O problema que ninguém está discutindo

A maioria dos advogados que usa IA no escritório não fez nenhuma análise de conformidade com a LGPD. Simplesmente abriram o ChatGPT, colaram um contrato com nome, CPF e dados do cliente, e pediram uma análise. Funciona. E é um problema.

Não porque a LGPD proíbe o uso de IA. Ela não proíbe. O problema é que o advogado, ao alimentar uma ferramenta de terceiro com dados pessoais de clientes, assume responsabilidades que a maioria nem sabe que assumiu, e que podem gerar responsabilidade civil, sanções da ANPD e, no caso dos advogados, implicações deontológicas pelo dever de sigilo.

A boa notícia: com alguns critérios simples, é possível usar IA com segurança jurídica. O problema não é a tecnologia, é a ausência de processo.

O que a LGPD diz sobre tratamento de dados

A Lei Geral de Proteção de Dados (Lei 13.709/2018) regula qualquer operação realizada com dados pessoais, incluindo coleta, armazenamento, transmissão e processamento. Quando você insere dados de um cliente numa ferramenta de IA, está realizando um tratamento de dados pessoais nos termos da lei.

Para que esse tratamento seja lícito, precisa se encaixar em uma das bases legais do art. 7º da LGPD. As mais relevantes para o contexto jurídico são:

  • Execução de contrato (art. 7º, V), o tratamento é necessário para executar o contrato com o titular. Usar IA para analisar um contrato do cliente pode se enquadrar aqui.
  • Legítimo interesse (art. 7º, IX), tratamento necessário para atender interesse legítimo do controlador, desde que não prevaleçam interesses do titular.
  • Consentimento (art. 7º, I), o titular autorizou expressamente. É a base mais segura mas também a mais trabalhosa de implementar.
💡 Na prática: para a maioria dos usos de IA no escritório, a base de execução de contrato ou legítimo interesse é suficiente, desde que o uso seja proporcional, necessário e documentado.

A IA como operador de dados pessoais

Quando você usa o ChatGPT da OpenAI ou o Claude da Anthropic com dados de clientes, essas empresas se tornam operadoras de dados pessoais nos termos da LGPD, e você, como controlador, é responsável por garantir que elas tratem esses dados adequadamente.

Isso tem implicações práticas:

  • Você precisa verificar se a política de privacidade da ferramenta garante que os dados não são usados para treinar modelos sem consentimento.
  • No plano gratuito do ChatGPT, por padrão, as conversas podem ser usadas para treinamento. Nos planos pagos com a opção de memória desativada, isso muda.
  • O Claude da Anthropic, por padrão nos planos pagos, não usa as conversas para treinar modelos, mas verifique sempre os termos atuais.
  • Idealmente, o escritório deveria ter um DPA (Data Processing Agreement) com cada ferramenta utilizada. Grandes fornecedores como OpenAI e Anthropic disponibilizam esses contratos para clientes empresariais.
💡 Ação prática: Se você usa o ChatGPT Plus, acesse Configurações → Controles de dados → desative "Melhorar o modelo para todos". Isso impede que suas conversas sejam usadas para treinamento.

Os 4 riscos reais do uso descuidado

1. Violação do dever de sigilo profissional

O Código de Ética da OAB impõe sigilo absoluto sobre tudo que o advogado conhece no exercício da profissão. Inserir dados identificáveis de clientes em plataformas de terceiros sem as devidas garantias pode configurar violação desse dever, independentemente da LGPD.

2. Responsabilidade por vazamento de dados

Se a plataforma de IA sofrer um vazamento e dados de clientes do escritório estiverem expostos, o advogado pode ser responsabilizado como controlador que não tomou as medidas técnicas e organizacionais adequadas (art. 46 da LGPD).

3. Sanções da ANPD

A Autoridade Nacional de Proteção de Dados pode aplicar multas de até 2% do faturamento do grupo econômico no Brasil, limitadas a R$ 50 milhões por infração. Escritórios de advocacia são controladores de dados e estão sujeitos a essas sanções.

