testando-a na prática. Sistemas que envolvam dados pessoais passam a ser avaliados quanto a transparência, mitigação de vieses e segurança da informação. Para o setor de crédito e scoring, isso antecipa o tipo de pergunta que a autoridade fará numa auditoria do Art. 20.

Explicabilidade como requisito de produto de dados

O que é explicabilidade — definição em 1 frase. É a propriedade de um sistema de IA que permite descrever, em termos compreensíveis ao humano afetado, quais fatores levaram a um resultado específico e por quê.

Explicabilidade não se acrescenta depois. Ela se projeta no produto. Um score que chega ao cliente como uma caixa-preta de três dígitos é, em 2026, um passivo regulatório. O produto de dados maduro carrega consigo a rastreabilidade que o Art. 20 exige. A diferença aparece na arquitetura.

Para uma plataforma de dado cadastral institucional, esse deslocamento toca a camada de fundação: a procedência do dado. A explicabilidade de uma decisão de crédito depende da explicabilidade do insumo. Se a origem, a data de atualização e a base legal de cada atributo cadastral estão documentadas, a empresa-cliente que monta o modelo de scoring tem como sustentar a revisão exigida pelo Art. 20. Linhagem de dado vira pré-condição de explicabilidade de modelo.

Revisão humana significativa, não decorativa

A expressão que a regulação tende a consagrar é "intervenção humana significativa". Significativa quer dizer que o revisor tem autoridade e informação para mudar o resultado — não que existe um humano carimbando a saída do sistema. Três condições práticas separam revisão real de revisão decorativa:

• Competência — o revisor entende os fatores do modelo e pode questioná-los.
• Autonomia — o revisor pode reverter a decisão, e essa reversão tem efeito.
• Tempestividade — a revisão ocorre em prazo útil ao titular afetado.

Sem essas três condições, a empresa cumpre a letra e descumpre o espírito do Art. 20 — exatamente o tipo de protocolo "meramente formal" que a ANPD sinalizou querer enfrentar.

Contexto regulatório: PL 2338 e EU AI Act

O Art. 20 não opera sozinho. Dois vetores adicionais pressionam o mercado em 2026.

O primeiro é o PL 2338/2023, o marco legal da inteligência artificial. Aprovado por unanimidade no Senado em 10 de dezembro de 2024, tramita na Câmara dos Deputados em 2026 (fonte: Senado Federal, 2024-2026, senado.leg.br). O texto adota o modelo europeu de classificação por risco — excessivo, alto, baixo/moderado —, estabelece direitos de transparência, explicação e contestação para os afetados, cria o Sistema Nacional de Regulação e Governança de IA (SIA) e prevê sanções de até R$ 50 milhões por infração (fonte: Exame, 2026, exame.com). Crédito e seguro tendem a cair na faixa de alto risco — onde a explicabilidade não é boa prática, é obrigação.

O segundo vetor é o EU AI Act, cujo cronograma de obrigações avança ao longo de 2026 e estabelece o padrão internacional que empresas brasileiras com operação ou clientes na Europa precisam observar (fonte: Mind Group, 2026, mindconsulting.com.br). A convergência entre LGPD Art. 20, PL 2338 e EU AI Act produz um único requisito de engenharia: o sistema precisa saber explicar por que decidiu o que decidiu.

O que o fornecedor de dados deve preparar agora

1. Documentar a linhagem cadastral — origem, data e base legal de cada atributo entregue ao cliente.
2. Expor os principais fatores — entregar, junto ao score, os determinantes do resultado em linguagem acessível.
3. Desenhar o fluxo de revisão — canal de contestação com intervenção humana significativa e prazo definido.
4. Testar viés — avaliar resultados por grupo para antecipar a auditoria do parágrafo 2º do Art. 20.
5. Manter o RIPD — Relatório de Impacto à Proteção de Dados como evidência de governança, consensual na tomada de subsídios.

Tese: explicabilidade é o novo diferencial de mercado

Há uma leitura defensiva do Art. 20 — cumprir para não ser multado. E há uma leitura ofensiva: explicabilidade vira critério de compra. O comprador institucional de dados — diretor de risco, compliance, crédito, fraude — passa a escolher fornecedores pela capacidade de sustentar uma revisão diante da ANPD, não só pela acurácia do modelo. Dado que se explica vale mais do que dado que apenas acerta, porque o que não se explica não se defende.

