# O que a LGPD exige antes de um escritório começar a usar inteligência artificial
Há um descompasso frequente entre a empolgação com a inteligência artificial e a atenção à proteção de dados. O escritório decide adotar a tecnologia, escolhe a ferramenta, começa a usá-la, e só depois, se acontecer, se pergunta o que a Lei Geral de Proteção de Dados tem a dizer sobre aquilo. Essa ordem inverte o que deveria acontecer. Usar inteligência artificial em um escritório significa, quase sempre, submeter dados pessoais a um sistema de processamento, e a LGPD incide sobre esse tratamento desde o primeiro uso, não a partir do momento em que alguém se lembra dela. A conformidade com a proteção de dados precede o uso da tecnologia, e tratá-la como um detalhe posterior é assumir um risco que a empolgação esconde.
O ponto de partida é reconhecer que a advocacia trabalha com dados sensíveis por natureza. Informações de clientes, documentos sigilosos, dados de processos, estratégias, conteúdos protegidos por sigilo profissional. Quando esses dados são submetidos a uma ferramenta de inteligência artificial, eles passam a ser tratados por um terceiro, processados em uma infraestrutura que o escritório não controla, sujeitos a políticas de uso que nem sempre foram lidas. A LGPD não é indiferente a esse movimento; ela o regula, e estabelece exigências que precisam estar atendidas antes que o tratamento comece, não depois que um problema apareça.
A tese deste texto é que a LGPD impõe ao escritório um conjunto de exigências que precedem o uso da inteligência artificial, e que cumpri-las é a condição para uma adoção responsável, e não um obstáculo a ela. Compreender o que a lei exige antes do uso é o que permite incorporar a tecnologia sem expor o escritório, e os seus clientes, a riscos que poderiam ter sido evitados.
O uso de inteligência artificial é tratamento de dados
A primeira compreensão necessária é a de que usar inteligência artificial sobre informações de clientes é tratar dados pessoais, e que a LGPD se aplica a esse tratamento. A lei define tratamento de forma ampla, abrangendo praticamente qualquer operação realizada com dados pessoais, do acesso ao processamento. Quando um escritório submete a uma ferramenta de inteligência artificial um documento que contém dados de um cliente, está realizando uma operação de tratamento, e essa operação está sujeita a todas as exigências da lei: base legal, finalidade, necessidade, segurança, transparência. Não há um regime especial que isente o tratamento por inteligência artificial dessas exigências; ao contrário, a sensibilidade dos dados envolvidos na advocacia torna o cuidado ainda mais necessário.
Essa compreensão tem uma consequência imediata: o escritório precisa saber o que acontece com os dados que submete à ferramenta. Para onde vão, onde são processados, se são armazenados, se são usados para treinar o sistema, quem tem acesso a eles, sob que garantias de segurança. Essas perguntas não são tecnicalidades; são o que define se o tratamento é compatível com a LGPD e com o sigilo profissional. Um escritório que submete dados de clientes a uma ferramenta sem saber as respostas a essas perguntas está tratando dados sem o controle que a lei exige, e essa falta de controle é, em si, uma forma de descumprimento.
A natureza da advocacia agrava a questão, porque ao tratamento de dados se soma o sigilo profissional, que é uma obrigação ética e legal autônoma. Submeter a uma ferramenta de inteligência artificial dados cobertos pelo sigilo profissional, sem as garantias adequadas, pode violar não apenas a LGPD, mas também o dever de sigilo, com as consequências disciplinares e de confiança que isso acarreta. A conformidade, no caso da advocacia, é, portanto, dupla: proteção de dados e sigilo profissional, ambos incidindo sobre o uso da tecnologia desde o primeiro momento.
As exigências que precedem o uso
A LGPD impõe exigências que precisam estar atendidas antes que o tratamento por inteligência artificial comece. A primeira é a definição de uma base legal e de uma finalidade. Todo tratamento de dados precisa de uma base legal que o autorize e de uma finalidade legítima e específica. Antes de submeter dados a uma ferramenta, o escritório precisa saber sob qual base legal o faz e para qual finalidade, e essa finalidade não pode ser desviada. Submeter dados de um cliente a uma ferramenta para uma finalidade diferente daquela para a qual foram coletados, ou sem base legal que autorize, é tratar dados em desconformidade, ainda que com a melhor das intenções.
A segunda exigência é a da segurança e da avaliação do agente de tratamento. A LGPD exige que o responsável adote medidas de segurança capazes de proteger os dados, e isso inclui avaliar a ferramenta para a qual os dados serão enviados. O escritório precisa conhecer as garantias de segurança da ferramenta, as suas políticas de tratamento, a sua conformidade com a proteção de dados, antes de confiar-lhe os dados dos clientes. Adotar uma ferramenta sem essa avaliação é transferir dados a um terceiro sem verificar se ele os protege, o que contraria o dever de segurança que a lei impõe. A avaliação do fornecedor é, portanto, um passo prévio indispensável, não uma formalidade.
