Contextualização

A emergência da jurimetria, do chamado legal hack e das aplicações de inteligência artificial configura uma nova realidade sociotécnica em que decisões, outrora reservadas à razão humana — e, mais especificamente, ao intérprete-jurisdicional ou ao operador contratual — são progressivamente mediadas por modelos matemáticos, redes neurais e pipelines de dados. A jurimetria habilita a quantificação de padrões decisórios, o que potencializa previsibilidade e eficiência, mas também impõe desafios relacionados ao tratamento de vieses, à integridade dos datasets e à explicabilidade dos modelos. O legal hack, por sua vez, traduz a aplicação prática de técnicas computacionais ao direito: automação contratual, análise massiva de precedentes, geração de insights e construção de soluções que antecipam ou substituem tarefas repetitivas. Conjugadas, essas forças tecnológicas reconfiguram tanto as rotinas organizacionais quanto os espaços de responsabilização.

No plano normativo, o Brasil dispõe de instrumentos que, embora não tenham sido originalmente desenhados com esse nível de automação em mente, oferecem alicerces essenciais: o Marco Civil da Internet (Lei nº 12.965/2014) consagra direitos e deveres no uso da rede, delimitando responsabilidades de provedores; a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) regula o tratamento de informações pessoais; o Código Civil (art. 927) e o Código de Defesa do Consumidor (CDC) estruturam, respetivamente, a responsabilidade civil e a tutela do consumidor. Esses diplomas, porém, convivem com lacunas práticas quando postos à prova diante de um sistema algorítmico que aprende, adapta-se e evolui em função de dados acumulados no tempo. Em particular, a imprevisibilidade criada por modelos auto-aprendizes suscita dúvidas sobre a imputação de responsabilidade: quem responde quando o modelo produz um resultado lesivo que não foi explicitamente previsto pelo desenvolvedor, pelo proprietário ou pelo operador?

A experiência comparada e as recomendações internacionais — da União Europeia (Resolução do Parlamento Europeu de 2017 e as propostas subsequentes de regulação) à OCDE — convergem para a necessidade de instrumentos híbridos: mecanismos de governança ex ante (avaliações de impacto de IA), salvaguardas técnicas (testes de viés e robustez, XAI), obrigações de transparência e regimes ex post de reparação (seguros, fundos de compensação). No Brasil, o projeto de lei do “Marco Legal da Inteligência Artificial” (PL 21/2020) e o substitutivo aprovado na Câmara introduziram princípios e deveres que incorporam essas preocupações, sinalizando para uma regulação centrada na dignidade humana e na prestação de contas pelos agentes de IA.

Do ponto de vista axiológico, impõe-se um princípio primeiro: a tecnologia não pode deslocar a pessoa humana do centro do ordenamento jurídico. O direito deve manter a dignidade da pessoa humana como referencial interpretativo, de modo que decisões automatizadas que afetem direitos fundamentais (vida, saúde, liberdade, honra ou crédito) exijam níveis reforçados de justificativa, supervisão humana e possibilidade de reparação integral. Esse imperativo ético-axiológico motiva a adoção preferencial de um modelo híbrido de responsabilização, que combina a eficácia do regime objetivo em setores de alto risco (para não deixar a vítima sem remédio) com instrumentos que preservem a inovação tecnológica mediante mecanismos contratuais e de seguro.

Em termos práticos, a implementação de um arcabouço de responsabilidade adequado passa por instrumentos técnicos e processuais: a exigência de um Relatório de Impacto de Inteligência Artificial (RIIA) que documente o ciclo de vida do sistema (fontes de dados, métricas de fairness, testes adversariais, plano de mitigação), a manutenção de logs imutáveis e versionamento de modelos para possibilitar perícia, auditoria técnica periódica independente, a previsão de seguro obrigatório e a padronização de cláusulas contratuais com previsão expressa de direito de regresso. Ao mesmo tempo, o legislador e os reguladores setoriais devem modular a aplicação desses instrumentos em função do risco concreto, reservando regimes mais gravosos para decisões de alto impacto.

O contexto político e institucional também é determinante. Entre 2019 e 2021, representantes do Congresso Nacional e órgãos técnicos engajaram-se em debates públicos sobre a regulação da IA. O deputado autor do PL 21/2020 defendeu a necessidade de traçar princípios e deveres sem obstruir o desenvolvimento tecnológico; por outro lado, setores da doutrina e da sociedade civil alertaram para riscos de desproteção se a responsabilização não for calibrada. No Supremo Tribunal e no Superior Tribunal de Justiça, a jurisprudência sobre responsabilidade de provedores diante de conteúdos de terceiros — como demonstram decisões do STJ (REsp 1.316.921/RJ; REsp 1.342.640/SP; REsp 1.629.255/SP) — revelou preocupações correlatas: delimitar deveres de diligência sem transformar provedores em censores, e exigir ordens judiciais com parâmetros claros quando se impõe a retirada de conteúdo.

