ANPD publica o 1º relatório do sandbox de IA: Metatext, Synapse AI e Prevvine sob supervisão desde março

ANPD divulga 1º Relatório Parcial do Sandbox Regulatório de IA: Metatext, Synapse AI e Prevvine mapeiam governança, segurança e transparência.

ANPD publica o 1º relatório do sandbox de IA: Metatext, Synapse AI e Prevvine sob supervisão desde março

Resumo: A Autoridade Nacional de Proteção de Dados (ANPD) publicou o 1º Relatório Parcial de Monitoramento do Sandbox Regulatório em IA, o projeto-piloto em que a agência acompanha três empresas de tecnologia — Metatext, Synapse AI e Prevvine Tecnologia — testando sistemas de IA em ambiente controlado desde março. O documento mapeia desafios técnicos, jurídicos e operacionais reais e sinaliza como a ANPD deve se posicionar quando a fiscalização passar do piloto para o regime geral.

O que é o Sandbox e como ele chegou aqui

O Sandbox Regulatório da ANPD começou pelo Edital nº 2/2025, publicado pela Superintendência de Inovação Tecnológica (Sitec). Depois de uma fase de nivelamento — capacitação em regulação e no ambiente experimental — concluída em fevereiro de 2026, as três empresas selecionadas entraram na fase prática em março. Nos quatro meses seguintes, elas operaram seus sistemas de IA sob supervisão da agência, com trocas técnicas e jurídicas contínuas e a obrigação de documentar decisões de projeto.

O objetivo do sandbox é duplo. Do ponto de vista das empresas, oferece segurança regulatória para testar sistemas inovadores sem correr o risco de virar caso de fiscalização durante o teste. Do ponto de vista da ANPD, funciona como laboratório de aprendizado: a agência precisa entender casos concretos antes de escrever regras. O Brasil, como muitas jurisdições, escolheu o caminho de aprender fazendo — em vez de importar regras de fora sem contexto local.

Quem são as três empresas — e o que os casos revelam

As três companhias representam nichos distintos do mercado brasileiro de IA aplicada. A Metatext trabalha com processamento de linguagem natural em ambientes corporativos e de setor público, com foco em classificação e triagem de conteúdo — o tipo de sistema em que decisões automatizadas afetam operações e cidadãos diretamente. A Synapse AI atua na fronteira de sistemas de assistência preditiva; casos de assistência preditiva expõem o núcleo do problema da LGPD com IA: quando o modelo cruza dados de várias fontes para gerar recomendações personalizadas, é preciso mapear bases legais e finalidade caso a caso. A Prevvine Tecnologia atua com sistemas voltados a prevenção e detecção — outra classe de aplicação em que erros e falsos positivos têm impacto humano e econômico significativo.

A ANPD registra que nesses quatro meses foram identificados desafios em governança, segurança, transparência e proteção de dados pessoais. Não é um relatório punitivo — é diagnóstico. Mas ao publicá-lo, a agência sinaliza os pontos que ela vai olhar com atenção quando o regime geral entrar em vigor: as empresas que já enfrentaram esses temas ganham vantagem para se posicionar.

Por que importa para as empresas brasileiras

Três leituras práticas. Primeiro, ganho de tempo: empresas que ainda não construíram sua governança de IA agora têm um roteiro concreto do que a ANPD considera relevante, com base em casos reais e não em papel importado. As áreas que aparecem no relatório — governança, segurança, transparência e proteção de dados — são as mesmas que devem estruturar programas internos.

Segundo, previsibilidade regulatória: o sandbox reduz o risco de que a fiscalização venha por surpresa. A ANPD publicou, em dezembro de 2025, o Mapa de Temas Prioritários para o biênio 2026-2027, colocando IA e tecnologias emergentes como um dos quatro eixos centrais de fiscalização. Com este relatório em julho, a agência mostra que já opera no eixo — e que virá com uma agenda tecnicamente informada, não com aplicação genérica de LGPD sobre IA.

Terceiro, diferencial competitivo para fornecedores de tecnologia. Empresas brasileiras que constroem stacks internos de IA responsável agora podem citar o sandbox como referência para o mercado. Multinacionais que operam no Brasil, especialmente em setores regulados (financeiro, saúde, público), passarão a exigir dos fornecedores documentação alinhada aos temas do relatório da ANPD.

Como isso conversa com o PL 2338

O relatório do sandbox chega em um momento delicado. O PL 2338/2023, marco legal da IA no Brasil, está na Câmara depois de aprovação no Senado em dezembro de 2024, e um projeto complementar do Executivo criou o Sistema Nacional de Desenvolvimento, Regulação e Governança de IA (SIA), formalizando o papel da ANPD como coordenadora — para corrigir o vício de iniciativa apontado no texto original. Se o PL avançar antes do recesso parlamentar de agosto, o sandbox se torna o primeiro exercício institucional que a lei vai encontrar já em andamento. Se não avançar, o sandbox e a atuação da ANPD via LGPD podem se tornar, na prática, o regime brasileiro de IA por mais alguns meses.

Riscos e limitações

É preciso ler o relatório com dois cuidados. Primeiro, ele é parcial: cobre quatro meses de operação de três empresas, número pequeno para generalizar comportamentos regulatórios. Segundo, ele reflete o entendimento da ANPD — importante e institucional, mas não único; setores regulados por outras autoridades (BCB, ANS, ANATEL, TCU, Ministério Público) podem interpretar os mesmos casos com ênfases distintas. Empresas devem consolidar os aprendizados do sandbox como um dos vetores, mas não como norma exclusiva.

Cenário para os próximos ciclos

Segundo a própria ANPD, os próximos ciclos aprofundarão análise técnica e regulatória em segurança digital, transparência, governança de dados, anonimização e produção de evidências. Traduzindo: os relatórios seguintes devem trazer mais detalhes sobre como avaliar risco, como documentar decisões de modelo e como demonstrar conformidade — assunto especialmente relevante para quem opera modelos de fundação estrangeiros com dados brasileiros.

Conclusão prática

Para as empresas brasileiras, três passos recomendados nas próximas semanas. Primeiro, ler o relatório integral no site da ANPD e mapear quais dos desafios apontados se aplicam à sua operação — não somente para reduzir risco, mas para construir a documentação que a fiscalização virá pedir. Segundo, revisitar o inventário de sistemas de IA em uso: quais tomam decisão automatizada, quais processam dados pessoais sensíveis, quais têm interface direta com consumidor. Terceiro, abrir canal com a Sitec: a ANPD tem sinalizado abertura para consultas técnicas, e empresas que se antecipam entram com vantagem na próxima rodada do sandbox, prevista para 2027.

Aviso: este texto tem finalidade informativa; decisões regulatórias e jurídicas específicas devem ser tomadas com apoio de profissionais habilitados em proteção de dados e direito digital.

Fonte: ANPD. Leia mais em ANPD — Publicados primeiros resultados do Sandbox Regulatório em Inteligência Artificial.