Shadow AI e a Governança de Dados na Advocacia: Riscos Ocultos e Responsabilidade Civil
A transformação digital impôs um ritmo acelerado aos escritórios de advocacia e departamentos jurídicos. A busca incessante por eficiência e produtividade tem levado profissionais do Direito a adotarem ferramentas tecnológicas por conta própria. Esse fenômeno, conhecido no ambiente corporativo como “Shadow IT”, evoluiu rapidamente para o que hoje denominamos “Shadow AI”.
Trata-se da utilização de sistemas de Inteligência Artificial, generative ou não, sem o conhecimento, aprovação ou supervisão da estrutura de Tecnologia da Informação ou do comitê de compliance da organização. Ocorre quando advogados, estagiários ou paralegais utilizam ferramentas de IA públicas para redigir peças, resumir documentos ou analisar contratos.
Embora a intenção seja otimizar o fluxo de trabalho, essa prática introduz vulnerabilidades severas. No âmbito jurídico, onde o sigilo e a proteção de dados são pilares fundamentais, o uso não monitorado de IA representa um vetor de risco que pode comprometer não apenas a segurança da informação, mas a própria existência do negócio jurídico.
A compreensão deste tema exige um aprofundamento que vai além da tecnologia, adentrando nas esferas da responsabilidade civil, ética profissional e legislação de proteção de dados. Ignorar a existência do Shadow AI não é uma opção viável para gestores jurídicos que presam pela higidez de suas operações.
O cerne do problema jurídico no uso da Shadow AI reside na perda de controle sobre o fluxo de dados. Ao submeter informações confidenciais de um cliente a uma plataforma de IA pública e gratuita, o profissional do Direito está, tecnicamente, transferindo dados para um terceiro sem as devidas garantias contratuais de confidencialidade.
Diferente de softwares corporativos homologados, onde existem cláusulas rígidas de não-treinamento de modelos com dados do usuário (Enterprise Grade), as versões públicas muitas vezes reservam-se o direito de utilizar os inputs para aprimoramento do algoritmo. Isso significa que segredos industriais, dados sensíveis ou estratégias processuais podem ser incorporados ao modelo de linguagem.
Juridicamente, isso configura uma violação direta do dever de sigilo. O advogado atua como controlador ou operador de dados, dependendo da relação, e deve garantir que qualquer suboperador (neste caso, a empresa de IA) mantenha os mesmos padrões de segurança. No Shadow AI, essa cadeia de confiança é quebrada unilateralmente pelo usuário final.
A Lei nº 13.709/2018 (LGPD) impõe responsabilidades objetivas e solidárias em diversas situações de tratamento de dados. O uso de IA nas sombras fere frontalmente o princípio da segurança, previsto no artigo 6º, inciso VII, que exige a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais.
Quando um colaborador utiliza uma ferramenta não homologada, a organização falha em seu dever de governança. O artigo 46 da LGPD é claro ao determinar que os agentes de tratamento devem adotar medidas de segurança. O desconhecimento da liderança sobre o uso da ferramenta não exime a responsabilidade do escritório ou empresa.
Pelo contrário, a ausência de monitoramento pode ser interpretada como negligência ou culpa *in vigilando*. Em um eventual incidente de segurança, como o vazamento de dados inseridos em um prompt de IA, a autoridade fiscalizadora (ANPD) avaliará a existência de políticas claras e treinamentos.
Para os profissionais que desejam mitigar esses riscos e compreender a fundo as nuances regulatórias, é essencial buscar uma especialização robusta. O estudo aprofundado em cursos como a Pós-Graduação em Direito Digital 2025 permite ao advogado desenhar estratégias de prevenção que estejam em conformidade com a legislação vigente e as melhores práticas de mercado.
Além das sanções administrativas, que podem chegar a 2% do faturamento da pessoa jurídica, o dano reputacional decorrente de um vazamento provocado por Shadow AI é imensurável. A confiança do cliente, uma vez quebrada pela exposição de seus dados em ferramentas públicas, dificilmente é recuperada.
No âmbito da responsabilidade civil, a atuação do advogado é balizada pelo dever de meio, mas com obrigação de resultado no que tange à preservação do sigilo. O Código Civil, em seus artigos 932 e 933, estabelece a responsabilidade do empregador ou comitente pelos atos de seus empregados e prepostos.
