A maioria das empresas assina contratos com fornecedores de IA da mesma forma que assina qualquer contrato de SaaS: aceita os termos, avança. A diferença é que contratos de IA alocam direitos sobre o que o sistema produz, concedem licenças sobre o que você alimenta nele e criam exposição de responsabilidade que contratos comuns de SaaS não têm.

Para empresas que operam no Brasil e usam ferramentas de IA que processam dados de negócio, de clientes ou dados pessoais, os riscos são maiores. A LGPD adiciona uma camada de compliance a cada integração de IA. Entender o contrato antes de assinar não é formalismo jurídico — é gestão de risco.

Por que o contrato de IA não é "só mais um SaaS"

Um contrato de SaaS padrão licencia acesso a software. Um contrato de fornecedor de IA faz três coisas adicionais ao mesmo tempo:

  1. Recebe seus inputs — prompts, documentos, dados, imagens — e concede ao fornecedor licença para processá-los
  2. Produz outputs — texto, código, imagens, análise — e aloca direitos sobre esses outputs
  3. Pode usar seus inputs para melhorar o modelo — essa é a cláusula que a maioria das empresas ignora

Cada uma dessas dimensões exige atenção que a revisão de uma licença de software padrão não cobre.

Titularidade de inputs e outputs

Inputs: ao enviar um prompt, o usuário tipicamente concede ao fornecedor licença para processá-lo na prestação do serviço. A questão-chave: essa licença se estende ao uso do input para treinamento ou melhoria do modelo?

Outputs: a maioria dos grandes fornecedores atribui a titularidade ou um direito amplo de uso do output ao usuário. Mas três ressalvas são comuns: outros usuários podem gerar outputs idênticos ou similares de forma independente; o fornecedor pode reservar direitos para monitoramento de segurança; material inerentemente não protegível não pode ser "possuído" independentemente do que o contrato diga.

A LDA (Lei nº 9.610/1998) adiciona ainda outra camada: output sem contribuição criativa humana relevante pode não receber proteção autoral, tornando a "titularidade" contratual economicamente vazia se o output não for protegível.

Uso para treinamento: opt-out, retenção e exclusão

Essa é a cláusula mais frequentemente ignorada. Planos consumer padrão de grandes fornecedores frequentemente incluem direito de usar o conteúdo enviado para treinar, melhorar ou refinar o modelo — geralmente com mecanismo de opt-out não habilitado por padrão.

Para planos enterprise e API, a posição padrão costuma ser invertida: sem uso para treinamento por padrão, com períodos de retenção limitados e definidos. Mas "sem uso para treinamento" não significa automaticamente "exclusão imediata" — retenção para fins de segurança, compliance ou prevenção de abuso pode ainda se aplicar por períodos definidos.

Antes da integração, confirme por escrito: o uso para treinamento está habilitado ou desabilitado para seu plano? Qual o período de retenção de prompts e outputs? Como solicitar exclusão dos dados enviados anteriormente?

Confidencialidade: prompts e dados sensíveis

Prompts frequentemente contêm informações sensíveis de negócio: nomes de clientes, dados financeiros, estratégia de produto, pesquisa interna não publicada. A cláusula de confidencialidade no contrato de IA rege se o fornecedor pode usar, referenciar ou compartilhar essa informação.

Antes de inserir dados sensíveis, verifique: a obrigação de confidencialidade do fornecedor é contratual ou é apenas uma política revisável? Quais funcionários do fornecedor podem acessar seus dados para revisão de segurança? Prompts são retidos em logs que podem ser requisitados em litígios de terceiros?

Uma política interna de uso de IA deve classificar dados por sensibilidade e especificar quais categorias podem ser enviadas a quais fornecedores em quais configurações. Esse exercício não é opcional para setores regulados ou empresas que lidam com dados de clientes.

Indenização: escopo e limites práticos

Alguns grandes fornecedores introduziram indenização por PI para clientes enterprise: se um terceiro alegar que o output do fornecedor viola seus direitos de PI, o fornecedor defende e indeniza o cliente, sujeito a condições e tetos.

Antes de confiar nessa proteção, entenda: escopo (cobre direitos autorais, marca, segredo industrial?), teto monetário, condições de acionamento (notificação imediata, cessão do controle da defesa?) e exclusões (inputs infratores enviados pelo usuário, desativação de filtros de segurança, uso fora dos termos).

Em produção intensiva de conteúdo, a cláusula de indenização pode ser determinante na escolha do fornecedor.

