O que está acontecendo
O Art. 20 da LGPD obriga qualquer empresa a explicar decisões automatizadas que afetam titulares de dados. Não é regulamentação nova. Existe desde agosto de 2020.
A ANPD já autuou empresas por descumprimento. O prazo para atender uma solicitação de revisão é de 15 dias.
Decisão automatizada é qualquer decisão tomada sem intervenção humana relevante: aprovação de crédito, definição de limite, triagem de candidatos, precificação personalizada, bloqueio de conta.
Por que isso é problema do CFO
O CFO é responsável pelos controles internos. Decisão automatizada sem trilha de auditoria é ausência de controle — não é questão técnica de TI.
Se um cliente questionar uma negativa de crédito e você não conseguir explicar os critérios usados, você tem duas exposições simultâneas: autuação da ANPD e litígio por discriminação algorítmica.
A lei não exige que você explique o algoritmo. Exige que você explique o critério de negócio. A distinção é importante — mas exige que o critério exista e esteja documentado.
O que acontece quando isso vai para auditoria
Em auditoria SOX de controles internos, decisão automatizada sem documentação é controle inexistente. O auditor não aceita "o sistema decide" como resposta.
Em auditoria de LGPD pela ANPD, ausência de processo de revisão é infração autônoma — independente de ter ocorrido dano.
Ressalva de auditoria gera custo de remediação. Dependendo da magnitude, pode exigir reemissão de controles e nova rodada de testes.
Impacto financeiro estimado
Multa ANPD: até 2% do faturamento bruto, limitado a R$ 50 milhões por infração. Cada decisão sem processo de revisão pode ser contada como infração separada.
Litígio por discriminação algorítmica: valor variável conforme dano demonstrado. Ações coletivas têm potencial de escala significativa.
Remediação emergencial de controles internos: custo de consultoria + nova auditoria + potencial reemissão de certificações.
O que fazer
- Mapear todos os sistemas que tomam decisões automatizadas sobre clientes — crédito, limite, bloqueio, triagem, precificação
- Para cada sistema: documentar o critério de negócio usado (não o algoritmo — o critério que o negócio aprovou)
- Criar processo formal para atender pedido de revisão em até 15 dias — com responsável nomeado
- Nomear um responsável pela decisão — não o sistema, uma pessoa com nome e cargo
- Testar o processo: simular um pedido de revisão e verificar se você consegue responder dentro do prazo
"Se você não consegue provar, você não controla. O problema não aparece no uso. Aparece na auditoria."