High angle of metal detachable padlock with numbers placed on boat in sunlight

Empresa quer adotar IA: cuidados jurídicos antes de começar

A adoção de sistemas automatizados no atendimento, na contratação e nas decisões internas promete eficiência, mas transfere ao negócio uma cadeia de obrigações legais cujo descumprimento expõe a empresa a sanções administrativas, ações indenizatórias e dano reputacional relevante.

O tratamento de dados pessoais como primeira linha de risco

Todo sistema automatizado que interage com clientes, candidatos ou colaboradores processa dados pessoais em larga escala. A Lei Geral de Proteção de Dados (Lei 13.709/2018) impõe que esse tratamento tenha finalidade legítima, base legal adequada e informação clara ao titular. Quando a empresa alimenta uma ferramenta de atendimento ou de triagem de currículos sem definir a hipótese legal que autoriza o uso, cria uma vulnerabilidade jurídica que a Autoridade Nacional de Proteção de Dados pode sancionar.

O risco se agrava quando os dados coletados para uma finalidade são reaproveitados para outra. Um assistente virtual de suporte que passa a nutrir modelos de perfilamento de crédito extrapola a finalidade original e viola o princípio da adequação. A empresa também responde por dados sensíveis, como saúde, biometria ou convicções, capturados de forma incidental, cujo tratamento exige salvaguardas reforçadas e, muitas vezes, consentimento específico do titular.

Minimização é a palavra de ordem. Sistemas automatizados tendem a coletar mais do que precisam, e cada dado excedente amplia a superfície de exposição em caso de incidente de segurança. A notificação de vazamentos à autoridade e aos titulares, quando há risco relevante, é obrigação legal, e a ausência de registro das operações de tratamento dificulta a defesa da empresa em eventual fiscalização.

A escolha da base legal define o que é permitido. O consentimento, quando utilizado, precisa ser livre, informado e específico, e pode ser revogado a qualquer tempo, o que obriga o sistema a interromper o tratamento. O legítimo interesse exige um teste de proporcionalidade documentado. Recorrer ao consentimento genérico embutido em termos de uso extensos é uma fragilidade frequente, facilmente questionável pela autoridade reguladora e pelo Judiciário.

Transparência e o dever de explicar decisões automatizadas

A opacidade é um dos maiores passivos dos sistemas automatizados. A Lei Geral de Proteção de Dados assegura ao titular o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses, incluídas aquelas destinadas a definir perfis pessoais, profissionais ou de consumo (artigo 20 da Lei 13.709/2018). Isso alcança diretamente a recusa automática de crédito, a reprovação de candidatos por triagem algorítmica e a suspensão de contas por sistemas antifraude.

Explicar não significa revelar o código-fonte, mas informar, em linguagem compreensível, os critérios e as consequências do processamento. A empresa que não consegue justificar por que um sistema negou um serviço ou descartou um currículo fica sem resposta diante do titular e do órgão regulador. A documentação dos parâmetros de decisão, portanto, deixa de ser detalhe técnico e passa a funcionar como instrumento de defesa.

A transparência também dialoga com a boa-fé objetiva nas relações de consumo. Ocultar do consumidor que ele conversa com um sistema automatizado, ou que sua solicitação foi decidida sem intervenção humana, pode configurar prática abusiva e informação inadequada, atraindo a responsabilidade prevista no Código de Defesa do Consumidor.

Quem não sabe explicar como o próprio sistema decide não tem defesa diante do titular do dado nem do regulador.

O dever de explicação revela um problema mais profundo. Sistemas automatizados aprendem com dados históricos, e dados históricos carregam as desigualdades acumuladas ao longo do tempo, prontas para serem reproduzidas em escala e com aparência de neutralidade técnica.

O consentimento, quando utilizado, precisa ser livre, informado e específico, e pode ser revogado a qualquer tempo, o que obriga o sistema a interromper o tratamento.

Viés algorítmico e o risco de discriminação

Um sistema de seleção treinado com o histórico de contratações de uma empresa reproduz os padrões desse histórico, inclusive os discriminatórios. Se no passado determinado perfil foi preterido, o modelo tende a perpetuar a exclusão, agora travestida de critério objetivo. A discriminação algorítmica é discriminação, e o ordenamento jurídico brasileiro a repele com firmeza, independentemente do meio empregado.

A Constituição veda distinções arbitrárias, e a Lei 9.029/1995 proíbe práticas discriminatórias para efeito de acesso à relação de trabalho. Recusar candidatos por critérios correlacionados a gênero, raça, idade ou origem, ainda que de forma indireta e não intencional, gera responsabilidade da empresa, e não do fornecedor da tecnologia. Para o Judiciário, quem se beneficia da automação responde por seus resultados.

O mesmo raciocínio alcança a precificação dinâmica, a concessão de crédito e a definição de limites de consumo. Tratar clientes de forma desigual com base em correlações estatísticas obscuras pode configurar prática abusiva e violar a isonomia contratual. A empresa precisa auditar periodicamente as saídas do sistema para detectar padrões discriminatórios antes que se convertam em litígio coletivo.

