Por que a interseção entre LGPD e inteligência artificial ainda é tratada de forma informal nos escritórios brasileiros
A Lei Geral de Proteção de Dados completou anos suficientes para deixar de ser novidade legislativa e tornar-se parte da paisagem regulatória cotidiana. Empresas montaram programas, contrataram encarregados, redigiram políticas internas, treinaram equipes. Em paralelo, e em ritmo muito mais acelerado, a inteligência artificial generativa entrou na rotina profissional brasileira. Esses dois movimentos, embora simultâneos, raramente são tratados como integrados nos escritórios de advocacia, departamentos jurídicos e instituições de ensino jurídico brasileiras. A consequência é um descompasso que pode parecer inofensivo no curto prazo, mas constitui passivo institucional crescente.
Quando se observa de perto como a maioria das organizações lida com a interseção entre essas duas pautas, percebe-se um padrão. A LGPD vive em um departamento, frequentemente associado ao compliance, ao jurídico interno ou ao escritório como prestador de serviço a terceiros. A inteligência artificial vive em outro, geralmente próximo à área de inovação, tecnologia ou comunicação. Cada um cuida de seu tema. Raramente os dois se encontram em uma análise integrada. A operação real do escritório, contudo, acontece exatamente na zona de interseção, e é justamente essa zona que permanece com governança informal.
A informalidade não é resultado de descuido individual. É consequência de uma leitura institucional que ainda não reconheceu, com clareza, que cada vez que um profissional submete um documento a uma ferramenta externa de inteligência artificial, há tratamento de dados pessoais com todas as implicações que a Lei lhe atribui. Essa não é interpretação ousada. É leitura básica, que vem sendo confirmada em manifestações da Autoridade Nacional de Proteção de Dados, em decisões judiciais incipientes e em diligências de clientes corporativos sofisticados.
A percepção intuitiva é insuficiente
A intuição predominante sugere que a LGPD se aplica ao tratamento de dados que a organização realiza intencionalmente, em sistemas internos sob seu controle, com finalidades formalmente declaradas. Para muitos profissionais, o uso casual de uma ferramenta de inteligência artificial pública para acelerar uma tarefa cotidiana não se enquadra nesse cenário. Trata-se, na percepção, de uma operação leve, individual, paralela aos sistemas institucionais.
Essa percepção é parcialmente sustentada pela aparência das ferramentas. O navegador parece privado. A conversa parece efêmera. A interface parece transitória. O resultado parece simplesmente texto que volta para o profissional. Em quase nada disso a estrutura técnica subjacente corresponde à aparência percebida. Os dados submetidos são processados em infraestrutura de terceiros, frequentemente em jurisdições distintas, sob políticas de retenção e treinamento que poucos profissionais analisam em detalhe. Quando esses dados contêm informações pessoais de clientes, e geralmente contêm, configura-se tratamento sob a Lei.
A consequência prática é que o uso difuso de inteligência artificial em uma organização que trata dados pessoais cria, em escala, um regime paralelo de tratamento. Esse regime paralelo opera fora das políticas internas, sem registros formais, sem base legal explicitada, sem avaliação de impacto, sem inclusão no mapeamento institucional. Quando uma fiscalização chegar, ou quando uma diligência sofisticada examinar com profundidade, o desencontro entre a política declarada e a operação real ficará exposto.
Há ainda outra dimensão pouco discutida. A interpretação adequada da LGPD em interseção com a inteligência artificial exige conhecimento técnico atualizado sobre o funcionamento dessas ferramentas. Não basta dominar a legislação. É preciso compreender como os modelos operam, onde os dados ficam, como são utilizados em treinamento, que diferenças existem entre as várias configurações de uso comercial. Essa compreensão técnica permanece concentrada em poucos profissionais, e essa concentração explica em parte a informalidade do tratamento institucional.
Aspectos invisíveis e subestimados
Existe uma dimensão da interseção entre LGPD e inteligência artificial que escapa à leitura inicial: o tratamento de dados pessoais nas saídas geradas. Quando um modelo produz uma minuta de contrato com base em informações fornecidas, ou um parecer com referências a casos concretos, ou uma análise estratégica que menciona nominalmente pessoas envolvidas, essa saída é, em si, tratamento de dados. A organização que utiliza a ferramenta tem responsabilidade sobre o que essa saída revela, sobre como ela é compartilhada, sobre quem terá acesso a ela.
Outra dimensão pouco lembrada é a relativa às transferências internacionais. A maioria das ferramentas mais utilizadas no Brasil opera em infraestrutura sediada no exterior. A Lei brasileira tem regime específico para transferências internacionais de dados pessoais, com exigências de adequação que poucas organizações cumprem formalmente quando submetem informações cotidianas a essas plataformas. Esse aspecto, ainda pouco discutido, pode adquirir centralidade em fiscalizações futuras.
Há também o aspecto da função de treinamento. Algumas configurações de ferramentas de inteligência artificial utilizam os dados submetidos para treinamento adicional do modelo. Em outras, essa função está desativada. A diferença é juridicamente relevante. Submeter dados pessoais a uma ferramenta cuja configuração não foi adequadamente estabelecida é abrir mão de proteções importantes sem que o profissional sequer perceba.
Por fim, há a dimensão dos direitos do titular. Quando dados pessoais foram submetidos a um sistema de inteligência artificial, o titular passa a ter, em tese, direitos sobre o tratamento desses dados, incluindo o direito de saber, o direito de acessar, o direito de pedir eliminação. Como esses direitos se exercitam quando o tratamento ocorreu em ferramenta de terceiro, em jurisdição diversa, sem registro formal pela organização que o realizou. Essa pergunta, ainda em aberto no direito brasileiro, tende a se materializar em casos concretos nos próximos anos.
