FAQ
No contrato de SaaS de IA, o usuário interage com a ferramenta — pede algo, recebe resposta, decide o que fazer. No contrato de agente de IA, a ferramenta age sozinha em nome do usuário — agenda reuniões, fecha pedidos, contrata fornecedor, executa decisão dentro de escopo definido. A diferença prática é que no SaaS o usuário é responsável pela decisão final, no agente o agente toma a decisão e o usuário responde por ela. Cláusulas de responsabilidade, escopo de autoridade e supervisão são radicalmente diferentes nos dois casos.
Em regra, o usuário do agente — porque o agente age em nome do usuário, similar a mandato no Código Civil. O fornecedor do agente pode responder em cenários específicos: defeito do produto sob CDC quando o erro decorre de falha na ferramenta, descumprimento de garantia contratual, violação de obrigação de meio (segurança, atualização). A divisão de responsabilidade é negociada no contrato. Sem cláusula clara, a regra default tende a empurrar a responsabilidade para o usuário. É por isso que indenização recíproca, seguro e limitação de responsabilidade são tão importantes.
Sim — e é cláusula essencial. O escopo de autoridade do agente deve ser definido com precisão: quais ações o agente pode tomar, dentro de quais limites (valor máximo por transação, frequência máxima, tipo de contraparte, geografia), e quais decisões exigem aprovação humana antes de execução. Sem definição clara, o agente pode agir além do esperado e o usuário responde. Decision boundaries é a cláusula que mais protege o usuário em uso real.
Depende do contrato. A cláusula de titularidade deve cobrir: titularidade do output gerado (texto, decisão, transação executada), dos prompts e instruções dadas ao agente, dos dados usados para treinar ou fine-tunar o agente. Default frequente nos contratos atuais: usuário detém output, fornecedor mantém o modelo. Mas há variações — alguns fornecedores reservam direitos sobre os outputs, outros sobre logs de uso para melhorar o serviço. Ler o contrato com atenção a essa cláusula evita surpresa depois.
O agente trata dados pessoais quando: recebe input com dado pessoal, atua sobre cadastro de cliente, decide sobre pessoa física, mantém log de interações. Cada um desses pontos é tratamento de dados sob LGPD. O contrato deve definir: bases legais aplicáveis, papéis de controlador/operador entre usuário e fornecedor, medidas de segurança técnica e organizacional, transferência internacional de dados, direitos do titular, plano de incidente. Para empresa digital, integrar a operação do agente ao programa LGPD existente é o caminho — não criar regime paralelo.
Atualização de modelo pode mudar comportamento do agente. Cláusula de atualização deve cobrir: notificação prévia ao usuário, possibilidade de versionamento (manter modelo antigo por período), garantia de continuidade de cláusulas contratuais, direito de rescisão se a atualização altera materialmente o serviço. Sem cláusula, o usuário pode acordar amanhã com agente que se comporta diferente — risco real em deploy de IA.
Cláusula de log e auditoria define: o que é registrado (input, output, decisão, ação tomada), quem tem acesso aos logs, prazo de retenção, formato e exportabilidade. Para empresa digital, o log do agente é evidência primária quando algo dá errado — dispute regulatória, reclamação de cliente, investigação interna. Sem log estruturado, é difícil reconstruir o que aconteceu. Sem cláusula contratual sobre log, o fornecedor pode não fornecer ou cobrar para fornecer depois.
A cláusula de stop e shutdown deve ser explícita. Inclui: capacidade técnica de desligar imediatamente, capacidade de pausar sem desligar permanentemente, plano de transição se o agente é descontinuado pelo fornecedor, devolução ou destruição de dados ao final, sobrevivência de obrigações pós-desligamento (confidencialidade, log, indenização por atos passados). Sem essa cláusula, o usuário pode ter dificuldade de cessar uso de agente que está causando problema.
