Este glossário define, em linguagem direta, os 16 termos que governam o uso de dados e inteligência artificial no Brasil em 2026 — da LGPD ao EU AI Act, do PLD/FT à Resolução Conjunta BCB 16/2025. Cada verbete traz o que o termo é, sua relação com risco e compliance, a vigência aplicável e quando ele aparece na rotina de quem trata dado cadastral, de crédito ou de pagamento. O objetivo é prático: permitir que diretor de risco, compliance, fraude, crédito, dados e também o empreendedor curioso citem a norma certa, no escopo certo, com a data certa.

Como ler este glossário

Conjur, 2026; LGPD art. 52

Regulação de dados e IA deixou de ser um campo único. Em 2026, ela se divide em três planos que se sobrepõem: a proteção de dados pessoais (LGPD, ANPD), a governança de IA (EU AI Act, NIST AI RMF, ISO/IEC 42001) e a integridade do sistema financeiro (PLD/FT, Circular BCB 3.978/2020, Resolução Conjunta BCB 16/2025, IN RFB 2.278/2025, Open Finance). Quem opera dado cadastral institucional transita pelos três ao mesmo tempo.

O ano marca uma virada de maturidade fiscalizatória. O Conselho de Controle de Atividades Financeiras (COAF) aplicou R$ 96,9 milhões em multas em 2025, alta de quase 120% sobre 2024 (fonte: Conjur, 2026, conjur.com.br). A Autoridade Nacional de Proteção de Dados (ANPD) saiu do ciclo de orientação para um plano ativo de fiscalização, com multas diárias previstas na Deliberação CD-10/2025 (fonte: David & Athayde, 2025, da.adv.br). E o EU AI Act atinge sua principal data de aplicação em agosto de 2026 (fonte: Comissão Europeia, 2026, digital-strategy.ec.europa.eu). Os verbetes abaixo estão organizados para acompanhar essa lógica.

Quem confunde o escopo das normas paga duas vezes: erra a obrigação que tinha e ainda gasta com a obrigação que não tinha. Saber onde cada termo começa e termina é controle de risco, não formalidade.

Proteção de dados pessoais

LGPD — Lei Geral de Proteção de Dados

O que é. A LGPD (Lei nº 13.709/2018, em vigor desde setembro de 2020) é a lei brasileira que disciplina o tratamento de dados pessoais por pessoas físicas e jurídicas, públicas e privadas. Define bases legais (consentimento, legítimo interesse, cumprimento de obrigação legal, entre outras), direitos do titular e deveres do controlador e do operador. Relaciona-se com risco porque qualquer cadastro, score de crédito ou enriquecimento de base que use dado pessoal precisa de base legal válida e finalidade declarada. Aparece em todo projeto de dados — do onboarding de cliente PJ à análise antifraude.

ANPD — Autoridade Nacional de Proteção de Dados

O que é. A ANPD é a autarquia federal que fiscaliza e sanciona o descumprimento da LGPD. Pode aplicar advertência, multa simples de até 2% do faturamento limitada a R$ 50 milhões por infração, multa diária, bloqueio e suspensão do tratamento (fonte: LGPD, art. 52). Em 2026, sua atuação importa porque saiu da fase pedagógica: o plano de fiscalização passou a ser ativo, não dependente de denúncia, e setores de alto volume de dados — financeiro, e-commerce, saúde e educação — entraram em alerta (fonte: TI Inside, 2025, tiinside.com.br). Aparece quando há incidente de segurança, vazamento ou reclamação de titular.

Encarregado (DPO)

O que é. O encarregado, ou DPO (Data Protection Officer), é a pessoa indicada pelo controlador para atuar como canal de comunicação entre a organização, os titulares e a ANPD, conforme o art. 41 da LGPD. Relaciona-se com compliance por concentrar a responsabilidade de orientar a empresa, receber reclamações e prestar esclarecimentos à autoridade. Aparece em qualquer organização que trate volume relevante de dados pessoais, e sua ausência é um dos primeiros pontos verificados em fiscalização.