LGPD aplicada às integrações de IA

Toda integração de IA que envolva dados pessoais de titulares brasileiros exige análise pela LGPD:

  • Base legal: qual a base legal para processar dados pessoais pelo sistema de IA? (LGPD art. 7º)
  • Transparência: os titulares precisam ser informados de que seus dados são processados por sistema de IA
  • DPA: o fornecedor de IA atuando como operador precisa assinar Acordo de Tratamento de Dados cobrindo obrigações da LGPD — incluindo controles sobre sub-operadores, requisitos de segurança e cooperação em pedidos de titulares
  • Transferência internacional: se os servidores do fornecedor estão fora do Brasil, a transferência precisa cumprir os requisitos da LGPD

A maioria dos grandes fornecedores oferece DPAs para clientes enterprise. Verificar que o escopo do DPA cobre seu caso de uso específico — e que ele endereça os requisitos da LGPD e não apenas o GDPR — é o passo de due diligence que a maioria das empresas pula.

Roteiro de revisão antes de assinar

  • Quem detém os outputs? A exclusividade está expressamente afastada?
  • Uso para treinamento está habilitado ou desabilitado para seu plano? Pode ser desabilitado contratualmente?
  • Qual o período de retenção dos prompts? Como solicitar exclusão?
  • A cláusula de confidencialidade é contratual ou é política revisável?
  • O que a indenização cobre — e o que ela exclui?
  • Existe DPA cobrindo obrigações da LGPD, incluindo sub-operadores?
  • Onde estão os servidores e o mecanismo de transferência internacional cumpre a LGPD?

Nossa prática cobre IA e direito e contratos digitais. Ver também: Conteúdo gerado por IA: quem é dono no Brasil?.

FAQ

Quem é dono do output que gero usando o fornecedor de IA?

Depende do contrato. A maioria dos termos atribui ao usuário a titularidade ou um direito amplo de uso sobre o output, com limites — incluindo ressalvas sobre material inerentemente não protegível. A LDA (Lei nº 9.610/1998) acrescenta uma camada: se não houver contribuição criativa humana relevante, o output pode não ter proteção autoral, independentemente do que o contrato diga sobre titularidade.

O fornecedor pode usar os meus dados para treinar o modelo?

Depende do plano e da configuração. Em planos consumer, o uso para treinamento costuma ser padrão, com opção de opt-out em alguns provedores. Em planos enterprise/API, o padrão geralmente é não-uso para treinamento, com retenção limitada. Para dados pessoais, a configuração precisa ser compatível com a base legal escolhida sob a LGPD e com os termos contratuais com seus próprios clientes e usuários.

Inserir prompt com dado confidencial é problema?

Pode ser. Antes de inserir dado confidencial, sigiloso ou pessoal, verifique: cláusula de confidencialidade do fornecedor, configuração de opt-out de treinamento, retenção dos prompts, sub-processadores e localização dos servidores. Para dados pessoais, há ainda obrigação de base legal, transparência ao titular e requisitos de transferência internacional pela LGPD. A política interna de uso de IA deve listar o que pode e o que não pode ser inserido.

A cláusula de indenização do fornecedor cobre o quê?

Varia. Algumas cláusulas cobrem reivindicações de terceiros por violação de PI sobre o output, com tetos e exclusões. Outras excluem indenização por output inteiramente. Pontos a verificar: escopo (PI, privacidade, marca?), teto monetário, condições para acionar, e exclusões (uso fora dos termos, dados ilegais inseridos pelo usuário). Em uso intensivo, essa cláusula pode ser determinante na escolha do fornecedor.

Posso negociar o contrato com fornecedores de IA?

Em planos consumer/standard, raramente — são contratos de adesão. Em planos enterprise, API com volume relevante e parcerias estratégicas, sim — frequentemente negociáveis: não-uso para treinamento, retenção de prompts, indenização ampliada, SLA, lei aplicável e foro. Para empresas no Brasil, é prudente buscar cláusulas que reconheçam aplicação da LGPD e prevejam cooperação em pedidos de titulares de dados.

// ÁREA DE PRÁTICA
Inteligência Artificial & DireitoAutoria, governança e contratos para negócios com IA generativa.Contratos DigitaisContratos autorais para infoprodutos, creators e licenciamento.
Monika Hosaki
Autora
Monika Hosaki

Managing Partner e fundadora da Hosaki Advogados. Atuação em propriedade intelectual, direito digital e creator economy.