Direito Digital e Inteligência Artificial
Adequação à LGPD, governança de dados e uso ético de IA — estrutura jurídica para empresas que operam e decidem com dados.
Dados e IA deixaram de ser tema de TI. São decisão de gestão — com consequência jurídica.
Toda empresa relevante hoje trata dados pessoais em escala e, cada vez mais, incorpora inteligência artificial à operação: no atendimento, no RH, na análise de risco, na produção. Cada uma dessas escolhas cria obrigações jurídicas — perante titulares, perante a ANPD, perante empregados e perante o mercado.
Nossa atuação parte de uma convicção: governança de dados e de IA não é um manual na gaveta, é um sistema de decisão funcionando. Programas de compliance que não conversam com a operação real da empresa não reduzem risco — apenas documentam a sua existência.
O escritório une a prática em Direito Digital — que exercemos desde a entrada em vigor da LGPD — à experiência interna com tecnologia aplicada à gestão jurídica, e à vivência em setores que tratam dados sensíveis em larga escala, como a saúde suplementar.
Quem atendemos nesta especialidade
Empresas para as quais dados são ativo estratégico — e, por isso, risco a governar.
Empresas que tratam dados em escala
Negócios com grandes bases de clientes, e-commerce, plataformas e serviços digitais que precisam de programa de privacidade efetivo e sustentável.
Setor de saúde e dados sensíveis
Operadoras, administradoras, hospitais e healthtechs — onde a LGPD encontra a regulação setorial e o dado é, por definição, sensível.
Empresas adotando IA
Organizações incorporando IA a processos de negócio, atendimento, RH ou produto, que precisam fazê-lo com segurança jurídica e controles proporcionais.
Empresas em incidente ou fiscalização
Companhias enfrentando vazamento de dados, demanda da ANPD, ação de titulares ou disputa contratual de tecnologia — situações em que método e tempo de resposta decidem o desfecho.
Como atuamos em Direito Digital e IA
Adequação e manutenção LGPD
Estruturação de programas de privacidade que funcionam na operação real — e revisão dos programas montados em 2020 que envelheceram sem manutenção.
- Mapeamento de dados e registro de operações (art. 37)
- Definição de bases legais e revisão de consentimentos
- Políticas de privacidade, avisos e termos de uso
- Relatórios de impacto (RIPD/DPIA) para tratamentos de risco
DPO as a service — Encarregado de dados
Exercício terceirizado e qualificado da função de Encarregado (art. 41 da LGPD), com respaldo jurídico permanente e independência frente às áreas internas.
- Canal de atendimento a titulares e à ANPD
- Orientação contínua às áreas de negócio e tecnologia
- Gestão do programa de privacidade e de seus indicadores
- Reportes periódicos à alta administração
Governança e uso ético de IA
Estruturas de controle para adoção responsável de inteligência artificial, proporcionais ao risco de cada caso de uso — do chatbot ao algoritmo de decisão.
- Política corporativa de uso de IA e comitês de governança
- Avaliação de impacto algorítmico e gestão de vieses
- Transparência, supervisão humana e revisão de decisões automatizadas
- Contratos com fornecedores de IA e proteção de dados em treinamento de modelos
Resposta a incidentes de segurança
Gestão jurídica completa de vazamentos e incidentes com dados pessoais, das primeiras horas à interlocução com a ANPD e a defesa em desdobramentos.
- Plano de resposta e avaliação de risco do incidente
- Comunicação à ANPD e aos titulares, quando devida
- Documentação e preservação de evidências
- Defesa em processos administrativos e ações de titulares
Contencioso digital e de proteção de dados
Atuação judicial e administrativa nas disputas que nascem do ambiente digital, com a base técnica necessária para discuti-las bem.
- Ações individuais e coletivas envolvendo dados pessoais
- Processos administrativos perante a ANPD
- Disputas contratuais de tecnologia e software
- Remoção de conteúdo, marco civil e responsabilidade de plataformas
Contratos e operações de tecnologia
Estruturação contratual das relações que sustentam a operação digital da empresa — porque a cláusula errada vira passivo quando o dado circula.
- Contratos de tratamento de dados entre controladores e operadores
- Acordos de licenciamento, SaaS e desenvolvimento de software
- Transferência internacional de dados
- Cláusulas de dados e IA em contratos comerciais e de M&A
O terreno em que essa atuação acontece
Um marco em construção acelerada — o que exige da empresa estrutura para absorver mudanças, não apenas conformidade pontual:
LGPD — Lei 13.709/2018
A lei geral do tratamento de dados pessoais no Brasil: princípios, bases legais, direitos dos titulares, obrigações de governança e o regime sancionatório aplicado pela ANPD.
