Voltar ao site SAFIE →
Contratos e responsabilidade em IA

Contratos e responsabilidade civil em IA no Brasil

Por · · 4 min de leitura
Contratos e responsabilidade civil em IA no Brasil

Em 11 de maio de 2026, enquanto o mercado financeiro acompanhava a volatilidade do Ibovespa e operações de day trade em minicontratos, empresas de inteligência artificial enfrentavam um desafio silencioso e igualmente relevante para seus balanços: a ausência de contratos bem estruturados sobre responsabilidade civil em sistemas de IA.

O tema ganhou urgência porque a adoção de IA em processos críticos, como análise de crédito, triagem médica, automação jurídica e tomada de decisão em investimentos, criou uma lacuna perigosa. Quando o sistema erra, quem responde? O desenvolvedor, o contratante, o usuário final?

Este artigo examina o estado atual do direito contratual e da responsabilidade civil aplicados à IA no Brasil, com foco prático para founders, CTOs, advogados e contadores que precisam estruturar relações jurídicas seguras nesse setor.

Contexto jurídico e regulatório

O que diz o direito brasileiro sobre responsabilidade em IA

O Brasil ainda não possui uma lei específica sobre inteligência artificial. O PL 2.338/2023, aprovado pelo Senado em dezembro de 2024 e aguardando votação na Câmara dos Deputados, estabelece princípios e obrigações gerais, mas ainda não é lei. Até lá, o regime jurídico aplicável resulta da combinação de três diplomas principais.

O Código Civil (Lei 10.406/2002) é o ponto de partida. O artigo 186 define ato ilícito e o artigo 927 estabelece o dever de indenizar. Para fornecedores de IA que operam como empresas, o parágrafo único do artigo 927 pode impor responsabilidade objetiva quando a atividade, por sua natureza, implica risco para terceiros, o que é facilmente caracterizável em sistemas que tomam decisões automatizadas com impacto sobre pessoas.

O Código de Defesa do Consumidor (Lei 8.078/1990) entra em cena sempre que o usuário final do sistema de IA é um consumidor. Nesses casos, a responsabilidade do fornecedor é objetiva pelo artigo 14, independente de culpa. Isso inclui plataformas de saúde, educação, crédito e atendimento ao cliente baseadas em IA.

LGPD e a dimensão dos dados nos contratos de IA

A Lei Geral de Proteção de Dados (Lei 13.709/2018) adiciona uma camada decisiva. Sistemas de IA frequentemente processam dados pessoais para funcionar. O artigo 42 da LGPD prevê responsabilidade civil do controlador e do operador de dados por danos causados em violação à lei. A ANPD pode ainda impor sanções administrativas de até 2% do faturamento bruto da empresa no Brasil, limitadas a R$ 50 milhões por infração.

O artigo 20 da LGPD é particularmente relevante: garante ao titular o direito de solicitar revisão de decisões tomadas exclusivamente por tratamento automatizado de dados pessoais. Isso impacta diretamente modelos de IA usados em concessão de crédito, seleção de candidatos e avaliação de risco. Empresas que não preveem esse mecanismo contratualmente estão em desconformidade.

Contratos de fornecimento de IA precisam, portanto, mapear quem é controlador e quem é operador de dados, definir responsabilidades específicas para cada papel e incluir cláusulas de cooperação em caso de incidentes. Isso não é opcional: é exigência legal.

Impacto prático

Para founders e CTOs, o primeiro impacto prático é na estrutura dos contratos B2B. Um contrato de fornecimento de software de IA precisa ir além do SLA tradicional. Deve incluir cláusulas de alocação de risco para decisões automatizadas, limites de responsabilidade diferenciados conforme o tipo de dado processado, e obrigações de auditabilidade do modelo.

Cláusulas de limitação de responsabilidade, comuns em contratos de tecnologia, têm eficácia reduzida quando o dano envolve consumidor (CDC) ou violação de dados pessoais (LGPD). Founders que incluem caps genéricos de responsabilidade sem distinguir essas hipóteses podem ter surpresas desagradáveis em litígios. A recomendação técnica é segmentar as cláusulas por tipo de risco e pelo perfil do cliente.

