Não é novidade que a vigência da Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018), gradativamente incorporada ao ordenamento jurídico brasileiro especialmente a partir de agosto de 2020, transformou profundamente a forma como as empresas passaram a tratar os dados sob sua gestão.
Na atualidade, o incremento do uso da inteligência artificial adiciona a esse panorama uma complexidade singular. A IA, embora prometa melhoria do bem-estar social e aumento de eficiência em diversos ramos da economia, também gera menor previsibilidade quanto aos tipos de erros e às suas possíveis repercussões práticas. Quanto menor o controle humano sobre a IA aplicada — em especial nos sistemas semiautônomos —, mais complexa se torna a atribuição de responsabilidade entre fornecedor e usuário e, consequentemente, mais relevantes se tornam as medidas regulatórias, sejam elas estatais ou organizacionais.
O amplo acesso à informação, o grande volume de dados e a forma como são tratados, aliados ao uso crescente — e irreversível — da IA no cotidiano empresarial, criaram uma teia de fatores que precisa ser considerada quando ocorre uma “falha sistêmica”. Decisões cada vez mais frequentes dos tribunais nacionais acerca da responsabilidade de controladores e proprietários de plataformas têm consolidado o contencioso civil relacionado a incidentes de segurança da informação e vazamentos de dados como um ponto sensível na gestão empresarial.
Na prática, serviços de infraestrutura de Tecnologia da informação, sistemas, plataformas e operações de tratamento de dados deixaram de ser meros suportes operacionais para se tornarem parte essencial do próprio produto ou serviço oferecido pelas empresas. Como consequência, falhas sistêmicas, interrupções não programadas, bugs e, sobretudo, vazamentos de dados ultrapassaram o limite do risco operacional e passaram a configurar vulnerabilidades jurídicas relevantes para os processos decisórios das lideranças organizacionais e das instâncias de governança.
Surge, assim, um novo ramo do contencioso empresarial, que exigirá dos gestores uma revisão abrangente dos contratos firmados, das políticas de governança e, especialmente, do planejamento jurídico preventivo voltado à mitigação desses riscos.
Esse movimento não se limita ao âmbito corporativo. No plano normativo, observa-se um esforço contínuo do setor para promover regulamentos que orientem boas práticas e estabeleçam processos capazes de auxiliar a tomada de decisões. No cenário internacional, destacam-se instrumentos como o General Data Protection Regulation (GDPR), da União Europeia; o Act on the Protection of Personal Information (APPI), do Japão; o California Consumer Privacy Act (CCPA), dos Estados Unidos; e o Cybersecurity Act, regulamento do Parlamento Europeu e da ENISA que estabelece parâmetros para certificações europeias em cibersegurança de produtos, serviços e processos de tecnologia da informação e comunicação. O NIST Cybersecurity Framework, criado em 2014 pelo Instituto Nacional de Padrões e Tecnologia dos EUA, também prevê diretrizes relevantes para a gestão eficaz da segurança da informação e da cibersegurança no setor privado.
No Brasil, além da adoção de normas internacionais — como as do NIST, da ENISA e a ISO/IEC 27001 —, existem regramentos internos que disciplinam a responsabilidade pelo tratamento de dados pessoais, com destaque para a LGPD, em diálogo com o Código Civil e o Código de Defesa do Consumidor. Soma-se a isso a atuação da Autoridade Nacional de Proteção de Dados (ANPD), que, em sua Agenda Regulatória para o biênio 2025–2026, incluiu temas como parâmetros interpretativos para revisão de decisões automatizadas por IA e a fixação de padrões técnicos mínimos de segurança para a proteção de dados pessoais.
No plano judicial, o Recurso Especial nº 2.147.374/SP representa um marco teórico relevante. Julgado pela Terceira Turma do Superior Tribunal de Justiça, sob a relatoria do ministro Ricardo Villas Bôas Cueva, em dezembro de 2024, o acórdão fixou o conceito de “expectativa de legítima proteção” dos dados do titular, reafirmando a natureza constitucional dos dados pessoais (art. 5º, LXXIX, da Constituição Federal) e reforçando as obrigações de transparência e acesso impostas aos agentes de tratamento.
Diante desse cenário, espera-se de todos os agentes que integram a cadeia de tratamento de dados uma postura proativa, alinhada às melhores práticas de mercado e em conformidade com as normas regulatórias aplicáveis. Empresas que se estruturam administrativa e juridicamente para lidar de forma preventiva com esses desafios — por meio da revisão contratual, do estabelecimento de SLAs claros e exequíveis, da definição de métricas objetivas, da adoção de mecanismos de redundância, da implementação de programas de compliance com a LGPD e, quando possível, da previsão de cláusulas de limitação de responsabilidade (liability cap) — tendem a apresentar risco significativamente menor de judicialização.
Por Nathália Mariah Mazzeo Issa Vieira, Mestra em Direito, Professora universitária e
Advogada sênior Consultivo no Mandaliti Advogados