Riscos da informalidade
Quando o tema é tratado informalmente, três riscos se acumulam progressivamente. O primeiro é o regulatório. A Autoridade Nacional de Proteção de Dados tem demonstrado, em manifestações públicas e em ações específicas, interesse crescente pela interseção com inteligência artificial. Diligências futuras, individuais ou setoriais, encontrarão organizações que não documentaram o tratamento, não definiram base legal, não realizaram avaliação de impacto, não comunicaram adequadamente os titulares. Essa exposição produz não apenas multa, mas registro público da fragilidade institucional.
O segundo é o contratual. Clientes corporativos sofisticados, especialmente em setores regulados, financeiros, governamentais e listados, têm incluído cláusulas específicas sobre tratamento de dados em conexão com inteligência artificial. Organizações que não conseguem responder com precisão a essas cláusulas, ou que assinaram contratos contendo declarações que não correspondem à operação real, criam passivo contratual que pode se materializar em qualquer momento da relação.
O terceiro é o reputacional. Em um cenário em que casos públicos sobre vazamento ou tratamento inadequado de dados em ferramentas de inteligência artificial começam a aparecer no Brasil, a organização que aparecer como objeto de um caso sofrerá não apenas as consequências jurídicas imediatas. Sofrerá um reposicionamento na percepção do mercado que poderá demorar anos para reverter.
Há ainda um quarto risco, ligado à dimensão internacional. Escritórios brasileiros que atendem clientes de jurisdições com regime mais rigoroso de proteção de dados, particularmente a União Europeia, podem ser submetidos a exigências contratuais que extrapolam o que a Lei brasileira hoje exige. Não estar preparado para essas exigências significa, em alguns casos, perder o cliente sem que se compreenda exatamente o motivo.
Critérios de uma abordagem madura
Algumas características reaparecem em organizações que conseguiram tratar a interseção entre LGPD e inteligência artificial com seriedade proporcional. A primeira é a integração institucional dos dois temas. Não há, na organização madura, uma área de proteção de dados desconectada da área de uso da inteligência artificial. Há um diálogo permanente, com pessoas que circulam entre os dois territórios e mantêm a leitura integrada.
A segunda é o mapeamento honesto da operação real. O que efetivamente acontece, em ferramentas externas, com que dados, em que volume, por quem. Esse mapeamento é desconfortável, porque revela frequentemente que a operação declarada não corresponde à operação real. Encarar esse desconforto é o que distingue maturidade institucional de cerimonial regulatório.
A terceira é a calibragem entre o uso e o regime contratual com fornecedores. Configurações específicas que protegem dados sensíveis. Contratos que estabelecem com clareza os limites técnicos e jurídicos do tratamento. Procedimentos para revogar ou ajustar relações que se tornem incompatíveis com exigências legais ou contratuais.
A quarta é a comunicação institucional consistente. Profissionais sabem o que podem e o que não podem submeter. Clientes recebem informação adequada sobre o uso de inteligência artificial em sua relação com a organização, quando isso for relevante. A Autoridade reguladora encontra, em eventual diligência, uma narrativa institucional coerente e documentada.
Implicações competitivas e reputacionais
Em mercados maduros, a integração entre LGPD e inteligência artificial está deixando de ser tema técnico e tornando-se sinal de qualidade institucional. Organizações capazes de articular uma postura clara e demonstrável projetam autoridade que se converte em decisões concretas de mercado. Atraem clientes sofisticados. Acessam mandatos relevantes. Conquistam visibilidade pública positiva. Recebem convites para integrar fóruns setoriais e iniciativas de regulação responsiva.
Em sentido contrário, organizações que tratam o tema com informalidade encontram, gradualmente, portas que se fecham sem aviso. Perdem licitações por exigências que não compreenderam plenamente. Veem clientes históricos diminuírem escopos contratados. Constatam que profissionais técnicos qualificados preferem trabalhar em ambientes percebidos como mais maduros institucionalmente.
A dimensão de longo prazo é particularmente relevante. O Direito brasileiro está construindo, nesse exato momento, o repertório interpretativo que orientará décadas de decisões sobre a interseção entre proteção de dados e inteligência artificial. Organizações que se engajarem nessa construção, com seriedade técnica e capacidade de contribuição doutrinária, ganharão posição de autoridade pública que será marca duradoura da casa.
Reflexão final
Por que a interseção entre LGPD e inteligência artificial ainda é tratada de forma informal nos escritórios brasileiros. Porque o tema atravessa fronteiras departamentais e exige integração que rompe rotinas estabelecidas. Porque a compreensão técnica das ferramentas exige atualização permanente que poucos profissionais conseguem sustentar. Porque o regime regulatório está em formação, e a aparência de fluidez do ambiente leva a uma falsa percepção de que ainda há tempo. Porque o tema, no curto prazo, parece menos urgente do que outras pautas que disputam a atenção institucional.
O tempo, contudo, está construindo uma realidade diferente da que essa percepção sugere. A maturidade na integração entre proteção de dados e inteligência artificial está se consolidando como elemento de avaliação institucional pelos clientes mais sofisticados, pelas autoridades regulatórias e pelo próprio mercado profissional. Organizações que se ocuparem dessa integração com profundidade real terão construído um ativo cuja replicação posterior é difícil. As que demorarem descobrirão, em algum momento, que a janela se fechou silenciosamente.
A NeuralLex e o trabalho de Jamille Porto se inscrevem nessa fronteira, ajudando escritórios, departamentos jurídicos e instituições brasileiras a transformar a informalidade atual em arquitetura institucional capaz de sustentar, com seriedade técnica, a interseção entre Lei Geral de Proteção de Dados e inteligência artificial no horizonte que se desenha.
