Direito Digital & Compliance
Inteligência Artificial e LGPD nos Escritórios de Advocacia: Conformidade e Oportunidade
11 min
A Lei Geral de Proteção de Dados (Lei n.º 13.709/2018 — LGPD) representou uma transformação estrutural na maneira como organizações brasileiras devem tratar dados pessoais. Sancionada em 2018 e com plena vigência desde setembro de 2020, a LGPD estabeleceu um regime jurídico abrangente que alcança qualquer operação de tratamento de dados pessoais realizada no território nacional, com exceções muito limitadas.
Para os escritórios de advocacia, a LGPD tem dupla dimensão. Na primeira dimensão, a da conformidade, os escritórios são eles próprios controladores e operadores de dados pessoais de clientes, partes adversas, testemunhas, peritos e colaboradores internos, e devem estruturar suas operações em conformidade com os princípios e requisitos da lei. Na segunda dimensão, a da oportunidade profissional, o surgimento da LGPD criou uma demanda relevante por assessoria jurídica especializada por parte de empresas e organizações que precisam se adequar à norma.
Nesse cenário, a inteligência artificial desempenha dois papéis igualmente importantes: como ferramenta que o escritório adota para aumentar sua eficiência operacional (e que precisa ser avaliada sob a perspectiva da LGPD), e como recurso que o advogado especializado em proteção de dados pode utilizar para prestar serviços de assessoria em conformidade de forma mais eficiente. Esta intersecção entre IA, direito digital e proteção de dados é o tema deste artigo.
O Escritório de Advocacia como Controlador de Dados: Obrigações e Riscos
Todo escritório de advocacia trata dados pessoais no curso de sua atividade cotidiana. O cadastro de clientes, a correspondência com partes e tribunais, os documentos processuais que contêm informações pessoais das partes, os registros de colaboradores e estagiários, todos esses conjuntos de informações enquadram-se na definição de dados pessoais do art. 5º, I da LGPD.
Em algumas áreas, os escritórios tratam dados pessoais sensíveis (art. 5º, II), como dados de saúde em casos médicos ou trabalhistas envolvendo doenças ocupacionais, dados biométricos, informações sobre vida sexual ou orientação sexual em casos de família, e dados sobre a situação financeira dos clientes. Esses dados exigem requisitos de proteção mais rigorosos e embasamento legal específico (art. 11 da LGPD).
As obrigações do controlador incluem: definir e documentar as bases legais para cada atividade de tratamento (art. 7º e 11 da LGPD), elaborar a política de privacidade, nomear um encarregado de dados (DPO) quando aplicável, implementar medidas técnicas e administrativas de segurança (art. 46), e estar apto a responder a solicitações de titulares de dados (art. 18).
A ANPD (Autoridade Nacional de Proteção de Dados) tem competência para fiscalizar o cumprimento da LGPD e aplicar sanções que variam de advertência a multa de até 2% do faturamento da empresa no exercício anterior, limitada a R$ 50 milhões por infração. Escritórios de advocacia, como qualquer organização, estão sujeitos a essas sanções.
Avaliação de Plataformas de IA Sob a Ótica da LGPD
Quando um escritório de advocacia adota uma plataforma de IA jurídica, estabelece necessariamente uma relação de operação de dados pessoais com o fornecedor da tecnologia. O escritório (controlador) fornece dados pessoais ao fornecedor da IA (operador) para que este realize o processamento necessário à prestação do serviço.
Essa relação deve ser formalizada por instrumento contratual que contemple as exigências do art. 46, §1º da LGPD e do art. 39, observando especialmente:
Cláusulas de limitação de finalidade: O operador só pode tratar os dados pessoais para a finalidade especificada pelo controlador, que no caso é a elaboração e análise de documentos jurídicos. A utilização dos dados para treinamento de modelos de IA sem consentimento expresso é uma prática que viola essa limitação.
Medidas de segurança: O contrato deve especificar as medidas técnicas e administrativas implementadas pelo fornecedor para proteger os dados, criptografia em trânsito e em repouso, controles de acesso, logs de auditoria, política de incidentes.
Localização do processamento: Embora a LGPD não proíba o processamento internacional de dados, a transferência internacional deve observar os requisitos do art. 33, o que inclui, em geral, a existência de cláusulas contratuais específicas ou a localização do processamento em país com nível adequado de proteção.