Regulamentação da ANPD
O corpo normativo que dá operacionalidade à LGPD — dosimetria de sanções, comunicação de incidentes, agentes de pequeno porte, transferência internacional — em expansão contínua desde 2021.
Marco Civil da Internet — Lei 12.965/2014
A base da responsabilidade de provedores e plataformas, guarda de registros e liberdade de expressão online, em releitura permanente pela jurisprudência do STF e do STJ.
Marco regulatório da Inteligência Artificial
A regulação da IA no Brasil (a partir do PL 2.338/2023) e as referências internacionais, como o AI Act europeu, que já pautam contratos, exigências de clientes e boas práticas de governança.
Dúvidas comuns sobre Direito Digital e IA
Minha empresa já se adequou à LGPD em 2020/2021. Preciso revisar algo?
Muito provavelmente sim. Adequação à LGPD não é projeto com data de término, é processo contínuo: a ANPD vem editando regulamentações novas (dosimetria de sanções, comunicação de incidentes, agentes de pequeno porte, transferência internacional), a jurisprudência amadureceu e a operação da empresa mudou — novos sistemas, novos fornecedores e, em muitos casos, adoção de IA.
Programas de 2020 que não foram revisitados costumam apresentar lacunas relevantes frente ao cenário atual.
O que é DPO as a service e quando faz sentido contratar?
É a terceirização da função de Encarregado pelo Tratamento de Dados Pessoais (art. 41 da LGPD) para uma estrutura especializada. Faz sentido para empresas que precisam de um DPO tecnicamente qualificado e independente sem o custo de uma posição dedicada.
O serviço cobre o canal com titulares e com a ANPD, orientação às áreas internas, registro de operações e gestão de incidentes, com respaldo jurídico permanente.
A empresa quer usar IA na operação. Quais cuidados jurídicos são necessários?
Os principais eixos são: base legal e transparência no tratamento de dados usados pelos sistemas; avaliação de impacto quando o uso envolver decisões automatizadas relevantes; supervisão humana e possibilidade de revisão; gestão de vieses e não discriminação; segurança da informação e confidencialidade; propriedade intelectual sobre insumos e resultados; e contratos adequados com fornecedores de IA.
Estruturamos esses controles na forma de uma política de governança de IA proporcional ao risco de cada uso.
Houve um vazamento de dados na empresa. Quais são as obrigações?
A LGPD exige comunicação à ANPD e aos titulares afetados quando o incidente puder acarretar risco ou dano relevante, em prazo regulamentado pela Autoridade. Antes disso, é preciso conter o incidente, preservar evidências, avaliar a extensão e documentar as medidas adotadas.
A qualidade da resposta nas primeiras horas influencia diretamente a exposição sancionatória e civil da empresa. Atuamos na gestão jurídica completa de incidentes, inclusive na interlocução com a ANPD.
Quais são as sanções por descumprimento da LGPD?
A ANPD pode aplicar desde advertência até multa de 2% do faturamento do grupo no Brasil (limitada a R$ 50 milhões por infração), além de publicização da infração, bloqueio e eliminação de dados e, em casos graves, suspensão ou proibição do tratamento.
Além da esfera administrativa, há exposição civil — ações individuais e coletivas de titulares — e reputacional, que frequentemente supera o custo da sanção.
Empresas de saúde têm obrigações diferenciadas com dados?
Sim. Dados de saúde são dados pessoais sensíveis (art. 5º, II, e art. 11 da LGPD), com bases legais mais restritas e dever de cuidado reforçado. Operadoras, administradoras, hospitais e healthtechs tratam esses dados em larga escala, somando a exposição da LGPD à regulação setorial.
A integração entre nossa atuação regulatória em saúde suplementar e a especialidade digital atende exatamente essa interseção.
O uso de IA no RH e na gestão de pessoas traz riscos jurídicos?
Sim. Triagem automatizada de currículos, monitoramento de produtividade e avaliação algorítmica de desempenho envolvem tratamento de dados de empregados e decisões automatizadas com impacto direto sobre pessoas — terreno sensível na LGPD e na Justiça do Trabalho.
Recomenda-se avaliação de impacto, transparência com os empregados, supervisão humana das decisões e revisão das políticas internas antes da adoção dessas ferramentas.
Atuação integrada
Direito Regulatório — ANS e Saúde Suplementar
Defesas perante a ANS, ressarcimento ao SUS e suporte regulatório contínuo — o setor onde dados sensíveis e regulação se encontram.
Conhecer a especialidade →Direito Empresarial e Trabalhista
Preventivo, contencioso e gestão de passivo trabalhista — incluindo os novos riscos do uso de dados e IA na gestão de pessoas.
Conhecer a especialidade →Sua empresa já decide com dados. A governança jurídica precisa acompanhar.
Fale com um time que entende de norma, de tecnologia e da sua operação.
Fale com o escritório