Opinião

Quem regula as IAs generativas já disponíveis?

Qual o limite da responsabilidade do fornecedor quando seu sistema, por sua arquitetura ou por falhas de moderação, produz conteúdos que lesionam terceiros?

juliana ikeda e alan campos thomaz
Fotos: Divulgação

Por Alan Campos Elias Thomaz e Juliana Sene Ikeda* — Modelos de linguagem de grande porte (LLMs) deixaram de ser promessa de laboratório e hoje operam em escala de massa, acoplados a redes sociais e aplicativos que centenas de milhões de pessoas usam todo dia. A pergunta que importa já não é se a inteligência artificial generativa deve ser regulada, mas como disciplinar os modelos que já estão disponíveis ao público. O Grok, IA generativa da empresa X (ex-Twitter) de Elon Musk integrada à plataforma, é o caso que escancarou as lacunas normativas e os riscos de permitir que essas ferramentas operem em larga escala sem salvaguardas legais adequadas.
Lançado com ambições de competir com grandes modelos de linguagem, o Grok chamou atenção pelo posicionamento provocador e por respostas desenhadas para “cortar amarras” com o que Musk define como “censura excessiva”. Mas o que se seguiu ultrapassou o marketing e antecipou um fenômeno regulatório global: o uso de IA para gerar conteúdos não consensuais e sexualizados, incluindo deepfakes com implicações éticas e legais profundas.
No fim de 2025, análises de milhares de imagens geradas pelo Grok revelaram que o chatbot atendia a pedidos de conteúdo sexualizado de pessoas reais, incluindo menores, a milhares por hora. Uma capacidade antes restrita a ferramentas especializadas tornou-se problema público em uma plataforma de alcance global.
A reação regulatória não tardou. Na Europa, abriram-se investigações sob o Digital Services Act (DSA) e o GDPR, e o regulador britânico Ofcom iniciou inquéritos sobre a produção de conteúdo sexualizado, enquanto a Comissão Europeia avaliava ampliar para a plataforma X suas apurações sobre os riscos do uso indiscriminado de IA.
A própria União Europeia mostra que o tema é mais complexo do que parece. Em maio de 2026, Parlamento e Conselho fecharam acordo provisório sobre o Digital Omnibus, as primeiras emendas ao AI Act: as obrigações para sistemas de alto risco, previstas para agosto de 2026, foram adiadas para dezembro de 2027, diante do atraso na elaboração das normas técnicas e da pressão para aliviar a carga regulatória sobre o setor. No mesmo pacote, porém, o bloco endureceu o regime. A disseminação de deepfakes de nudez gerados por IA, exatamente a conduta evidenciada no caso Grok, levou a um item novo e específico na lista de práticas proibidas do artigo 5º: ficam vedados os sistemas voltados a produzir imagens íntimas não consensuais e material de abuso sexual infantil, com conformidade exigida até 2 de dezembro de 2026. Adiar o núcleo da regra e endurecer proibições pontuais ao mesmo tempo mostra que regular IA é recalibragem constante, não marcha linear.
No Brasil, a Autoridade Nacional de Proteção de Dados (ANPD) emitiu a Nota Técnica nº 1/2026 da Coordenação-Geral de Fiscalização, que embasou a atuação do órgão diante das denúncias envolvendo o Grok. A nota trouxe interpretações relevantes sobre a aplicação prática da Lei Geral de Proteção de Dados (LGPD) aos conteúdos sintéticos produzidos por IA.
Segundo a ANPD, conteúdos gerados por IA que se refiram a pessoas naturais identificadas ou identificáveis são tratamento de dados pessoais, sujeito às obrigações da LGPD. A nota aponta que gerar imagens sintéticas a partir de fotografias de indivíduos, sobretudo com manipulações sexualizadas, pode configurar tratamento de dados pessoais e até sensíveis, exigindo rigor redobrado na conformidade.
Essa análise técnica serviu de base para que a ANPD, em conjunto com o Ministério Público Federal (MPF) e a Secretaria Nacional do Consumidor (Senacon), recomendasse à plataforma X medidas para impedir a geração e a circulação de conteúdos sexualizados envolvendo pessoas identificáveis, incluindo crianças e adolescentes. Diante de resposta considerada insuficiente, em 11 de fevereiro de 2026 os três órgãos converteram a recomendação em medida preventiva, determinando que o Grupo X implementasse de imediato, em todas as versões do sistema, medidas técnicas capazes de impedir esses conteúdos, sob pena de responsabilização.
O episódio evidencia um dos grandes debates da IA: quem responde quando um sistema gera conteúdo que potencialmente viola direitos fundamentais ou leis específicas? A fornecedora da tecnologia responde pelas criações da sua IA?
O caso também expõe o protagonismo que a ANPD assumiu sem que exista uma lei de IA em vigor. Com base nos artigos 55-A a 55-K da LGPD, a Autoridade fiscaliza qualquer uso de IA que envolva dados pessoais, sem aguardar o PL 2338/2023, que tramita na Câmara e propõe criar o Sistema Nacional de Regulação e Governança de IA (SIA). Não é inédito: em 2024, a ANPD já havia suspendido o uso de dados de brasileiros pela Meta para treinar seus modelos, liberado depois mediante plano de conformidade. Enquanto o marco específico não chega, a proteção de dados é o instrumento que disciplina a IA no Brasil.
As LLMs hoje disponíveis transcendem a lógica dos produtos de software tradicionais: sua capacidade criativa exige um arcabouço que vá além da transparência e avaliação de impacto sobre direitos fundamentais e segurança incorporada desde o design.
A governança de IA precisa ainda enfrentar a responsabilidade objetiva: qual o limite da responsabilidade do fornecedor quando seu sistema, por sua arquitetura ou por falhas de moderação, produz conteúdos que lesionam terceiros?
Seguindo a lógica recentemente aplicada ao Marco Civil da Internet e ao ECA Digital, a simples invocação de “conteúdo gerado por usuários” não isenta os desenvolvedores de IA. As autoridades podem exigir postura mais proativa e a criação de filtros que sinalizem e impeçam conteúdo claramente infrator.
O Grok será lembrado menos pela tecnologia que representa do que pela crise normativa que ajudou a expor: a de modelos generativos poderosos demais para ficarem fora do alcance da lei. Mas o desafio não se esgota em um produto. Ele está em construir um regime capaz de disciplinar as LLMs já disponíveis ao público, combinando proteção de dados, deveres de diligência e responsabilização, com rigor técnico e visão de futuro.

*Alan Campos Elias Thomaz e Juliana Sene Ikeda são sócios do Campos Thomaz Advogados