O Google segurou a estreia do seu chatbot de IA na União Europeia depois que a autoridade de privacidade pediu mais garantias sobre o tratamento de dados pessoais. Na prática, o recado do bloco é que produto de IA só entra em produção quando a empresa explica, com detalhes, quais dados usa, por quê, por quanto tempo e com quais proteções.
Por que o lançamento parou
Em junho de 2023, o Google adiou a chegada do Bard, seu chatbot de IA generativa na época, à União Europeia após questionamentos da Data Protection Commission (DPC) da Irlanda, que atua como autoridade líder para várias big techs com sede europeia no país. Segundo o que foi reportado, o ponto central foi a falta de informações suficientes para o regulador avaliar como o serviço lidaria com dados pessoais antes da estreia. Linktext.
Esse tipo de pausa não costuma significar “proibição definitiva”, e sim uma trava até que existam respostas documentadas, como avaliação de risco, base legal e controles de uso. Um mês depois, o Bard acabou sendo lançado no bloco e em dezenas de idiomas, justamente após a empresa endereçar as preocupações levantadas. Linktext.
O que entra na conta da privacidade
Chatbots parecem “só conversa”, mas quase sempre envolvem dados pessoais: texto digitado, contexto, histórico, IP, localização aproximada, preferências e, em alguns casos, informações sensíveis que o usuário acaba revelando sem perceber. Na UE, isso cai no escopo do GDPR, o regulamento europeu de proteção de dados. Linktext.
Checklist do regulador em linguagem direta
- Finalidade e minimização: coletar só o que é necessário para a tarefa, sem “aproveitar” o dado para outras finalidades.
- Base legal: deixar claro qual é a justificativa jurídica para tratar o dado, como consentimento, contrato ou interesse legítimo, quando aplicável. Linktext.
- Retenção e treinamento: definir por quanto tempo chats e metadados ficam guardados e se entram, ou não, no treinamento do modelo.
- Transferência internacional: explicar onde o dado é processado e quais salvaguardas existem quando ele cruza fronteiras.
- Direitos do titular: oferecer caminhos reais para acessar, corrigir, apagar e limitar o uso dos dados, com prazos e canais.
O incentivo para levar isso a sério é financeiro e reputacional. O GDPR prevê sanções que podem chegar a 20 milhões de euros ou até 4% do faturamento global anual, o que for maior, dependendo da infração e do caso. Linktext.
Para alinhar a aplicação do GDPR entre países, existe coordenação em nível europeu, com o European Data Protection Board (EDPB). Isso torna mais difícil “negociar” exigências diferentes em cada mercado, a régua tende a se padronizar.
Uma forma simples de ler o cenário é o triângulo Velocidade, Confiança e Conformidade. Quando a empresa tenta maximizar velocidade de lançamento sem investir em confiança e conformidade, o custo costuma aparecer como atraso, ajustes de última hora e risco regulatório.
Para quem está no Brasil, vale a comparação: a lógica é parecida com a LGPD, que também exige propósito, transparência e segurança, com fiscalização pela ANPD. Ter governança de dados pronta para o GDPR geralmente deixa a operação mais madura para a LGPD também. Linktext.
Como lançar sem cair em retrabalho
Um exemplo prático ajuda a enxergar o problema. Se o chatbot faz reservas e planeja viagens, ele pode inferir rotina do usuário, coletar localização e receber dados como restrições alimentares, que podem indicar informações sensíveis, dependendo do contexto.
Regra de decisão: se a equipe não consegue responder, antes do lançamento, “quais dados entram”, “qual a base legal”, “onde processa”, “por quanto tempo guarda” e “como o usuário apaga e faz opt-out”, o produto ainda não está pronto para um mercado com fiscalização forte.
- Começar com escopo menor: liberar recursos por fases, reduzindo o volume de dados e o risco.
- Configuração conservadora: não usar conversas para melhoria do modelo por padrão, a menos que isso esteja claramente explicado e controlável.
- Documentação e DPIA: preparar avaliação de impacto e materiais que respondam às dúvidas típicas do regulador antes do anúncio público.
O atraso do Google na UE virou um lembrete para o mercado: IA generativa não é só produto, é também governança. Quem trata privacidade como requisito de engenharia, e não como “texto de política”, tende a lançar mais rápido no longo prazo, porque evita refazer arquitetura sob pressão.