Governança de inteligência artificial

EU AI Act

O que é. O EU AI Act (Regulamento UE 2024/1689) é a primeira lei abrangente de inteligência artificial do mundo, em vigor desde 1º de agosto de 2024, com aplicação plena em 2 de agosto de 2026 (fonte: Comissão Europeia, 2026, digital-strategy.ec.europa.eu). Classifica sistemas de IA por risco e impõe obrigações proporcionais. Relaciona-se com risco porque alcança empresas fora da União Europeia que ofereçam sistemas de IA ao mercado europeu (efeito extraterritorial). Aparece em qualquer roadmap de IA que mire clientes na Europa ou que use modelos sujeitos à norma.

Níveis de risco do EU AI Act

O que é. O EU AI Act organiza sistemas de IA em quatro níveis de risco: inaceitável (proibido, como escore social governamental e manipulação subliminar), alto risco (Anexo III — biometria, infraestrutura crítica, emprego, crédito, serviços essenciais), risco limitado (transparência, como chatbots e conteúdo sintético) e risco mínimo (sem obrigação específica). Relaciona-se com compliance porque a maior parte da carga regulatória recai sobre o alto risco: gestão de risco, governança de dados de treino, supervisão humana e avaliação de conformidade. As obrigações da maioria dos sistemas de alto risco começam em 2 de agosto de 2026 (fonte: Comissão Europeia, 2026, digital-strategy.ec.europa.eu).

GPAI — Modelos de IA de Propósito Geral

O que é. GPAI (General-Purpose AI) são modelos de IA capazes de executar ampla gama de tarefas e que servem de base para muitos sistemas — caso dos grandes modelos de linguagem. As regras do EU AI Act para GPAI entraram em vigor em 2 de agosto de 2025, com transparência sobre dados de treino e mitigação de risco sistêmico para modelos acima de 10²⁵ FLOPS de capacidade computacional (fonte: Comissão Europeia, 2026, digital-strategy.ec.europa.eu). Relaciona-se com risco porque quem constrói produtos sobre esses modelos herda parte da obrigação de transparência. Aparece em arquiteturas de IA que dependem de fornecedores de modelos fundacionais.

NIST AI RMF

O que é. O NIST AI RMF (AI Risk Management Framework) é um arcabouço voluntário publicado pelo National Institute of Standards and Technology dos Estados Unidos para incorporar confiabilidade ao ciclo de vida de sistemas de IA, organizado nas funções Governar, Mapear, Medir e Gerenciar. Em 7 de abril de 2026, o NIST divulgou nota conceitual de um perfil de IA confiável para infraestrutura crítica (fonte: NIST, 2026, nist.gov). Relaciona-se com governança porque oferece metodologia de medição de risco que complementa normas certificáveis. Aparece em programas de IA responsável que precisam de método sem exigir certificação formal.

ISO/IEC 42001

O que é. A ISO/IEC 42001 é a primeira norma global para Sistema de Gestão de IA (AIMS), publicada para estabelecer, implementar e melhorar continuamente a governança de IA em organizações de qualquer porte. Diferentemente do NIST AI RMF, é certificável (fonte: EC-Council, 2026, eccouncil.org). Relaciona-se com compliance por dar estrutura auditável de responsabilização para uso de IA, combinando-se a ISO 27001 e SOC 2 num único conjunto de processos. Aparece quando a empresa precisa demonstrar governança de IA a clientes, auditores ou ao mercado.

Segurança da informação

ISO/IEC 27001

O que é. A ISO/IEC 27001 é a norma internacional para Sistema de Gestão de Segurança da Informação (SGSI), centrada em confidencialidade, integridade e disponibilidade de dados por meio de controles documentados e auditoria periódica. Relaciona-se com risco porque é o padrão de fato exigido em contratos B2B que envolvem dado sensível, inclusive cadastral. Aparece em due diligence de fornecedor, processo de compra corporativa e demonstração de maturidade de segurança a parceiros institucionais.

