Módulo · Segurança e Proteção de Dados
Uso Seguro de IA
no Serviço Público
Seu órgão não possui IA institucional? Sem licença com governança de dados?
Ainda assim, é possível usar IA de forma responsável — desde que você conheça
os limites, respeite a legislação e aplique as técnicas certas antes de interagir com qualquer ferramenta.
🏛️
Além da LGPD, observe as regras internas do seu órgão
Mesmo quando não há dado sensível no conteúdo, o uso de ferramentas externas de IA pode depender de orientação interna, norma de segurança da informação, política de uso de nuvem ou autorização institucional. Consulte a área de TI ou jurídica do seu órgão antes de adotar qualquer ferramenta.
Regras de ouro
🛑
PARE
Dados Sensíveis
Nunca insira CPF, RG, dados de saúde, segredos de justiça ou qualquer dado pessoal identificável em ferramentas de IA abertas. Anonimize antes: use [[NOME]], [[CPF]], [[ENDEREÇO]].
⚠️
ATENÇÃO
Alucinações
A IA pode inventar fatos, leis ou estatísticas com total confiança. Você é responsável pela assinatura do documento. Sempre revise, confira as fontes e valide o conteúdo gerado.
✅
SIGA
Produtividade
Use IA para estruturar textos, resumir documentos públicos, redigir minutas, revisar ortografia, traduzir e organizar ideias. Essas tarefas não expõem dados sensíveis.
"A IA é sua copiloto, não a comandante."
Princípio do uso responsável no serviço público
Marco legal
Lei 12.965/2014
Marco Civil da Internet
Estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil e dialoga com a proteção da privacidade e dos dados pessoais no ambiente digital. Foi alterado pela LGPD e segue como referência normativa para o uso responsável da rede.
Lei 13.709/2018
LGPD — Lei Geral de Proteção de Dados
Regula o tratamento de dados pessoais por pessoas físicas e jurídicas, públicas e privadas. Seu objetivo é proteger os direitos fundamentais de liberdade e privacidade. Entrou em vigor em setembro de 2020 e alterou o Marco Civil da Internet.
Lei 13.853/2019
Criação da ANPD
Alterou a LGPD e criou a Autoridade Nacional de Proteção de Dados (ANPD), responsável por fiscalizar e regulamentar a aplicação da lei no país.
EC nº 115/2022
Proteção de Dados como Direito Constitucional
Incluiu a proteção de dados pessoais no rol de direitos e garantias fundamentais da Constituição Federal (art. 5º, inciso LXXIX). Isso eleva a proteção de dados ao status de direito constitucional, com implicações para toda a administração pública.
O que usar — e o que evitar
✅ Pode usar
Dados públicos e de acesso aberto (portais de transparência, diários oficiais)
Dados previamente tratados para reduzir o risco de identificação
Textos institucionais sem identificadores pessoais
Legislações, normas, editais e documentos de domínio público
Documentos administrativos de acesso público, desde que sem conteúdo sigiloso, restrito ou com dados pessoais identificáveis
Imagens de plantas ou documentos com dados sensíveis já removidos
🚫 Não inserir
CPF, RG, passaporte, título de eleitor ou qualquer documento pessoal
Dados de saúde, prontuários, laudos médicos ou informações de saúde mental
Processos sob segredo de justiça ou informações sigilosas
Informações de servidores ou cidadãos sem consentimento e base legal
Dados de origem racial, étnica, religiosa, biométrica ou de orientação sexual
Documentos classificados ou de acesso restrito pelo órgão
Técnicas de anonimização
⚡
Importante: anonimização é feita ANTES de abrir a IA
Você prepara o dado no seu computador — remove, substitui ou generaliza os identificadores — e só então compartilha o conteúdo tratado com a ferramenta de IA.
Supressão (Masking)
Remove ou substitui atributos identificadores diretos como nome, CPF ou endereço.
Ex.: "003.456.789-00" → "XXX.XXX.XXX-XX"
Generalização
Reduz a precisão dos dados para evitar identificação, mantendo utilidade estatística.
