top of page
12fd299c-b05f-4293-9d67-e93a92064c8c.png

O Marco Civil da Internet.

O Marco Civil da Internet

O Marco Civil da Internet é considerado a “Constituição da Internet” no Brasil.

 

O Marco Civil da Internet trouxe segurança jurídica, clareza e proteção para todos os envolvidos no ambiente digital brasileiro, sendo fundamental para o desenvolvimento de uma internet livre, aberta e democrática.

 

Como advogado atuante na fronteira entre tecnologia e direito, uma das perguntas que mais recebo de clientes, desenvolvedores e entusiastas é: "Se uma Inteligência Artificial causar um dano, quem paga a conta?".


A questão, longe de ser um exercício de futurologia, já bate à porta dos nossos tribunais. Desde um carro autônomo que se envolve em um acidente até um algoritmo de crédito que nega um empréstimo de forma discriminatória, os danos causados por sistemas de IA são uma realidade palpável.


Neste artigo, vamos desmistificar a complexa teia da responsabilidade civil na era da Inteligência Artificial, utilizando a sólida base do direito brasileiro, a tendência de nossos tribunais e uma espiada no que nossos vizinhos globais estão fazendo.


Por que o Marco Civil é considerado a “Constituição da Internet”?


  • Fundamento Legal: Assim como a Constituição Federal organiza e orienta todo o sistema jurídico brasileiro, o Marco Civil organiza o funcionamento da internet, definindo regras claras para usuários, provedores, empresas e o próprio Estado.

  • Princípios Básicos: Garante direitos essenciais como liberdade de expressão, privacidade, proteção de dados pessoais e a neutralidade da rede (ou seja, todos os dados devem ser tratados igualmente, sem discriminação).

  • Referência Internacional: O Marco Civil foi construído de forma colaborativa, com participação da sociedade civil, especialistas e governo, tornando-se referência mundial em regulação baseada em direitos humanos.

  • Segurança Jurídica: Estabelece responsabilidades e limites para provedores de conexão e aplicações, além de proteger os usuários contra abusos e violações.

 

Principais Pilares do Marco Civil da Internet:


  1. Neutralidade da Rede: Provedores não podem discriminar ou priorizar conteúdos, garantindo acesso igualitário a todos os usuários.

  2. Liberdade de Expressão: Protege o direito de se manifestar livremente no ambiente digital, sem censura prévia.

  3. Proteção da Privacidade e dos Dados Pessoais: Define regras para coleta, uso e armazenamento de dados, assegurando a privacidade dos usuários.

  4. Responsabilidade dos Provedores: Só podem ser responsabilizados por conteúdos de terceiros se, após ordem judicial, não removerem o conteúdo considerado ilícito.

  5. Transparência e Segurança: Exige que provedores informem claramente suas políticas e adotem medidas para garantir a segurança dos dados.

 

Lei Geral de Proteção de Dados (LGPD) – Lei nº 13.709/2018:


A LGPD é a principal legislação brasileira sobre privacidade e proteção de dados pessoais. Ela estabelece regras claras para o tratamento de dados, com o objetivo de garantir a segurança, a transparência e o controle dos titulares sobre suas informações.


Princípios Aplicáveis:


1. Segurança - Exige que empresas e órgãos públicos adotem medidas técnicas e administrativas para proteger dados pessoais contra acessos não autorizados, destruição, perda, alteração ou divulgação indevida.


Exemplo: Uma loja virtual deve usar criptografia e sistemas de firewall para proteger os dados dos clientes. Caso ocorra um vazamento, a empresa deve provar que adotou todas as medidas de segurança possíveis.


Jurisprudência dominante:A responsabilidade das empresas por vazamento de dados é objetiva, ou seja, mesmo que não haja intenção, a empresa pode ser responsabilizada se não comprovar que adotou medidas eficazes de proteção.


TJSP, Apelação Cível 1006564-50.2021.8.26.0100: Empresa condenada a indenizar cliente após vazamento de dados, pois não comprovou adoção de medidas adequadas de segurança.


2. Prevenção - Determina que organizações devem agir de forma proativa para evitar incidentes de segurança e vazamentos de dados.


Exemplo:Uma clínica médica realiza treinamentos periódicos com funcionários sobre proteção de dados e limita o acesso a prontuários apenas a profissionais autorizados.


Jurisprudência dominante:A elaboração de Relatórios de Impacto à Proteção de Dados (RIPD) é vista como boa prática preventiva e pode ser exigida pela Autoridade Nacional de Proteção de Dados (ANPD) em processos de fiscalização.