A terceira exigência é a da transparência e do respeito aos direitos dos titulares. Os clientes, como titulares dos dados, têm direitos que a LGPD assegura, e têm uma expectativa legítima sobre como os seus dados são tratados. O escritório precisa ser capaz de informar como utiliza a inteligência artificial sobre os dados dos clientes, de responder aos titulares sobre o tratamento, de respeitar os seus direitos. Isso pode exigir ajustes nos termos com os clientes, na política de privacidade, nos procedimentos internos. Essas adequações precisam preceder o uso, porque a transparência e o respeito aos direitos não são atendidos retroativamente; ou estavam em ordem quando o tratamento ocorreu, ou o tratamento ocorreu em desconformidade.
A conformidade como condição da adoção, não como obstáculo
Há uma tendência a ver essas exigências como obstáculos à adoção da inteligência artificial, burocracia que atrasa o que se quer fazer logo. Essa percepção é equivocada e perigosa. As exigências da LGPD não são obstáculos à adoção; são a condição de uma adoção responsável, que protege o escritório e os seus clientes. Tratá-las como burocracia a ser contornada é assumir riscos que podem se materializar em incidentes, em violações de sigilo, em sanções, em perda de confiança dos clientes, com consequências muito mais graves do que o tempo investido na conformidade teria custado. A conformidade prévia é o que torna a adoção segura, e a segurança é uma condição do valor que a tecnologia pode gerar.
A conformidade prévia tem, além disso, um valor que vai além de evitar riscos. Um escritório que adota a inteligência artificial com a proteção de dados em ordem demonstra aos seus clientes um cuidado com as informações que lhes foram confiadas, e esse cuidado é um elemento de confiança. Em um momento em que a preocupação com dados cresce, o escritório que pode mostrar que usa a tecnologia com responsabilidade sobre os dados se diferencia daquele que a usa sem critério. A conformidade, portanto, não é apenas proteção contra riscos; é também um ativo de confiança, e essa confiança é parte do que sustenta a relação com o cliente.
Construir essa conformidade prévia exige um trabalho que combina o conhecimento da proteção de dados, da tecnologia e da operação do escritório. É um trabalho jurídico e organizacional, que define bases legais, avalia fornecedores, ajusta procedimentos, estabelece critérios sobre quais dados podem ser submetidos a quais ferramentas. Esse trabalho leva tempo e precede o uso, e é justamente por isso que precisa começar antes da empolgação com a ferramenta, e não depois que ela já está em uso e os dados já foram submetidos. A ordem importa, porque a conformidade que protege é a prévia, não a que se tenta montar depois que o tratamento já aconteceu.
Conclusão
A LGPD incide sobre o uso da inteligência artificial em um escritório desde o primeiro tratamento de dados, e impõe exigências que precisam estar atendidas antes que esse uso comece. Usar a tecnologia sobre informações de clientes é tratar dados pessoais, e esse tratamento está sujeito à base legal, à finalidade, à segurança, à avaliação do fornecedor, à transparência e ao respeito aos direitos dos titulares, tudo isso somado ao dever de sigilo profissional que a advocacia carrega. Essas exigências precedem o uso, porque a conformidade que protege é a prévia, e não a que se improvisa depois que os dados já foram submetidos.
A consequência prática para o escritório é inverter a ordem da empolgação. Antes de escolher a ferramenta e começar a usá-la, definir as bases legais, avaliar o fornecedor, ajustar os procedimentos, estabelecer os critérios sobre quais dados podem ser tratados e como. Esse trabalho não é um obstáculo à adoção, é a condição de uma adoção responsável, que protege o escritório e os clientes e que se converte em um ativo de confiança. A inteligência artificial pode fazer diferença na advocacia, mas a diferença que vale a pena é a que se constrói sobre a proteção de dados, e não a que a ignora até que um problema obrigue a olhar para ela.
A NeuralLex e o trabalho de Jamille Porto se voltam exatamente para essa conformidade prévia, apoiando escritórios na construção das bases legais, na avaliação de fornecedores e na adequação dos procedimentos que a LGPD exige antes do uso da inteligência artificial, para que a adoção da tecnologia seja responsável desde o primeiro dado tratado.
Fontes: Lei nº 13.709/2018 , LGPD (https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm).
A NeuralLex, sob responsabilidade técnica de Jamille Porto, desenvolve formações, diretrizes e soluções para organizações jurídicas que precisam incorporar Inteligência Artificial com método, governança, segurança e responsabilidade profissional.
