A intersecção entre a Lei Geral de Proteção de Dados (Lei 13.709/2018) e as ferramentas de inteligência artificial generativa impõe um desafio regulatório sem precedentes para os escritórios de advocacia. Ao processar dados de clientes em LLMs, o advogado atua simultaneamente como guardião técnico e controlador sob risco de responsabilização civil e disciplinar.

1. A Natureza Jurídica dos Atores e o Fluxo de Dados

Para compreender a aplicação da LGPD no uso de IA generativa, é imperativo fixar a qualificação jurídica de cada ente no fluxo de tratamento de dados pessoais. O escritório de advocacia, ao coletar dados de seus representados e decidir submetê-los a processamento por terceiros para confecção de peças ou análise contratual, atua indiscutivelmente como Controlador de Dados (art. 5º, VI, LGPD).

Por sua vez, a plataforma de IA generativa externa (OpenAI, Anthropic, Google Cloud) que recebe e processa esses dados atua na condição de Operadora de Dados (art. 5º, VII, LGPD). Contudo, essa relação de subordinação operacional só é juridicamente íntegra quando regulada por um Data Processing Agreement (DPA) robusto. Sem este contrato coligado, a inserção de dados pessoais configura compartilhamento irregular de dados, com responsabilidade solidária automática por eventuais incidentes.

O perigo do uso de contas de consumidor final

No uso de versões gratuitas ou planos voltados ao consumidor comum (ex: ChatGPT Free), as plataformas costumam incluir cláusulas de 'opt-out' invertido nos Termos de Uso. Nesses casos, os inputs enviados pelo usuário são utilizados para treinamento e refinamento contínuo dos modelos. Juridicamente, isso descaracteriza a plataforma como mera operadora e a torna co-controladora sem base legal legítima, configurando um vazamento de dados pontual para fins da LGPD e quebra de sigilo profissional.

2. Comparativo de Termos de Privacidade e DPA (OpenAI vs Anthropic vs Microsoft)

Antes de implementar ferramentas no fluxo de trabalho corporativo, o comitê de privacidade do escritório deve avaliar os termos de uso das APIs ou planos Team/Enterprise:

Plataforma / PlanoUso de Dados para TreinoGarantia de ConfidencialidadeRetenção de Dados no ServidorStatus de DPA Oficial
ChatGPT Free / PlusSim (Opt-out manual necessário)Fraca (Termos genéricos)IndeterminadaNão disponível
ChatGPT Team / EnterpriseNão (Proibido contratualmente)Forte (Criptografia AES-256)30 dias (para fins de abuso)Sim (DPA padrão aplicável)
Claude.ai Pro / TeamNão (Para dados de chat corporativo)Forte (Controles internos rígidos)28 dias (salvo exigência legal)Sim (DPA sob requisição)
Microsoft Copilot M365Não (Isolamento de tenant do Azure)Máxima (Grau empresarial e SOC 2)Conforme política de e-discovery do clienteSim (DPA integrado ao contrato M365)

3. O Enquadramento nas Bases Legais (Art. 7º, LGPD)

O tratamento de dados pessoais em ferramentas de IA deve ser amparado por uma base legal válida. Na advocacia, três se destacam:

  • Execução de Contrato (Art. 7º, V): Aplicável quando o processamento de dados por IA for intrinsecamente necessário para a prestação do serviço jurídico contratado pelo cliente. Recomenda-se incluir uma cláusula expressa no contrato de honorários informando sobre a adoção de tecnologias auxiliares seguras.
  • Consentimento do Titular (Art. 7º, I): Embora transparente, é uma base legal instável para a rotina interna do escritório, pois o consentimento pode ser revogado a qualquer momento pelo cliente, paralisando a utilização do sistema ou exigindo a exclusão manual dos logs.
  • Interesse Legítimo (Art. 7º, IX): Pode fundamentar o processamento de dados de terceiros (ex: contraparte em uma demanda) para análise de riscos ou elaboração de defesa jurídica, desde que respeitado o teste de proporcionalidade (LIA - Legitimate Interest Assessment) e garantidos os direitos de oposição do titular.

4. Protocolo Prático de Anonimização de Dados Jurídicos

A forma mais eficiente de eliminar o risco regulatório da LGPD é impedir que dados pessoais cheguem aos servidores das IAs. A anonimização converte o dado pessoal em dado não-identificável, excluindo-o do escopo protetivo da LGPD (Art. 12). Siga este roteiro prático antes de submeter qualquer petição ou contrato à IA:

  • Substituição Sistemática: Remova nomes próprios de pessoas físicas e substitua por variáveis genéricas (ex: [AUTOR_01], [CONTRATANTE_A]).
  • Mascaramento de Documentos: CPFs, RGs e CNPJs devem ser mascarados por caracteres neutros (ex: [CPF_MAScarado]) ou substituídos por termos funcionais.
  • Descaracterização Geográfica e Temporal: Endereços específicos, números de placas e datas específicas de nascimento devem ser generalizados (ex: [CIDADE_UF], [DATA_NASC]).
  • Remoção de Elementos Narrativos Singulares: Histórias clínicas muito específicas ou detalhes de litígios familiares que permitam a identificação por dedução devem ser reduzidos a resumos abstratos.
⚠️ Importante: O uso de IAs locais (offline ou instaladas em servidores dedicados do escritório que rodam modelos open-source como Llama 3) elimina a necessidade de DPA internacional, mas ainda exige uma política rígida de controle de acesso a esses servidores e auditoria interna.

Conclusão

A inteligência artificial não exime o advogado de suas obrigações legais de sigilo e zelo com os dados de seus clientes. O escritório moderno deve ver a conformidade com a LGPD não como um entrave, mas como um diferencial de mercado que transmite segurança institucional. Implemente a política de segurança, exija contas corporativas com DPA ativo da sua equipe e pratique a anonimização sistemática.

Perguntas frequentes

A LGPD proíbe o uso de IA na advocacia?

Não. A LGPD não proíbe a tecnologia — ela disciplina o tratamento de dados pessoais. O advogado pode usar IA desde que haja base legal para o tratamento, minimização dos dados enviados e garantias contratuais adequadas com o fornecedor da ferramenta.

Preciso de DPA para usar ferramentas de IA?

Para uso profissional com dados de clientes, sim: o contrato de tratamento de dados (DPA) formaliza a relação com o fornecedor como operador, define responsabilidades e é a principal evidência de diligência em caso de incidente.

Posso enviar dados de clientes para o ChatGPT?

Apenas em planos corporativos com DPA e treinamento desativado — e o recomendável é anonimizar antes: substituir nomes, CPFs e dados identificáveis por variáveis genéricas. Dado anonimizado sai do escopo da LGPD.

Quem responde se a ferramenta de IA vazar dados?

O escritório responde como controlador perante o cliente e a ANPD, podendo ter direito de regresso contra o fornecedor. Por isso a escolha da ferramenta, o DPA e a política interna de uso são decisões jurídicas, não apenas técnicas.

Leia também: IA na Advocacia: o Guia Completo