LGPD e IA nos escritórios: o que muda na prática

Por SAFIE · 6 de junho de 2026 · 4 min de leitura

Uma pesquisa divulgada pela InfoMoney em junho de 2026 mostra que quase metade dos escritórios de advocacia brasileiros já utiliza inteligência artificial em atividades centrais, como triagem de contratos, análise de jurisprudência e automação de peças processuais. A IA saiu do laboratório e virou operação.

Esse movimento é relevante para além do mercado jurídico. Escritórios de advocacia processam diariamente dados pessoais sensíveis: informações de saúde em ações trabalhistas, dados financeiros em recuperações judiciais, registros criminais em defesas penais. Quando esses dados alimentam sistemas de IA, o enquadramento regulatório muda de forma significativa.

Para startups que desenvolvem LegalTech, para CTOs que integram APIs de IA em fluxos jurídicos e para founders que vendem SaaS para escritórios, entender o que a LGPD exige nesse contexto deixou de ser opcional. É condição de contrato e, em breve, de licença de operação.

Contexto jurídico e regulatório

O que a LGPD diz sobre IA no tratamento de dados jurídicos

A Lei 13.709/2018 (LGPD) não menciona inteligência artificial de forma explícita, mas seus princípios incidem diretamente sobre qualquer sistema automatizado que trate dados pessoais. O artigo 20 é o ponto mais crítico para aplicações de IA: ele garante ao titular o direito de solicitar revisão humana de decisões tomadas exclusivamente por meios automatizados que afetem seus interesses.

Em contexto jurídico, isso significa que se um sistema de IA classifica automaticamente a viabilidade de uma ação, estima valores de indenização ou filtra contratos com base em perfis de risco, o titular dos dados tem direito a questionar essa decisão e exigir revisão por pessoa natural. Escritórios e fornecedores de tecnologia precisam ter esse fluxo documentado e operacional.

Os dados tratados em processos judiciais frequentemente se enquadram como dados sensíveis pelo artigo 11 da LGPD: saúde, origem racial, convicções religiosas, dados genéticos e registros de infrações. O tratamento desses dados por IA exige base legal específica, que em geral será o exercício regular de direitos (artigo 11, inciso II, alínea d) ou tutela da saúde (alínea f). Usar "legítimo interesse" para justificar esse tratamento é um erro comum e arriscado.

A Autoridade Nacional de Proteção de Dados (ANPD) publicou em 2023 o Regulamento de Comunicação de Incidentes de Segurança (Resolução CD/ANPD nº 4/2023) e segue desenvolvendo sua agenda regulatória para IA. O Projeto de Lei 2.338/2023, o marco regulatório brasileiro de IA aprovado pelo Senado em 2024 e em tramitação na Câmara, cria camadas adicionais de obrigações para sistemas de IA considerados de alto risco, categoria que inclui explicitamente aplicações em serviços jurídicos e administração da Justiça.

Impacto prático

Para startups e empresas que fornecem soluções de IA para escritórios de advocacia, a posição contratual importa muito. Se a empresa é operadora (processa dados em nome do escritório), precisa ter um Acordo de Processamento de Dados (DPA) assinado, com cláusulas que definam finalidade, prazo de retenção e medidas técnicas de segurança. Sem esse documento, o contrato com o escritório está incompleto do ponto de vista regulatório, e a responsabilidade solidária prevista no artigo 42 da LGPD se aplica.

Do lado contábil, o risco regulatório de LGPD precisa aparecer no balanço de risco das empresas que levantam capital ou se preparam para M&A. A ANPD pode aplicar multas de até 2% do faturamento da empresa no Brasil, limitadas a R$ 50 milhões por infração (artigo 52 da LGPD). Para uma LegalTech com receita de R$ 10 milhões anuais, isso representa uma exposição potencial de R$ 200 mil por evento, valor que due diligences de investidores já começam a quantificar formalmente.

