Blog

Contratou uma ferramenta de IA? 4 cláusulas que o contrato da sua empresa precisa ter

A decisão de adotar uma ferramenta de inteligência artificial costuma ser tomada pela área de tecnologia ou de operações — e o contrato, quando existe, é o “termo de uso” padrão do fornecedor, aceito com um clique. O problema: esse termo é escrito para proteger o fornecedor, não a sua empresa.

Quando a ferramenta trata dados de clientes, funcionários ou parceiros, sua empresa é a controladora dos dados (LGPD, art. 5º, VI) e o fornecedor é o operador (art. 5º, VII). E a lei exige que essa relação seja regulada por contrato (art. 39). Abaixo, as quatro cláusulas que fazem diferença.

1. Tratamento de dados e finalidade (cláusula LGPD)

O contrato deve deixar expresso:

  • quais dados a ferramenta acessa e trata;
  • para qual finalidade (e a proibição de uso para finalidade diversa — por exemplo, treinar modelos do fornecedor com seus dados sem autorização);
  • a obrigação do operador de seguir as instruções da controladora e a própria LGPD (art. 39);
  • o destino dos dados ao fim do contrato (devolução ou eliminação).

Por que importa: sem isso, você perde controle sobre para onde vão os dados dos seus clientes — e responde por esse uso perante a ANPD.

2. Segurança da informação

A LGPD impõe ao controlador e ao operador o dever de adotar medidas de segurança (art. 46 e 47). O contrato deve prever:

  • padrões mínimos de segurança (criptografia, controle de acesso, registro de atividades);
  • a obrigação de comunicar incidentes ao seu negócio em prazo curto e definido, para que você cumpra o art. 48;
  • direito de auditoria ou apresentação de evidências (relatórios, certificações).

Por que importa: se o fornecedor for comprometido e demorar a avisar, quem perde o prazo de comunicação à ANPD é a sua empresa.

3. Responsabilidade e ressarcimento

Os termos padrão costumam limitar ao máximo a responsabilidade do fornecedor. O contrato deve equilibrar isso:

  • responsabilidade do operador por danos decorrentes de descumprimento de suas obrigações de segurança e da LGPD;
  • direito de regresso da sua empresa caso seja condenada por falha que foi do fornecedor;
  • atenção às cláusulas de limitação de responsabilidade e de foro/arbitragem (que muitas vezes jogam o litígio para fora do Brasil).

Por que importa: terceirizar a tarefa não terceiriza a responsabilidade perante o cliente — mas um bom contrato permite recuperar do fornecedor o que foi causado por ele.

4. Governança da ferramenta (fronteiras e auditabilidade)

Boa prática que o contrato pode incorporar:

  • definição do que a ferramenta pode e não pode fazer (acessos, integrações);
  • rastreabilidade — registros que permitam, em caso de incidente, saber o que a IA acessou e quando;
  • avaliação prévia do fornecedor (histórico de segurança, capacidade de resposta a falhas), inclusive para ferramentas de código aberto.

Por que importa: em uma fiscalização ou litígio, demonstrar governança é o que separa “fomos diligentes” de “fomos negligentes”.

Perguntas frequentes

O “termo de uso” que aceitei já não basta?

Geralmente não. Ele protege o fornecedor. A LGPD exige um instrumento que regule a relação controlador-operador (art. 39), com deveres de segurança e responsabilidade.

Ferramentas gratuitas ou estrangeiras mudam algo?

Mudam — e aumentam o cuidado. Transferência internacional de dados tem regras próprias (LGPD, art. 33), e ferramentas gratuitas costumam ter termos que permitem amplo uso dos dados.

Minha empresa é operadora, não controladora. Isso muda as cláusulas?

Muda a perspectiva, mas não a necessidade de contrato. O enquadramento (controlador/operador) deve ser analisado caso a caso.

Este conteúdo é informativo e não substitui orientação jurídica para o caso concreto.

Davi Funchal Giannini — Advogado (OAB/MG 129.636), DFG Advocacia. Direito Digital e LGPD, 100% digital, em todo o Brasil.

Vai contratar (ou já usa) uma ferramenta de IA? Tire sua dúvida pelo WhatsApp: (35) 3521-9412.

Deixe um comentário