Regulação da IA no Mundo

A pergunta mais comum sobre IA e direito no Brasil é "mas ainda não tem lei, certo?". Errado. O que não existe é uma lei específica de IA — o que existe, e já é aplicado, é todo o resto do ordenamento.

Quando um sistema de IA é oferecido a consumidores — um chatbot de atendimento, uma análise automatizada de crédito, uma recomendação de produto — ele entra no regime do Código de Defesa do Consumidor. E o CDC trabalha com responsabilidade objetiva: o fornecedor responde pelo defeito do serviço independentemente de culpa (art. 14). Em termos práticos, "foi o algoritmo que errou" não é defesa. Se o sistema causou dano, quem o oferece responde.

Fora das relações de consumo, o Código Civil cobre o restante: responsabilidade civil por dano, dever de reparação e os princípios gerais que valem para qualquer relação jurídica — incluindo as mediadas por máquina.

O recado prático: empresas que esperam o Marco Legal da IA para "começar a se preocupar" já estão expostas hoje, pelas leis de sempre.

O Código Civil estabelece a boa-fé objetiva como princípio das relações contratuais (arts. 113 e 422): as partes devem agir com honestidade, lealdade e transparência. Esse dever vale para a relação — não importa se quem atende do outro lado é um humano ou um sistema automatizado.

Se o chatbot de uma empresa promete uma condição, induz o cliente a erro ou omite informação essencial, a empresa responde como se um atendente humano tivesse feito o mesmo. O caso mais conhecido é internacional: em 2024, a Air Canada foi condenada a honrar uma política de reembolso que seu próprio chatbot havia inventado. O tribunal canadense rejeitou o argumento de que o chatbot seria uma "entidade separada" — a informação no site da empresa é da empresa, ponto. O paralelo com o direito brasileiro é direto: aqui, o resultado tenderia a ser o mesmo, pela via do CDC e da boa-fé objetiva.

O recado prático: o que o seu sistema de IA diz ao cliente é uma promessa sua. Revisar, limitar e monitorar o que ele pode afirmar não é capricho técnico — é gestão de risco jurídico.

Em 2023, um caso americano ficou famoso no mundo jurídico: advogados protocolaram uma petição com jurisprudência gerada pelo ChatGPT — e os precedentes citados simplesmente não existiam. O episódio (conhecido como o caso Avianca) terminou em sanção para os advogados. Desde então, ocorrências semelhantes vêm sendo registradas em vários países, incluindo o Brasil, onde tribunais e órgãos da advocacia passaram a tratar o tema com atenção.

O ponto técnico importante: a IA não "mentiu" no sentido humano. Modelos de linguagem geram texto plausível com base em padrões estatísticos — eles não consultam uma base de jurisprudência nem verificam fatos. Quando o modelo não sabe, ele pode produzir uma resposta com aparência de verdade. Esse fenômeno tem nome: alucinação. Não é defeito raro; é característica conhecida da tecnologia.

A regra que resolve o problema cabe em uma frase: a responsabilidade pelo conteúdo é sempre de quem assina. IA serve como rascunho, ponto de partida e acelerador de pesquisa — nunca como fonte final. Todo dado verificável (precedente, artigo de lei, número, citação) precisa ser conferido na fonte oficial antes de ir para qualquer documento com o seu nome.

Um sistema de IA moderno não é um programa tradicional. Software comum é determinístico: dado o mesmo input, produz o mesmo output, e um erro (um bug) pode ser localizado e corrigido no código. Modelos de IA são sistemas estatísticos: têm comportamento parcialmente imprevisível, e nem seus criadores conseguem explicar com precisão por que uma resposta específica foi gerada. É o que se chama de problema da caixa preta.

Juridicamente, isso tem duas consequências importantes. A primeira: imprevisibilidade não exime responsabilidade. O Código Civil prevê que quem explora atividade que, por sua natureza, cria risco para terceiros responde pelos danos causados (art. 927, parágrafo único). Adotar um sistema que ninguém consegue explicar totalmente é uma escolha — e o risco dessa escolha é de quem a faz, não de quem é afetado por ela.

A segunda: modelo sem manutenção degrada. O mundo muda, os dados mudam, e um sistema que funcionava bem quando foi implantado pode passar a errar — ou a discriminar — anos depois, sem que ninguém tenha alterado uma linha de código. O fenômeno é conhecido como deriva de modelo (model drift). Um sistema que "não refletiu de forma consistente" a realidade atual por falta de revisão tende a ser lido pelo Judiciário como negligência, não como fatalidade técnica.

O recado prático: IA não é projeto com data de entrega — é operação contínua. Quem implanta precisa prever monitoramento e revisão periódica desde o início.

Transparência em IA costuma ser reduzida a publicar uma política de privacidade. É muito mais que isso — e a parte mais importante acontece na própria interação com o usuário.

Três camadas práticas: a pessoa tem o direito de saber que está interagindo com uma IA (chatbot que se passa por humano já é problema hoje, por violar o dever de informação); decisões automatizadas que afetam alguém precisam ser explicáveis em linguagem compreensível — não em jargão técnico nem em "o sistema decidiu assim"; e a LGPD já garante, desde 2018, o direito de solicitar revisão de decisões tomadas unicamente de forma automatizada (art. 20). O PL 2338 amplia e detalha esses direitos, mas a base já está em vigor.

O recado prático: se a sua empresa usa IA para decidir algo sobre pessoas — crédito, contratação, preço, atendimento — alguém precisa conseguir explicar essa decisão a quem foi afetado por ela. Se ninguém consegue, o problema não é de comunicação: é de governança.

Discriminação algorítmica é o risco que mais aparece tanto nos textos legais quanto nas discussões judiciais sobre IA: sistemas de recrutamento que desfavorecem determinados grupos, análises de crédito com viés, reconhecimento facial com taxas de erro desiguais entre populações. O viés raramente é intencional — ele entra pelos dados históricos com que o modelo foi treinado. Mas a ausência de intenção não elimina a responsabilidade: "foi o algoritmo" não existe como defesa jurídica.

É aqui que governança e ética deixam de ser conceitos abstratos e viram um checklist mínimo: saber quais sistemas de IA a organização usa (inventário); ter um responsável humano designado por cada um; avaliar o impacto antes de implantar sistemas que decidem sobre pessoas; revisar periodicamente o comportamento do modelo (o que conecta com a manutenção do bloco anterior); e manter um canal para que pessoas afetadas possam contestar decisões.

Nada disso exige o Marco Legal da IA para começar. Tudo isso já reduz exposição jurídica hoje — e será exigência formal quando (e como) o PL 2338 for aprovado.