O art. 20 da LGPD garante ao titular o direito de solicitar revisão de decisões tomadas exclusivamente por meios automatizados. Para TI, isso significa audit log, explicabilidade e revisão humana como funcionalidades obrigatórias do sistema.
Por Anderson Chipak · ALC · Atualizado abr/2026
"O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive as destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade."
— Lei 13.709/2018, art. 20
Na prática: se o sistema toma uma decisão que impacta diretamente o titular (aprovação de crédito, negação de cobertura, precificação personalizada), o titular pode pedir uma explicação e uma revisão humana. O sistema precisa ter a capacidade de fornecer isso.
Sistemas de análise de crédito automatizada
Score de crédito, aprovação de empréstimo, limite de cartão. Altíssimo risco LGPD — decisão com impacto financeiro direto no titular.
Sistemas de elegibilidade de saúde
Negação de cobertura, autorização de procedimento por algoritmo. Dado sensível (art. 11) + decisão automatizada = maior grau de risco.
Precificação personalizada
Preços diferentes por perfil de cliente, dynamic pricing baseado em comportamento. Grau de risco moderado — depende do impacto.
Scoring de risco (antifraude, PLD)
Bloqueio automático de conta, alertas de PLD, classificação de cliente como suspeito. Decisão automatizada com impacto no titular.
Recomendações e personalização de conteúdo
Recomendação de produto, personalização de feed. Menor impacto direto no titular — risco regulatório mais baixo.
1. Audit log da decisão
Cada decisão automatizada que impacta o titular deve ser registrada com: input utilizado, resultado da decisão, timestamp, modelo/versão usada. O log precisa ser consultável para responder ao titular.
Exemplo: "Crédito negado em 14/04/2026 às 10:32. Score: 342. Fatores: histórico de atraso (peso 40%), renda (peso 35%), tempo de relacionamento (peso 25%)."
2. Explicabilidade da decisão
O sistema deve ser capaz de gerar uma explicação em linguagem inteligível para o titular. Não precisa revelar o modelo — precisa explicar "por que essa decisão foi tomada para essa pessoa".
Modelo de caixa preta sem explicabilidade (deep learning puro) é problemático. Modelos interpretáveis (árvores de decisão, regressão logística) são mais fáceis de adequar.
3. Mecanismo de revisão humana
Processo documentado para quando o titular solicitar revisão: quem analisa, em quanto tempo, com quais critérios, como a decisão pode ser revertida. Isso precisa estar no sistema (ticket, workflow) e no processo.
A revisão humana não precisa ser o caminho padrão — só precisa existir quando o titular pedir.
4. Comunicação da base legal
O titular deve saber que existe tratamento automatizado antes de ser submetido a ele. No sistema: aviso durante onboarding/cadastro, com opção de contestação documentada.
60 min de diagnóstico gratuito com Anderson Chipak — avaliação técnica dos controles de decisão automatizada.
Neste site
Alto risco
56% das empresas reguladas tomam decisões automatizadas com impacto direto no cliente. Apenas 23% têm audit log adequado. (Relatório ALC 2025)
→ Ver relatório completoRelacionado
Por Anderson Chipak — auditor de sistemas críticos · ALC
