A Agência Nacional de Proteção de Dados (ANPD) recentemente adotou medidas sucessivas no chamado “caso Grok”, envolvendo a manipulação de fotografias reais para inserção de pessoas em contextos íntimos e sexualizados pela ferramenta de IA integrada à plataforma X.
Após a publicação da Nota Técnica 1/2026/FIS/CGF/ANPD, em 20 de janeiro de 2026, e da Recomendação Conjunta expedida com o Ministério Público Federal e a Secretaria Nacional do Consumidor, os órgãos analisaram a manifestação apresentada pela plataforma e, em 11 de fevereiro, determinaram que o X implemente imediatamente medidas técnicas capazes de impedir a geração de conteúdos sexualizados pela ferramenta. Em conjunto, esses atos examinam o funcionamento do sistema e consolidam entendimentos sobre a aplicação da LGPD, do Código de Defesa do Consumidor e das normas de proteção de crianças e adolescentes a funcionalidades de IA generativa.
A Nota Técnica, elaborada pela Coordenação-Geral de Fiscalização da ANPD, analisou representações apresentadas por parlamentares e entidades da sociedade civil, além de testes técnicos realizados pela própria fiscalização. Esses testes demonstraram que o sistema de IA Grok conseguia manipular fotografias reais fornecidas pelo usuário para inserir a pessoa retratada em contexto íntimo e sexualizado, mesmo quando os bloqueios funcionavam em comandos exclusivamente textuais. A constatação levou a ANPD a afirmar a existência de indícios robustos de que as salvaguardas técnicas alegadas pela empresa eram, na prática, ineficazes.
Destaca-se que a Nota Técnica compreende que conteúdos sintéticos gerados por IA que reproduzam ou simulem pessoas naturais identificadas ou identificáveis constituem dados pessoais para fins da LGPD. Quando envolvem elementos biométricos, esses conteúdos passam a ser qualificados como dados pessoais sensíveis. Assim, deepfakes e manipulações sintéticas deixam de ser apenas um problema tecnológico e passam a configurar hipótese direta de tratamento de dados pessoais, submetida a base legal, finalidade compatível e deveres rigorosos de prevenção, segurança e governança.
O documento aponta, ainda, violação ao princípio da finalidade, ausência de base legal para tratamento de dados sensíveis, afronta à boa-fé e à confiança legítima dos titulares, especialmente porque a própria política do X proíbe nudez não consensual e deepfakes sexuais. Adicionalmente, a ANPD aponta o uso incompatível de dados tornados públicos e falhas nos deveres de segurança previstos nos arts. 46 e 49 da LGPD. A situação é considerada ainda mais grave quando envolve crianças e adolescentes, em razão do art. 14 da LGPD e das diretrizes do novo Estatuto Digital da Criança e do Adolescente.
Por sua vez, a Recomendação Conjunta de ANPD, MPF e Senacon ampliou o enquadramento para além da LGPD. Para os órgãos, a disponibilização de uma ferramenta cujo próprio desenho permite, de forma previsível, a geração de conteúdo ilícito caracteriza também falha na prestação do serviço e violação ao dever de segurança previsto nas normas de defesa do consumidor. O problema, segundo o entendimento conjunto, não decorre do usuário, mas da arquitetura da solução tecnológica, afastando a tese de neutralidade da plataforma.
Esse posicionamento ganhou novo desdobramento com a notícia oficial publicada pela ANPD informando que, após analisar a resposta apresentada pela empresa à Recomendação Conjunta, as autoridades consideraram as medidas anunciadas insuficientes. Testes posteriores indicaram que as falhas persistiam. Diante disso, ANPD e Senacon determinaram que o X implemente de forma imediata mecanismos eficazes para impedir que o Grok gere conteúdos sexualizados ou erotizados de crianças e adolescentes, bem como de adultos sem consentimento, em todas as versões da ferramenta, com prazo de cinco dias úteis para comprovação técnica das medidas adotadas. O MPF, por sua vez, determinou a apresentação de relatórios mensais detalhados sobre remoções e bloqueios relacionados ao uso abusivo do sistema.
Em conjunto, a atuação da ANPD, do Ministério Público Federal e da Secretaria Nacional do Consumidor no caso estabelece um parâmetro regulatório que ultrapassa a situação específica do Grok. Os atos demonstram que funcionalidades de IA capazes de alterar a representação de pessoas reais passam a ser enquadradas como tratamento de dados pessoais, inclusive sensíveis, e exigem controles técnicos efetivos desde a concepção da tecnologia, não sendo suficientes políticas internas ou remoções posteriores de conteúdo.