Ex.: data de nascimento completa → apenas o ano de nascimento
Perturbação (Noise Addition)
Introduz ruído estatístico nos dados para dificultar a reidentificação de indivíduos.
Ex.: alterar levemente valores de renda ou idade em bases de treinamento
Agregação
Combina dados individuais em grupos, eliminando a granularidade identificadora.
Ex.: estatísticas por faixa etária, em vez de idades individuais
Pseudonimização ⚠️ (não é anonimização plena)
Substitui identificadores por códigos ou chaves — a reversão ainda é possível, por isso exige controles adicionais. Útil em ambientes controlados, mas não deve ser tratada como anonimização total.
Ex.: "João Silva" → "Usuário_A3F2" (ainda pode ser revertido com a tabela de correspondência)
🛡️
K-anonimato, L-diversidade e T-closeness
Técnicas mais avançadas que garantem que cada registro não possa ser distinguido de pelo menos outros k-1 registros, com diversidade de valores sensíveis dentro dos grupos. Relevantes para tratar bases de dados maiores antes de usar em análise com IA.
Riscos que toda servidora precisa conhecer
🤖
Alucinação da IA
Modelos de linguagem podem produzir informações falsas com aparência de verdadeiras — leis inexistentes, jurisprudência inventada, dados incorretos. A responsabilidade pelo conteúdo validado e utilizado oficialmente é sempre humana, não da IA.
🔓
Exposição de dados pessoais
Ferramentas de IA abertas podem armazenar e processar os dados inseridos, conforme seus termos de uso e políticas de privacidade. Por isso, conteúdos com dados pessoais, sensíveis ou sigilosos não devem ser inseridos sem autorização institucional e proteção adequada.
⚖️
Responsabilidade legal do servidor
O uso inadequado de dados pessoais no serviço público pode gerar responsabilização administrativa, civil e, conforme o caso concreto, outras consequências legais. O servidor público responde pelos atos que pratica no exercício de suas funções.
🎭
Viés algorítmico
Modelos de IA são treinados com dados históricos que podem refletir e ampliar desigualdades. No serviço público, usar IA para decisões que afetam cidadãos sem revisão humana pode perpetuar discriminações estruturais.
📋
Falta de rastreabilidade
Documentos produzidos com IA devem ser identificados, revisados e validados pela servidora antes de qualquer uso oficial. A transparência sobre o uso de ferramentas automatizadas é um princípio da boa gestão pública.
Checklist de segurança
Verifiquei a política de dados da ferramenta: ela armazena o que eu envio? Usa para treinar modelos?
O conteúdo que vou inserir é público ou já foi anonimizado? Nunca use dados pessoais identificáveis em IA aberta.
O uso está alinhado com as normas do meu órgão? Verifique se há instrução normativa ou orientação interna sobre uso de IA.
Removi CPF, RG, nome completo e endereço do texto ou documento que vou usar.
Não há dados de saúde, biométricos ou de orientação sexual no conteúdo — esses são dados sensíveis com proteção reforçada na LGPD.
Não há processos sigilosos, segredos de justiça ou documentos de acesso restrito no que vou enviar.
Substituí identificadores por marcadores neutros quando necessário: [[NOME]], [[CPF]], [[ENDEREÇO]], [[DATA]].
Revisei o conteúdo gerado e não vou usá-lo como documento oficial sem leitura crítica e validação.
Verifiquei fatos, leis e dados citados: a IA pode alucinar com total confiança — a responsabilidade é minha.
Sei quem assina e responde: a IA não tem responsabilidade legal. Eu tenho.
Regra simples para lembrar
Antes de inserir qualquer conteúdo em IA aberta
Dado público → avalie o uso com revisão crítica do resultado
Dado pessoal → não inserir sem tratamento adequado de anonimização
Dado sensível, sigiloso ou restrito → não inserir em ferramentas abertas
Na dúvida → não use ferramenta aberta. Consulte a área de TI ou jurídica do seu órgão
"Tecnologia segura não é aquela que impede o uso — é aquela que garante que o uso seja responsável, rastreável e a serviço das pessoas."
Servidoras no Comando Digital