Sigilo Profissional e IA na Advocacia: Como Proteger Dados de Clientes
Como proteger o sigilo profissional e os dados de clientes ao usar ChatGPT, Claude e Gemini na advocacia.
Entenda os riscos ao sigilo profissional no uso de IA na advocacia, com base em caso real dos EUA e nas regras da OAB e da LGPD.
Inserir dados de um cliente em versões consumidor de ChatGPT, Claude ou Gemini pode comprometer o sigilo profissional, porque essas plataformas podem usar o conteúdo para treinar modelos e permitir revisão humana das conversas. Um caso julgado nos Estados Unidos em fevereiro de 2026 reforçou esse risco ao decidir que conversas com IA não têm proteção equivalente ao sigilo advogado-cliente. No Brasil, o fundamento legal para esse mesmo risco já existe no Estatuto da OAB e na LGPD.
- Versões consumidor de IA podem usar conversas para treinar modelos e permitir revisão humana.
- Um tribunal federal dos EUA decidiu, em 2026, que conversas com IA não têm sigilo equivalente ao advogado-cliente.
- No Brasil não há decisão equivalente, mas o Estatuto da OAB e a LGPD já sustentam risco semelhante.
- O nível de risco muda conforme o plano usado: consumidor, com opt-out, ou empresarial com contrato específico.
- Anonimizar dados antes de inserir em qualquer IA é a medida mais simples de redução de risco.
- Nenhuma ferramenta de IA, por si só, garante sigilo profissional sem uma política interna de uso.
O que é sigilo profissional no contexto do uso de IA
Sigilo profissional é o dever do advogado de não revelar informações confidenciais obtidas em razão do exercício da profissão, previsto no artigo 7º, inciso XIX, da Lei 8.906/94, o Estatuto da Advocacia, e no artigo 36 do Código de Ética e Disciplina da OAB. No contexto do uso de inteligência artificial, esse dever entra em tensão com a forma como muitas plataformas de IA tratam os dados inseridos pelos usuários: como conteúdo que pode ser armazenado, revisado por humanos e usado para treinar novos modelos.
Isso significa que inserir informações de um cliente, como nome, número de processo ou estratégia de defesa, em uma ferramenta de IA sem entender sua política de privacidade pode configurar exposição de informação sigilosa a terceiros, mesmo que nenhum vazamento efetivo aconteça. O risco está na conduta, não apenas no resultado.
Um caso real que mudou a conversa
Em fevereiro de 2026, um juiz federal do Distrito Sul de Nova York decidiu, no caso United States v. Heppner, que registros de conversas de um réu com um chatbot de IA não eram protegidos pelo sigilo advogado-cliente nem pela proteção de material preparado em antecipação a litígio, no sistema jurídico americano. A fundamentação teve dois pilares: a IA não é advogada, portanto conversar com ela não equivale a uma comunicação privilegiada, e a política de privacidade da plataforma usada permitia revisão humana e uso das conversas para treinamento, o que afastava qualquer expectativa razoável de confidencialidade.
O mesmo julgamento também sinalizou uma exceção relevante: se uma ferramenta de IA for usada sob direção expressa de um advogado, dentro de um ambiente contratualmente protegido contra treinamento e divulgação, a proteção pode ser sustentável, à semelhança do que já ocorre quando um advogado contrata um contador ou perito para auxiliar em um caso.
O Brasil não tem, até o momento, uma decisão equivalente sobre o tema. Mas isso não significa ausência de risco: os fundamentos jurídicos que sustentariam uma conclusão semelhante já existem na legislação brasileira, como será detalhado a seguir.
O que isso significa para advogados no Brasil
No sistema jurídico brasileiro, o advogado que insere dados de cliente em uma plataforma de IA cujos termos permitem revisão humana e treinamento de modelos pode enfrentar três tipos de exposição simultânea. A primeira é ética, perante a OAB, já que o artigo 36 do Código de Ética veda a revelação de informações confidenciais sem autorização do cliente, independentemente de ter havido vazamento efetivo.
A segunda exposição envolve a LGPD. O advogado é considerado controlador dos dados pessoais de seus clientes, e o envio dessas informações a servidores localizados fora do Brasil caracteriza transferência internacional de dados, que exige base legal específica, como cláusulas contratuais padrão aprovadas pela Autoridade Nacional de Proteção de Dados. A terceira exposição é a responsabilidade civil perante o próprio cliente, que pode buscar reparação caso demonstre que suas informações foram tratadas sem consentimento adequado.
Um ponto importante é que a conformidade com a LGPD, isoladamente, não é suficiente. O dever de sigilo previsto no Estatuto da OAB é uma norma específica da advocacia, que exige um padrão de cuidado mais alto do que a mera base legal genérica para tratamento de dados.
Tabela de risco por cenário de uso
| Cenário de uso | Nível de risco | Motivo principal |
|---|---|---|
| Inserir dados identificáveis do cliente em IA consumidor gratuita | Alto | Dados podem treinar o modelo e passar por revisão humana |
| Usar IA consumidor com opt-out de treinamento ativado | Moderado | Exceções de segurança e feedback do usuário podem reativar o uso dos dados |
| Usar plano pago (individual) com dados anonimizados | Moderado | O plano pago não altera, por si só, os termos de treinamento padrão |
| Usar API ou plano empresarial com contrato de proteção de dados | Baixo | Dados normalmente excluídos do treinamento, com garantias contratuais específicas |
| Usar IA local, sem envio de dados a terceiros | Baixo | Nenhum dado sai do ambiente controlado pelo próprio escritório |
Como reduzir o risco: passo a passo
- Mapeie quais ferramentas de IA já são usadas no escritório e em quais planos, consumidor ou empresarial.
