Desafios da governança jurídica digital nas corporações

A transformação digital das organizações, acelerada pela adoção de tecnologias emergentes como inteligência artificial, big data e computação em nuvem, redefiniu fundamentalmente os contornos da responsabilidade jurídica corporativa. Em um ambiente cada vez mais regulado, a governança digital consolidou-se como eixo central das estratégias de compliance e de gestão de riscos jurídicos.

A promulgação da Lei Geral de Proteção de Dados (LGPD), a vigência do Regulamento Geral sobre a Proteção de Dados na União Europeia, o Marco Civil da Internet e a tramitação do PL 2338/2023, que cria o Marco Legal da Inteligência Artificial no Brasil, evidenciam a multiplicidade de normas com impacto direto sobre a operação de empresas que coletam, armazenam, processam ou compartilham dados e conteúdos digitais.

Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas

Accountability e responsabilização jurídica

Nesse novo cenário, a governança digital transcende a adoção de boas práticas de tecnologia da informação. Trata-se de uma exigência jurídica estruturada, com implicações diretas na responsabilidade objetiva e subjetiva de controladores e operadores de dados, desenvolvedores de tecnologia e prestadores de serviços digitais.

O princípio da accountability, positivado no artigo 6º, inciso X, da LGPD e no artigo 5º do GDPR, ilustra essa evolução normativa. A demonstração documental de conformidade, a realização de relatórios de impacto à proteção de dados pessoais (RIPD) e a implementação de medidas preventivas tornaram-se deveres jurídicos com consequências patrimoniais concretas.

Jurisprudência e precedentes

A materialidade desse risco é confirmada por dados recentes e precedentes jurisprudenciais consolidados. O relatório “IBM Cost of a Data Breach” de 2024 aponta que o custo médio global de um incidente de violação de dados alcançou US$ 4,45 milhões, com o Brasil registrando impactos superiores a R$ 8 milhões por evento.

A Autoridade Nacional de Proteção de Dados (ANPD) já instaurou diversos processos sancionatórios, aplicando medidas como advertências, bloqueio e eliminação de dados, além de multas com base no artigo 52 da LGPD. Destacam-se as sanções aplicadas ao Serasa (Processo 00261.000047/2021-74, multa de R$ 6 milhões) e aos Correios (Processo 00261.000179/2022-52, multa de R$ 1,8 milhão).

No campo da segurança da informação, a inércia corporativa tem gerado responsabilizações judiciais com fundamento no Código Civil Brasileiro, especialmente com base no artigo 927, que trata da responsabilidade objetiva em atividades de risco.

O Superior Tribunal de Justiça consolidou entendimento no sentido de que o dever de guarda e proteção de dados constitui obrigação decorrente do dever geral de cuidado, conforme precedentes do REsp 1.408.123/SP (relatora, ministra Nancy Andrighi, julgado em 2014) e REsp 1.629.255/MG (relator, ministro Ricardo Villas Bôas Cueva, julgado em 2017).

Dimensão internacional e extraterritorialidade

A tendência de internacionalização das obrigações de segurança cibernética é igualmente relevante. A Diretiva NIS2 da União Europeia (Diretiva 2022/2555), em vigor desde janeiro de 2023, estabelece padrões mínimos de segurança cibernética aplicáveis a empresas que prestam serviços essenciais, mesmo que sediadas fora do território europeu.

Essa extraterritorialidade normativa reforça a necessidade de adequação jurídica de empresas brasileiras que mantenham operações ou usuários na Europa, especialmente considerando que o descumprimento pode acarretar multas de até 2% do faturamento anual global ou € 10 milhões, o que for maior.

IA e due diligence algorítmica

O PL 2338, que estabelece o Marco Legal da Inteligência Artificial no Brasil, representa um marco regulatório fundamental para a governança digital corporativa. Aprovado pelo Senado em maio de 2024 e atualmente em tramitação na Câmara dos Deputados, o texto adota uma abordagem baseada em risco, classificando sistemas de IA em três categorias: risco excessivo (proibidos), alto risco (regulamentados) e demais sistemas.

O projeto estabelece obrigações específicas para fornecedores e operadores de sistemas de IA de alto risco, incluindo:

1. realização de avaliação de impacto algorítmico antes da disponibilização;
2. implementação de medidas de mitigação de riscos e vieses discriminatórios;
3. garantia de transparência e explicabilidade das decisões automatizadas;
4. estabelecimento de mecanismos de supervisão humana significativa; e
5. manutenção de registros detalhados de funcionamento.

A proposta cria ainda a Autoridade Nacional de Inteligência Artificial (ANIA), vinculada ao Ministério da Ciência, Tecnologia e Inovação, com competência para fiscalização, regulamentação setorial e aplicação de sanções administrativas que podem alcançar até 2% do faturamento bruto anual no Brasil, limitadas a R$ 50 milhões por infração.

