A intersecção entre a Lei Geral de Proteção de Dados (Lei 13.709/2018) e as ferramentas de inteligência artificial generativa impõe um desafio regulatório sem precedentes para os escritórios de advocacia. Ao processar dados de clientes em LLMs, o advogado atua simultaneamente como guardião técnico e controlador sob risco de responsabilização civil e disciplinar.
1. A Natureza Jurídica dos Atores e o Fluxo de Dados
Para compreender a aplicação da LGPD no uso de IA generativa, é imperativo fixar a qualificação jurídica de cada ente no fluxo de tratamento de dados pessoais. O escritório de advocacia, ao coletar dados de seus representados e decidir submetê-los a processamento por terceiros para confecção de peças ou análise contratual, atua indiscutivelmente como Controlador de Dados (art. 5º, VI, LGPD).
Por sua vez, a plataforma de IA generativa externa (OpenAI, Anthropic, Google Cloud) que recebe e processa esses dados atua na condição de Operadora de Dados (art. 5º, VII, LGPD). Contudo, essa relação de subordinação operacional só é juridicamente íntegra quando regulada por um Data Processing Agreement (DPA) robusto. Sem este contrato coligado, a inserção de dados pessoais configura compartilhamento irregular de dados, com responsabilidade solidária automática por eventuais incidentes.
O perigo do uso de contas de consumidor final
No uso de versões gratuitas ou planos voltados ao consumidor comum (ex: ChatGPT Free), as plataformas costumam incluir cláusulas de 'opt-out' invertido nos Termos de Uso. Nesses casos, os inputs enviados pelo usuário são utilizados para treinamento e refinamento contínuo dos modelos. Juridicamente, isso descaracteriza a plataforma como mera operadora e a torna co-controladora sem base legal legítima, configurando um vazamento de dados pontual para fins da LGPD e quebra de sigilo profissional.
2. Comparativo de Termos de Privacidade e DPA (OpenAI vs Anthropic vs Microsoft)
Antes de implementar ferramentas no fluxo de trabalho corporativo, o comitê de privacidade do escritório deve avaliar os termos de uso das APIs ou planos Team/Enterprise:
| Plataforma / Plano | Uso de Dados para Treino | Garantia de Confidencialidade | Retenção de Dados no Servidor | Status de DPA Oficial |
|---|---|---|---|---|
| ChatGPT Free / Plus | Sim (Opt-out manual necessário) | Fraca (Termos genéricos) | Indeterminada | Não disponível |
| ChatGPT Team / Enterprise | Não (Proibido contratualmente) | Forte (Criptografia AES-256) | 30 dias (para fins de abuso) | Sim (DPA padrão aplicável) |
| Claude.ai Pro / Team | Não (Para dados de chat corporativo) | Forte (Controles internos rígidos) | 28 dias (salvo exigência legal) | Sim (DPA sob requisição) |
| Microsoft Copilot M365 | Não (Isolamento de tenant do Azure) | Máxima (Grau empresarial e SOC 2) | Conforme política de e-discovery do cliente | Sim (DPA integrado ao contrato M365) |
3. O Enquadramento nas Bases Legais (Art. 7º, LGPD)
O tratamento de dados pessoais em ferramentas de IA deve ser amparado por uma base legal válida. Na advocacia, três se destacam:
- Execução de Contrato (Art. 7º, V): Aplicável quando o processamento de dados por IA for intrinsecamente necessário para a prestação do serviço jurídico contratado pelo cliente. Recomenda-se incluir uma cláusula expressa no contrato de honorários informando sobre a adoção de tecnologias auxiliares seguras.
- Consentimento do Titular (Art. 7º, I): Embora transparente, é uma base legal instável para a rotina interna do escritório, pois o consentimento pode ser revogado a qualquer momento pelo cliente, paralisando a utilização do sistema ou exigindo a exclusão manual dos logs.
- Interesse Legítimo (Art. 7º, IX): Pode fundamentar o processamento de dados de terceiros (ex: contraparte em uma demanda) para análise de riscos ou elaboração de defesa jurídica, desde que respeitado o teste de proporcionalidade (LIA - Legitimate Interest Assessment) e garantidos os direitos de oposição do titular.
4. Protocolo Prático de Anonimização de Dados Jurídicos
A forma mais eficiente de eliminar o risco regulatório da LGPD é impedir que dados pessoais cheguem aos servidores das IAs. A anonimização converte o dado pessoal em dado não-identificável, excluindo-o do escopo protetivo da LGPD (Art. 12). Siga este roteiro prático antes de submeter qualquer petição ou contrato à IA:
- Substituição Sistemática: Remova nomes próprios de pessoas físicas e substitua por variáveis genéricas (ex: [AUTOR_01], [CONTRATANTE_A]).
- Mascaramento de Documentos: CPFs, RGs e CNPJs devem ser mascarados por caracteres neutros (ex: [CPF_MAScarado]) ou substituídos por termos funcionais.
- Descaracterização Geográfica e Temporal: Endereços específicos, números de placas e datas específicas de nascimento devem ser generalizados (ex: [CIDADE_UF], [DATA_NASC]).
- Remoção de Elementos Narrativos Singulares: Histórias clínicas muito específicas ou detalhes de litígios familiares que permitam a identificação por dedução devem ser reduzidos a resumos abstratos.
Conclusão
A inteligência artificial não exime o advogado de suas obrigações legais de sigilo e zelo com os dados de seus clientes. O escritório moderno deve ver a conformidade com a LGPD não como um entrave, mas como um diferencial de mercado que transmite segurança institucional. Implemente a política de segurança, exija contas corporativas com DPA ativo da sua equipe e pratique a anonimização sistemática.
Perguntas frequentes
A LGPD proíbe o uso de IA na advocacia?
Não. A LGPD não proíbe a tecnologia — ela disciplina o tratamento de dados pessoais. O advogado pode usar IA desde que haja base legal para o tratamento, minimização dos dados enviados e garantias contratuais adequadas com o fornecedor da ferramenta.
Preciso de DPA para usar ferramentas de IA?
Para uso profissional com dados de clientes, sim: o contrato de tratamento de dados (DPA) formaliza a relação com o fornecedor como operador, define responsabilidades e é a principal evidência de diligência em caso de incidente.
Posso enviar dados de clientes para o ChatGPT?
Apenas em planos corporativos com DPA e treinamento desativado — e o recomendável é anonimizar antes: substituir nomes, CPFs e dados identificáveis por variáveis genéricas. Dado anonimizado sai do escopo da LGPD.
Quem responde se a ferramenta de IA vazar dados?
O escritório responde como controlador perante o cliente e a ANPD, podendo ter direito de regresso contra o fornecedor. Por isso a escolha da ferramenta, o DPA e a política interna de uso são decisões jurídicas, não apenas técnicas.
Leia também: IA na Advocacia: o Guia Completo