Lexorium
Voltar ao blog

Compliance

LGPD e IA jurídica: o que todo advogado precisa saber antes de subir documento de cliente

Risco de vazamento de dados, dever de sigilo profissional e como avaliar se uma plataforma de IA jurídica é segura pra processar autos do seu cliente.

Equipe Lexorium·25 de abril de 2026·11 min

Quando você cola um trecho de processo no ChatGPT pra pedir análise, três coisas acontecem que você provavelmente não notou:

  1. O texto vai para servidores da OpenAI nos Estados Unidos
  2. Por padrão, esse texto pode ser usado para treinar o próximo modelo
  3. Você (advogado) pode estar violando o art. 7º, inciso I, da LGPD — tratamento de dados pessoais sem base legal adequada

Não é alarmismo. É o estado real de uso de IA jurídica genérica em 2026.

A LGPD aplicada à advocacia

A Lei Geral de Proteção de Dados (Lei 13.709/2018) classifica como dado pessoal qualquer informação relativa a pessoa natural identificada ou identificável. Em peça processual, isso inclui:

  • Nome, CPF, RG do cliente e da parte adversa
  • Endereço, telefone, email
  • Composição familiar (cônjuge, filhos)
  • Renda, profissão, vínculos empregatícios
  • Dados sensíveis (saúde, vida sexual, dado biométrico) — comum em previdenciário, família, criminal

O art. 11 da LGPD exige base legal específica pra tratar dado sensível. "Necessário pra defesa do cliente" não é suficiente sem consentimento expresso ou previsão contratual.

O que muitas plataformas de IA não te contam

1. Treinamento com seus dados

Por padrão, ChatGPT (versão gratuita e Plus) usa as conversas pra treinar os próximos modelos. Você pode desabilitar nas configurações, mas a maioria dos advogados não sabe disso.

ChatGPT Enterprise e Claude API têm garantia contratual de não-treinamento. Mas isso custa US$ 60+/mês por seat.

2. Localização dos dados

LGPD permite transferência internacional de dados, mas exige:

  • Adequação do país (EUA não é considerado adequado pela ANPD)
  • OU Standard Contractual Clauses (SCCs)
  • OU consentimento específico do titular

Servir cliente em São Paulo com dado processado em servidor da OpenAI no Texas, sem termos adicionais, é zona cinza séria.

3. Sigilo profissional vs cláusulas de uso

O Estatuto da OAB (art. 7º, II) protege como inviolável a comunicação entre advogado e cliente. Quando você compartilha o caso com uma IA externa, está estendendo o círculo de sigilo. A IA precisa estar contratualmente vinculada ao mesmo dever.

Maioria das ferramentas genéricas não tem essa cláusula.

O que uma plataforma de IA jurídica BR deveria ter

Avalie qualquer ferramenta pelos 7 critérios abaixo antes de subir documento real:

1. Servidor no Brasil ou cláusulas de transferência internacional explícitas

Lexorium roda em Neon Postgres região São Paulo (sa-east-1) e API em Railway SA-East 1. Nenhum dado do cliente sai do território nacional pra processamento.

2. Não-treinamento garantido

Os modelos da Lexorium (DeepSeek com fallback Claude/GPT) operam sob API enterprise — zero treinamento nos seus dados, contratualmente garantido.

3. Criptografia em trânsito e em repouso

TLS 1.2+ no transporte, AES-256-GCM no banco pra dados sensíveis (tokens DMS, dados de pagamento). Lexorium tem essa camada nativa.

4. Audit logs completos

Você precisa saber quem acessou cada documento, quando e por quê. Lexorium grava todo evento em AuditEvent (Bloco 7 do nosso roadmap), com retenção de 5 anos.

5. Direito ao esquecimento operacional

LGPD garante ao titular o direito de exclusão (art. 18, VI). Sua ferramenta tem fluxo de deletion request com prazo de 15 dias e log de auditoria? Lexorium tem (/admin/lgpd/deletion-requests).

6. Modo on-premise opcional pra dados ultra-sensíveis

Casos sigilosos (segredo de justiça, sociedades de advogados de M&A grande) podem rodar com Ollama local — IA processada na sua infra, zero externalização.

7. Toggle de OCR offline

Quando user marca "OCR offline", Lexorium usa Tesseract local ao invés de Vision API externa. Útil pra comprovantes que contêm dado bancário sensível.

Checklist prático de 5 minutos

Antes de adotar qualquer IA jurídica pro escritório, pergunte ao fornecedor:

  • [ ] Onde os dados são processados? (servidor BR, EUA, EU?)
  • [ ] Os dados são usados pra treinar modelos? (versão grátis vs paga)
  • [ ] Tem cláusula contratual de não-treinamento?
  • [ ] Tem audit logs com retenção mínima de 2 anos?
  • [ ] Suporta direito ao esquecimento (deletion request)?
  • [ ] Criptografia em repouso pra dados sensíveis?
  • [ ] Existe modo on-premise pra clientes que exigem?
  • [ ] DPO (encarregado de proteção de dados) acessível?
  • [ ] Última auditoria de segurança? (SOC 2, ISO 27001)

Se a resposta a 4+ desses itens for "não" ou "não sei", não suba documento de cliente real. Use só pra perguntas conceituais sem contexto privado.

A regra de ouro: anonimização antes de externalizar

Pra qualquer IA externa que você não tem certeza absoluta da segurança:

  1. Substitua nomes ("Iara Sousa" → "a paciente")
  2. Mascare CPFs ("607.339.093-96" → "XXX.XXX.XXX-XX")
  3. Generalize datas ("18/04/2026" → "abril/2026")
  4. Esconda número CNJ específico ("0803129-38.2026.8.10.0026" → "processo da 4ª Vara de Balsas/MA")

Isso protege identificabilidade sem perder o contexto técnico-jurídico que a IA precisa pra ajudar.

Conclusão

LGPD não é burocracia. É a régua que separa um escritório que respeita o dever de sigilo profissional de um que vaza dado de cliente sem saber. A escolha de ferramenta de IA é, em 2026, parte da governança de dados do escritório — tão importante quanto a escolha do antivírus ou do sistema de gestão.

Lexorium foi construída desde o primeiro commit pensando em LGPD nativa: servidor BR, não-treinamento, audit completo, modo on-premise, toggle de OCR offline. Não é diferencial — é mínimo aceitável pra advocacia brasileira séria.

Conheça os controles de privacidade da Lexorium — ou teste grátis por 14 dias sem subir nada sensível na primeira semana.

Quer aplicar isso no seu dia a dia?

Lexorium tem verificação CNJ em tempo real, 18 agentes BR e gestão de honorários.