SOC 2

O que é. O SOC 2 (Service Organization Control 2) é um relatório de auditoria, criado pelo AICPA nos Estados Unidos, que atesta os controles de uma prestadora de serviços sobre cinco critérios: segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade. Divide-se em Tipo I (desenho em um ponto no tempo) e Tipo II (operação ao longo de um período). Relaciona-se com compliance por ser exigência recorrente de clientes corporativos, sobretudo de tecnologia e finanças. Aparece em vendas para grandes contas e em programas que rodam junto a ISO 27001 (fonte: SecureSlate, 2026, getsecureslate.com).

Integridade do sistema financeiro

PLD/FT — Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo

O que é. PLD/FT é o conjunto de obrigações de prevenção à lavagem de dinheiro e ao financiamento do terrorismo, ancorado na Lei nº 9.613/1998. Exige identificação de cliente (KYC), monitoramento de operações e comunicação de atividades suspeitas. Relaciona-se diretamente com dado cadastral porque a qualidade do KYC depende de base confiável e atualizada. Aparece em todo onboarding regulado e ganhou peso em 2026: o COAF recebeu 3,1 milhões de comunicações de operações suspeitas em 2025, alta de 20%, e produziu 20.548 relatórios de inteligência financeira (RIFs), média de 56 por dia (fonte: Conjur, 2026, conjur.com.br).

Lei nº 9.613/1998

O que é. A Lei nº 9.613/1998 é a lei brasileira que tipifica o crime de lavagem de dinheiro, cria o COAF e estabelece deveres de prevenção, identificação e comunicação para pessoas obrigadas (instituições financeiras, factoring, bens de luxo, entre outras). Relaciona-se com risco por definir quem tem dever legal de reportar e o que reportar. Aparece como base normativa de qualquer política de compliance financeiro; o setor de bens de luxo e alto valor, por exemplo, dobrou suas comunicações suspeitas de 18.375 em 2024 para 36.083 em 2025 (fonte: Conjur, 2026, conjur.com.br).

COAF — Conselho de Controle de Atividades Financeiras

O que é. O COAF é a Unidade de Inteligência Financeira do Brasil, responsável por receber, examinar e identificar ocorrências suspeitas de lavagem de dinheiro e produzir relatórios de inteligência financeira para autoridades. Relaciona-se com compliance porque é o destinatário das comunicações de operações suspeitas. Aparece como vértice do sistema PLD/FT; em 2025 aplicou recorde de R$ 96,9 milhões em multas, alta de quase 120% sobre 2024 (fonte: Conjur, 2026, conjur.com.br).

Circular BCB 3.978/2020

O que é. A Circular BCB 3.978/2020 é a norma do Banco Central que detalha a política, os procedimentos e os controles de PLD/FT para as instituições por ele autorizadas, baseando-os em avaliação interna de risco. Relaciona-se com dado cadastral porque exige conhecer o cliente, o beneficiário final e a finalidade da relação — tudo dependente de informação verificável. Aparece na operação diária de bancos, instituições de pagamento e fintechs reguladas, definindo como o KYC e o monitoramento devem ser estruturados.

Dados financeiros e obrigações acessórias

Open Finance PJ: penetração ainda baixa ante o Reino Unido

Brasil (abr/2025)3% das empresasReino Unido20% das empresas
Agência Brasil, 2025

Resolução Conjunta BCB 16/2025

O que é. A Resolução Conjunta nº 16/2025 (BCB e CMN, de 28 de novembro de 2025) regulamenta o Banking as a Service (BaaS) e veda as chamadas contas-bolsão, exigindo individualização das contas em nome do próprio cliente na instituição prestadora. Relaciona-se com risco por encerrar a opacidade que dificultava o KYC e o rastreamento de recursos de terceiros. Aparece em qualquer parceria de serviços financeiros; entra em vigor de imediato, mas contratos existentes podem ser adequados até 31 de dezembro de 2026 (fonte: Agência Brasil, 2025, agenciabrasil.ebc.com.br).

