Voltar ao site SAFIE →
Contratos e responsabilidade em IA

Contratos de IA e infraestrutura crítica: riscos reais

Por · · 3 min de leitura
Contratos de IA e infraestrutura crítica: riscos reais

No fundo dos oceanos correm os cabos de fibra ótica que conectam continentes inteiros. São estruturas físicas com diâmetro comparável ao de uma mangueira de jardim, mas responsáveis por cerca de 95% do tráfego de dados internacional, segundo a MIT Technology Review Brasil. Sem eles, APIs de IA, modelos de linguagem em nuvem e plataformas SaaS simplesmente param de funcionar.

A reportagem da MIT Technology Review Brasil detalhou como esses cabos têm se tornado alvos em disputas geopolíticas. Cortes deliberados ou danos estratégicos a esse sistema nervoso subaquático afetam latência, disponibilidade e integridade de dados em tempo real. Para empresas de IA que dependem de infraestrutura de terceiros, isso não é apenas um problema técnico.

É um problema contratual e regulatório de primeira ordem. E a maioria dos contratos de IA no Brasil ainda não está preparada para ele.

Contexto jurídico e regulatório

O que diz o direito brasileiro sobre falha de infraestrutura em contratos de IA

O Código Civil brasileiro, nos artigos 393 e 396, disciplina o caso fortuito e a força maior como excludentes de responsabilidade. A interpretação tradicional cobre eventos imprevisíveis e irresistíveis. O problema é que ataques a cabos submarinos já estão documentados, tornando-os previsíveis para empresas que estruturam contratos de longo prazo.

Quando o evento é previsível e o contrato silencia sobre ele, tribunais brasileiros tendem a responsabilizar o fornecedor pela falha de serviço. Isso se aplica diretamente a contratos de software como serviço (SaaS), APIs de IA e acordos de nível de serviço (SLA) que prometem disponibilidade acima de 99% sem ressalvar dependências externas de conectividade.

A Lei Geral de Proteção de Dados (Lei 13.709/2018, a LGPD) adiciona uma camada a mais. Se a indisponibilidade de infraestrutura causar perda, exposição ou atraso no tratamento de dados pessoais, o controlador e o operador podem responder solidariamente. O artigo 42 da LGPD não exige dolo, apenas nexo causal entre o dano e o tratamento inadequado.

A futura regulação brasileira de IA, em discussão no Congresso Nacional com base no PL 2.338/2023, reforça a tendência de responsabilização objetiva para sistemas de IA classificados como alto risco. Provedores que entregam soluções em saúde, crédito ou segurança pública precisam prever expressamente o que acontece quando a infraestrutura subjacente falha por causas externas.

Impacto prático

Para founders e CTOs, o ponto central é o seguinte: um contrato de IA que promete disponibilidade sem mapear dependências de terceiros é um contrato com passivo oculto. Cabos submarinos, data centers de hiperescaladores e rotas de CDN são elos da cadeia que precisam aparecer explicitamente nas cláusulas de SLA e nas políticas de continuidade de negócios.

Na prática, isso significa rever três pontos críticos. Primeiro, a definição de força maior no contrato precisa incluir ou excluir explicitamente interrupções de infraestrutura de telecomunicações internacionais. Segundo, os SLAs devem distinguir disponibilidade do serviço de disponibilidade do modelo de IA subjacente, especialmente quando ele roda em APIs de terceiros como OpenAI, Google ou Anthropic. Terceiro, planos de contingência com rotas alternativas de conectividade e modelos locais (on-premise ou edge) devem ser documentados e contratualmente exigíveis.

Para advogados e contadores que atendem empresas de tecnologia, o alerta é contábil também. Provisões para litígios decorrentes de falhas de serviço precisam considerar o risco de infraestrutura global. O CPC 37 (Provisões, Passivos Contingentes e Ativos Contingentes), emitido pelo CFC e alinhado ao IFRS, exige que passivos prováveis e mensuráveis sejam reconhecidos. Empresas de IA com contratos de alta disponibilidade e infraestrutura dependente de cabos submarinos podem ter contingências contábeis não registradas.

Considerações finais

A guerra invisível no fundo do mar não é metáfora. É um risco operacional com consequências jurídicas e financeiras diretas para qualquer empresa que entrega IA como serviço. O Brasil ainda carece de jurisprudência consolidada sobre falhas de IA causadas por eventos geopolíticos, mas o arcabouço legal já existente, do Código Civil à LGPD e ao PL 2.338/2023, cria terreno suficiente para responsabilização.

Founders, CTOs e conselheiros jurídicos que revisarem seus contratos agora, antes da próxima interrupção de cabo submarino, estarão em posição muito mais defensável do que os que esperarem o incidente acontecer. A pergunta não é se haverá outra falha de infraestrutura global. A pergunta é se o seu contrato já prevê o que acontece quando ela ocorrer.

Perguntas frequentes

Um corte de cabo submarino configura força maior em contratos de IA no Brasil?

Depende da redação do contrato e da previsibilidade do evento. O Código Civil (art. 393) reconhece força maior para eventos imprevisíveis e irresistíveis. Como ataques a cabos submarinos já estão documentados e noticiados, tribunais podem entender que o evento era previsível para fornecedores sofisticados, afastando a excludente de responsabilidade se o contrato não a previu expressamente.

O que deve constar em um SLA de IA para cobrir falhas de infraestrutura externa?

O SLA deve distinguir disponibilidade do serviço e disponibilidade da infraestrutura subjacente, listar explicitamente as dependências externas (APIs de terceiros, rotas de conectividade internacional), definir o que conta como downtime e o que é excluído por causa de terceiros, e prever planos de contingência com modelos alternativos ou rotas de fallback documentadas.

A LGPD se aplica quando dados pessoais ficam inacessíveis por falha de cabo submarino?

Sim. Se a falha de infraestrutura atrasar, expuser ou comprometer o tratamento de dados pessoais, controlador e operador podem ser responsabilizados com base no artigo 42 da LGPD. A lei não exige dolo, apenas nexo causal entre o dano ao titular e o tratamento inadequado, incluindo a indisponibilidade não justificada.

Empresas de IA precisam registrar provisão contábil para riscos de infraestrutura global?

Precisam avaliar o risco com base no CPC 37. Se há contratos de alta disponibilidade com dependência de infraestrutura vulnerável e o risco de falha é provável e mensurável, a provisão deve ser reconhecida. Ignorar esse passivo pode gerar distorção nas demonstrações financeiras e questionamentos em auditorias ou due diligence para investimentos.

O PL 2.338/2023 afeta a responsabilidade de fornecedores de IA em casos de falha de infraestrutura?

O PL 2.338/2023 prevê responsabilização objetiva para sistemas de IA de alto risco. Se um sistema de IA nessa categoria falhar por indisponibilidade de infraestrutura, o fornecedor pode responder independentemente de culpa, salvo se o contrato e os documentos técnicos comprovarem que a causa foi exclusivamente externa e imprevisível. A documentação contratual e técnica torna-se, portanto, uma linha de defesa essencial.

Decisão jurídica ou contábil pendente?

A SAFIE atende founders e gestores com acesso direto aos sócios — jurídico e contabilidade integrados sob o mesmo teto. Conversamos para entender o caso antes de qualquer recomendação.

Falar com a SAFIE
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.