ANPD, Processo Fiscalizatório 00261.000489/2021-13: Aplicação de advertência a empresa que não elaborou RIPD para atividade de alto risco.


3. Responsabilização e Prestação de Contas (Accountability)


O controlador deve ser capaz de demonstrar que está em conformidade com a LGPD, mantendo registros das operações e das medidas adotadas.


Exemplo: Uma fintech registra todos os consentimentos dos usuários, mantém logs de acesso e documenta políticas de privacidade, podendo apresentar essas informações à ANPD em caso de fiscalização.


Jurisprudência dominante: A ausência de documentação e de políticas claras pode resultar em sanções administrativas e multas.


ANPD, Processo Fiscalizatório 00261.000489/2021-13: Multa aplicada por ausência de registro das operações de tratamento e não indicação de encarregado de dados (DPO)

 

Marco Civil da Internet – Lei nº 12.965/2014


O Marco Civil da Internet é considerado a “Constituição da Internet” no Brasil, pois define direitos, deveres e princípios para o uso da rede.


⚖️ Dispositivos Relevantes


Art. 7º – Direitos dos Usuários - Garante privacidade, inviolabilidade da intimidade, sigilo das comunicações e proteção dos dados pessoais.


Exemplo: Um provedor de e-mail não pode acessar o conteúdo das mensagens dos usuários, salvo ordem judicial.


Jurisprudência dominante: O STJ e o STF reconhecem a proteção da privacidade como direito fundamental, mas permitem a quebra de sigilo mediante ordem judicial para investigação de ilícitos.


STJ, REsp 1.579.575/SP: Provedores devem fornecer registros de acesso mediante ordem judicial, respeitando a privacidade do usuário.


Art. 10 – Guarda de Registros de ConexãoProvedores de conexão devem guardar registros de data, hora e IP por 1 ano, e só podem disponibilizá-los mediante ordem judicial.


Exemplo: Em investigação de crime cibernético, a polícia pode solicitar judicialmente os registros de conexão para identificar o autor.


Jurisprudência dominante:O STJ entende que a guarda e fornecimento de registros é obrigatória, mas limitada ao estritamente necessário para identificação do usuário.


STJ, AgRg no REsp 1.512.647/SP: Provedores devem guardar e fornecer registros de conexão, mas não são obrigados a fornecer dados pessoais sem ordem judicial.

 

Art. 15 – Guarda de Registros de Aplicações - Provedores de aplicações (como redes sociais) devem guardar registros de acesso por 6 meses, em ambiente seguro e sigiloso, e só fornecê-los mediante ordem judicial.


Exemplo: Uma rede social deve manter registros de login dos usuários por 6 meses, podendo ser requisitados em caso de investigação judicial.


Jurisprudência dominante: O STJ afirma que a obrigação de guarda se limita aos registros de acesso (IP, data e hora), não abrangendo dados pessoais ou conteúdos de mensagens.


STJ, REsp 1.629.469/RJ: Provedores não são obrigados a fornecer dados pessoais, apenas registros de acesso para identificação do usuário.

 

 

 

A Base: Como o Direito Brasileiro Enxerga a Responsabilidade:


Antes de mergulharmos na IA, precisamos entender os pilares da responsabilidade civil no Brasil, que estão esculpidos em nosso Código Civil. Para que alguém seja obrigado a indenizar, tradicionalmente precisamos de quatro elementos:


  1. Ação ou Omissão (Conduta): Um ato voluntário ou uma falha.

  2. Dano: Um prejuízo efetivo (material, moral ou estético).

  3. Nexo Causal: O link direto entre a conduta e o dano.

  4. Culpa ou Dolo: A intenção de prejudicar ou a negligência/imprudência/imperícia.


Essa é a chamada Responsabilidade Subjetiva. O problema? Uma Inteligência Artificial não possui consciência, vontade ou "culpa" no sentido humano. Ela não pode ser negligente; ela simplesmente executa o que foi programada para fazer com os dados que recebeu.


É aqui que o jogo vira. Nosso ordenamento jurídico, sabiamente, previu uma exceção poderosa: a Responsabilidade Objetiva. Prevista no parágrafo único do artigo 927 do Código Civil, ela se aplica quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem.


Posição Majoritária no Brasil: 


A corrente doutrinária e jurisprudencial que vem se consolidando é a de que a responsabilidade por danos causados por IA será, na maioria dos casos, objetiva, fundamentada na teoria do risco da atividade. Desenvolver, comercializar e operar sistemas complexos de IA é uma atividade que gera um risco inerente, e quem lucra com essa atividade deve arcar com os ônus correspondentes, independentemente da comprovação de culpa.