Em síntese, a contextualização aponta para uma solução equilibrada: (i) um redesenho normativo que imponha obrigações de governança técnica e de documentação (RIIA, model cards); (ii) a adoção de regimes de responsabilização pragmáticos (objetivo seletivo + seguros); (iii) instrumentos processuais e administrativos que assegurem a transparência e a reversibilidade das decisões; e (iv) uma hermenêutica que preserve a dignidade humana como premissa inafastável.

Panorama normativo detalhado

O ordenamento brasileiro dispõe de diplomas fundamentais para enfrentar os desafios da tomada de decisão automatizada. O Marco Civil da Internet (Lei nº 12.965/2014) delineia princípios e limites, estabelecendo regras para a responsabilização de provedores de conexão e de aplicações (arts. 18 a 21). A LGPD (Lei nº 13.709/2018) dispõe sobre o tratamento de dados pessoais, impondo bases legais para processamento, obrigações de transparência, direitos dos titulares e sanções administrativas. No campo civil, o art. 927 do Código Civil consagra a responsabilidade por ato ilícito e introduz cláusulas gerais que autorizam a responsabilização objetiva em hipóteses expressas de lei ou quando a atividade implicar risco à coletividade. O CDC traz regime objetivo em relação a fornecedores, o que é particularmente relevante para produtos e serviços que incorporem IA.

O Projeto de Lei 21/2020 (Marco legal da IA) aprovado em fase de Câmara e encaminhado ao Senado elenca princípios (finalidade benéfica, centralidade humana, não discriminação, transparência, segurança e responsabilização) e deveres (divulgação da instituição responsável, relatórios de impacto e obrigação de garantir conformidade com a LGPD). Deputados e senadores envolvidos nas comissões temáticas defenderam a adoção de uma regulação que não interfira indevidamente na inovação: “A inteligência artificial já faz parte da nossa realidade, e o Brasil vai ainda fazer outras legislações futuramente” — afirmou depoimentos públicos do autor do projeto em debates registrados pela imprensa legislativa (Migalhas). Essa posição, porém, convive com a demanda por proteção efetiva dos direitos fundamentais, motivo pelo qual o substitutivo parlamentar enfatiza a gestão de riscos e a proporcionalidade.

Modelos de responsabilização — análise crítica e proposta

A discussão sobre quem deve responder pelos danos de decisões automatizadas relaciona-se com três objetivos concorrentes: Garantir reparação integral, não inibir inovação e preservar a dignidade humana. De modo pragmático, proponho uma hierarquia normativa:

1. Regime objetivo setorial — em setores críticos (saúde, transporte automatizado, decisões creditícias de alto impacto), aplicar responsabilidade objetiva ao operador/fornecedor que aufere os benefícios econômicos, com direito de regresso quando comprovada culpa de terceiros.
2. Seguro obrigatório e fundo de compensação — exigir seguro de responsabilidade civil profissional com cobertura mínima por evento; instituir fundo setorial para lacunas não cobertas pelo mercado segurador.
3. RIIA e auditoria — exigir relatório de impacto e auditorias externas periódicas como condição de comercialização/uso em serviços públicos.
4. Responsabilidade subjetiva complementar — manter a responsabilização por culpa para programadores, operadores e demais agentes quando demonstrada negligência ou dolo.

A adoção dessa arquitetura permite que a vítima obtenha reparação célere (regime objetivo + seguros) e que o sistema preserve mecanismos de regresso e de incentivo à boa-fé técnica e à diligência.

Implicações contábeis, fiscais e de compliance

Do ponto de vista contábil, a implementação de seguros obrigatórios e de provisões para passivos decorrentes de decisões automatizadas exigirá mensuração prudente e divulgação em notas explicativas (NBC TG 25 sobre provisões). Empresas que adotarem IA devem contabilizar custos de conformidade, auditorias e recursos de governança como despesas operacionais e, quando adequado, como investimentos em tecnologia. Fiscalmente, os custos podem ser tratados como dedutíveis conforme legislação tributária aplicável; recomenda-se planejamento fiscal específico.

Em termos de compliance, organismos reguladores e a área jurídica interna devem instituir políticas claras de governança de dados, plano de resposta a incidentes, e canal de comunicação com titulares de dados. A interseção com a LGPD é central: decisões automatizadas que tratem dados pessoais exigem transparência, base legal e ações de mitigação de risco.

