Pesquisar consumidores ficou mais arriscado. O fim dos cookies de terceiros no Chrome, a vigência plena da LGPD e a fiscalização crescente da ANPD criaram um ambiente em que qualquer ferramenta de research que dependa de dados pessoais identificáveis é um passivo jurídico esperando para acontecer. Para times de marketing de empresas com mais de R$500M de receita, isso não é problema do DPO, é problema do CMO que precisa de dado de consumidor para defender decisões de campanha e lançamento.

A saída não é parar de pesquisar. É pesquisar sem tocar em dados pessoais.

Por que dados sintéticos e LGPD estão em pauta ao mesmo tempo

Porque fim de cookies, vigência plena da LGPD e fiscalização ativa da ANPD chegaram juntos, tornando qualquer solução de pesquisa baseada em dados pessoais identificáveis um risco operacional real. Dados sintéticos respondem a essa pressão por design: não coletam dados pessoais identificáveis em nenhuma etapa do processo, eliminando o risco na origem.

Em 2024, o Google eliminou os cookies de terceiros no Chrome, encerrando 25 anos de rastreamento individual em larga escala. A LGPD está em vigor desde 2020, com fiscalização da ANPD intensificada a partir de 2023: o Brasil registrou mais de 1.400 incidentes de segurança reportados à ANPD entre 2021 e 2024 (ANPD, Relatório de Fiscalização, 2024). A combinação criou um ambiente em que qualquer ferramenta de pesquisa que dependa de rastreamento individual passou a ser um risco operacional documentado.

O que são dados sintéticos: definição técnica e jurídica

O que são dados sintéticos?

Dados sintéticos são gerados artificialmente por algoritmos que preservam as propriedades estatísticas de um conjunto de dados real, sem corresponder a nenhum indivíduo real. Juridicamente, não são dados pessoais nos termos do Art. 5º, I da LGPD porque não se referem a pessoa natural identificada ou identificável, eliminando as exigências de base legal, consentimento e DPA para o output gerado.

A definição técnica: dados sintéticos são criados por modelos de Machine Learning que aprendem os padrões estatísticos de um conjunto de dados real e geram novos dados que preservam esses padrões sem replicar registros individuais.

A definição jurídica relevante: o Art. 5º, I da LGPD (Lei 13.709/2018) define dado pessoal como 'informação relacionada a pessoa natural identificada ou identificável'. Dados sintéticos gerados pela plataforma Galaxies não satisfazem esse critério, o output não corresponde a nenhuma pessoa real e não pode ser revertido para identificar um indivíduo específico.

Dados sintéticos são legais no Brasil?

Sim. Dados sintéticos não são dados pessoais nos termos do Art. 5º, I da LGPD porque não se referem a pessoa natural identificada ou identificável. Não há base legal, consentimento ou DPA necessários para o uso de dados sintéticos em pesquisa interna, desde que os dados de entrada tenham sido tratados com as bases legais adequadas pelo próprio cliente.

A resposta é sim, com uma nuance importante: a legalidade do output (dados sintéticos) não elimina as obrigações sobre o input (dados reais usados para treinar o modelo). Os dados fornecidos como entrada precisam ter base legal adequada sob a LGPD.

Na prática, para o time de marketing isso significa: pesquisa de consumidor disponível 24h, sem processo de aprovação de coleta, sem exposição a multas da ANPD, que podem chegar a 2% do faturamento da empresa no Brasil, limitado a R$50 milhões por infração, conforme o Art. 52 da LGPD, e sem depender do calendário do DPO para aprovar cada projeto.

A ANPD ainda não publicou orientação específica sobre dados sintéticos até maio de 2026, mas a posição do EDPB europeu (European Data Protection Board, Guidelines on Pseudonymisation, 2025) alinha-se à interpretação de que dados que não permitem identificação de indivíduos estão fora do escopo das regulações de proteção de dados. Para empresas com operações no Brasil e na Europa, essa convergência é relevante.

Por que dados sintéticos são privacy-first por design

O que torna dados sintéticos privacy-first?

Quatro propriedades estruturais: não contêm referências a indivíduos reais; não podem ser revertidos para identificar pessoas; não requerem consentimento individual para uso em pesquisa; e eliminam o risco de vazamento de dados pessoais sensíveis, porque não existem dados pessoais no output.