4. Responsabilidade civil perante o cliente

O cliente pode demandar reparação por danos morais e materiais decorrentes de tratamento inadequado de seus dados pessoais, incluindo o compartilhamento com terceiros sem base legal ou sem ciência do titular.

Como usar IA dentro da LGPD

A solução não é deixar de usar IA. É usar com critério. Na prática, aplico três filtros antes de inserir qualquer informação em uma ferramenta de IA:

Filtro 1, Este dado é necessário para o prompt?

Na maioria dos casos, não. Se você quer analisar cláusulas de um contrato, não precisa que o contrato tenha o nome real do cliente, CPF ou dados bancários. Anonimize antes de inserir. Troque o nome por "Contratante A", CPF por "000.000.000-00", valores sensíveis por "X". O resultado da análise será idêntico.

💡 Prompt de anonimização:

"Antes de analisar este contrato, substitua todos os dados pessoais identificáveis (nomes, CPFs, endereços, valores específicos) por marcadores genéricos como [NOME], [CPF], [ENDEREÇO], [VALOR]. Depois faça a análise jurídica do contrato anonimizado."

Filtro 2, A ferramenta tem as garantias adequadas?

Verifique se a plataforma: (a) tem política de privacidade compatível com a LGPD ou GDPR, (b) oferece opção de não usar dados para treinamento, (c) disponibiliza DPA para clientes empresariais. Para dados altamente sensíveis, considere ferramentas com processamento local ou APIs com acordos contratuais.

Filtro 3, O cliente sabe e concordou?

A forma mais segura de cobrir todas as bases é incluir no contrato de honorários uma cláusula informando que o escritório utiliza ferramentas de inteligência artificial como auxílio no trabalho jurídico, com quais garantias e para quais finalidades. Não precisa ser uma cláusula longa, uma ou duas frases já cumprem o dever de transparência.

O que nunca colocar numa IA

Independentemente da base legal ou das garantias contratuais, alguns dados nunca devem ser inseridos em ferramentas de IA sem processamento local ou acordos contratuais específicos:

  • Dados sensíveis do art. 5º, II da LGPD: saúde, biometria, origem racial, opinião política, crença religiosa, vida sexual
  • Informações sob segredo de justiça
  • Dados de menores de idade
  • Estratégia processual completa com identificação das partes
  • Informações sobre investigações criminais ou inquéritos em curso
  • Dados financeiros detalhados de clientes (extratos, patrimônio, dívidas)

Para esses casos, ou você anonimiza completamente antes de inserir, ou usa ferramentas com processamento local (sem envio para servidores externos), ou simplesmente não usa IA nessa etapa.

Veja também: IA e sigilo profissional, o que nunca colocar no ChatGPT.

Como criar uma política interna de IA no escritório

Se você tem colaboradores ou estagiários usando IA, precisa de uma política mínima. Não precisa ser um documento de 20 páginas, três páginas objetivas resolvem. O que ela deve conter:

  • Ferramentas autorizadas: quais plataformas o escritório aprova para uso e em quais condições (ex: ChatGPT Plus com memória desativada, Claude Pro com Projects)
  • Dados proibidos: lista explícita do que nunca pode ser inserido em IA
  • Obrigação de anonimização: protocolo padrão de como anonimizar documentos antes de inserir
  • Responsabilidade pela revisão: toda saída de IA deve ser revisada por advogado antes de ser usada, e isso deve estar documentado
  • Cláusula no contrato com clientes: informação sobre uso de IA e suas garantias
💡 Prompt para gerar o rascunho da política:

"Você é um especialista em LGPD e governança de dados. Redija uma política interna de uso de inteligência artificial para um escritório de advocacia com [X] advogados. A política deve cobrir: ferramentas permitidas, dados proibidos, obrigação de anonimização, responsabilidade pela revisão de outputs e comunicação aos clientes. Tom formal, linguagem objetiva, máximo 2 páginas."

O resultado vai precisar de revisão e adaptação para a realidade do seu escritório, mas é um ponto de partida sólido que você faria em horas, não dias.