Contratos que tratam IA como simples software estão juridicamente atrasados

Durante décadas, os contratos empresariais aprenderam a tratar software como ferramenta. O sistema armazenava, calculava, processava, emitia relatórios, organizava fluxos e, quando muito sofisticado, automatizava tarefas repetitivas. A lógica jurídica era relativamente confortável: havia um fornecedor, uma licença, um SLA, uma política de suporte, uma limitação de responsabilidade e, ao final, a velha ficção contratual de que a tecnologia apenas executava aquilo que alguém humano havia previamente determinado. Era uma época quase bucólica, em que o contrato fingia compreender a tecnologia e a tecnologia fingia obedecer ao contrato.

A inteligência artificial rompe essa tranquilidade. Não porque seja mágica, consciente ou dotada de vontade própria, mas porque desloca o centro de gravidade da relação contratualO contrato que continua tratando esse fenômeno como se fosse apenas mais uma licença de software está, para dizer com delicadeza, juridicamente atrasado.

No Brasil, ainda não há uma lei geral de inteligência artificial em vigor. O projeto de lei 2.338/2023, aprovado no Senado e em tramitação na Câmara dos Deputados, está sujeito à apreciação do Plenário e, segundo a ficha de tramitação da Câmara, aguarda parecer do relator na Comissão Especial destinada a analisá-lo. Portanto, qualquer afirmação sobre o futuro regime brasileiro de IA deve ser lida como referência à proposta legislativa, e não como direito positivo vigente. Na União Europeia, por outro lado, o Regulamento Europeu de Inteligência Artificial, o AI Act, foi publicado como Regulamento (UE) 2024/1689 e estabelece um modelo regulatório baseado em risco, com regras harmonizadas para colocação no mercado, disponibilização e uso de sistemas de IA, além de um calendário faseado de aplicação. Esse contraste importa porque contratos empresariais brasileiros já se conectam a cadeias globais, fornecedores estrangeiros, grupos multinacionais, fundos internacionais, clientes europeus, bases de dados distribuídas e operações digitais que ignoram com admirável indiferença a fronteira confortável do departamento jurídico local.

A primeira função de uma cláusula de IA em contratos empresariais é definir o objeto tecnológico com precisão. Não basta dizer que a solução "poderá utilizar inteligência artificial". Essa fórmula serve para quase tudo e, justamente por isso, serve para muito pouco. O contrato deve identificar se a IA é generativa, preditiva, classificatória, conversacional, decisória, recomendatória ou meramente auxiliar; se utiliza modelos próprios, modelos de terceiros ou infraestrutura externa; se opera com treinamento contínuo; se os dados do cliente podem retroalimentar o sistema; se há intervenção humana no ciclo decisório; se os outputs são determinísticos, probabilísticos ou estatísticos; e se a ferramenta será usada em ambiente produtivo, experimental ou de teste. Sem essa taxonomia mínima, a cláusula de responsabilidade vira um pequeno teatro: as partes discutem indenização sem saber exatamente qual risco foi contratado.

A segunda, é estabelecer limites de uso. Esses limites devem ser redigidos com a mesma seriedade que se dedica a cláusulas de mandato, poderes de representação e alçadas internas. Quando a automação passa a interagir com terceiros, recomendar condutas ou produzir consequências econômicas, ela deixa de ser apenas ferramenta e passa a integrar a cadeia de manifestação operacional da empresa.

A terceira, é construir uma matriz de responsabilidade compatível com o controle real de cada parte. O fornecedor deve responder por defeitos do sistema, falhas de segurança, vícios de implementação, descumprimento de documentação técnica, alterações não comunicadas, uso indevido de dados, outputs incompatíveis com funcionalidades prometidas, ausência de logs, degradação relevante de desempenho e descumprimento de obrigações de auditoria. O cliente, por sua vez, deve responder por usos fora da finalidade contratada, parametrizações indevidas, dados de entrada incorretos, ausência de revisão humana quando exigida, integração temerária com sistemas críticos e decisões empresariais tomadas contra alertas expressos da ferramenta. Já os riscos residuais, aqueles que decorrem da própria natureza probabilística do sistema, devem ser alocados com clareza, inclusive por meio de franquias, caps específicos, seguros, indenidades setoriais e exclusões qualificadas. O que não se deve aceitar é o vazio: esse espaço confortável em que ninguém responde porque todos "apenas participaram" da cadeia tecnológica.