Se um associado ou estagiário utiliza uma IA não autorizada e isso resulta em prejuízo ao cliente — por exemplo, uma alucinação da IA que leva à perda de um prazo ou a exposição de um segredo de negócio — o escritório responde objetivamente. Não cabe a alegação de que o funcionário agiu contra as regras se não houver prova de fiscalização efetiva.
A doutrina jurídica aponta para a necessidade de “Compliance Digital”. Não basta ter um código de conduta na gaveta; é necessário que a governança de TI e jurídica caminhem juntas para auditar o tráfego de dados e identificar o uso de aplicações não sancionadas.
A responsabilidade civil aqui se entrelaça com o conceito de *Due Diligence*. Ao contratar ferramentas tecnológicas ou permitir que sua equipe opere em ambiente digital, o sócio ou gestor deve diligenciar para garantir que as ferramentas sejam seguras. O Shadow AI é a antítese da diligência, pois opera na obscuridade, sem análise de risco prévia.
Outro aspecto crítico do Shadow AI é a qualidade do output. Ferramentas de IA generativa são probabilísticas, não determinísticas. Elas podem gerar informações falsas, jurisprudências inexistentes ou doutrinas inventadas, fenômeno conhecido como “alucinação”.
Quando uma ferramenta é homologada pelo escritório, presume-se que houve testes de acurácia e que existem protocolos de revisão humana (Human in the Loop). No uso “nas sombras”, essa revisão tende a ser negligenciada pela falsa sensação de infalibilidade da máquina ou pela pressa do profissional.
O uso de fundamentação jurídica falsa gerada por IA pode configurar litigância de má-fé, além de infração ética perante a OAB. O profissional que assina a peça é integralmente responsável pelo seu conteúdo, independentemente da ferramenta utilizada para produzi-lo. A alegação de “erro do sistema” não possui guarida no Direito Processual para eximir o advogado de sua responsabilidade técnica.
A resposta para o problema do Shadow AI não é a proibição total, que muitas vezes se mostra ineficaz e freia a inovação, mas sim a implementação de um programa de compliance efetivo. A governança deve atuar para trazer a IA “das sombras para a luz”.
Isso envolve a criação de uma política de uso aceitável de IA (AUP – Acceptable Use Policy), que classifique quais dados podem e quais não podem ser inseridos em ferramentas generativas. É crucial estabelecer canais para que os colaboradores solicitem a homologação de novas ferramentas, reduzindo a burocracia que geralmente incentiva o Shadow IT.
Implementar essas políticas exige um conhecimento multidisciplinar que une Direito, Gestão e Ética. Profissionais que buscam estruturar departamentos mais seguros podem se beneficiar enormemente de capacitações específicas, como a Iniciação a Compliance Empresarial, que fornece as bases para criar controles internos robustos e cultura de integridade.
A cultura organizacional é o fator determinante. Se os advogados entendem os riscos jurídicos envolvidos — não apenas os riscos técnicos — eles se tornam a primeira linha de defesa. O treinamento contínuo sobre engenharia de prompt segura e as limitações das LLMs (Large Language Models) é mandatório na advocacia contemporânea.
Um ponto frequentemente negligenciado no debate sobre Shadow AI é a questão da titularidade do conteúdo gerado. Os termos de uso de muitas IAs gratuitas são ambíguos quanto à cessão de direitos autorais dos inputs e outputs.
Ao utilizar uma ferramenta não homologada para criar uma tese jurídica inovadora ou um contrato complexo, o advogado pode estar inadvertidamente comprometendo a propriedade intelectual daquela obra. Se os termos de uso da plataforma determinam que o conteúdo gerado é de domínio público ou pertence à desenvolvedora da IA, o escritório perde a exclusividade sobre aquele trabalho intelectual.
Isso é particularmente grave em contratos de *Vesting*, fusões e aquisições (M&A) ou patentes, onde a originalidade e a titularidade são ativos valiosos. A análise dos Termos de Serviço (ToS) é uma competência jurídica que deve ser aplicada antes de qualquer “click” em “aceito”, algo que no Shadow AI é sistematicamente ignorado pelo usuário final.
O fenômeno do Shadow AI no Direito é um sintoma de um mercado que demanda celeridade, muitas vezes em detrimento da segurança. Para o profissional do Direito, o desafio não é apenas tecnológico, mas eminentemente jurídico e ético. A utilização de ferramentas à revelia da governança corporativa expõe o escritório a riscos de responsabilidade civil, sanções administrativas da LGPD e infrações éticas.