Prazo de retenção e exclusão: O contrato deve estabelecer por quanto tempo os dados serão retidos e como serão eliminados ao término da relação contratual.
A avaliação rigorosa desses aspectos antes da adoção de qualquer plataforma de IA é uma obrigação do escritório controlador e, ao mesmo tempo, um serviço de compliance que advogados especializados em proteção de dados podem prestar a seus clientes corporativos.
Assessoria Jurídica em LGPD: Um Mercado em Expansão
Para advogados especializados ou em processo de especialização em direito digital e proteção de dados, a LGPD criou um mercado de assessoria jurídica robusto e em crescimento. Empresas de todos os setores, desde startups de tecnologia a grandes corporações industriais, precisam de orientação jurídica para estruturar seus programas de conformidade com a LGPD.
Os serviços de assessoria em LGPD incluem:
Mapeamento de dados e elaboração do registro de atividades de tratamento (ROPA): Identificação de todos os fluxos de dados pessoais da organização, das bases legais aplicáveis a cada atividade e dos terceiros que recebem os dados.
Elaboração de documentos de conformidade: Políticas de privacidade internas e externas, avisos de privacidade, termos de uso, contratos com operadores (Data Processing Agreements — DPAs), cláusulas contratuais padrão para transferência internacional.
Relatório de impacto à proteção de dados (RIPD): Exigido pelo art. 38 da LGPD para tratamentos de alto risco, o RIPD é um documento técnico-jurídico que avalia os riscos do tratamento e as medidas mitigadoras adotadas.
Resposta a solicitações de titulares e incidentes de segurança: Elaboração de processos e modelos de comunicação para responder às solicitações dos titulares de direitos (art. 18 da LGPD) e para notificação de incidentes à ANPD (art. 48).
Defesa em processos administrativos perante a ANPD: Elaboração de manifestações, recursos e impugnações em processos sancionatórios conduzidos pela ANPD.
A IA jurídica pode acelerar significativamente esses trabalhos, auxiliando na elaboração dos documentos de conformidade, na pesquisa das orientações da ANPD e na análise de contratos com fornecedores sob a perspectiva da LGPD.
Direito Digital Além da LGPD: Marco Civil, Crimes Cibernéticos e Regulação de IA
O direito digital no Brasil é mais amplo do que a proteção de dados. O Marco Civil da Internet (Lei n.º 12.965/2014) regula os direitos e deveres dos usuários, provedores e plataformas digitais, estabelecendo regime de responsabilidade civil dos intermediários e garantias como a neutralidade de rede. O Decreto n.º 8.771/2016 regulamenta aspectos técnicos do Marco Civil.
Os crimes cibernéticos são regulados pela Lei n.º 12.737/2012 (Lei Carolina Dieckmann), pela Lei n.º 13.718/2018 (crimes contra a dignidade sexual por meios digitais) e por dispositivos do Código Penal que foram atualizados para contemplar condutas praticadas por meios eletrônicos. A advogados que atuam nessa área, o artigo desta série sobre o uso de inteligência artificial no direito penal brasileiro oferece perspectivas complementares sobre a interseção entre tecnologia e processo penal.
O Projeto de Lei n.º 2.338/2023, que institui o marco regulatório da inteligência artificial no Brasil, está em tramitação no Congresso Nacional. Quando aprovado, criará novas obrigações para desenvolvedores e usuários de sistemas de IA, incluindo requisitos de transparência, explicabilidade e não discriminação algorítmica que terão impacto direto sobre escritórios de advocacia que utilizam ferramentas de IA.
Contratos de Tecnologia e Revisão de Termos de Serviço
Uma das demandas mais frequentes na assessoria jurídica em direito digital é a revisão e elaboração de contratos de tecnologia: contratos de desenvolvimento de software, contratos de SaaS (Software as a Service), acordos de nível de serviço (SLA), termos de uso de plataformas digitais, contratos de licenciamento de software e acordos de confidencialidade (NDA) em projetos de tecnologia.
Esses contratos têm particularidades técnicas que exigem do advogado familiaridade com os modelos de negócio digitais: o que é um SLA adequado, como estruturar a responsabilidade em caso de indisponibilidade do serviço, como tratar propriedade intelectual em projetos de desenvolvimento colaborativo, quais cláusulas de proteção de dados são indispensáveis à luz da LGPD.
