Contratos e responsabilidade em IA no Brasil

Por SAFIE · 15 de maio de 2026 · 4 min de leitura

Em julho de 2025, o CEO da CPFL declarou à InfoMoney que a companhia renovou contratos de distribuição e se posiciona como consolidadora no setor elétrico brasileiro. O movimento envolve obrigações regulatórias de longo prazo perante a ANEEL e compromissos financeiros que ultrapassam décadas. Para qualquer observador do mercado de tecnologia, a lição é imediata: contratos bem estruturados são ativos estratégicos, não apenas formalidades burocráticas.

No setor de inteligência artificial, essa lição é ainda mais urgente. Soluções de IA assumem decisões que antes eram exclusivamente humanas, como concessão de crédito, triagem médica, análise de risco e automação de processos críticos. Quando algo dá errado, a pergunta que surge no contencioso é sempre a mesma: quem responde?

Este artigo analisa o estado atual da responsabilidade contratual em IA no Brasil, as lacunas que expõem fornecedores e contratantes, e as cláusulas que todo contrato de IA deveria conter em 2026.

Contexto jurídico e regulatório

O vazio regulatório não é vazio de responsabilidade

O Brasil ainda não aprovou uma lei geral de inteligência artificial. O PL 2.338/2023, que tramita no Senado com base no relatório do senador Rodrigo Pacheco, prevê uma estrutura de risco escalonada, mas até a data de publicação deste artigo não foi convertido em lei. Isso não significa ausência de norma aplicável.

O Código Civil de 2002 já regula a responsabilidade contratual (artigos 389 a 416) e a responsabilidade extracontratual por ato ilícito (artigos 186 e 927). O parágrafo único do artigo 927 é especialmente relevante: ele prevê responsabilidade objetiva quando a atividade exercida implica risco para terceiros por sua própria natureza. Dependendo do caso concreto, um juiz pode enquadrar a operação de um sistema de IA de alto risco nessa categoria.

A Lei Geral de Proteção de Dados (Lei 13.709/2018) acrescenta outra camada. O artigo 20 garante ao titular o direito de revisar decisões automatizadas que afetem seus interesses, e o artigo 42 estabelece responsabilidade solidária entre controlador e operador em caso de dano. Para empresas de IA que processam dados pessoais, o contrato precisa definir com precisão quem é controlador e quem é operador, sob pena de ambas as partes responderem integralmente perante o titular.

O Código de Defesa do Consumidor e os sistemas B2C

Quando a solução de IA é oferecida a consumidores finais, o CDC (Lei 8.078/1990) impõe responsabilidade objetiva ao fornecedor pelo fato do produto ou serviço (artigo 14). Não é necessário provar culpa: basta demonstrar o dano, o defeito e o nexo causal. Cláusulas de limitação de responsabilidade inseridas em contratos de adesão podem ser declaradas nulas com base no artigo 51, IV, que veda cláusulas abusivas em desfavor do consumidor.

Impacto prático

Para founders e CTOs de startups de IA, o primeiro risco prático está nos contratos B2B que ignoram a alocação de responsabilidade por erros do modelo. Cláusulas genéricas de "isenção total de responsabilidade" raramente resistem a litígios quando o sistema de IA causou dano mensurável ao contratante ou a terceiros. O recomendável é definir em contrato: quais métricas de desempenho o sistema deve atingir, qual é o procedimento de auditoria periódica, e qual parte responde por falhas decorrentes de dados fornecidos pelo próprio cliente.

O segundo ponto crítico é a cadeia de fornecimento de IA. Startups que utilizam modelos de fundação de terceiros (OpenAI, Anthropic, Google, Meta) precisam verificar os termos de uso dessas plataformas. Esses termos, em geral, transferem a responsabilidade pelo uso do modelo ao desenvolvedor da aplicação. Isso significa que, na prática, a startup responde perante o seu cliente final mesmo quando o erro se originou no modelo subjacente que ela não controla. Cláusulas de indenização e seguros de responsabilidade civil tecnológica são instrumentos concretos para mitigar essa exposição.