CTOs que integram modelos de linguagem (LLMs) de terceiros, como GPT-4, Claude ou Gemini, em fluxos que envolvem dados de clientes de escritórios precisam mapear o fluxo de dados com precisão: o dado sai do Brasil? Vai para servidores nos EUA ou Europa? Isso caracteriza transferência internacional de dados, sujeita às regras dos artigos 33 a 36 da LGPD, que exigem garantias adequadas de proteção, como cláusulas contratuais padrão ou comprovação de nível de proteção equivalente ao brasileiro.

Considerações finais

A adoção de IA nos escritórios de advocacia não é uma tendência futura: é uma realidade documentada por dados de 2026. Para as empresas que viabilizam essa adoção, seja desenvolvendo ferramentas, integrando APIs ou prestando serviços de automação jurídica, o momento de estruturar a conformidade com a LGPD é agora, antes do primeiro incidente ou da primeira notificação da ANPD.

Conformidade não é custo operacional isolado. É condição de escala. Escritórios grandes, especialmente os que atendem clientes corporativos ou internacionais, já exigem DPAs, relatórios de impacto à proteção de dados (RIPDs) e evidências de segurança técnica antes de assinar contratos com fornecedores de tecnologia. Quem estiver com essa documentação em ordem fecha negócio. Quem não estiver, perde para quem está.

Perguntas frequentes

Minha startup fornece IA para escritórios de advocacia. Sou controlador ou operador sob a LGPD?

Depende de como o sistema funciona. Se você apenas processa dados conforme instruções do escritório e sem autonomia sobre a finalidade do tratamento, é operador (artigo 5º, inciso VII, da LGPD). Se você define como os dados são usados, por quanto tempo ficam armazenados ou para quais fins são processados, pode ser enquadrado como controlador conjunto. Essa distinção define quem assina o DPA e quem responde perante a ANPD em caso de incidente.

O que precisa constar em um DPA (Acordo de Processamento de Dados) para contratos de IA jurídica?

O DPA deve especificar: a finalidade do tratamento, os tipos de dados pessoais envolvidos, o prazo de retenção e descarte, as medidas técnicas e organizacionais de segurança, o procedimento em caso de incidente, as regras sobre suboperadores (como provedores de nuvem ou APIs de LLMs) e a obrigação de não usar os dados para finalidades próprias do fornecedor. A ausência de qualquer desses elementos compromete a validade do documento.

Usar ChatGPT ou outro LLM com dados de clientes de um escritório é permitido pela LGPD?

É permitido com restrições. O dado inserido no modelo precisa ter base legal para ser tratado, e a transferência para servidores fora do Brasil exige garantias de proteção equivalente (artigo 33 da LGPD). Fornecedores como a OpenAI oferecem contratos de processamento de dados com cláusulas específicas para uso empresarial. O escritório ou a startup precisa ter esse contrato firmado, e dados sensíveis devem ser anonimizados ou pseudonimizados antes de serem enviados ao modelo sempre que possível.

Qual é o risco financeiro real de uma infração à LGPD para uma LegalTech?

A multa máxima é de 2% da receita bruta da empresa no Brasil no último exercício, limitada a R$ 50 milhões por infração (artigo 52 da LGPD). Além disso, a ANPD pode determinar bloqueio ou eliminação dos dados, publicização da infração (o que afeta contratos com clientes corporativos) e suspensão parcial do funcionamento do banco de dados. O risco reputacional em um nicho b2b como o jurídico tende a ser mais impactante do que a multa em si.

O PL 2.338/2023 (marco de IA) já está em vigor? O que muda para LegalTechs?

Até junho de 2026, o PL 2.338/2023 aprovado pelo Senado ainda está em tramitação na Câmara dos Deputados. Mas seu conteúdo já orienta contratos e due diligences. O projeto classifica IA aplicada a serviços jurídicos e administração da Justiça como sistema de alto risco, o que implicará obrigações adicionais como avaliação de conformidade prévia, documentação técnica detalhada e registro junto à autoridade competente. LegalTechs que iniciarem essa documentação agora terão vantagem competitiva quando a lei entrar em vigor.