IA e Responsabilidade Objetiva: Teoria do Risco da Atividade

A inteligência artificial já causa danos reais no mercado, e a teoria do risco da atividade pode ser a chave para responsabilizar quem lucra com sistemas autônomos.

O Avanço da Inteligência Artificial e os Novos Desafios da Responsabilidade Civil

Vivemos um momento de transformação profunda nas relações jurídicas. Sistemas de inteligência artificial tomam decisões que afetam crédito, saúde, emprego e segurança pública, muitas vezes sem qualquer intervenção humana direta. Quando essas decisões geram prejuízos, surge uma pergunta que o ordenamento jurídico brasileiro ainda enfrenta com dificuldade: quem responde pelo dano causado por uma máquina que “decide” sozinha?

A responsabilidade civil tradicional, construída sobre os pilares da culpa e do nexo causal direto entre agente humano e dano, não foi projetada para lidar com algoritmos que aprendem, adaptam-se e produzem resultados imprevisíveis até mesmo para seus desenvolvedores. Nesse cenário, analisamos como a teoria do risco da atividade, já consolidada no direito brasileiro, pode oferecer um caminho sólido para a proteção das vítimas de danos causados por sistemas de IA.

O desafio não é meramente teórico. Casos concretos já demonstram os efeitos práticos dessa lacuna: sistemas de reconhecimento facial que geram identificações equivocadas, algoritmos de concessão de crédito que discriminam grupos vulneráveis, veículos com sistemas de condução autônoma envolvidos em acidentes. Em todos esses cenários, a vítima encontra enorme dificuldade em demonstrar a culpa de um agente específico, seja o programador, o fabricante ou o operador do sistema.

A Teoria do Risco da Atividade no Direito Brasileiro

O parágrafo único do artigo 927 do Código Civil brasileiro estabelece que haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem. Trata-se da consagração legislativa da responsabilidade objetiva fundada no risco da atividade, um dos avanços mais significativos da codificação civil de 2002.

Essa cláusula geral de responsabilidade objetiva dispensa a comprovação de culpa por parte da vítima. Basta demonstrar o dano e o nexo causal com a atividade de risco exercida pelo agente. A racionalidade por trás dessa norma é clara: quem aufere lucro de uma atividade que, por sua própria natureza, cria riscos para terceiros deve suportar os ônus decorrentes da materialização desses riscos. É a aplicação direta do princípio ubi emolumentum, ibi onus (onde está o ganho, está o ônus).

A doutrina civilista brasileira desenvolveu, ao longo das últimas décadas, critérios consistentes para a identificação das chamadas “atividades de risco”. Verificamos que esses critérios consideram a probabilidade estatística de ocorrência de danos, a gravidade potencial das lesões, a vulnerabilidade das vítimas expostas ao risco e a capacidade econômica do agente para absorver e distribuir os custos dos acidentes. A atividade não precisa ser ilícita: basta que seja intrinsecamente arriscada.

Observamos que a jurisprudência brasileira já aplica a responsabilidade objetiva pelo risco da atividade em setores como transporte, energia, mineração e atividades nucleares. A pergunta que se impõe é se o desenvolvimento, a comercialização e a operação de sistemas de inteligência artificial configuram atividade de risco nos termos do artigo 927 do Código Civil.

Por que a IA configura atividade de risco?

Argumentamos que sim, e por razões bastante consistentes. Sistemas de IA de alta complexidade (especialmente aqueles baseados em aprendizado de máquina profundo) possuem características que os tornam particularmente enquadráveis na categoria de atividades de risco. Em primeiro lugar, são sistemas opacos: mesmo seus criadores frequentemente não conseguem explicar o raciocínio exato que levou a determinada decisão, fenômeno conhecido como “efeito caixa-preta”. Essa opacidade dificulta enormemente a atribuição de culpa individual.

Em segundo lugar, sistemas de IA operam em escala massiva. Um algoritmo de concessão de crédito pode afetar milhões de consumidores simultaneamente, amplificando o potencial lesivo de qualquer viés ou falha. Em terceiro lugar, a autonomia decisória desses sistemas os coloca em uma zona cinzenta entre o instrumento controlado pelo agente humano e o agente independente, tornando insuficientes os mecanismos tradicionais de responsabilização.

Quem lucra com o risco criado pela inteligência artificial deve responder pelos danos, independentemente de culpa, sob pena de transferir à vítima um ônus que ela não escolheu assumir.

A Cadeia de Responsabilidade nos Sistemas de Inteligência Artificial

Um dos problemas mais complexos na responsabilização por danos causados por IA é a multiplicidade de agentes envolvidos na cadeia de desenvolvimento e operação desses sistemas. Podemos identificar, ao menos, quatro categorias de sujeitos potencialmente responsáveis: o desenvolvedor do modelo de IA, o fornecedor dos dados de treinamento, o integrador que adapta o sistema para uso específico e o operador que o coloca em funcionamento no mercado.

A teoria do risco da atividade oferece uma solução elegante para esse problema. Em vez de exigir que a vítima identifique qual desses agentes agiu com culpa (tarefa frequentemente impossível), ela permite a responsabilização solidária de todos que participam da cadeia de criação do risco. Cada um desses agentes aufere benefícios econômicos da atividade e, portanto, deve responder proporcionalmente pelos riscos gerados.

No direito comparado, verificamos tendências semelhantes. A União Europeia, por meio do AI Act (Regulamento de Inteligência Artificial), estabeleceu um sistema de classificação de riscos que impõe obrigações diferenciadas conforme o grau de periculosidade do sistema de IA. A proposta de Diretiva de Responsabilidade por IA da Comissão Europeia introduziu mecanismos de facilitação probatória que, na prática, aproximam-se da responsabilidade objetiva para sistemas de IA de alto risco.