 

A Jurisprudência Brasileira: Construindo o Caminho por Analogia


Ainda não temos uma decisão do Superior Tribunal de Justiça (STJ) pacificando um caso de "acidente com carro autônomo". No entanto, a jurisprudência brasileira é farta em aplicar a responsabilidade objetiva a novas tecnologias, criando um caminho lógico para os casos de IA.


Os tribunais rotineiramente aplicam a responsabilidade objetiva a:


  • Provedores de Internet: Por falhas de segurança em suas plataformas.

  • Plataformas de E-commerce: Por fraudes ocorridas em seus marketplaces (fortuito interno).

  • Bancos: Por falhas em sistemas que permitem golpes e transações fraudulentas.


Nesses casos, o STJ entende que a falha no serviço ou no produto caracteriza o que o Código de Defesa do Consumidor (CDC) chama de Fato do Produto ou do Serviço (Artigos 12 e 14 do CDC).


O CDC, que também adota a responsabilidade objetiva como regra, dialoga perfeitamente com o Código Civil ("diálogo das fontes"). A lógica é clara: se o seu sistema complexo falhou e causou dano, você é responsável. A IA é a próxima fronteira lógica para essa interpretação.

 

 

Quem está na "Cadeia de Responsabilidade"?


A responsabilidade objetiva não aponta para um único culpado, mas sim para uma cadeia de fornecedores. Todos que participaram da criação e disponibilização da tecnologia podem ser chamados a responder solidariamente. Vamos a um exemplo prático:


Exemplo Prático 1: Diagnóstico Médico por IA Uma IA utilizada em um hospital analisa uma radiografia e falha em detectar um tumor em estágio inicial. O paciente só descobre a doença meses depois, com o tratamento prejudicado. Quem responde?


  • O Hospital: Como prestador do serviço final, responde objetivamente pela falha no serviço (Art. 14 do CDC).

  • A Empresa de Software (Desenvolvedora da IA): Como fornecedora do "produto" defeituoso, também responde objetivamente (Art. 12 do CDC).

  • O Médico: Sua responsabilidade, em regra, é subjetiva (depende da prova de culpa). Ele foi negligente ao confiar cegamente no algoritmo sem usar seu próprio julgamento? Se sim, também pode ser responsabilizado.


O paciente, no caso, pode acionar tanto o hospital quanto a desenvolvedora, que depois podem discutir entre si quem teve a maior parcela de "culpa" técnica no erro.


Direito Comparado: Um Olhar para o Mundo:


O Brasil não está sozinho neste desafio. Olhar para fora nos ajuda a prever os próximos passos.

União Europeia: A UE está na vanguarda com o AI Act (Lei da IA), a primeira grande regulação do setor. A abordagem europeia é baseada em risco e já se discute uma diretiva específica para a responsabilidade civil da IA, facilitando a prova para as vítimas de danos causados por sistemas de alto risco. A tendência é a mesma: facilitar a responsabilização dos desenvolvedores e operadores.

·

Estados Unidos: A abordagem é mais fragmentada, baseada nas leis estaduais de responsabilidade civil (torts). Os casos são analisados sob a ótica da "Product Liability" (responsabilidade pelo fato do produto). Um caso famoso envolvendo um carro autônomo da Tesla que resultou em morte foi julgado na Califórnia, e a empresa foi inocentada de falha no sistema, com o júri entendendo que houve mau uso por parte do motorista humano. Isso mostra que, mesmo com a responsabilidade objetiva, a análise do nexo causal e das excludentes de responsabilidade (como a culpa exclusiva da vítima) continua sendo crucial.



Conclusão: Um Novo Paradigma de Risco e Prevenção:


A era da Inteligência Artificial não revoga as leis que temos, mas nos força a aplicá-las com uma nova lente. A tendência inequívoca, tanto no Brasil quanto no exterior, é caminhar para um regime de responsabilidade objetiva baseado no risco da atividade.


Para as empresas que desenvolvem ou utilizam IA, a mensagem é clara: a responsabilidade é real e iminente.


Não basta criar um algoritmo funcional; é preciso investir pesadamente em governança de IA, ética, transparência ("explainable AI"), testes rigorosos e segurança de dados.


A prevenção, por meio de uma arquitetura jurídica e técnica sólida, não é mais um diferencial, mas uma condição de sobrevivência.


A revolução da IA não é apenas tecnológica; ela é, e será cada vez mais, jurídica. E estar preparado para ela é o primeiro passo para inovar com responsabilidade

 

Comentários

bottom of page