Sua empresa provavelmente já usa inteligência artificial. Talvez uma ferramenta que responde clientes no WhatsApp, que agenda reuniões, que analisa contratos ou que organiza dados. Essas ferramentas deixaram de apenas “sugerir” — hoje muitas agem sozinhas, executando tarefas sem aprovação humana a cada passo.
Isso traz ganho real de produtividade. Mas traz também uma pergunta que pouca gente faz antes de adotar: e quando algo der errado, quem responde?
A resposta, do ponto de vista jurídico, costuma surpreender o empresário: a responsabilidade é da sua empresa — não do fornecedor da ferramenta, não “da IA”. Neste artigo, traduzimos para a linguagem do negócio um conceito de segurança chamado Zero Trust e mostramos onde ele encontra a Lei Geral de Proteção de Dados (LGPD).
Por que uma IA que “age sozinha” é diferente de um software comum
Um sistema tradicional faz exatamente o que você manda, quando você manda. Um agente de IA é diferente — e cada diferença cria um risco jurídico novo:
- Autonomia: executa uma sequência de ações para atingir um objetivo. Um erro (ou um ataque) se espalha antes de você perceber.
- Acesso a ferramentas reais: conecta-se a e-mail, banco de dados, sistemas e serviços externos. Se um desses canais for comprometido, dados podem vazar.
- Interpreta linguagem natural: diferente de um comando exato, ele interpreta instruções — e essa interpretação pode ser manipulada.
- Memória entre conversas: pode “lembrar” informações de interações anteriores, o que cria novas exigências de proteção de dados.
Dois conceitos ajudam qualquer gestor a pensar nisso:
Raio de destruição: o dano máximo se algo der errado. Antes de dar acesso a uma IA, pergunte: “se ela for comprometida, o que um invasor consegue fazer?”
>
Privilégio mínimo: cada ferramenta deve ter acesso apenas ao que precisa. Uma IA de atendimento não precisa de acesso ao financeiro ou ao RH.
Os 5 riscos jurídicos de usar IA na empresa
- Manipulação por instrução escondida (injeção de prompt): alguém esconde uma ordem dentro de um documento, e-mail ou site que a IA vai ler — e ela passa a obedecer ao golpista, não a você. Pesquisas mostram que os modelos não distinguem com segurança uma informação inocente de uma instrução maliciosa embutida.
- Uso indevido de ferramentas: a IA encadeia ações legítimas de forma prejudicial — por exemplo, acessar a base de contatos e disparar mensagens, resultando em vazamento de dados de clientes.
- Excesso de acesso: a IA recebe mais permissão do que precisa. Quando comprometida, o estrago é proporcional ao acesso.
- Fornecedor comprometido: a própria ferramenta de IA contratada pode ter falhas ou ser maliciosa. Quem avaliou esse fornecedor?
- Memória contaminada: instruções maliciosas inseridas na memória da IA persistem e influenciam respostas futuras.
O que a LGPD exige da sua empresa nesse cenário
A LGPD não fala de “IA” com essas palavras, mas suas obrigações se aplicam integralmente quando há tratamento de dados pessoais:
- Dever de segurança — adotar medidas técnicas e administrativas para proteger os dados (LGPD, art. 46 e 47).
- Responsabilização e prestação de contas — demonstrar que adota medidas eficazes (art. 6, X). A empresa, como controladora, responde pelos danos (art. 42).
- Comunicação de incidente — em caso de vazamento que possa gerar risco, comunicar a ANPD e os titulares (art. 48).
- Contrato com fornecedor (operador) — quem trata dados em seu nome deve estar contratualmente vinculado a deveres de segurança (art. 39).
- Sanções — a ANPD pode aplicar advertência e multa de até 2% do faturamento, limitada a R$ 50 milhões por infração (art. 52; Resolução CD/ANPD nº 4/2023).
Em outras palavras: terceirizar a tarefa para uma IA não terceiriza a responsabilidade jurídica.
Como reduzir o risco (na prática)
Não é preciso abandonar a IA — é preciso usá-la com governança. Um roteiro inicial:
- Mapeie o que cada IA acessa e por quê.
- Escreva o que ela pode e o que não pode fazer (de forma explícita, não implícita).
- Exija aprovação humana para ações sensíveis (transações, dados sigilosos, contato com terceiros).
- Trate todo dado externo como não-confiável (documentos, e-mails, conteúdo da web).
- Tenha um plano de resposta a incidente pronto antes de precisar dele.
- Revise o contrato com o fornecedor da ferramenta.
Perguntas frequentes
Minha empresa é pequena. A LGPD se aplica mesmo assim?
Sim. A LGPD se aplica a qualquer empresa que trate dados pessoais, independentemente do porte. Há proporcionalidade na fiscalização, mas não isenção.
Se a falha foi da ferramenta de IA, a culpa não é do fornecedor?
A empresa que decide os fins e meios do tratamento é a controladora e responde perante o titular e a ANPD. Pode haver responsabilidade do fornecedor (operador), mas isso é resolvido entre as partes — não afasta a obrigação da empresa perante o cliente.
O que fazer nas primeiras horas após um vazamento?
Conter o incidente, avaliar o risco aos titulares, comunicar a ANPD e os afetados quando cabível, e documentar tudo. Um plano prévio acelera e reduz danos.
Preciso de um contrato específico para usar uma ferramenta de IA?
É altamente recomendável. O contrato com o operador (art. 39 da LGPD) deve prever segurança, responsabilidade por incidentes e tratamento de dados.
—
Este conteúdo é informativo e não substitui orientação jurídica para o caso concreto.
Davi Funchal Giannini — Advogado (OAB/MG 129.636), DFG Advocacia. Atuação em Direito Digital e LGPD, 100% digital, em todo o Brasil.
Ficou com dúvida sobre IA e proteção de dados na sua empresa? Tire sua dúvida pelo WhatsApp: (35) 3521-9412.
—
Advogado atuante em direito trabalhista e direito previdenciário (Revisões de Benefício Previdenciário, Planejamento de Aposentadorias, Aposentadoria do INSS e Servidores Municipais). Pós-graduado em Advocacia Trabalhista, Direito Empresarial, Direito Tributário e Ciências Penais pela Universidade Anhanguera/Uniderp e em Direito da Seguridade Social pela Universidade Cândido Mendes, Associado da AMAT. Advogado do Sindicato dos Servidores Públicos Municipais de Cássia/MG.