Medidas técnicas: RIIA, Model Cards, XAI e auditoria

O RIIA (Relatório de Impacto de IA) deve ser documento obrigatório para sistemas de risco elevado, contendo: definição do objetivo, descrição do ciclo de vida, fontes de dados, métricas de performance e fairness, protocolos de testes, plano de mitigação, estrutura de governança e seguro. Os model cards (mitchell et al.) e datasheets para datasets (Gebru et al.) permeiam essa prática, oferecendo transparência técnica.

Em decisões de sensibilidade, adote XAI (SHAP, LIME e contrafactuais) para gerar explicações inteligíveis e auditáveis. As auditorias técnicas devem ser independentes, com escopo, metodologia e periodicidade predeterminados; os laudos devem ser mantidos por períodos compatíveis com prescrições processuais e de defesa.

Cláusula contratual ampliada e roteiro de implementação

CLÁUSULA X — RESPONSABILIDADE, SEGURO E DIREITO DE REGRESSO
1. O Fornecedor declara que o sistema de IA foi desenvolvido segundo melhores práticas de engenharia, governança de dados e segurança.
2. O Fornecedor responderá objetivamente pelos danos decorrentes de falhas do sistema, até o limite de sua participação na cadeia de risco.
3. O Fornecedor manterá seguro de responsabilidade civil com cobertura mínima de R$ [•] por evento.
4. As partes manterão logs, model cards e RIIA por, no mínimo, [x] anos, e permitirão auditoria por perito independente em caso de controvérsia.
5. Direito de regresso do Fornecedor contra criadores/treinadores quando comprovada culpa.
6. Em decisões de alto risco haverá revisão humana prévia (human-in-the-loop).
        

Roteiro: classificar risco → elaborar RIIA → contratar seguro → registrar model card → implementar XAI → auditoria externa → publicar política de recursos e transparência.

Precedentes Oficiais (STJ) — inteiros e implicações práticas

REsp 1.316.921 / RJ — STJ, 3ª Turma — Rel. Min. Nancy Andrighi — 26/06/2012 (DJe 29/06/2012)

Ementa: o Tribunal firmou entendimento no sentido de que o provedor de conexão não responde civilmente por conteúdo de terceiros quando não houver ingerência sobre o conteúdo, em consonância com o art. 18 do Marco Civil. A decisão sustenta a distinção entre provedores de conexão (infraestrutura) e provedores de aplicação (modulação de conteúdo).

Localizar inteiro teor no portal do STJ

REsp 1.342.640 / SP — STJ, 3ª Turma — Rel. Min. Nancy Andrighi — 07/02/2017 (DJe 14/02/2017)

Ementa: decisão que afasta a imposição de monitoramento prévio por provedores, por equivaler a controle editorial e censura, invadindo garantias constitucionais. A decisão baliza limites ao dever de diligência requerido a provedores de aplicações.

Localizar inteiro teor no portal do STJ

REsp 1.629.255 / SP — STJ, 3ª Turma — Rel. Min. Nancy Andrighi — 22/08/2017 (DJe 25/08/2017)

Ementa: enfatiza requisitos formais da ordem judicial que visa retirada de conteúdo, exigindo identificação clara e inequívoca do material. Aplicação direta à forma de execução de ordens contra provedores e operadores de aplicações.

Localizar inteiro teor no portal do STJ

REsp 1.061.530/RS — STJ (contratos e abusividade)

Ementa e implicações: decisão relevante para a análise de práticas abusivas em contratos, aplicável analogicamente quando decisões automatizadas produzirem efeitos contraproducentes em relações contratuais (scoring de crédito que redundem em exclusão sem prova).

Localizar inteiro teor no portal do STJ

AgInt nos EDcl no AREsp 1.952.675/SP e AgInt no AREsp 2.061.190/PR

Ambos citados na doutrina como parâmetros para avaliação de lucros cessantes e prova pericial, úteis para peritos judiciais em demandas sobre danos advindos de decisões automatizadas. Guiam práticas probatórias em perícias contábeis e matemáticas.

Localizar AREsp 1.952.675 • Localizar AREsp 2.061.190

Considerações finais: síntese prática

O conjunto de medidas proposto — RIIA obrigatório, model cards, auditoria independente, seguro obrigatório e cláusulas contratuais robustas — constitui um sistema coerente para assegurar reparação, proteção dos direitos fundamentais e fomento à inovação. A jurisprudência do STJ e as proposições normativas nacionais e europeias mostram um caminho convergente: regulamentar com base no risco, preservar a dignidade humana e garantir remédios eficazes sem impor censura ou desestimular o desenvolvimento técnico.