- Verifique a política de privacidade de cada ferramenta, com atenção a treinamento de modelo e revisão humana.
- Ative o opt-out de treinamento em todas as contas usadas, mesmo sabendo que exceções de segurança podem persistir.
- Crie o hábito de anonimizar dados antes de qualquer interação, substituindo nomes por identificadores neutros.
- Avalie a migração para planos empresariais ou API com contrato de proteção de dados, especialmente para tarefas que envolvem informações sensíveis.
- Formalize uma política interna de uso de IA, com regras claras sobre o que pode e o que não pode ser inserido em cada ferramenta.
Erros comuns que aumentam o risco
Um erro recorrente é tratar a IA como se fosse um serviço de armazenamento em nuvem comum, presumindo que nenhum ser humano tem acesso ao conteúdo inserido. Isso costuma ser falso nas versões consumidor das principais plataformas, que declaram expressamente a possibilidade de revisão humana para fins de segurança.
Outro erro comum é interagir com mecanismos de avaliação da resposta, como sinalizar uma resposta como boa ou ruim, sem perceber que esse tipo de interação pode reativar o armazenamento integral de uma conversa, mesmo com o treinamento desativado nas configurações gerais. Por fim, muitos escritórios ainda não incluem cláusulas sobre uso de IA em seus contratos de honorários, o que dificulta demonstrar que o cliente tinha ciência da prática.
Para aprofundar as obrigações específicas da LGPD nesse contexto, vale conferir o conteúdo LGPD e Inteligência Artificial na Advocacia: O Que Todo Advogado Precisa Saber. Já para medidas práticas de proteção no dia a dia, o conteúdo Como Usar IA na Advocacia Sem Expor Dados de Clientes: Guia Prático traz um passo a passo mais detalhado.
Sigilo, validação de fontes e uso responsável de IA
A preocupação com sigilo profissional caminha lado a lado com outra preocupação central no uso de IA na advocacia: a confiabilidade das informações jurídicas apresentadas pela ferramenta. Da mesma forma que o advogado deve avaliar como uma IA trata dados sigilosos, também deve avaliar se as informações jurídicas que ela apresenta, como jurisprudência, podem ser verificadas em fonte real.
A Jusratio, por exemplo, informa publicamente que não armazena o conteúdo das pesquisas realizadas pelos usuários, mantendo apenas dados de uso e telemetria para operação do serviço. Como ferramenta de validação jurídica com IA, ela conecta Claude, ChatGPT e Gemini a decisões reais, com link para inteiro teor, apoiando tanto a confiabilidade da pesquisa quanto uma rotina mais consciente sobre o que é inserido em cada ferramenta. Isso não substitui a análise da política de privacidade de cada plataforma usada pelo escritório, mas reforça a importância de avaliar esse critério ao escolher qualquer ferramenta de IA para a rotina jurídica.
Conclusão
O caso julgado nos Estados Unidos em 2026 tornou concreto um risco que já existia na teoria: conversas com IA podem não ter a proteção que muitos advogados presumem. No Brasil, a ausência de uma decisão equivalente não significa ausência de risco, já que o Estatuto da OAB, a LGPD e a responsabilidade civil perante o cliente já sustentam fundamentos semelhantes. Tratar cada ferramenta de IA com o mesmo rigor aplicado a qualquer prestador de serviço com acesso a dados de clientes é o caminho mais seguro para conciliar produtividade e sigilo profissional.
Perguntas frequentes sobre sigilo profissional e IA
Usar ChatGPT ou Claude gratuito quebra o sigilo profissional?
Pode configurar risco de exposição, já que essas versões costumam permitir uso das conversas para treinamento e revisão humana, especialmente se dados identificáveis do cliente forem inseridos.
Existe uma decisão brasileira sobre IA e sigilo profissional?
Até o momento não há decisão equivalente no Brasil, mas o Estatuto da OAB e a LGPD já oferecem fundamento jurídico para risco semelhante ao identificado em outros países.
Planos pagos de IA são automaticamente seguros para dados de clientes?
Não necessariamente. Planos individuais pagos nem sempre alteram os termos de treinamento padrão. Planos empresariais com contrato específico de proteção de dados costumam oferecer garantias mais robustas.
O que é anonimização de dados ao usar IA na advocacia?
É a prática de substituir informações que identificam diretamente um cliente, como nome e CPF, por referências neutras antes de inserir o conteúdo em uma ferramenta de IA.
É preciso avisar o cliente sobre o uso de IA no seu caso?
É recomendável formalizar essa informação no contrato de honorários, descrevendo de forma geral como a IA é utilizada e quais medidas de proteção são adotadas.
Avaliar uma resposta de IA com "gostei" ou "não gostei" traz algum risco?
Pode, em algumas plataformas. Esse tipo de interação pode reativar o armazenamento integral da conversa avaliada, mesmo com o treinamento desativado nas configurações gerais.
IA local, sem conexão com servidores externos, elimina o risco ao sigilo?
Reduz bastante o risco, já que nenhum dado sai do ambiente controlado pelo escritório, mas exige investimento em infraestrutura e conhecimento técnico para implantação.


Imagem principal do artigo

