O Dever de Cuidado na Inteligência Artificial: Da Proteção de Dados à Resiliência Sistêmica
O Dever de Cuidado na Inteligência Artificial: Da Proteção de Dados à Resiliência Sistêmica
Por Mônica Villani
A segurança da informação deixou de ser uma questão periférica de governança corporativa para se tornar um pilar do direito contemporâneo. Com o avanço da Inteligência Artificial, essa transição ganha contornos definitivos. Se antes o debate se circunscrevia à preservação da tríade “confidencialidade, integridade e disponibilidade” sob uma ótica tecnológica, hoje, diante de algoritmos que definem scores de crédito, filtram candidatos e orientam diagnósticos médicos, a segurança da informação se converte em dever jurídico de diligência.
Este artigo propõe uma reflexão sobre como a LGPD, articulada com a Diretiva NIS2 e o AI Act europeu, redefine a responsabilidade dos agentes que operam sistemas de IA. O que emerge não é apenas um novo protocolo de TI, mas um autêntico “dever de cuidado” — uma exigência de postura proativa e ética que atravessa todo o ciclo de vida dos sistemas automatizados.
Da proteção de dados à resiliência sistêmica
No Brasil, o dever de segurança nasceu vinculado de forma instrumental à proteção de dados pessoais, como se depreende do Art. 46 da LGPD, que exige medidas de segurança, técnicas e administrativas, aptas a proteger dados pessoais. Contudo, a complexidade dos sistemas de IA exige que se observe o movimento de autonomização normativa já em curso na União Europeia.
Enquanto a LGPD vincula o dever de segurança majoritariamente ao tratamento de dados, o AI Act e a Diretiva NIS2 tratam a resiliência cibernética como um valor jurídico autônomo, essencial tanto para a manutenção de infraestruturas críticas quanto para a preservação da confiança nas instituições democráticas. Essa distinção importa: na lógica europeia, a segurança não serve apenas ao titular do dado, mas ao funcionamento do ecossistema digital como um todo.
O chamado “Efeito Bruxelas” torna essa evolução incontornável para o mercado brasileiro. Empresas que operam com tecnologias globais ou que buscam conformidade internacional não podem mais ignorar esses parâmetros. A assimetria normativa entre Brasil e Europa vem se reduzindo à medida que a ANPD e o Judiciário passam a interpretar a segurança não apenas como uma obrigação de meio, mas como um pressuposto de licitude para operações que envolvam inteligência algorítmica.
O dever de cuidado como norma de conduta
Para compreender a profundidade do dever de segurança aplicado à IA, vale resgatar a distinção proposta por Norberto Bobbio entre normas primárias e secundárias. Como norma primária, a segurança da informação estabelece o padrão de conduta esperado: a obrigação de implementar salvaguardas técnicas e administrativas capazes de proteger o ecossistema informacional. Como norma secundária, define as consequências jurídicas para o descumprimento desse padrão — sanções administrativas, responsabilidade civil e, em casos extremos, a nulidade do próprio tratamento.
No contexto da IA, essa distinção adquire relevância prática imediata. O dever de cuidado não se esgota na adoção de criptografia ou de controles de acesso. Ele exige o que a doutrina europeia classifica como “vigilância algorítmica”: o monitoramento contínuo da integridade dos dados de entrada, da lógica de processamento e dos resultados produzidos pelo sistema. O agente que opera uma IA assume a posição de garantidor — não apenas dos dados, mas da coerência e da segurança da própria lógica decisória.
A consequência jurídica dessa construção é direta: se o sistema é inseguro por concepção, o tratamento de dados que ele realiza é, por derivação, ilícito. A falha de segurança deixa de ser classificável como um mero “incidente de TI” para configurar o descumprimento de uma norma de conduta que fundamenta a licitude da operação.