Do ponto de vista contábil, a exposição a contingências passivas precisa ser provisionada. O CPC 25 (Provisões, Passivos Contingentes e Ativos Contingentes) exige que empresas registrem provisão quando a obrigação é provável e mensurável. Startups de IA com produtos em mercados sensíveis como saúde, crédito ou RH devem mapear sua exposição junto ao contador e ao advogado, e refletir isso no balanço e no disclosure para investidores.

Considerações finais

Contratos mal estruturados em IA não são apenas um risco jurídico: são um risco de negócio. Investidores em deep tech analisam cada vez mais o compliance contratual e regulatório como parte do due diligence. Uma startup com exposição não mapeada em responsabilidade civil ou em proteção de dados vale menos na prateleira de qualquer fundo sério.

O momento de estruturar esses contratos é antes do incidente, não depois. Com o PL 2.338/2023 avançando na Câmara e a ANPD ampliando sua capacidade de fiscalização, o ciclo de tolerância com descuidos regulatórios em IA está se encerrando. Founders, CTOs e seus assessores jurídicos precisam agir agora.

Perguntas frequentes

Quem responde civilmente quando um sistema de IA causa dano a um usuário no Brasil?

Depende da cadeia contratual e do tipo de relação. Se o usuário final é consumidor, o fornecedor do sistema responde objetivamente pelo CDC (art. 14). Em relações B2B, aplica-se o Código Civil, e a responsabilidade pode ser subjetiva ou objetiva conforme o risco da atividade (art. 927, parágrafo único). A LGPD também responsabiliza controlador e operador de dados por danos decorrentes de violação à lei.

É possível limitar contratualmente a responsabilidade de uma empresa de IA?

Sim, mas com restrições importantes. Cláusulas de limitação de responsabilidade são válidas em contratos B2B dentro do Código Civil. No entanto, não funcionam para afastar responsabilidade perante consumidores (CDC proíbe cláusulas abusivas) nem em casos de danos decorrentes de violação da LGPD. O contrato precisa ser segmentado por tipo de risco e perfil de cliente.

O que o artigo 20 da LGPD exige de sistemas de IA que tomam decisões automatizadas?

O artigo 20 da LGPD garante ao titular de dados o direito de solicitar revisão humana de qualquer decisão tomada exclusivamente por tratamento automatizado que afete seus interesses. Sistemas de IA usados em crédito, seleção de candidatos, saúde ou seguros devem prever esse mecanismo. Contratos com clientes também devem alocar a responsabilidade por viabilizar essa revisão.

Como uma startup de IA deve provisionar contabilmente os riscos de responsabilidade civil?

Pelo CPC 25, a empresa deve registrar provisão quando a obrigação de indenizar é provável e o valor é mensurável. Para startups em mercados sensíveis, o mapeamento de contingências passivas deve ser feito em conjunto com advogado e contador, e refletido nas demonstrações financeiras. Investidores e fundos de venture capital analisam esse disclosure no processo de due diligence.

O PL 2.338/2023 já está em vigor? O que muda quando for aprovado?

Não. O PL 2.338/2023 foi aprovado pelo Senado em dezembro de 2024 e aguarda votação na Câmara dos Deputados. Quando aprovado, deve estabelecer obrigações de transparência, avaliação de impacto algorítmico e requisitos específicos para sistemas de IA de alto risco. Empresas devem acompanhar o texto e iniciar a adequação preventiva, especialmente aquelas que operam em saúde, segurança pública, crédito e emprego.

Decisão jurídica ou contábil pendente?

A SAFIE atende founders e gestores com acesso direto aos sócios — jurídico e contabilidade integrados sob o mesmo teto. Conversamos para entender o caso antes de qualquer recomendação.

Falar com a SAFIE
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.