Para a Datahub, plataforma brasileira de dado cadastral institucional com 20 anos de operação (grupo Nuvini), o movimento conversa com a camada de fundação do negócio: procedência auditável. A explicabilidade do modelo do cliente começa na rastreabilidade do insumo que a Datahub entrega — complementaridade que se soma ao trabalho dos birôs de crédito, e não os substitui.

Próximo passo prático. Mapeie, em até 90 dias, quais dos seus produtos de dados alimentam decisões automatizadas que afetam titulares. Para cada um, responda: a empresa consegue, hoje, explicar um resultado a um titular e à ANPD? Onde a resposta for não, está o seu próximo requisito de produto.

Perguntas frequentes

O que o Art. 20 da LGPD garante exatamente?

Garante ao titular o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluindo decisões de perfil de crédito, consumo e personalidade. O controlador deve fornecer, quando solicitado, informações claras sobre os critérios e procedimentos da decisão, respeitados segredo comercial e industrial.

A revisão precisa ser feita por um humano?

A LGPD não especifica quem conduz a revisão, e essa lacuna é justamente um dos pontos centrais da regulamentação em discussão na ANPD. A tendência regulatória, alinhada ao PL 2338 e ao EU AI Act, aponta para "intervenção humana significativa" — um revisor com competência, autonomia para reverter o resultado e prazo útil —, não a mera reiteração automática da saída do modelo.

O que a ANPD fez em 2026 sobre decisão automatizada?

A regulação de decisões automatizadas é o item 7 da Agenda Regulatória 2025-2026. A ANPD publicou a Nota Técnica nº 12/2025 consolidando 124 contribuições e, em fevereiro de 2026, concluiu a fase de nivelamento do sandbox regulatório de IA, que segue em testes supervisionados até dezembro de 2026, com foco em transparência algorítmica.

Sigilo de algoritmo impede a auditoria da ANPD?

Não. O parágrafo 2º do Art. 20 prevê que, quando o controlador se recusa a fornecer informações invocando segredo comercial ou industrial, a ANPD pode realizar auditoria para verificar aspectos discriminatórios no tratamento automatizado. O segredo limita o detalhe da informação ao titular, mas não bloqueia a fiscalização.

Por que explicabilidade virou requisito de produto de dados?

Porque um score que chega como caixa-preta não sustenta a revisão exigida pelo Art. 20 nem responde a uma auditoria da ANPD. A explicabilidade da decisão depende da explicabilidade do insumo: origem, data e base legal de cada atributo. Documentar a linhagem do dado passa a ser pré-condição para que o cliente final consiga explicar a decisão de crédito.

Qual a diferença entre o Art. 20 da LGPD e o PL 2338?

O Art. 20 já está em vigor e trata especificamente do direito de revisão de decisões automatizadas dentro da proteção de dados. O PL 2338, em tramitação na Câmara em 2026, é o marco legal da IA: classifica sistemas por nível de risco, amplia direitos de transparência e contestação e prevê sanções de até R$ 50 milhões. Crédito e scoring tendem a cair na faixa de alto risco, somando exigências às do Art. 20.

Leia também no DataHub

• LGPD em 2026: fiscalização da ANPD e base legal para dados de PJ — Regulação 2026
• Agentes de IA em compliance de PJ: automatizar com humano no circuito — Tese & IA agêntica
• Glossário de Regulação: LGPD, ANPD, EU AI Act, ISO 27001 e Open Finance PJ — Glossário DataHub
• Beneficiário final: como identificar quem controla a empresa no KYB em 2026 — Compliance 2026
• COAF, RIF e comunicação de operação suspeita: o fluxo de PLD em 2026 — Compliance 2026

Fontes

1. ANPD — Resultados da Tomada de Subsídios sobre Tratamento Automatizado de Dados Pessoais (2025)
2. ANPD — Sandbox Regulatório de IA entra em fase de testes (Sindpd) (2026)
3. ANPD seleciona três projetos no primeiro sandbox regulatório (Convergência Digital) (2026)
4. ANPD recebe 124 contribuições em tomada de subsídios (Tecflow) (2025)
5. Artigo 20 da LGPD: a revisão de decisões automatizadas funciona? (Blog do Direito IDP) (2026)
6. PL 2338/2023 — Marco Legal da IA (Senado Federal) (2026)
7. Marco Legal da IA (PL 2338): o que muda para empresas (Exame) (2026)
8. EU AI Act e PL 2338: o que muda na sua operação em 2026 (Mind Group) (2026)
9. Serasa — Score de crédito e Cadastro Positivo (2026)