Quem responde quando a inteligência artificial causa prejuízo?

A inteligência artificial deixou de ser assunto de futuro. Ela já está dentro das empresas, dos contratos, dos bancos, dos seguros, dos atendimentos automatizados, dos processos seletivos, das plataformas digitais e até das decisões de crédito. Hoje, sistemas de IA ajudam a decidir quem recebe uma proposta, quem passa em uma triagem, qual preço será oferecido, qual risco será assumido e qual consumidor será aprovado ou recusado.

A pergunta jurídica que surge é simples, mas difícil de responder: se a inteligência artificial causar um dano, quem responde? A empresa que criou o sistema? A empresa que contratou a ferramenta? Quem forneceu os dados? Quem operou a tecnologia? Ou todos eles? Essa é uma das grandes discussões do Direito Empresarial atualmente.

A dificuldade: a IA nem sempre explica como decidiu

Nos modelos tradicionais de responsabilidade civil, costuma-se investigar quem agiu com culpa, imprudência, negligência ou imperícia. O problema é que, no caso da inteligência artificial, muitas decisões são tomadas por sistemas complexos, que analisam grande quantidade de dados e chegam a conclusões nem sempre fáceis de explicar. É o chamado problema da “caixa-preta”: muitas vezes, nem mesmo quem desenvolveu o sistema consegue explicar, com absoluta clareza, por que a IA chegou a determinado resultado.

Isso cria um desafio enorme para o Direito. Se ninguém consegue explicar bem a decisão da máquina, como a vítima conseguirá provar que houve erro? E como identificar exatamente quem causou o dano? No ambiente empresarial, essa dificuldade aumenta ainda mais. Um sistema de IA pode ser desenvolvido por uma empresa, alimentado com dados de outra, integrado por um terceiro e utilizado por uma quarta empresa na relação com consumidores, empregados ou parceiros comerciais. Quando algo dá errado, a responsabilidade pode estar espalhada por toda essa cadeia.

A responsabilidade não desaparece porque a decisão foi automatizada

Um ponto precisa ficar claro: o fato de uma decisão ter sido tomada por inteligência artificial não elimina a responsabilidade humana ou empresarial. A empresa que usa IA em sua atividade não pode simplesmente dizer que “foi o sistema que decidiu”. A tecnologia pode até automatizar a decisão, mas não automatiza a responsabilidade jurídica.

Se uma empresa utiliza IA para tomar decisões que afetam consumidores, trabalhadores, fornecedores ou terceiros, ela precisa assumir deveres mínimos de cuidado, transparência, supervisão e controle. Em outras palavras, quem se beneficia economicamente da IA também deve responder pelos riscos que ela cria.

O PL 2.338/2023 e a lógica do risco

No Brasil, o Projeto de Lei nº 2.338/2023 busca criar um marco regulatório para a inteligência artificial. O projeto trabalha com uma ideia central: nem toda IA oferece o mesmo risco. Há sistemas de risco baixo, sistemas de risco elevado e sistemas que podem ser considerados inaceitáveis, dependendo da forma como são usados.

Para o Direito Empresarial, esse ponto é essencial. Quanto maior o risco do sistema utilizado pela empresa, maior deverá ser o cuidado jurídico, técnico e documental. O texto-base do projeto prevê um regime mais rigoroso para sistemas de alto risco, incluindo responsabilidade objetiva para provedores e operadores em determinadas hipóteses. Na prática, isso significa que a vítima não precisaria necessariamente provar a culpa da empresa: bastaria demonstrar o dano, o nexo com o sistema utilizado e a posição da empresa na cadeia de fornecimento ou operação da IA.

Essa lógica se aproxima de algo já conhecido no Direito brasileiro, a responsabilidade pelo risco da atividade. Se a empresa desenvolve, fornece ou utiliza uma tecnologia capaz de causar danos relevantes, deve organizar sua atividade de modo a prevenir, documentar e responder por esses riscos.

O que o modelo europeu ensina

A União Europeia saiu na frente com o chamado EU AI Act, uma regulação ampla sobre inteligência artificial baseada também na classificação dos sistemas por nível de risco. Embora seja uma norma europeia, ela interessa muito às empresas brasileiras, porque empresas que atuam no mercado europeu, contratam com empresas europeias ou usam tecnologias desenvolvidas naquele ambiente podem ser afetadas, direta ou indiretamente, por esse padrão regulatório. Além disso, normas europeias costumam influenciar boas práticas globais. Foi assim com a proteção de dados, e pode acontecer o mesmo com a inteligência artificial.