1. Sem referência a indivíduos reais: as personas geradas não correspondem a nenhuma pessoa. Não há como partir de uma persona sintética e chegar a um indivíduo real.

2. Irreversibilidade: o processo de geração sintética não é reversível. Não existe técnica conhecida que permita reconstruir os dados originais a partir de um dataset sintético bem construído.

3. Sem exigência de consentimento: como não há dados pessoais no output, o uso, o compartilhamento e o armazenamento das personas não exigem nenhuma forma de consentimento individual.

4. Risco zero de vazamento de dados pessoais: mesmo que um dataset sintético seja exposto inadvertidamente, não há dados pessoais a serem comprometidos.

Pesquisa de mercado com dados reais vs. dados sintéticos: o que muda para o time de marketing

A diferença entre dados anonimizados e dados sintéticos

Qual a diferença entre dados anonimizados e dados sintéticos para fins da LGPD?

Dados anonimizados partem de dados pessoais reais e passam por desidentificação, com risco residual de re-identificação. Dados sintéticos são gerados artificialmente sem partir de registros individuais reais. A LGPD não se aplica a dados sintéticos, oferecendo proteção regulatória mais robusta que a anonimização.

LGPD vs GDPR: o que muda para pesquisa de mercado com IA

A abordagem de dados sintéticos da Galaxies é compatível com o GDPR europeu?

Sim. Tanto a LGPD brasileira quanto o GDPR europeu excluem das suas definições de dado pessoal dados que não se referem a pessoa natural identificada ou identificável. Para empresas com operações internacionais, a mesma abordagem serve para os dois regimes regulatórios.

Perguntas frequentes

Dados sintéticos são legais no Brasil?

Sim. Dados sintéticos não são dados pessoais nos termos do Art. 5º, I da LGPD porque não se referem a pessoa natural identificada ou identificável. Não há coleta nem tratamento de dados pessoais na geração de personas sintéticas pela plataforma Galaxies, eliminando as exigências de base legal e consentimento individual para o output.

Pesquisa de mercado com IA requer consentimento dos respondentes?

Com dados sintéticos, não. Como as personas geradas não correspondem a indivíduos reais, não há tratamento de dados pessoais que exija consentimento. Os dados de entrada seguem as bases legais adequadas, mas o output sintético está fora do escopo da LGPD.

Qual a diferença entre dados anonimizados e dados sintéticos para fins de LGPD?

Dados anonimizados partem de dados pessoais reais com risco residual de re-identificação. Dados sintéticos são gerados artificialmente sem partir de registros individuais. A LGPD não se aplica a dados sintéticos, oferecendo proteção regulatória mais robusta que a anonimização.

Como a Galaxies lida com os dados de entrada fornecidos pelo cliente?

Os dados de entrada são tratados com base legal adequada documentada em contrato com DPA. A plataforma não armazena dados pessoais de terceiros além do necessário para a geração do modelo e aplica anonimização antes do processamento de IA.

Como apresentar a abordagem de dados sintéticos para o DPO da empresa?

O argumento central é jurídico e direto: o output da plataforma Galaxies não é dado pessoal nos termos do Art. 5º, I da LGPD. Os dados de entrada continuam sujeitos à LGPD e tratados com base legal documentada em DPA. A aprovação do DPO recai sobre o processo de input, não sobre o uso das personas geradas.

Com o fim dos cookies de terceiros, como fazer pesquisa de consumidor em larga escala?

Dados sintéticos são uma das respostas estruturais ao cenário pós-cookie. Como não dependem de rastreamento individual nem de dados de navegação, a metodologia não é afetada pela depreciação de cookies de terceiros no Chrome ou por mudanças nas políticas de privacidade das plataformas.

Pesquisa de mercado com IA exige aprovação do jurídico antes de cada projeto?

Com dados sintéticos, não. A aprovação jurídica recai sobre o processo de input e é resolvida uma vez no contrato, não projeto a projeto. O output sintético pode ser usado, compartilhado entre departamentos e armazenado sem aprovação adicional do jurídico ou do DPO para cada uso.