No contexto brasileiro, entendemos que o artigo 927, parágrafo único, do Código Civil já fornece base normativa suficiente para a responsabilização objetiva pelo risco da atividade de IA, sem necessidade de legislação específica. Contudo, uma regulamentação setorial traria maior segurança jurídica ao definir parâmetros claros para a classificação dos sistemas por nível de risco e para a distribuição de responsabilidades entre os agentes da cadeia.

Responsabilidade do operador versus responsabilidade do desenvolvedor

Uma distinção relevante que identificamos diz respeito à alocação de responsabilidade entre operador e desenvolvedor. O operador, que coloca o sistema de IA em contato direto com o público, assume responsabilidade objetiva equiparável à do fornecedor de produtos e serviços no Código de Defesa do Consumidor. Já o desenvolvedor pode ser responsabilizado solidariamente quando o dano decorre de defeito no projeto, no treinamento do modelo ou na ausência de mecanismos de segurança adequados.

Consideramos que a aplicação analógica do regime de responsabilidade por fato do produto (artigos 12 a 14 do Código de Defesa do Consumidor) é perfeitamente viável para sistemas de IA destinados ao consumo. Nesse regime, o fornecedor responde objetivamente pelos danos causados por defeitos do produto ou serviço, incluindo defeitos de concepção, fabricação e informação.

Excludentes de Responsabilidade e Limites da Teoria do Risco

A adoção da responsabilidade objetiva pelo risco da atividade não significa responsabilidade absoluta ou ilimitada. O agente pode exonerar-se demonstrando a ocorrência de caso fortuito externo (aquele que não guarda relação com os riscos próprios da atividade), fato exclusivo da vítima ou fato exclusivo de terceiro. Essas excludentes são aplicáveis aos danos causados por sistemas de IA com as devidas adaptações.

É necessário, porém, distinguir entre o fortuito interno e o fortuito externo. Falhas no algoritmo, vieses nos dados de treinamento, erros de processamento e comportamentos emergentes imprevisíveis constituem fortuito interno, inerente à atividade de risco, e não excluem a responsabilidade do agente. Apenas eventos verdadeiramente externos à atividade, como ataques cibernéticos de proporções extraordinárias ou catástrofes naturais que afetem a infraestrutura computacional, poderiam configurar excludentes legítimas.

Outro ponto que analisamos com atenção é a questão do consentimento informado do usuário. O simples fato de o usuário aceitar termos de uso de um sistema de IA não configura assunção de risco apta a excluir a responsabilidade do fornecedor, especialmente nas relações de consumo, onde a vulnerabilidade do consumidor é presumida. Cláusulas contratuais que limitem ou excluam a responsabilidade por danos causados por sistemas de IA são nulas de pleno direito nas relações de consumo, conforme o artigo 51 do Código de Defesa do Consumidor.

Destacamos ainda que a alegação de que o estado da arte tecnológica não permitia prever o dano (a chamada defesa do “estado da arte” ou state of the art defense) é insuficiente para excluir a responsabilidade objetiva pelo risco da atividade. Se o agente opta por desenvolver e comercializar um sistema cujos riscos não são plenamente conhecidos, ele assume a responsabilidade pelos danos que venham a se materializar, ainda que imprevisíveis no momento da concepção do produto.

Perspectivas Regulatórias e a Construção de um Marco Jurídico para a IA no Brasil

O Projeto de Lei 2.338/2023, que tramita no Congresso Nacional, propõe a criação de um marco regulatório para a inteligência artificial no Brasil. Em sua versão atual, o projeto adota uma abordagem baseada em riscos, classificando os sistemas de IA em categorias (risco excessivo, alto risco e risco não classificado) e atribuindo obrigações proporcionais a cada nível.

Para os sistemas de alto risco, o projeto prevê expressamente a responsabilidade objetiva do fornecedor e do operador, em consonância com a teoria do risco da atividade que defendemos neste artigo. Trata-se de uma escolha legislativa acertada, que reconhece a insuficiência do regime de culpa para a proteção adequada das vítimas de danos algorítmicos.

Contudo, observamos que o marco regulatório precisa ir além da mera previsão de responsabilidade. É fundamental que a legislação estabeleça mecanismos efetivos de governança algorítmica, incluindo obrigações de transparência, auditorias periódicas dos sistemas de IA, avaliações de impacto algorítmico e canais acessíveis para que os afetados possam contestar decisões automatizadas. Sem esses mecanismos complementares, a responsabilidade objetiva, embora necessária, será insuficiente para prevenir danos.

Propomos que a regulamentação brasileira adote um sistema de seguro obrigatório para atividades de IA de alto risco, inspirado no modelo de seguros obrigatórios já existente para atividades como transporte e construção civil. Esse mecanismo garantiria a solvência dos responsáveis e a efetiva reparação das vítimas, além de criar incentivos econômicos para que os desenvolvedores e operadores invistam em segurança e em mecanismos de mitigação de riscos.

Verificamos, por fim, que a regulação setorial (saúde, finanças, transporte, segurança pública) é igualmente importante. Cada setor apresenta riscos específicos que demandam regras proporcionais e adaptadas às suas particularidades. A inteligência artificial aplicada à saúde, por exemplo, exige padrões de segurança e transparência distintos daqueles aplicáveis à IA utilizada em sistemas de recomendação de conteúdo.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.