A quarta função é regular explicabilidade, documentação e auditoria. Em muitos contratos, o fornecedor resiste a abrir informações sob o argumento de segredo comercial, proteção de propriedade intelectual ou segurança do modelo. Esses argumentos podem ser legítimos, mas não podem funcionar como salvo-conduto para opacidade absoluta. A solução contratual sofisticada não é exigir acesso irrestrito ao código-fonte, como se todo cliente estivesse preparado para auditar redes neurais no intervalo entre uma reunião de comitê e outra. A solução é criar camadas proporcionais de transparência: documentação funcional, descrição de bases de treinamento quando aplicável, métricas de desempenho, relatórios de acurácia, testes de viés, logs de decisão, trilhas de auditoria, relatórios de incidentes, explicação de critérios relevantes, direitos de auditoria por terceiro independente e obrigação de cooperação em processos administrativos, judiciais ou regulatórios. O segredo comercial protege o modo de fazer; não deveria servir para esconder o efeito produzido.

A quinta função é tratar confidencialidade e proteção de dados com a dureza que o tema exige. A LGPD disciplina o tratamento de dados pessoais, inclusive em meios digitais, por pessoas naturais ou jurídicas, e esse ponto não desaparece porque o tratamento passou a ocorrer em uma interface elegante com aparência futurista. Em setores regulados, o risco é ainda maior: o vazamento de um prompt pode ser tão sensível quanto o vazamento de um arquivo; a diferença é que, no prompt, a empresa costuma confessar exatamente o que queria descobrir.

A sexta função é definir propriedade dos inputs, outputs e melhorias. Em IA generativa, a pergunta "quem é dono do resultado?" raramente admite resposta universal. Um relatório gerado a partir de dados do cliente pode ser de titularidade do cliente, mas o fornecedor pode pretender usar padrões agregados para melhoria do serviço. A ausência dessa disciplina cria disputas elegantes e caras, como quase todas as disputas que poderiam ter sido evitadas por uma boa cláusula escrita antes da primeira fatura.

A sétima função é disciplinar exclusões de responsabilidade sem transformar o contrato em ficção científica defensiva. Há uma linha clara entre limitar responsabilidade e vender irresponsabilidade. Cláusulas que excluem qualquer responsabilidade por erro, inexatidão, indisponibilidade, viés, violação de confidencialidade, infração de direitos de terceiros, perda de dados e descumprimento regulatório, mesmo quando o fornecedor controla arquitetura, treinamento, segurança e atualização do sistema, tendem a produzir mais litígio do que segurança. A boa cláusula não elimina risco; ela o torna juridicamente inteligível.

A oitava função é prever seguros adequados. O mercado ainda está amadurecendo produtos específicos para riscos de IA, mas contratos empresariais já podem exigir cyber insurance, errors and omissions, professional liability, cobertura para violação de dados, responsabilidade por tecnologia, custos de resposta a incidentes, defesa em reclamações de terceiros e, quando disponível, coberturas específicas relacionadas a decisões automatizadas, falhas algorítmicas, violação de propriedade intelectual e danos decorrentes de outputs. O ponto relevante é impedir que a cláusula indenizatória seja economicamente decorativa.

O projeto de lei 2.338/2023, na versão submetida à Câmara, propõe normas gerais para governança responsável de sistemas de IA, com objetivos declarados de proteção de direitos fundamentais, estímulo à inovação responsável, competitividade e implementação de sistemas seguros e confiáveis. Mesmo antes de eventual aprovação, sua existência sinaliza uma direção regulatória relevante: IA será cada vez menos tratada como tema meramente tecnológico e cada vez mais como tema de governança, accountability, documentação, transparência e responsabilidade.

Contratos que tratam IA como simples software estão juridicamente atrasados. Não porque o Direito precise correr atrás de cada novidade tecnológica com o desespero de quem perdeu o último trem, mas porque a contratação empresarial séria não pode confundir ferramenta com agente operacional, recomendação com decisão, opacidade com segredo legítimo e automação com irresponsabilidade. A inteligência artificial pode até negociar, recomendar, decidir e errar. O que ela ainda não faz, para alívio dos advogados e desgosto dos maus contratos, é responder sozinha pela conta (ainda).

O texto acima expressa a visão de quem o assina, não necessariamente do Congresso em Foco. Se você quer publicar algo sobre o mesmo tema, mas com um diferente ponto de vista, envie sua sugestão de texto para [email protected].