Cadeia de suprimentos e responsabilidade compartilhada
Enquanto a LGPD concentra sua tutela no dado pessoal como objeto, o movimento regulatório europeu expande o horizonte para a resiliência das cadeias de suprimentos digitais. A Diretiva NIS2 exige que organizações monitorem a segurança de seus fornecedores de software e serviços de nuvem, criando uma teia de responsabilidades que alcança toda a cadeia produtiva.
Transpondo essa lógica para a realidade das IAs generativas, o desafio se torna evidente. Se uma empresa utiliza uma IA de terceiros para automatizar sua análise de recursos humanos e esse modelo sofre um ataque de envenenamento de dados (data poisoning), produzindo decisões discriminatórias, a responsabilidade jurídica recai sobre o controlador — ainda que a falha tenha origem no fornecedor.
O AI Act reforça essa orientação ao classificar sistemas de IA conforme níveis de risco. Para os de “alto risco”, exige documentação técnica rigorosa e gestão de riscos durante todo o ciclo de vida do algoritmo. O dever de segurança abandona qualquer pretensão de estaticidade: converte-se em processo contínuo de auditoria e governança, no qual o advogado se aproxima cada vez mais do gestor de riscos regulatórios.
Nexo causal, transparência e inversão do ônus da prova
Um dos pontos de maior tensão jurídica nessa matéria reside na prova do nexo causal. Sistemas de IA operam frequentemente como “caixas-pretas”, dificultando que o titular do dado — ou mesmo o regulador — identifique com precisão onde ocorreu a falha. É nesse ponto que o dever de segurança como dever jurídico autônomo cumpre sua função mais relevante.
A interpretação do Artigo 20 da LGPD, que garante o direito à revisão de decisões automatizadas, pressupõe que os sistemas sejam não apenas transparentes, mas seguros. Sem segurança na origem dos dados e no processamento algorítmico, a revisão humana prevista na norma se torna uma formalidade vazia. A tendência jurisprudencial, tanto no Brasil quanto na Europa, caminha para a inversão do ônus da prova: se a empresa não demonstra que seguiu os padrões de segurança e governança previstos na NIS2 ou nas melhores práticas internacionais, a culpa pelo dano é presumida.
A segurança da informação se consolida, assim, como o principal elemento de defesa em ações de responsabilidade civil envolvendo IA — e, simultaneamente, como o lastro para a confiança do consumidor e do mercado.
Conclusão
A migração da segurança da informação do campo técnico para o normativo é irreversível. Diante da presença crescente da IA em processos decisórios que afetam direitos fundamentais, o dever de cuidado se impõe como referência para advogados, magistrados e gestores.
Conformidade com a letra da lei já não basta; é preciso garantir a resiliência dos sistemas que sustentam a vida digital. O desenvolvimento tecnológico responsável no Brasil passa pelo reconhecimento de que a segurança não é custo operacional, mas o alicerce da inovação ética. A advocacia, nesse cenário, assume papel constitutivo na construção de um ambiente onde a tecnologia sirva ao humano, orientada pelos marcos do Direito e da Segurança da Informação.
Mônica Villani é mestranda em Direito pela Pontifícia Universidade Católica de São Paulo (PUC-SP), com pesquisa voltada ao Direito Digital, privacidade e proteção de dados pessoais. Advogada e sócia do escritório Mônica Villani Advogados. DPO certificada pela EXIN® e membro da IAPP – International Association of Privacy Professionals. Vice-Presidente da Comissão das Mulheres Advogadas da OAB de São Bernardo do Campo/SP e integrante das Comissões Especiais de Tecnologia e Inovação, de Privacidade, Proteção de Dados e Inteligência Artificial, de Compliance e de Empreendedorismo Legal da OAB/SP. Docente em cursos de extensão e pós-graduação. Atua nas áreas de Direito Digital, privacidade e proteção de dados pessoais, contratos empresariais e direito do consumidor. Coautora de obras nas áreas de privacidade, proteção de dados e legal design.
