A análise dos casos concretos de falhas em sistemas de IA — o fundo K1, o veículo autônomo da Uber, os drones e as alucinações do ChatGPT — não esgota sua relevância na dimensão técnica. Cada um desses episódios funciona como um laboratório jurídico, no qual se testam os limites das categorias dogmáticas tradicionais de responsabilidade civil diante de um fenômeno tecnológico que desafia pressupostos sedimentados ao longo de séculos de desenvolvimento doutrinário.
A pergunta central que emerge desses casos pode ser enunciada com precisão: as categorias jurídicas existentes no ordenamento brasileiro são suficientes para lidar com os danos causados por sistemas de IA autônomos, ou é necessário construir um regime específico? A resposta a essa questão exige, antes de tudo, uma sistematização dos fundamentos jurídicos disponíveis.
A Responsabilidade Civil no Direito Brasileiro: Bases Gerais
O regime geral de responsabilidade civil no Brasil é estruturado pelo Código Civil de 2002. O artigo 186 define o ato ilícito como a ação ou omissão voluntária, negligência ou imprudência que viole direito e cause dano a outrem. O artigo 927 consagra a obrigação de reparar o dano causado por ato ilícito, acrescentando, em seu parágrafo único, uma cláusula de responsabilidade objetiva para atividades que, por sua natureza, impliquem risco para os direitos de outrem.
Essa cláusula geral de risco tem sido o principal instrumento utilizado pela doutrina para fundamentar a responsabilidade objetiva nos casos envolvendo IA. Parece-nos que a exploração comercial de sistemas autônomos de decisão — que operam sem supervisão humana direta, em setores como finanças, mobilidade e saúde — se enquadra, sem violência interpretativa, na categoria de atividade intrinsecamente arriscada que o artigo 927, parágrafo único, do Código Civil pretendeu alcançar.
O Código de Defesa do Consumidor e a Responsabilidade pelo Fato do Produto
O Código de Defesa do Consumidor (Lei 8.078/90) oferece um segundo fundamento relevante. O artigo 12 estabelece a responsabilidade objetiva do fabricante, produtor, construtor e importador pelos danos causados aos consumidores por defeitos nos produtos. O artigo 14, por sua vez, consagra a responsabilidade objetiva do fornecedor de serviços pelos danos causados aos consumidores em decorrência de defeitos na prestação.
A aplicação do CDC aos casos de danos causados por IA suscita, contudo, dificuldades interpretativas. A primeira diz respeito à natureza jurídica do sistema de IA: trata-se de produto ou serviço? A classificação não é trivial, pois os modelos de IA são, frequentemente, disponibilizados como serviços em nuvem (Software as a Service — SaaS), o que os aproxima mais da categoria de prestação de serviços do que da de fornecimento de produto. A segunda dificuldade reside na identificação do defeito: nos casos de alucinações do ChatGPT, por exemplo, o sistema funcionou tecnicamente conforme projetado — o problema está na limitação estrutural do modelo, não em um defeito específico e identificável.
Cabe ressaltar que o CDC prevê, em seu artigo 14, §1º, que o serviço é defeituoso quando não fornece a segurança que o consumidor dele pode esperar. Essa cláusula é suficientemente ampla para abranger as falhas dos sistemas de IA, desde que se estabeleça qual é o nível de segurança que o consumidor razoavelmente espera de um sistema que se apresenta como capaz de realizar determinadas tarefas.
A LGPD e o Direito à Explicação
A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/18) introduziu, em seu artigo 20, uma norma de grande relevância para o direito da IA: o direito do titular de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, incluindo as destinadas a definir perfis pessoais, profissionais, de consumo, de crédito ou comportamentais.
Esse dispositivo é particularmente relevante para os casos em que sistemas de IA tomam decisões com efeitos significativos sobre pessoas — como a concessão ou negação de crédito, a seleção de candidatos em processos seletivos, ou a determinação de preços personalizados. O direito à explicação previsto na LGPD dialoga diretamente com o princípio da transparência consagrado no AI Act europeu e com as obrigações de explicabilidade propostas pelo PL 2338/23.
A limitação desse dispositivo, contudo, é que ele exige a intervenção do titular para acionar o mecanismo de revisão — o que pressupõe que o titular saiba que uma decisão automatizada foi tomada e que ela afetou negativamente seus interesses. Nos casos de alucinações de LLMs, essa consciência pode não existir, tornando o remédio jurídico previsto na LGPD insuficiente para a proteção efetiva dos direitos dos afetados.
O PL 2338/23 e o Regime Específico para IA
O Projeto de Lei 2338/23, atualmente em tramitação no Congresso Nacional, propõe um regime específico de responsabilidade civil para sistemas de IA. Em seus artigos 28 a 32, o projeto estabelece que os agentes de IA — desenvolvedores, operadores e usuários — respondem pelos danos causados por sistemas de IA de acordo com sua posição na cadeia de desenvolvimento e implantação, e em proporção à sua capacidade de controlar o sistema.
Para os sistemas de IA classificados como de alto risco, o PL 2338/23 prevê responsabilidade objetiva dos desenvolvedores e operadores, com inversão do ônus da prova em favor do lesado. Essa opção legislativa se alinha à abordagem do AI Act europeu, que, em seu artigo 4º da Diretiva de Responsabilidade por IA (proposta de 2022, ainda em negociação), propõe a presunção de causalidade entre a falha do sistema e o dano sofrido, facilitando a posição processual do lesado.
O AI Act Europeu como Parâmetro Comparativo
O AI Act (Regulamento UE 2024/1689), em vigor desde agosto de 2024, representa o primeiro instrumento normativo abrangente dedicado exclusivamente à regulação da IA em nível global. Sua abordagem baseada em risco — que classifica os sistemas em categorias com obrigações proporcionais — tem influenciado significativamente o debate regulatório brasileiro.
Para os sistemas de alto risco, o AI Act impõe obrigações de gestão de riscos, qualidade dos dados, transparência, supervisão humana, robustez e segurança cibernética. Para os modelos de IA de uso geral (GPAI), como os LLMs, o regulamento prevê obrigações específicas de transparência e avaliação de riscos sistêmicos. A combinação dessas obrigações cria um standard de due diligence que os operadores devem observar e que, na ausência de legislação específica, pode informar a interpretação das cláusulas gerais do direito civil brasileiro.
A análise desses fundamentos jurídicos revela que o ordenamento brasileiro já dispõe de instrumentos normativos capazes de fundamentar a responsabilização por danos causados por sistemas de IA. O desafio não é, portanto, de lacuna normativa absoluta, mas de adaptação interpretativa das categorias existentes a um fenômeno tecnológico novo — e, simultaneamente, de construção de um regime específico que responda de forma mais precisa e eficiente às particularidades dos sistemas autônomos.
Alessandro Casoretti Lavorante
Prof. Me. pela USP
Advogado especializado em Direito Digital, IA e Startups. Mestre em Direito Civil pela USP. Autor do livro "Responsabilidade Civil por Inteligência Artificial".