A IA jurídica pode auxiliar o advogado especialista em direito digital a elaborar e revisar esses contratos com maior velocidade, identificando cláusulas problemáticas sob a perspectiva da LGPD e do Marco Civil, e verificando a conformidade com as melhores práticas contratuais do setor de tecnologia.
Como o Judex Transforma a Prática do Direito Digital com Inteligência Artificial
O Judex é uma plataforma que, por sua própria natureza, demonstra na prática a compatibilidade entre inteligência artificial e conformidade com a LGPD. Desenvolvida para o contexto jurídico brasileiro, a plataforma implementa os requisitos legais de proteção de dados desde sua concepção, o que os especialistas chamam de privacy by design (art. 46, §2º da LGPD).
Para advogados especializados em direito digital e proteção de dados, o Judex oferece uma ferramenta que acelera a elaboração de documentos de conformidade com a LGPD, a pesquisa de orientações da ANPD, a revisão de contratos de tecnologia e a elaboração de peças em processos administrativos perante a autoridade reguladora. Com conformidade nativa com a LGPD e criptografia de dados, a plataforma é, ela mesma, um exemplo do que a assessoria em proteção de dados orienta os clientes a buscar em seus fornecedores.
Com 99,9% de disponibilidade, mais de 12.000 advogados usuários e um histórico de 200.000 documentos gerados, o Judex oferece ao advogado de direito digital uma plataforma robusta e confiável. Para conhecer os planos disponíveis, acesse judex.io.
Perguntas Frequentes
P: O uso de IA em escritórios de advocacia é compatível com o sigilo profissional previsto no Estatuto da OAB? R: Sim, desde que a plataforma adotada implemente medidas técnicas adequadas de proteção dos dados. O sigilo profissional do advogado (art. 7º, II, da Lei n.º 8.906/1994) é um dever ético que não é violado pelo uso de ferramentas tecnológicas, desde que o profissional tome as precauções necessárias para garantir a confidencialidade das informações do cliente. A avaliação criteriosa da plataforma de IA sob a ótica da LGPD é parte dessas precauções.
P: Escritórios de advocacia precisam nomear um DPO (encarregado de dados)? R: A nomeação de DPO não é obrigatória para todos os controladores, a LGPD não estabelece critérios específicos de obrigatoriedade, e a ANPD ainda não regulamentou esse ponto de forma detalhada. Para escritórios de pequeno porte que tratam poucos dados pessoais sensíveis, a nomeação pode não ser obrigatória. Já para escritórios de grande porte ou que tratam dados sensíveis em escala, a nomeação é recomendada tanto por prudência quanto como demonstração de compromisso com a proteção de dados.
P: A LGPD aplica-se ao tratamento de dados pessoais de partes adversas nos processos? R: Sim. O art. 4º da LGPD traz exceções limitadas, que não incluem genericamente as atividades de advocacia. O tratamento de dados pessoais de partes adversas, testemunhas e terceiros no âmbito de processos judiciais encontra base legal no art. 7º, II (cumprimento de obrigação legal ou regulatória) ou no art. 7º, IX (exercício regular de direitos em processo judicial). O escritório deve identificar e documentar a base legal aplicável a cada tipo de tratamento.
P: Como a LGPD afeta a utilização de documentos com dados pessoais para pesquisa jurídica com IA? R: Esta é uma questão relevante. A inserção de documentos com dados pessoais identificáveis em plataformas de IA deve ser avaliada à luz das bases legais de tratamento e das políticas do fornecedor sobre uso dos dados para treinamento de modelos. Plataformas sérias comprometem-se contratualmente a não utilizar os dados dos clientes para treinamento sem autorização expressa. É recomendável anonimizar dados pessoais antes de inserir documentos em plataformas de IA sempre que possível.
P: Quais são as principais sanções que a ANPD pode aplicar a escritórios que descumprirem a LGPD? R: O art. 52 da LGPD prevê sanções administrativas que incluem: advertência com prazo para adoção de medidas corretivas; multa simples de até 2% do faturamento, limitada a R$ 50 milhões por infração; multa diária; publicização da infração; bloqueio ou eliminação dos dados pessoais a que se refere a infração; e suspensão ou proibição total das atividades de tratamento. A aplicação das sanções considera a gravidade da infração, a boa-fé do infrator e a cooperação com a ANPD.
Conheça o Judex — inteligência artificial jurídica para o direito brasileiro. Acesse judex.io →