Provar que não houve discriminação é ônus que recai sobre a empresa. Sem registros das decisões, dos dados de treinamento e das revisões periódicas, o negócio chega a uma eventual disputa sem elementos para demonstrar diligência. A documentação técnica e jurídica do ciclo de vida do sistema, da concepção ao monitoramento, transforma-se em prova favorável e reduz o valor de eventual condenação.

Supervisão humana e responsabilidade por erros do sistema

Nenhum sistema automatizado afasta a responsabilidade de quem o utiliza. No campo do consumo, a responsabilidade do fornecedor por defeito na prestação do serviço é objetiva, independe de culpa (artigo 14 do Código de Defesa do Consumidor). Se o sistema de atendimento fornece informação incorreta, cancela um pedido legítimo ou nega um direito assegurado, a empresa responde pelo dano perante o consumidor e depois discute a falha com o fornecedor da solução.

Fora das relações de consumo, aplica-se o dever geral de indenizar por ato ilícito, com abertura para a responsabilização independentemente de culpa quando a atividade normalmente desenvolvida implicar, por sua natureza, risco para os direitos de outrem (artigo 927 do Código Civil e seu parágrafo único). A automação de decisões sensíveis, que atinge patrimônio, reputação ou acesso a serviços essenciais, aproxima o negócio dessa hipótese de risco agravado.

A supervisão humana é a principal salvaguarda. Manter uma pessoa capaz de revisar, contestar e reverter a decisão automatizada não é apenas exigência de transparência, é mecanismo de contenção de danos. O ponto de controle humano precisa ser real, com autoridade e tempo para agir, e não um carimbo formal que apenas ratifica a saída da máquina.

Governança: como reduzir a exposição jurídica

A mitigação começa antes da implantação. Mapear quais dados o sistema usa, com qual base legal e para qual finalidade é o primeiro passo de qualquer projeto responsável. A avaliação de impacto sobre a proteção de dados, quando o tratamento é de alto risco, documenta as decisões tomadas e demonstra diligência à autoridade reguladora, atenuando eventual sanção.

Os contratos com fornecedores de tecnologia merecem atenção redobrada. Cláusulas que definem responsabilidades, garantias de conformidade legal, direito de auditoria e obrigações de correção de falhas distribuem o risco de forma equilibrada. Sem previsão contratual, a empresa que contrata a solução costuma arcar sozinha com o passivo perante clientes e órgãos públicos, sem direito de regresso efetivo.

Um plano de resposta a incidentes fecha o ciclo de governança. Falhas acontecem, e a diferença entre um problema contornável e uma crise está na capacidade de identificar rapidamente o erro, corrigir a decisão, comunicar os afetados e, quando exigido, notificar a autoridade. Empresas que ensaiam esses procedimentos antes da crise preservam clientes, reduzem sanções e demonstram a diligência que os órgãos reguladores esperam de quem automatiza decisões relevantes.

Perguntas Frequentes

A empresa pode ser responsabilizada por um erro cometido por um sistema automatizado?

Sim. Quem adota a tecnologia e se beneficia dela responde pelos resultados perante o cliente e os órgãos públicos. Nas relações de consumo, a responsabilidade por defeito na prestação do serviço independe de culpa, bastando o defeito e o dano para gerar o dever de reparar. Nas demais relações, aplica-se o dever geral de indenizar, que pode assumir feição objetiva quando a atividade cria risco relevante para terceiros. A eventual falha do fornecedor é discutida em ação de regresso, e não afasta o dever imediato de reparar o prejudicado.

É obrigatório informar ao cliente que ele está sendo atendido por um sistema automatizado?

A transparência é dever legal, não cortesia. Ocultar do consumidor a natureza automatizada do atendimento, ou de uma decisão que o afeta, pode configurar informação inadequada e prática abusiva. O titular dos dados tem direito de solicitar a revisão de decisões tomadas unicamente por processamento automatizado que atinjam seus interesses. Informar de forma clara, no momento adequado, e oferecer um canal de contestação reduz o risco de questionamento judicial e reforça a boa-fé que deve reger a relação.

Como reduzir o risco de discriminação por parte de sistemas de seleção ou de crédito?

O caminho é a auditoria contínua das saídas do sistema, cruzando os resultados com critérios sensíveis para detectar padrões desiguais antes que virem litígio. Também é preciso revisar os dados que treinam o modelo, documentar os parâmetros de decisão e manter supervisão humana com autoridade real para corrigir distorções. Como a responsabilidade pelo resultado discriminatório recai sobre quem utiliza a ferramenta, e não sobre quem a desenvolveu, a prevenção deixa de ser custo e passa a ser proteção patrimonial do negócio.

As informações deste artigo são de caráter informativo e não substituem a consulta a um advogado especializado. Cada caso possui particularidades que exigem análise individualizada.

Base legal citada

Leia o texto integral e atualizado no CM Legis:

Ficou com dúvidas? Fale com um advogado especialista.

📱 Falar pelo WhatsApp

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

Posts Similares