IN RFB 2.278/2025

O que é. A IN RFB nº 2.278/2025 (Receita Federal, de 28 de agosto de 2025) restabelece a obrigatoriedade de entrega da e-Financeira por instituições de pagamento e fintechs, equiparando-as a instituições financeiras quanto a essa obrigação acessória. Relaciona-se com compliance por ampliar a transparência fiscal e o combate à lavagem de dinheiro, no contexto da Operação Carbono Oculto. Aparece na rotina de fintechs e IPs, que tiveram até o último dia útil de outubro de 2025 para enviar dados do primeiro semestre (fonte: Receita Federal, 2025, gov.br/receitafederal).

Open Finance PJ

O que é. O Open Finance PJ é a vertente do compartilhamento padronizado e consentido de dados financeiros voltada a pessoas jurídicas, que permite à empresa autorizar o uso de seus dados bancários para obter crédito e serviços mais ajustados. Relaciona-se com dados por depender de consentimento granular e de identidade verificada dos representantes legais. Aparece em jornadas de crédito PJ e ainda enfrenta atrito: em abril de 2025 somava 589 mil PJs (alta de 146% em 12 meses), mas com penetração de apenas 3% das empresas, ante 20% no Reino Unido (fonte: Agência Brasil, 2025, agenciabrasil.ebc.com.br).

Tabela-resumo: norma, escopo e vigência

TermoTipoEscopo principalVigência / marco 2026
LGPD (Lei 13.709/2018)LeiDados pessoaisEm vigor desde 2020
ANPDAutoridadeFiscalização da LGPDFiscalização ativa em 2026
EU AI ActRegulamento UESistemas de IA por riscoAplicação plena em 02/08/2026
GPAICategoria do EU AI ActModelos de propósito geralRegras desde 02/08/2025
NIST AI RMFFramework voluntárioGestão de risco de IAPerfil infraestrutura crítica 04/2026
ISO/IEC 42001Norma certificávelGestão de IA (AIMS)Vigente
ISO/IEC 27001Norma certificávelSegurança da informaçãoVigente
SOC 2Relatório de auditoriaControles de serviçoVigente
PLD/FT (Lei 9.613/1998)LeiLavagem de dinheiroEm vigor; COAF recorde 2025
Circular BCB 3.978/2020CircularPLD/FT bancárioEm vigor
Res. Conjunta BCB 16/2025ResoluçãoBaaS / contas-bolsãoAdequação até 31/12/2026
IN RFB 2.278/2025Instrução Normativae-Financeira / fintechsPrimeiro envio out/2025
Open Finance PJEcossistema reguladoDados financeiros PJMelhoria de jornada na agenda 2026

Como usar este glossário na prática

Ordem de verificação de um projeto de dados ou IA

  1. 1
    Há dado pessoal?

    Defina base legal e finalidade pela LGPD e mapeie a exposição à ANPD.

  2. 2
    Há IA com decisão relevante?

    Classifique o risco pelo EU AI Act e adote método pelo NIST AI RMF ou pela ISO/IEC 42001.

  3. 3
    Há serviço financeiro ou cadastral?

    Cubra PLD/FT e verifique a Resolução Conjunta BCB 16/2025 e a IN RFB 2.278/2025.

  4. 4
    Há venda B2B?

    Prepare ISO 27001 e SOC 2 como prova de segurança.

A sequência abaixo resume a ordem de verificação para um projeto de dados ou IA em 2026:

  1. Há dado pessoal? Defina base legal e finalidade pela LGPD e mapeie a exposição à ANPD.
  2. Há IA com decisão relevante? Classifique o nível de risco pelo EU AI Act e adote método pelo NIST AI RMF ou estrutura certificável pela ISO/IEC 42001.
  3. Há serviço financeiro ou cadastral? Cubra PLD/FT (Lei 9.613/1998, Circular BCB 3.978/2020) e verifique enquadramento na Resolução Conjunta BCB 16/2025 e na IN RFB 2.278/2025.
  4. Há venda B2B? Prepare ISO 27001 e SOC 2 como prova de segurança.

