Contratos de IA generativa com dados de clientes: o que o escritório precisa verificar
Termos de serviço de ferramentas de IA generativa frequentemente incluem cláusulas de uso de dados para treinamento. Para escritórios de advocacia, isso pode conflitar com o sigilo profissional e a LGPD.
Escritórios de advocacia que utilizam ferramentas de inteligência artificial generativa estão, em muitos casos, inserindo dados de clientes em sistemas operados por terceiros com termos de serviço pouco favoráveis ao sigilo profissional. A conveniência da ferramenta não suspende as obrigações do EOAB nem da LGPD.
Art. 7º, XIX, EOAB: o advogado é obrigado a guardar sigilo de tudo o que souber em razão de sua atividade profissional.
Algumas plataformas usam dados inseridos pelo usuário para aprimorar seus modelos, a menos que o opt-out seja configurado explicitamente.
Dois regimes de conformidade incidem simultaneamente: a lei de proteção de dados e o estatuto da advocacia.
O risco invisível nos termos de serviço
Ferramentas de IA generativa como assistentes de redação, revisores de contratos e sistemas de análise jurídica funcionam processando texto em servidores remotos operados pelo fornecedor. Esse texto pode incluir fatos do caso, qualificação das partes, estratégias processuais, documentos confidenciais e comunicações com o cliente.
O que acontece com esses dados depois que são processados depende dos termos de serviço do fornecedor. Algumas plataformas, especialmente em planos gratuitos ou básicos, incluem cláusulas que autorizam o uso dos dados inseridos para treinamento e aprimoramento dos modelos. Outras oferecem opt-out mediante configuração específica ou assinatura de planos empresariais com DPA (Data Processing Agreement). O problema é que a maioria dos escritórios não lê nem entende essas cláusulas antes de começar a usar a ferramenta.
As cláusulas que mais preocupam
Cláusula de treinamento de modelos
Verifica se o fornecedor reserva o direito de usar os dados inseridos para treinar ou aprimorar seus modelos de IA. Esta é a cláusula de maior impacto para o sigilo profissional e deve ser identificada e contratualmente excluída ou bloqueada via configuração explícita.
Retenção de dados e prazo de exclusão
Verifique por quanto tempo o fornecedor retém os dados processados. Prazos longos de retenção aumentam a exposição a incidentes de segurança e podem violar o princípio da necessidade da LGPD, que exige que os dados sejam mantidos apenas pelo tempo estritamente necessário.
Transferência internacional de dados
Muitos fornecedores de IA processam dados em servidores fora do Brasil. A transferência internacional de dados pessoais exige base legal adequada nos termos da LGPD e deve estar documentada no contrato com o fornecedor.
Ausência de DPA formalizado
A LGPD exige que o controlador, neste caso o escritório, formalize a relação com operadores, os fornecedores de IA, por meio de contrato que especifique as responsabilidades de cada parte. A ausência de DPA é, por si, uma irregularidade de conformidade.
Responsabilidade por incidentes de segurança
Verifique as obrigações do fornecedor em caso de incidente. A LGPD impõe ao controlador o dever de comunicar incidentes à ANPD e aos titulares afetados, e o contrato com o operador deve prever notificação interna no prazo compatível com esse dever.
Sigilo profissional e LGPD: dois regimes simultâneos
O art. 7º, XIX, do Estatuto da Advocacia estabelece que é direito do advogado recusar-se a depor como testemunha sobre fatos de que tomou conhecimento no exercício da profissão. Mais amplamente, o dever de sigilo abrange tudo o que o advogado souber em razão de sua atividade profissional, incluindo fatos, documentos e comunicações do cliente.
Inserir dados confidenciais de um cliente em ferramenta de IA operada por terceiro sem controle adequado sobre o destino desses dados pode configurar violação do sigilo profissional, especialmente quando os termos de serviço permitem uso dos dados além do escopo da prestação do serviço contratado.
A LGPD acrescenta uma camada adicional: o escritório, como controlador dos dados pessoais dos clientes, é responsável pelo tratamento realizado pelos operadores que contrata. Não basta que o fornecedor de IA seja tecnicamente confiável; é necessário que haja contrato que estabeleça as responsabilidades e que o tratamento seja adequado à finalidade declarada.
O que verificar antes de usar qualquer ferramenta de IA com dados de clientes
Antes de utilizar qualquer ferramenta de IA generativa com dados de clientes, o escritório deve verificar:
- Se os termos de serviço permitem o uso de dados inseridos para treinamento de modelos e, em caso positivo, como desativar essa opção de forma documentada.
- Se há plano empresarial com DPA disponível, garantindo que o fornecedor atue como operador com responsabilidades contratuais definidas conforme a LGPD.
- Onde os dados são processados e armazenados, para avaliar a conformidade com as regras de transferência internacional da LGPD.
- Qual é o prazo de retenção dos dados e se há mecanismo de exclusão sob demanda do controlador.
- Se o sistema permite uso com dados anonimizados ou pseudonimizados, o que reduziria o risco mesmo em planos sem DPA formalizado.
Comentário do escritório
A adoção de IA em escritórios de advocacia é legítima, eficiente e tende a crescer. O problema não é a tecnologia: é o contrato que governa seu uso. Termos de serviço que parecem padrão podem conter previsões incompatíveis com o sigilo profissional e a LGPD, e a ausência de leitura cuidadosa não é defesa em reclamação disciplinar ou processo administrativo perante a ANPD.
A estruturação de uma política de uso de IA no escritório começa pela revisão dos contratos com os fornecedores das ferramentas em uso. Esse é o passo mais negligenciado e, com frequência, o mais crítico. Uma hora de análise contratual pode evitar anos de exposição a risco disciplinar e regulatório.