A solução passa pela educação corporativa e pela implementação de políticas de governança de dados que sejam claras e exequíveis. O advogado moderno deve ser, antes de tudo, um gestor de riscos, compreendendo que a facilidade trazida por um “copiar e colar” em uma IA pública pode custar a reputação construída ao longo de décadas. Trazer a IA para a luz, homologando ferramentas e treinando equipes, é o único caminho para uma advocacia digital responsável e sustentável.
Quer dominar os aspectos regulatórios da tecnologia e se destacar na advocacia moderna? Conheça nosso curso Pós-Graduação em Direito Digital 2025 e transforme sua carreira com segurança jurídica.
1. A Responsabilidade é Indelegável: O uso de ferramentas de IA não transfere a responsabilidade técnica do advogado para a desenvolvedora do software. O dever de supervisão e revisão permanece integralmente com o profissional humano.
2. O Risco da “Caixa Preta”: O Shadow AI cria um ambiente de “caixa preta” dentro do escritório, onde a gestão desconhece quais dados estão saindo e quais riscos estão entrando. Isso inviabiliza a defesa em casos de incidentes de segurança.
3. Inovação com Governança: A proibição absoluta do uso de IA tende a falhar. O caminho mais seguro é a “Inovação Supervisionada”, onde o escritório fornece ferramentas corporativas seguras (Sandbox) para que a equipe usufrua da tecnologia sem expor dados confidenciais.
4. Atualização dos Contratos de Honorários: É recomendável que os escritórios atualizem seus contratos de prestação de serviços para incluir cláusulas sobre o uso (ou não uso) de ferramentas de IA, garantindo transparência na relação com o cliente.
5. Auditoria de Logs: A TI e o Jurídico devem trabalhar juntos para monitorar o tráfego de rede. O bloqueio de URLs de IAs generativas públicas, liberando apenas as homologadas, é uma medida técnica básica de contenção do Shadow AI.
O Shadow AI ocorre quando advogados ou colaboradores utilizam ferramentas de Inteligência Artificial (como chatbots ou geradores de texto) sem a aprovação, conhecimento ou supervisão do departamento de TI ou Compliance do escritório, criando riscos de segurança e privacidade.
Sim. De acordo com o Código Civil (responsabilidade por ato de preposto) e a LGPD, o escritório responde objetivamente pelos danos causados. A falta de supervisão ou de medidas de segurança adequadas (culpa in vigilando) agrava a situação perante órgãos fiscalizadores.
A LGPD exige que o tratamento de dados pessoais ocorra em meios seguros (Art. 46). O uso de IAs gratuitas que utilizam dados de input para treinamento do modelo viola o princípio da segurança e, muitas vezes, da finalidade e necessidade, expondo a organização a multas e sanções.
Sim. O Código de Ética e Disciplina da OAB impõe o dever de sigilo profissional. Se o uso de uma ferramenta não autorizada expõe informações confidenciais do cliente a terceiros (a empresa de IA), o advogado pode responder a processo disciplinar por violação de sigilo.
A melhor estratégia é a criação de uma Política de Uso Aceitável de IA, combinada com a disponibilização de ferramentas corporativas seguras (Enterprise) contratadas pelo escritório. Além disso, o treinamento contínuo sobre os riscos jurídicos e de segurança é essencial para engajar a equipe na conformidade.
Aprofunde seu conhecimento sobre o assunto na Wikipedia.
Acesse a lei relacionada em Lei nº 13.709/2018
Este artigo teve a curadoria da equipe da Legale Educacional e foi escrito utilizando inteligência artificial a partir do seu conteúdo original disponível em https://www.conjur.com.br/2025-dez-16/shadow-ai-no-direito-o-risco-do-uso-da-ia-nas-sombras/.
Agentes políticos: entenda nomeações de alto escalão, interinidade e controle judicial. Conflitos de interesse e independência funcional no Direito Público.
Explore a Responsabilidade Penal Ambiental Corporativa, a emergência dos Direitos da Natureza e o fim da dupla imputação. Essencial para juristas.
Agentes políticos: entenda nomeações de alto escalão, interinidade e controle judicial. Conflitos de interesse e independência funcional no Direito Público.
Explore a Responsabilidade Penal Ambiental Corporativa, a emergência dos Direitos da Natureza e o fim da dupla imputação. Essencial para juristas.