Para advogados e contadores que atendem empresas de tecnologia, a due diligence contratual em IA deve incluir pelo menos quatro verificações: (1) identificação do papel de cada parte sob a LGPD; (2) definição de SLA com métricas de acurácia e disponibilidade; (3) cláusula de auditoria e explicabilidade do modelo; e (4) protocolo de resposta a incidentes com prazo definido, alinhado ao artigo 48 da LGPD, que exige comunicação à ANPD em prazo razoável.

Considerações finais

A CPFL renova contratos em um setor regulado porque sabe que a clareza das obrigações é o que sustenta operações de longo prazo. No mercado de IA, o mesmo princípio vale com ainda mais força: sistemas que tomam decisões consequentes precisam de contratos que distribuam riscos de forma transparente, auditável e juridicamente sustentável. Ignorar essa estrutura não reduz o risco; apenas transfere para quem tiver menos capacidade de absorvê-lo.

O ambiente regulatório brasileiro está se consolidando. Mesmo antes da aprovação de uma lei específica de IA, as empresas que já operam com contratos bem estruturados, políticas de governança de dados e seguros adequados estarão em posição muito mais sólida quando a regulação chegar. Agir agora é mais barato do que litigar depois.

Perguntas frequentes

Quem responde quando um sistema de IA causa dano a um cliente no Brasil?

Depende do contrato e do contexto. Em relações de consumo, o fornecedor do sistema responde objetivamente pelo CDC, sem necessidade de prova de culpa. Em relações B2B, a responsabilidade segue o que foi pactuado em contrato; na ausência de cláusula específica, aplica-se o Código Civil, que pode imputar responsabilidade subjetiva ou objetiva conforme o risco da atividade. A LGPD acrescenta responsabilidade solidária quando há tratamento de dados pessoais envolvido.

Posso incluir cláusula de isenção total de responsabilidade em contratos de IA?

Em contratos B2B, cláusulas de limitação de responsabilidade são válidas, desde que não contravenham normas de ordem pública. Em relações de consumo, cláusulas que excluam totalmente a responsabilidade do fornecedor são consideradas abusivas pelo artigo 51 do CDC e podem ser declaradas nulas. O mais seguro é usar cláusulas de limitação de valor (cap de responsabilidade) combinadas com obrigações claras de desempenho e auditoria.

O que é obrigatório colocar em um contrato de IA sob a LGPD?

O contrato deve identificar claramente quem é o controlador e quem é o operador de dados pessoais. Deve prever obrigações de segurança, sigilo e cooperação com a ANPD. Se houver decisões automatizadas que afetem titulares, é necessário incluir mecanismo de revisão humana, conforme o artigo 20 da LGPD. O DPA (Data Processing Agreement) é o instrumento contratual padrão para formalizar essa relação.

Startups que usam APIs de LLMs de terceiros respondem pelos erros do modelo?

Em geral, sim. Os termos de uso da OpenAI, Google e Anthropic transferem a responsabilidade pelo uso da API ao desenvolvedor da aplicação. Se o modelo gerar uma saída incorreta ou danosa, o cliente final acionará a startup, não o provedor do modelo base. Por isso, é essencial incluir nos contratos com clientes cláusulas que descrevam as limitações do sistema e mecanismos de revisão humana para decisões críticas.

Quando o PL 2.338/2023 for aprovado, o que muda nos contratos de IA?

O PL prevê uma classificação de sistemas por nível de risco, similar ao AI Act europeu. Sistemas de alto risco (saúde, crédito, segurança pública, trabalho) terão obrigações adicionais de transparência, auditoria e registro. Contratos que já prevejam avaliação de impacto, explicabilidade e auditoria periódica estarão em conformidade antecipada. Empresas que ignorarem essas práticas precisarão de adaptação urgente quando a lei entrar em vigor.