Os fundamentos jurídicos da conduta ilícita ou antijurídica no campo da inteligência artificial encontram-se distribuídos por um conjunto crescente de normas que, embora ainda fragmentado, começa a compor um quadro normativo coerente. A identificação dessas bases legais é indispensável para que o jurista possa, nos casos concretos, determinar com precisão quais deveres de conduta incumbiam a cada agente envolvido no desenvolvimento e na operação do sistema que causou o dano. Sem esse mapeamento normativo prévio, a análise da antijuridicidade da conduta tende a permanecer em nível de abstração pouco útil para a prática forense.
Desenvolvedores ou operadores de sistemas de IA que falham em implementar medidas de segurança exigidas pela legislação podem ser considerados omissos para fins de responsabilidade civil. Em sistemas críticos — como os de segurança pública que utilizam IA para monitoramento e identificação de suspeitos —, a ausência de protocolos de emergência estabelecidos por lei pode representar omissão com consequências jurídicas graves, pois infringe o dever de proteção que a norma impõe. A questão que se coloca é: quais normas, no ordenamento brasileiro atual, estabelecem esses deveres de conduta com grau de especificidade suficiente para fundamentar a identificação de uma omissão antijurídica?
A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD) constitui o primeiro e mais consolidado pilar normativo nesse sentido. Seus arts. 46 a 49 impõem aos agentes de tratamento — controladores e operadores — obrigações específicas de segurança, sigilo e boas práticas, cujo descumprimento pode configurar a conduta antijurídica relevante para fins de responsabilidade civil. Quando um sistema de IA trata dados pessoais — o que ocorre na esmagadora maioria dos casos práticos —, as obrigações da LGPD se somam aos deveres gerais do Código Civil e do Código de Defesa do Consumidor, criando um regime de responsabilidade em múltiplas camadas.
O Projeto de Lei nº 2.338/23, aprovado no Senado Federal em dezembro de 2024 e em trâmite na Câmara dos Deputados, aprofunda e especifica esses deveres para o campo da IA. O texto estabelece que os agentes responsáveis por sistemas de inteligência artificial devem implementar estruturas e processos que garantam segurança, transparência e respeito aos direitos das pessoas afetadas. Entre as obrigações previstas destacam-se: a transparência no uso de IA (art. 19, I e II), a gestão de dados para mitigar vieses discriminatórios (art. 19, III), a proteção de dados pessoais desde a concepção (art. 19, IV) e a separação adequada de dados para treinamento (art. 19, V). Essas obrigações se desdobram na elaboração e atualização de documentação técnica (art. 19, § 2º), na realização de testes de confiabilidade (art. 20, III), na explicabilidade dos resultados (art. 20, V) e na adoção de medidas para prevenir e corrigir vieses sociais estruturais (art. 20, IV).
Para sistemas classificados como de "alto risco" — aqueles que, em virtude de seu uso ou aplicação, podem impactar significativamente direitos fundamentais, a segurança das pessoas ou a prestação de serviços essenciais (art. 17 do PL) —, a avaliação de impacto algorítmico será obrigatória (art. 22). Cabe ressaltar que a abrangência dessa categoria inclui sistemas que operam no controle de infraestruturas críticas, na gestão de trabalhadores, na área da saúde e na investigação criminal, o que confere ao PL uma aplicabilidade bastante ampla no contexto das tecnologias mais sensíveis atualmente em uso. A atualização periódica da lista de sistemas de alto risco pela autoridade competente, mediante consulta a órgãos setoriais e audiências públicas, introduz um mecanismo de revisão contínua que visa acompanhar o ritmo da inovação tecnológica.
Em perspectiva comparada, o AI Act (Regulamento UE 2024/1689), que entrou em vigor em 2024 e produz efeitos progressivos ao longo de dois anos, adota estrutura normativa análoga, porém mais detalhada. O regulamento europeu classifica os sistemas de IA em quatro categorias de risco — inaceitável, alto, limitado e mínimo — e impõe obrigações progressivas de conformidade conforme o nível de risco identificado. Para os sistemas de alto risco, os requisitos incluem, entre outros: a implementação de um sistema de gestão de riscos ao longo de todo o ciclo de vida do sistema (art. 9º); a governança de dados de treinamento, validação e teste (art. 10); a elaboração de documentação técnica (art. 11); o registro de eventos (art. 12); a transparência e o fornecimento de informações aos usuários (art. 13); e a supervisão humana (art. 14). O descumprimento dessas obrigações pode configurar a conduta antijurídica apta a fundamentar a responsabilidade civil dos agentes envolvidos nos países membros da União Europeia.
Verifica-se, portanto, uma convergência entre os marcos regulatórios europeu e brasileiro no sentido de identificar deveres objetivos de conduta para os agentes de IA, cujo descumprimento configura a antijuridicidade relevante para fins de responsabilidade civil independentemente da análise do elemento subjetivo da culpa. Essa tendência é coerente com a lógica geral da responsabilidade objetiva fundada no risco da atividade, que já permeia o Código Civil de 2002 e o Código de Defesa do Consumidor, e representa um avanço na direção de um regime de responsabilidade mais efetivo para a proteção das vítimas de danos causados por sistemas de IA.
A articulação entre esses fundamentos jurídicos específicos e os institutos gerais da responsabilidade civil — conduta antijurídica, dano, nexo causal e nexo de imputação — constitui o desafio central que o jurista enfrentará nos próximos anos ao lidar com os casos que inevitavelmente se multiplicarão à medida que os sistemas de IA se tornem onipresentes nas relações sociais, econômicas e institucionais. A compreensão aprofundada de cada um desses elementos, nas suas dimensões tanto tradicionais quanto reconfiguradas pela realidade tecnológica, é a base indispensável para uma prática jurídica à altura dos desafios que o século XXI impõe ao Direito.
Este artigo integra o Capítulo 2 da obra sobre Responsabilidade Civil e Inteligência Artificial, de Alessandro Lavorante.
Alessandro Casoretti Lavorante
Prof. Me. pela USP
Advogado especializado em Direito Digital, IA e Startups. Mestre em Direito Civil pela USP. Autor do livro "Responsabilidade Civil por Inteligência Artificial".