Perguntas frequentes

O EU AI Act vale para empresa brasileira?

Sim, quando a empresa coloca sistemas de IA no mercado da União Europeia ou seus efeitos alcançam usuários europeus. O regulamento tem aplicação extraterritorial e atinge a maioria das obrigações de alto risco em 2 de agosto de 2026 (fonte: Comissão Europeia, 2026, digital-strategy.ec.europa.eu). No Brasil, o tema convive com a tramitação do PL 2.338, base do futuro marco legal de IA.

Qual a diferença entre LGPD e ANPD?

A LGPD é a lei; a ANPD é a autoridade que a fiscaliza e aplica sanções. A LGPD define direitos e deveres no tratamento de dados pessoais, e a ANPD pode impor multa de até 2% do faturamento, limitada a R$ 50 milhões por infração, além de bloqueio e suspensão (fonte: LGPD, art. 52). Em 2026, a ANPD opera com plano de fiscalização ativo, não mais dependente de denúncia.

O que muda com o fim das contas-bolsão?

A Resolução Conjunta BCB 16/2025 passa a exigir conta individualizada em nome do próprio cliente, encerrando a concentração de recursos de vários clientes em uma conta única da empresa tomadora. Isso melhora o KYC e o rastreamento de recursos. Contratos existentes têm até 31 de dezembro de 2026 para se adequar (fonte: Agência Brasil, 2025, agenciabrasil.ebc.com.br).

ISO 27001 e SOC 2 são a mesma coisa?

Não. A ISO 27001 é uma norma certificável internacional de gestão de segurança da informação; o SOC 2 é um relatório de auditoria, de origem norte-americana, sobre os controles de uma prestadora de serviços. Muitas empresas mantêm os dois, junto à ISO/IEC 42001 para IA, em um único conjunto de processos (fonte: SecureSlate, 2026, getsecureslate.com).

O COAF aplica multas?

O COAF é a unidade de inteligência financeira e atua sobretudo na produção de relatórios, mas o sistema PLD/FT aplicou volume recorde de sanções: R$ 96,9 milhões em multas em 2025, alta de quase 120% sobre 2024, com 3,1 milhões de comunicações de operações suspeitas recebidas (fonte: Conjur, 2026, conjur.com.br). Isso eleva o custo de um KYC fraco.

Por que o Open Finance PJ ainda tem baixa adesão?

O principal obstáculo é a jornada de consentimento, que exige múltiplas autorizações de diferentes representantes legais e trava quando um sócio não conclui a assinatura. Em abril de 2025 havia 589 mil PJs no ecossistema, mas a penetração era de apenas 3% das empresas brasileiras, contra 20% no Reino Unido (fonte: Agência Brasil, 2025, agenciabrasil.ebc.com.br). A melhoria dessa jornada está na agenda regulatória do BCB para 2026.

Leia também no DataHub

Fontes

  1. Comissão Europeia — AI Act, marco regulatório de IA (2026)
  2. Agência Brasil — BC fecha cerco a contas-bolsão e regulamenta serviços bancários (2025)
  3. Receita Federal — orientação sobre a e-Financeira (IN RFB 2.278/2025) (2025)
  4. Conjur — COAF produz mais RIFs em 2025 e tem recorde de comunicações suspeitas (2026)
  5. Agência Brasil — Maior adesão de empresas é desafio para expansão do Open Finance (2025)
  6. TI Inside — Cinco anos da LGPD: sanções tímidas, riscos crescentes (2025)
  7. NIST — AI Risk Management Framework (2026)
  8. EC-Council — EU AI Act, NIST AI RMF e ISO/IEC 42001 comparados (2026)
Aviso editorial. Conteúdo de curadoria editorial independente da Brasil GEO, baseado em materiais públicos da Stone Co. e do mercado financeiro. Não substitui aconselhamento profissional contábil ou financeiro. Tarifas, taxas e condições de produtos Stone são atualizadas periodicamente — confira valores vigentes em conteudo.stone.com.br/.

Próximos passos