A partir de novo contexto regulatório, jurídico deve evitar postura reativa e assumir protagonismo
A transformação digital das organizações, acelerada pela adoção de tecnologias emergentes como inteligência artificial, big data e computação em nuvem, redefiniu fundamentalmente os contornos da responsabilidade jurídica corporativa. Em um ambiente cada vez mais regulado, a governança digital consolidou-se como eixo central das estratégias de compliance e de gestão de riscos jurídicos.
A promulgação da Lei Geral de Proteção de Dados (LGPD), a vigência do Regulamento Geral sobre a Proteção de Dados na União Europeia, o Marco Civil da Internet e a tramitação do PL 2338/2023, que cria o Marco Legal da Inteligência Artificial no Brasil, evidenciam a multiplicidade de normas com impacto direto sobre a operação de empresas que coletam, armazenam, processam ou compartilham dados e conteúdos digitais.
Accountability e responsabilização jurídica
Nesse novo cenário, a governança digital transcende a adoção de boas práticas de tecnologia da informação. Trata-se de uma exigência jurídica estruturada, com implicações diretas na responsabilidade objetiva e subjetiva de controladores e operadores de dados, desenvolvedores de tecnologia e prestadores de serviços digitais.
O princípio da accountability, positivado no artigo 6º, inciso X, da LGPD e no artigo 5º do GDPR, ilustra essa evolução normativa. A demonstração documental de conformidade, a realização de relatórios de impacto à proteção de dados pessoais (RIPD) e a implementação de medidas preventivas tornaram-se deveres jurídicos com consequências patrimoniais concretas.
Jurisprudência e precedentes
A materialidade desse risco é confirmada por dados recentes e precedentes jurisprudenciais consolidados. O relatório “IBM Cost of a Data Breach” de 2024 aponta que o custo médio global de um incidente de violação de dados alcançou US$ 4,45 milhões, com o Brasil registrando impactos superiores a R$ 8 milhões por evento.
LEIA MAIS: Regulação Responsiva: Entra a negociação e sai a sanção
A Autoridade Nacional de Proteção de Dados (ANPD) já instaurou diversos processos sancionatórios, aplicando medidas como advertências, bloqueio e eliminação de dados, além de multas com base no artigo 52 da LGPD. Destacam-se as sanções aplicadas ao Serasa (Processo 00261.000047/2021-74, multa de R$ 6 milhões) e aos Correios (Processo 00261.000179/2022-52, multa de R$ 1,8 milhão).
No campo da segurança da informação, a inércia corporativa tem gerado responsabilizações judiciais com fundamento no Código Civil Brasileiro, especialmente com base no artigo 927, que trata da responsabilidade objetiva em atividades de risco.
O Superior Tribunal de Justiça consolidou entendimento no sentido de que o dever de guarda e proteção de dados constitui obrigação decorrente do dever geral de cuidado, conforme precedentes do REsp 1.408.123/SP (relatora, ministra Nancy Andrighi, julgado em 2014) e REsp 1.629.255/MG (relator, ministro Ricardo Villas Bôas Cueva, julgado em 2017).
Dimensão internacional e extraterritorialidade
A tendência de internacionalização das obrigações de segurança cibernética é igualmente relevante. A Diretiva NIS2 da União Europeia (Diretiva 2022/2555), em vigor desde janeiro de 2023, estabelece padrões mínimos de segurança cibernética aplicáveis a empresas que prestam serviços essenciais, mesmo que sediadas fora do território europeu.
Essa extraterritorialidade normativa reforça a necessidade de adequação jurídica de empresas brasileiras que mantenham operações ou usuários na Europa, especialmente considerando que o descumprimento pode acarretar multas de até 2% do faturamento anual global ou € 10 milhões, o que for maior.
IA e due diligence algorítmica
O PL 2338, que estabelece o Marco Legal da Inteligência Artificial no Brasil, representa um marco regulatório fundamental para a governança digital corporativa. Aprovado pelo Senado em maio de 2024 e atualmente em tramitação na Câmara dos Deputados, o texto adota uma abordagem baseada em risco, classificando sistemas de IA em três categorias: risco excessivo (proibidos), alto risco (regulamentados) e demais sistemas.
O projeto estabelece obrigações específicas para fornecedores e operadores de sistemas de IA de alto risco, incluindo:
- realização de avaliação de impacto algorítmico antes da disponibilização;
- implementação de medidas de mitigação de riscos e vieses discriminatórios;
- garantia de transparência e explicabilidade das decisões automatizadas;
- estabelecimento de mecanismos de supervisão humana significativa; e
- manutenção de registros detalhados de funcionamento.
A proposta cria ainda a Autoridade Nacional de Inteligência Artificial (ANIA), vinculada ao Ministério da Ciência, Tecnologia e Inovação, com competência para fiscalização, regulamentação setorial e aplicação de sanções administrativas que podem alcançar até 2% do faturamento bruto anual no Brasil, limitadas a R$ 50 milhões por infração.
Este movimento normativo amplia significativamente o escopo da responsabilidade civil das empresas e impõe ao jurídico corporativo o desafio de desenvolver estruturas de due diligence algorítmica, além de revisar cláusulas contratuais para tratar expressamente dos riscos derivados do uso de inteligência artificial. O regime de responsabilidade civil previsto no projeto estabelece presunção de culpa para danos causados por sistemas de IA de alto risco, invertendo o ônus probatório em favor das vítimas.