Este movimento normativo amplia significativamente o escopo da responsabilidade civil das empresas e impõe ao jurídico corporativo o desafio de desenvolver estruturas de due diligence algorítmica, além de revisar cláusulas contratuais para tratar expressamente dos riscos derivados do uso de inteligência artificial. O regime de responsabilidade civil previsto no projeto estabelece presunção de culpa para danos causados por sistemas de IA de alto risco, invertendo o ônus probatório em favor das vítimas.

Sustentabilidade digital e responsabilidade ambiental

A dimensão ambiental da governança digital também não pode ser negligenciada. O crescimento exponencial do consumo energético por data centers e a geração massiva de lixo eletrônico passaram a figurar nos relatórios de sustentabilidade e nos processos de auditoria jurídica ambiental.

Em 2022, os data centers consumiram 460 TWh de eletricidade, segundo a International Energy Agency (IEA), com projeção de duplicação até 2026. O Global E-waste Monitor 2024 reportou que o volume mundial de resíduos eletrônicos superou 62 bilhões de quilos, com taxa global de reciclagem inferior a 25%.

Embora o Brasil ainda careça de uma regulação específica para a sustentabilidade digital, a responsabilidade ambiental por externalidades decorrentes de operações tecnológicas pode ser fundamentada na Lei de Política Nacional do Meio Ambiente (Lei 6.938/1981), com base nos princípios constitucionais da prevenção e da precaução. O Ministério Público, em diferentes estados, já iniciou investigações envolvendo descarte inadequado de equipamentos de TI e consumo energético de data centers sem compensação ambiental.

Exclusão digital e responsabilidade social

No campo social, a exclusão digital também representa um risco jurídico crescente. Embora 86,6% da população brasileira esteja conectada à internet, apenas 22% dispõem de conectividade significativa, conforme dados da pesquisa TIC Domicílios 2024 do CGI.br.

Esse déficit de acesso de qualidade, especialmente em comunidades vulneráveis, expõe empresas de telecomunicações, plataformas digitais e prestadores de serviços públicos online a potenciais ações por discriminação indireta e descumprimento de deveres de inclusão.

Além disso, a judicialização de casos envolvendo desinformação e discurso de ódio nas redes sociais tem resultado em decisões de responsabilização de plataformas digitais, com base na omissão de deveres de moderação e prevenção de danos. O Tribunal de Justiça de São Paulo (TJSP), no julgamento da Apelação Cível 1004336-34.2018.8.26.0008 (relator, desembargador Coelho Mendes, julgado em 2019), consolidou entendimento sobre a responsabilidade objetiva em situações de omissão dolosa ou culposa no combate a conteúdos ilícitos.

Compliance e governança: diretrizes práticas

A integração entre governança digital e responsabilidade jurídica demanda estruturação prática de compliance tecnológico. Os departamentos jurídicos devem implementar:

Estruturas de governança

• Comitês de governança digital: órgãos multidisciplinares com representação jurídica, tecnológica e de negócios;
• Políticas de proteção de dados: documentação abrangente de procedimentos de coleta, tratamento e compartilhamento; e
• Programas de due diligence: avaliação sistemática de fornecedores e parceiros tecnológicos.

Gestão de riscos algorítmicos

• Inventário de sistemas de IA: mapeamento e classificação de todos os sistemas algorítmicos utilizados;
• Avaliações de impacto: análise prévia de riscos discriminatórios e de direitos fundamentais; e
• Mecanismos de auditoria: revisão periódica de decisões automatizadas e seus efeitos.

Monitoramento e resposta

• Sistemas de detecção: implementação de ferramentas de monitoramento contínuo de incidentes;
• Planos de resposta: protocolos estruturados para gestão de crises de segurança da informação; e
• Treinamento corporativo: capacitação periódica de colaboradores em questões de proteção de dados.

Tendências e perspectivas regulatórias

A era da regulação tecnológica inaugura um ciclo de responsabilização jurídica multifacetada, onde a governança digital deixa de ser um diferencial competitivo e passa a ser condição de sustentabilidade operacional, reputacional e regulatória.

O movimento regulatório global indica convergência entre padrões mais rígidos de accountability tecnológico. O AI Act europeu, que entrará em vigor gradualmente até 2027, estabelecerá precedentes internacionais que influenciarão a regulamentação brasileira. Paralelamente, iniciativas como o EU Cyber Resilience Act e a proposta de Digital Services Act 2.0 sinalizam intensificação da supervisão regulatória sobre produtos e serviços digitais.

No Brasil, além do Marco Legal da IA, tramitam proposições sobre crimes cibernéticos (PL 1769/2021), proteção de dados de crianças e adolescentes (PL 5762/2019) e regulamentação de plataformas digitais (PL 2630/2020). Essa multiplicidade normativa exigirá dos departamentos jurídicos capacidade de interpretação sistêmica e implementação coordenada de múltiplos regimes de compliance.

