A identificação da conduta humana antijurídica relevante para fins de responsabilidade civil no campo da inteligência artificial exige, antes de tudo, a precisão de uma pergunta: a conduta humana que precede o dano consistiu em uma ação ativa — como o lançamento deliberado de um sistema com falhas conhecidas — ou em uma omissão — como o fracasso em supervisionar adequadamente o funcionamento de um sistema que se revelou danoso? Em ambos os casos, o resultado prático pode ser o mesmo, mas os fundamentos jurídicos da responsabilização diferem em aspectos relevantes. Parece-nos que, no campo das tecnologias digitais, a omissão é a modalidade de conduta antijurídica mais frequentemente envolvida na causação de danos, o que justifica a atenção especial que lhe é dedicada neste capítulo.
Desenvolvedores e operadores podem incorrer em omissão quando sua conduta anterior — como o lançamento de um sistema com deficiências — criou riscos que não foram mitigados, ou quando assumiram a responsabilidade de manter um sistema autônomo em setores sensíveis, passando a ter o dever de agir para corrigir ou fiscalizar problemas identificados. A omissão não é, nesse contexto, uma mera passividade: ela pressupõe a existência de um dever jurídico de agir que o agente tinha condições de cumprir e deliberadamente — ou negligentemente — descumpriu. Sem esse dever preexistente, a omissão não possui relevância jurídica para fins de responsabilidade civil.
O entendimento jurídico sobre a relevância da omissão decorre principalmente das contribuições do Direito Penal, onde se consolidou a ideia de que a omissão só assume relevância quando há um dever jurídico pré-existente de impedir o resultado. O Código Penal brasileiro, em seu art. 13, § 2º, estabelece que a omissão é penalmente relevante quando o agente "devia e podia agir para evitar o resultado", e que esse dever de agir emerge de três situações: a obrigação imposta por lei, a posição de garantidor e a atividade anterior que criou um risco potencial. Transposta para o campo civil, essa tripartição oferece um roteiro claro para a identificação das omissões antijurídicas dos agentes envolvidos no desenvolvimento e na operação de sistemas de IA.
Na primeira situação — a omissão genérica, em que o dever de agir é originado diretamente de preceitos legais —, o agente que viola um dever de proteção ou cuidado imposto pela legislação pratica omissão juridicamente relevante. No campo da IA, esse dever encontra fundamento crescente em normas específicas. A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) impõe aos controladores o dever de implementar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda ou alteração. O descumprimento dessas obrigações por parte de uma empresa que desenvolve ou opera um sistema de IA que trata dados pessoais configura a omissão antijurídica apta a fundamentar o dever de reparar os danos causados aos titulares dos dados.
Na segunda situação — a posição de garantidor —, o dever de agir emerge do fato de o agente ter assumido, de outra forma, a responsabilidade de impedir o resultado. O operador de um sistema de IA em um hospital que se compromete contratualmente a garantir a segurança e a confiabilidade das recomendações clínicas geradas pelo sistema torna-se garantidor da integridade dos pacientes que serão por elas afetados. Sua omissão diante de alertas de falha ou de resultados clinicamente implausíveis não é juridicamente indiferente: ela constitui descumprimento do dever de garantia voluntariamente assumido e fundamenta a responsabilização pelos danos decorrentes.
Na terceira situação — a atividade anterior que criou o risco —, o dever de agir decorre do próprio comportamento precedente do agente. Quem desenvolve e coloca em operação um sistema de IA cria, por esse ato, um risco de dano a terceiros, e por isso assume o dever de monitorar seus efeitos e de mitigar os riscos que venha a causar. Verificou-se que essa fundamentação é particularmente relevante nos casos em que o sistema apresenta comportamentos emergentes imprevistos — resultantes do aprendizado contínuo por reforço, por exemplo —, que o desenvolvedor não antecipou mas que poderia ter detectado com monitoramento adequado.
No plano das relações de consumo, a ausência de informações claras sobre o funcionamento de sistemas de IA compromete o consentimento informado do consumidor e caracteriza omissão relevante para a responsabilidade civil. O Código de Defesa do Consumidor (Lei nº 8.078/1990) é inequívoco ao impor ao fornecedor o dever de informação, cuja violação pode dar origem à responsabilização independentemente de culpa. Quando um serviço baseado em IA adota decisões automatizadas que afetam o consumidor — como a recusa de crédito ou a fixação de preços diferenciados — sem que o consumidor compreenda os critérios utilizados, a opacidade do sistema pode ela própria ser uma forma de omissão antijurídica.
Cabe ressaltar que o Projeto de Lei nº 2.338/23, após aprovação no Senado Federal e em trâmite na Câmara dos Deputados, estabelece obrigações específicas que conferem substância normativa concreta a esses deveres. O PL determina que os agentes responsáveis por sistemas de IA devem implementar estruturas de transparência no uso da tecnologia (art. 19, I e II), gestão de dados para mitigar vieses discriminatórios (art. 19, III), proteção de dados pessoais desde a concepção (art. 19, IV) e separação adequada de dados para treinamento (art. 19, V). Além dessas obrigações gerais, impõe a elaboração e atualização de documentação técnica (art. 19, § 2º), a realização de testes de confiabilidade (art. 20, III), a explicabilidade dos resultados (art. 20, V) e medidas para prevenir e corrigir vieses sociais estruturais (art. 20, IV). Para sistemas classificados como de "alto risco", a avaliação de impacto algorítmico será obrigatória (art. 22).
O descumprimento dessas obrigações — seja por ação direta ou por omissão na sua implementação — configurará, no plano civil, a conduta antijurídica apta a fundamentar o dever de reparar os danos causados. A articulação entre essas normas específicas e os institutos gerais da responsabilidade civil será, nos próximos anos, um dos campos mais fertéis e mais disputados do Direito brasileiro. O quadro normativo que emerge é o de uma responsabilidade civil crescentemente ancorada em deveres objetivos de conduta — deveres cujo descumprimento dispensa, em muitos casos, a investigação sobre o elemento subjetivo da culpa e concentra a análise na verificação objetiva de se o agente agiu ou não conforme o padrão de cuidado que o ordenamento lhe impunha.
Este artigo integra o Capítulo 2 da obra sobre Responsabilidade Civil e Inteligência Artificial, de Alessandro Lavorante.
Alessandro Casoretti Lavorante
Prof. Me. pela USP
Advogado especializado em Direito Digital, IA e Startups. Mestre em Direito Civil pela USP. Autor do livro "Responsabilidade Civil por Inteligência Artificial".