A grande lição do modelo europeu é que a IA precisa ser tratada como tema de governança empresarial, e não apenas como ferramenta tecnológica. Não basta perguntar se o sistema funciona. É preciso perguntar se ele é seguro, se é auditável, se discrimina alguém, se permite revisão humana, se registra as decisões tomadas e se explica minimamente os critérios utilizados. Essas perguntas deixarão de ser apenas preocupações técnicas e passarão a ser perguntas jurídicas.

A LGPD já oferece respostas importantes

Mesmo antes da aprovação de uma lei específica sobre IA, o Brasil já possui uma norma muito relevante para esse debate: a Lei Geral de Proteção de Dados Pessoais. O artigo 20 da LGPD trata das decisões automatizadas e garante ao titular dos dados o direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, quando essas decisões afetarem seus interesses. Isso pode ocorrer, por exemplo, em decisões automatizadas de crédito, precificação, contratação, seleção de candidatos, análise de risco ou definição de perfil de consumo.

Para as empresas, a mensagem é clara: se a IA toma decisões que afetam pessoas, é preciso haver transparência, explicação adequada e possibilidade de revisão. A empresa não pode esconder uma decisão relevante atrás de um algoritmo incompreensível, porque a opacidade algorítmica pode se transformar em risco jurídico.

Terceirizar a IA não elimina a responsabilidade

Outro ponto importante: contratar uma ferramenta de IA de terceiros não significa transferir toda a responsabilidade para o fornecedor da tecnologia. A empresa que usa o sistema em sua operação também precisa compreender minimamente seus riscos. Se uma empresa utiliza uma IA para negar crédito, selecionar candidatos, classificar clientes, definir preços ou avaliar fornecedores, ela deve saber quais critérios gerais estão sendo utilizados, quais dados alimentam o sistema e quais mecanismos existem para corrigir erros. A terceirização tecnológica não pode virar terceirização da responsabilidade.

Por isso, contratos empresariais envolvendo IA precisarão ser cada vez mais cuidadosos. Não basta contratar a ferramenta. Será necessário prever deveres de documentação, auditoria, atualização, segurança, confidencialidade, explicabilidade e responsabilidade em caso de dano.

O que as empresas devem fazer agora

Mesmo antes de uma regulação definitiva, as empresas já deveriam adotar medidas básicas de governança em inteligência artificial. Entre as providências fundamentais estão:

• Mapear quais sistemas de IA são utilizados na empresa e identificar quais decisões são automatizadas.
• Avaliar quais sistemas podem gerar riscos relevantes e documentar critérios, bases de dados e fornecedores.
• Prever revisão humana em decisões sensíveis, informar o uso de IA quando isso afetar terceiros e criar canais de contestação e revisão.
• Ajustar contratos com fornecedores de tecnologia.
• Integrar a IA ao programa de compliance e proteção de dados.

Essas medidas não servem apenas para cumprir futuras leis. Elas ajudam a reduzir riscos de indenizações, sanções administrativas, problemas reputacionais e litígios empresariais.

O ponto central: inovação com responsabilidade

A inteligência artificial pode aumentar eficiência, reduzir custos e melhorar decisões empresariais. Mas ela também pode errar, discriminar, excluir, prejudicar consumidores e criar danos difíceis de rastrear. O Direito não deve impedir a inovação, mas também não pode aceitar que a inovação seja usada como escudo para irresponsabilidade. A empresa que adota IA precisa entender que tecnologia não é zona neutra: ela produz efeitos jurídicos concretos.

Quando uma decisão automatizada afeta a vida, o patrimônio, a reputação ou as oportunidades de uma pessoa, o Direito deve ser capaz de perguntar quem decidiu, com quais critérios, com quais dados, sob qual supervisão e com qual responsabilidade. A resposta tende a ser cada vez mais clara: empresas que usam inteligência artificial devem governar seus sistemas, documentar suas escolhas e responder pelos danos que causarem. No fim, a discussão não é contra a IA, é a favor de uma IA confiável, transparente e juridicamente responsável. Inovar é necessário, mas inovar sem responsabilidade pode custar caro.