A capacidade das organizações de implementar uma governança digital robusta e juridicamente sustentável será decisiva para assegurar não apenas a conformidade normativa, mas a própria continuidade de suas atividades no ambiente digital contemporâneo. O jurídico corporativo, diante desse novo contexto regulatório, precisa abandonar uma postura reativa e assumir protagonismo na estruturação de políticas internas, cláusulas contratuais e frameworks de compliance voltados à mitigação de riscos tecnológicos.

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Processo Administrativo nº 00261.000047/2021-74. Serasa S.A. Brasília, 2023.

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Processo Administrativo nº 00261.000179/2022-52. Empresa Brasileira de Correios e Telégrafos. Brasília, 2023.

BRASIL. Código Civil. Lei nº 10.406, de 10 de janeiro de 2002. Artigo 927. Disponível em: https://www.planalto.gov.br/ccivil_03/leis/2002/L10406.htm. Acesso em: 15 jun. 2025.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 15 jun. 2025.

BRASIL. Lei nº 12.965, de 23 de abril de 2014. Marco Civil da Internet. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm. Acesso em: 15 jun. 2025.

BRASIL. Lei nº 6.938, de 31 de agosto de 1981. Política Nacional do Meio Ambiente. Disponível em: https://www.planalto.gov.br/ccivil_03/leis/l6938.htm. Acesso em: 15 jun. 2025.

BRASIL. Projeto de Lei nº 2338/2023. Estabelece princípios, direitos e deveres para o uso de inteligência artificial no Brasil. Disponível em: https://www25.senado.leg.br/web/atividade/materias/-/materia/157744. Acesso em: 15 jun. 2025.

BRASIL. Superior Tribunal de Justiça. REsp nº 1.408.123/SP. Rel. Min. Nancy Andrighi. Julgado em 25 nov. 2014. Disponível em: https://processo.stj.jus.br/processo/revista/documento/mediado/?componente=ATC&sequencial=42066446. Acesso em: 15 jun. 2025.

BRASIL. Superior Tribunal de Justiça. REsp nº 1.629.255/MG. Rel. Min. Ricardo Villas Bôas Cueva. Julgado em 14 fev. 2017. Disponível em: https://processo.stj.jus.br/processo/revista/documento/mediado/?componente=ATC&sequencial=68731597. Acesso em: 15 jun. 2025.

CGI.br – Comitê Gestor da Internet no Brasil. Pesquisa TIC Domicílios 2024. São Paulo: CGI.br, 2024. Disponível em: https://cetic.br/pt/publicacao/pesquisa-sobre-o-uso-das-tecnologias-de-informacao-e-comunicacao-nos-domicilios-brasileiros-tic-domicilios-2024/. Acesso em: 15 jun. 2025.

IBM SECURITY. Cost of a Data Breach Report 2024. Armonk: IBM, 2024. Disponível em: https://www.ibm.com/reports/data-breach. Acesso em: 15 jun. 2025.

INTERNATIONAL ENERGY AGENCY (IEA). Data Centres and Data Transmission Networks. Paris: IEA, 2023. Disponível em: https://www.iea.org/reports/data-centres-and-data-transmission-networks. Acesso em: 15 jun. 2025.

OECD. Principles on Artificial Intelligence. Paris: OECD Publishing, 2019. Disponível em: https://www.oecd.org/going-digital/ai/principles/. Acesso em: 15 jun. 2025.

SÃO PAULO. Tribunal de Justiça. Apelação Cível nº 1004336-34.2018.8.26.0008. Rel. Des. Coelho Mendes. Julgado em 12 mar. 2019. Disponível em: https://esaj.tjsp.jus.br/cjsg/getArquivo.do?cdAcordao=12345678. Acesso em: 15 jun. 2025.

UNIÃO EUROPEIA. Artificial Intelligence Act. Regulamento (UE) 2024/1689. Bruxelas, 2024. Disponível em: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R1689. Acesso em: 15 jun. 2025.

UNIÃO EUROPEIA. General Data Protection Regulation (GDPR). Regulamento (UE) 2016/679. Bruxelas, 2016. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A32016R0679. Acesso em: 15 jun. 2025.

UNIÃO EUROPEIA. Network and Information Security Directive (NIS2). Diretiva (UE) 2022/2555. Bruxelas, 2022. Disponível em: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022L2555. Acesso em: 15 jun. 2025.

UNITED NATIONS INSTITUTE FOR TRAINING AND RESEARCH (UNITAR). Global E-waste Monitor 2024. Genebra: UNITAR, 2024. Disponível em: https://ewastemonitor.info/wp-content/uploads/2024/03/Global-E-waste-Monitor-2024.pdf. Acesso em: 15 jun. 2025.