Sustentabilidade digital e responsabilidade ambiental
A dimensão ambiental da governança digital também não pode ser negligenciada. O crescimento exponencial do consumo energético por data centers e a geração massiva de lixo eletrônico passaram a figurar nos relatórios de sustentabilidade e nos processos de auditoria jurídica ambiental.
Em 2022, os data centers consumiram 460 TWh de eletricidade, segundo a International Energy Agency (IEA), com projeção de duplicação até 2026. O Global E-waste Monitor 2024 reportou que o volume mundial de resíduos eletrônicos superou 62 bilhões de quilos, com taxa global de reciclagem inferior a 25%.
VEJA TAMBÉM: STJ: Cancelamento de voo não gera dano moral automático
Embora o Brasil ainda careça de uma regulação específica para a sustentabilidade digital, a responsabilidade ambiental por externalidades decorrentes de operações tecnológicas pode ser fundamentada na Lei de Política Nacional do Meio Ambiente (Lei 6.938/1981), com base nos princípios constitucionais da prevenção e da precaução. O Ministério Público, em diferentes estados, já iniciou investigações envolvendo descarte inadequado de equipamentos de TI e consumo energético de data centers sem compensação ambiental.
Exclusão digital e responsabilidade social
No campo social, a exclusão digital também representa um risco jurídico crescente. Embora 86,6% da população brasileira esteja conectada à internet, apenas 22% dispõem de conectividade significativa, conforme dados da pesquisa TIC Domicílios 2024 do CGI.br.
Esse déficit de acesso de qualidade, especialmente em comunidades vulneráveis, expõe empresas de telecomunicações, plataformas digitais e prestadores de serviços públicos online a potenciais ações por discriminação indireta e descumprimento de deveres de inclusão.
Além disso, a judicialização de casos envolvendo desinformação e discurso de ódio nas redes sociais tem resultado em decisões de responsabilização de plataformas digitais, com base na omissão de deveres de moderação e prevenção de danos. O Tribunal de Justiça de São Paulo (TJSP), no julgamento da Apelação Cível 1004336-34.2018.8.26.0008 (relator, desembargador Coelho Mendes, julgado em 2019), consolidou entendimento sobre a responsabilidade objetiva em situações de omissão dolosa ou culposa no combate a conteúdos ilícitos.
Compliance e governança: diretrizes práticas
A integração entre governança digital e responsabilidade jurídica demanda estruturação prática de compliance tecnológico. Os departamentos jurídicos devem implementar:
Estruturas de governança
- Comitês de governança digital: órgãos multidisciplinares com representação jurídica, tecnológica e de negócios;
- Políticas de proteção de dados: documentação abrangente de procedimentos de coleta, tratamento e compartilhamento; e
- Programas de due diligence: avaliação sistemática de fornecedores e parceiros tecnológicos.
Gestão de riscos algorítmicos
- Inventário de sistemas de IA: mapeamento e classificação de todos os sistemas algorítmicos utilizados;
- Avaliações de impacto: análise prévia de riscos discriminatórios e de direitos fundamentais; e
- Mecanismos de auditoria: revisão periódica de decisões automatizadas e seus efeitos.
Monitoramento e resposta
- Sistemas de detecção: implementação de ferramentas de monitoramento contínuo de incidentes;
- Planos de resposta: protocolos estruturados para gestão de crises de segurança da informação; e
- Treinamento corporativo: capacitação periódica de colaboradores em questões de proteção de dados.
Tendências e perspectivas regulatórias
A era da regulação tecnológica inaugura um ciclo de responsabilização jurídica multifacetada, onde a governança digital deixa de ser um diferencial competitivo e passa a ser condição de sustentabilidade operacional, reputacional e regulatória.
O movimento regulatório global indica convergência entre padrões mais rígidos de accountability tecnológico. O AI Act europeu, que entrará em vigor gradualmente até 2027, estabelecerá precedentes internacionais que influenciarão a regulamentação brasileira. Paralelamente, iniciativas como o EU Cyber Resilience Act e a proposta de Digital Services Act 2.0 sinalizam intensificação da supervisão regulatória sobre produtos e serviços digitais.
No Brasil, além do Marco Legal da IA, tramitam proposições sobre crimes cibernéticos (PL 1769/2021), proteção de dados de crianças e adolescentes (PL 5762/2019) e regulamentação de plataformas digitais (PL 2630/2020). Essa multiplicidade normativa exigirá dos departamentos jurídicos capacidade de interpretação sistêmica e implementação coordenada de múltiplos regimes de compliance.
A capacidade das organizações de implementar uma governança digital robusta e juridicamente sustentável será decisiva para assegurar não apenas a conformidade normativa, mas a própria continuidade de suas atividades no ambiente digital contemporâneo. O jurídico corporativo, diante desse novo contexto regulatório, precisa abandonar uma postura reativa e assumir protagonismo na estruturação de políticas internas, cláusulas contratuais e frameworks de compliance voltados à mitigação de riscos tecnológicos.
