Deepfakes e LGPD: o que sua empresa precisa controlar antes de usar imagem gerada por IA
Em fevereiro de 2026, o European Data Protection Board informou apoio a uma declaração conjunta da Global Privacy Assembly sobre imagens geradas por IA e proteção da privacidade. O documento, apoiado por dezenas de autoridades de privacidade ao redor do mundo, chamou atenção para sistemas capazes de gerar imagens e vídeos realistas de pessoas identificáveis sem conhecimento ou consentimento.
O alerta menciona riscos como conteúdo íntimo não consensual, representações difamatórias, exploração, cyberbullying e impactos especiais sobre crianças e grupos vulneráveis.
Para empresas, o assunto vai além de deepfakes maliciosos. Ele também alcança campanhas de marketing, peças institucionais, vídeos de treinamento, avatares, clones de voz, imagens de colaboradores, influenciadores e uso de IA generativa em redes sociais.
Imagem pessoal também é dado pessoal
Pela LGPD, dado pessoal é informação relacionada a pessoa natural identificada ou identificável. Imagem, voz, rosto, aparência, características físicas e outros elementos que permitam identificar alguém podem ser dados pessoais.
Quando uma empresa usa a imagem de uma pessoa, precisa ter finalidade, base legal, transparência e controle. Isso já era importante antes da IA. Com ferramentas generativas, o cuidado aumenta porque a tecnologia permite criar, alterar ou simular aparências de forma muito convincente.
Algumas situações merecem atenção:
- usar foto de colaborador em campanha interna ou externa;
- criar avatar com aparência semelhante a uma pessoa real;
- alterar imagem de cliente, aluno, paciente ou usuário;
- gerar vídeo sintético com rosto ou voz de alguém;
- usar imagem de crianças ou adolescentes em materiais digitais;
- criar peça publicitária com influenciador ou representante sem contrato claro;
- alimentar ferramenta de IA com fotos internas da empresa.
Mesmo quando a intenção é legítima, a falta de governança pode gerar conflito.
O risco não está só no conteúdo falso
Deepfake costuma ser associado a fraude ou difamação. Mas no contexto empresarial, o risco também pode estar em usos aparentemente inofensivos.
Um time de marketing pode usar IA para criar uma imagem inspirada em uma pessoa real. Um gestor pode pedir a um software para transformar uma foto de colaborador em vídeo. Uma agência pode usar banco de imagens sem verificar restrições. Um fornecedor pode reaproveitar material visual para treinar modelos. Um treinamento pode simular situações com rostos reconhecíveis.
Se a empresa não tem regras, cada área decide sozinha.
Isso cria risco de uso sem autorização adequada, desvio de finalidade, exposição indevida, dificuldade de retirada do conteúdo e danos reputacionais.
Consentimento não resolve tudo sozinho
Em muitos casos, o consentimento pode ser importante para uso de imagem. Mas ele precisa ser específico, informado e compatível com a finalidade.
Autorizar uma foto para crachá não é a mesma coisa que autorizar uso em campanha pública. Permitir uma gravação para treinamento interno não significa autorizar criação de um avatar comercial. Aceitar aparecer em um evento não implica concordar com edição por IA ou reutilização em anúncios.
Além disso, quando há relação de trabalho, criança ou adolescente, dados sensíveis ou desequilíbrio entre as partes, a empresa precisa avaliar com ainda mais cuidado se o consentimento é realmente adequado e livre.
Por isso, a governança deve combinar base legal, transparência, contratos, limites de uso e controles técnicos.
O que uma política de IA deveria prever
Empresas que usam ferramentas generativas deveriam ter regras claras sobre imagem, voz e identidade.
Uma política mínima pode tratar de:
- Usos permitidos e proibidos
Quais áreas podem usar IA generativa? Em quais situações é proibido usar imagem de pessoa real? - Consentimento e contratos
Quando é necessário obter autorização específica? O contrato com influenciadores, colaboradores ou fornecedores cobre edição por IA? - Crianças e adolescentes
Há regras reforçadas para uso de imagem de menores de idade? - Fornecedores de IA
A ferramenta usa imagens enviadas para treinamento? Onde os dados são armazenados? Há transferência internacional? - Revisão humana
Quem aprova conteúdos gerados por IA antes da publicação? - Remoção e resposta
Como a empresa atende pedidos de retirada, correção ou contestação? - Registro de decisões
A empresa documenta por que usou determinada imagem, com qual autorização e em qual campanha?
Marketing, RH e comunicação precisam estar juntos
Esse tema não pode ficar restrito ao jurídico. Marketing, comunicação, RH, produto, tecnologia e DPO precisam trabalhar juntos.
O objetivo não é impedir criatividade. É evitar que a empresa publique algo que pareça simples, mas envolva uma pessoa identificável sem controle adequado.
A regra prática é: se a imagem, voz ou aparência pode ser associada a alguém, trate como assunto de privacidade antes de publicar.
Como a TOGETHER pode apoiar
A TOGETHER apoia empresas na criação de políticas de IA, revisão de contratos e consentimentos, governança de imagem pessoal, análise de fornecedores, definição de fluxos para uso responsável de conteúdo gerado por IA e apoio contínuo com DPO as a Service.
IA generativa pode acelerar a criação de conteúdo. Mas quando envolve pessoas, a empresa precisa garantir que inovação não avance sem privacidade, segurança e respeito à dignidade dos titulares.
