Compliance
LGPD e IA jurídica: o que todo advogado precisa saber antes de subir documento de cliente
Risco de vazamento de dados, dever de sigilo profissional e como avaliar se uma plataforma de IA jurídica é segura pra processar autos do seu cliente.
Quando você cola um trecho de processo no ChatGPT pra pedir análise, três coisas acontecem que você provavelmente não notou:
- O texto vai para servidores da OpenAI nos Estados Unidos
- Por padrão, esse texto pode ser usado para treinar o próximo modelo
- Você (advogado) pode estar violando o art. 7º, inciso I, da LGPD — tratamento de dados pessoais sem base legal adequada
Não é alarmismo. É o estado real de uso de IA jurídica genérica em 2026.
A LGPD aplicada à advocacia
A Lei Geral de Proteção de Dados (Lei 13.709/2018) classifica como dado pessoal qualquer informação relativa a pessoa natural identificada ou identificável. Em peça processual, isso inclui:
- Nome, CPF, RG do cliente e da parte adversa
- Endereço, telefone, email
- Composição familiar (cônjuge, filhos)
- Renda, profissão, vínculos empregatícios
- Dados sensíveis (saúde, vida sexual, dado biométrico) — comum em previdenciário, família, criminal
O art. 11 da LGPD exige base legal específica pra tratar dado sensível. "Necessário pra defesa do cliente" não é suficiente sem consentimento expresso ou previsão contratual.
O que muitas plataformas de IA não te contam
1. Treinamento com seus dados
Por padrão, ChatGPT (versão gratuita e Plus) usa as conversas pra treinar os próximos modelos. Você pode desabilitar nas configurações, mas a maioria dos advogados não sabe disso.
ChatGPT Enterprise e Claude API têm garantia contratual de não-treinamento. Mas isso custa US$ 60+/mês por seat.
2. Localização dos dados
LGPD permite transferência internacional de dados, mas exige:
- Adequação do país (EUA não é considerado adequado pela ANPD)
- OU Standard Contractual Clauses (SCCs)
- OU consentimento específico do titular
Servir cliente em São Paulo com dado processado em servidor da OpenAI no Texas, sem termos adicionais, é zona cinza séria.
3. Sigilo profissional vs cláusulas de uso
O Estatuto da OAB (art. 7º, II) protege como inviolável a comunicação entre advogado e cliente. Quando você compartilha o caso com uma IA externa, está estendendo o círculo de sigilo. A IA precisa estar contratualmente vinculada ao mesmo dever.
Maioria das ferramentas genéricas não tem essa cláusula.
O que uma plataforma de IA jurídica BR deveria ter
Avalie qualquer ferramenta pelos 7 critérios abaixo antes de subir documento real:
1. Servidor no Brasil ou cláusulas de transferência internacional explícitas
Lexorium roda em Neon Postgres região São Paulo (sa-east-1) e API em Railway SA-East 1. Nenhum dado do cliente sai do território nacional pra processamento.
2. Não-treinamento garantido
Os modelos da Lexorium (DeepSeek com fallback Claude/GPT) operam sob API enterprise — zero treinamento nos seus dados, contratualmente garantido.
3. Criptografia em trânsito e em repouso
TLS 1.2+ no transporte, AES-256-GCM no banco pra dados sensíveis (tokens DMS, dados de pagamento). Lexorium tem essa camada nativa.
4. Audit logs completos
Você precisa saber quem acessou cada documento, quando e por quê. Lexorium grava todo evento em AuditEvent (Bloco 7 do nosso roadmap), com retenção de 5 anos.
5. Direito ao esquecimento operacional
LGPD garante ao titular o direito de exclusão (art. 18, VI). Sua ferramenta tem fluxo de deletion request com prazo de 15 dias e log de auditoria? Lexorium tem (/admin/lgpd/deletion-requests).
6. Modo on-premise opcional pra dados ultra-sensíveis
Casos sigilosos (segredo de justiça, sociedades de advogados de M&A grande) podem rodar com Ollama local — IA processada na sua infra, zero externalização.
7. Toggle de OCR offline
Quando user marca "OCR offline", Lexorium usa Tesseract local ao invés de Vision API externa. Útil pra comprovantes que contêm dado bancário sensível.
Checklist prático de 5 minutos
Antes de adotar qualquer IA jurídica pro escritório, pergunte ao fornecedor:
- [ ] Onde os dados são processados? (servidor BR, EUA, EU?)
- [ ] Os dados são usados pra treinar modelos? (versão grátis vs paga)
- [ ] Tem cláusula contratual de não-treinamento?
- [ ] Tem audit logs com retenção mínima de 2 anos?
- [ ] Suporta direito ao esquecimento (deletion request)?
- [ ] Criptografia em repouso pra dados sensíveis?
- [ ] Existe modo on-premise pra clientes que exigem?
- [ ] DPO (encarregado de proteção de dados) acessível?
- [ ] Última auditoria de segurança? (SOC 2, ISO 27001)
Se a resposta a 4+ desses itens for "não" ou "não sei", não suba documento de cliente real. Use só pra perguntas conceituais sem contexto privado.
A regra de ouro: anonimização antes de externalizar
Pra qualquer IA externa que você não tem certeza absoluta da segurança:
- Substitua nomes ("Iara Sousa" → "a paciente")
- Mascare CPFs ("607.339.093-96" → "XXX.XXX.XXX-XX")
- Generalize datas ("18/04/2026" → "abril/2026")
- Esconda número CNJ específico ("0803129-38.2026.8.10.0026" → "processo da 4ª Vara de Balsas/MA")
Isso protege identificabilidade sem perder o contexto técnico-jurídico que a IA precisa pra ajudar.
Conclusão
LGPD não é burocracia. É a régua que separa um escritório que respeita o dever de sigilo profissional de um que vaza dado de cliente sem saber. A escolha de ferramenta de IA é, em 2026, parte da governança de dados do escritório — tão importante quanto a escolha do antivírus ou do sistema de gestão.
Lexorium foi construída desde o primeiro commit pensando em LGPD nativa: servidor BR, não-treinamento, audit completo, modo on-premise, toggle de OCR offline. Não é diferencial — é mínimo aceitável pra advocacia brasileira séria.
Conheça os controles de privacidade da Lexorium — ou teste grátis por 14 dias sem subir nada sensível na primeira semana.
Quer aplicar isso no seu dia a dia?
Lexorium tem verificação CNJ em tempo real, 18 agentes BR e gestão de honorários.