O que está acontecendo
Contratos de tecnologia frequentemente incluem cláusulas que transferem responsabilidade de decisões automatizadas ao sistema ou ao fornecedor: "o sistema realiza a análise de crédito com base em critérios próprios", "a responsabilidade pela decisão é do algoritmo", "o fornecedor não responde por decisões tomadas pelo modelo".
Essas cláusulas existem para proteger o fornecedor. Não protegem você.
Perante a LGPD, o EU AI Act e o Código de Defesa do Consumidor, o operador — a empresa que usa o sistema — responde pelas decisões que afetam seus clientes. Não o sistema. Não o fornecedor.
Por que isso é problema do CFO
CFOs que assinaram contratos com cláusulas de isenção de responsabilidade de IA têm proteção contratual apenas frente ao fornecedor — não frente ao regulador e ao consumidor.
Na prática: quando a ANPD autua por decisão automatizada inadequada, você paga a multa. O fornecedor não responde perante a ANPD. O contrato de isenção pode até impedir que você acione o fornecedor depois para ressarcimento.
Em litígio de consumidor: o CDC não admite transferência de responsabilidade de fornecedor de produto/serviço para terceiro que o consumidor desconhece. Você é o fornecedor do consumidor — o sistema de IA do fornecedor é questão interna sua.
O que acontece quando isso vai para auditoria
Auditores de contratos identificarão cláusulas de isenção de IA como risco de responsabilidade sem cobertura contratual. Você tem responsabilidade regulatória sem contrapartida contratual com o fornecedor.
Em due diligence de M&A: passivo potencial por responsabilidade de IA sem cobertura contratual é item de risco. Comprador vai pedir ajuste de preço ou garantia.
O que fazer
- Revisar contratos de IA com jurídico especializado em proteção de dados e direito digital
- Identificar cláusulas que transferem responsabilidade por decisões de IA — não para eliminar, mas para entender a lacuna real
- Negociar responsabilidade compartilhada: definir o que é responsabilidade do fornecedor (qualidade do modelo) e o que é responsabilidade da empresa (uso adequado do output)
- Para novos contratos: incluir SLA de performance do modelo, processo de incidente conjunto, e cláusula de indenização por falha do modelo que resultar em multa regulatória
- Documentar internamente o que foi negociado e o que ficou sem cobertura — isso informa o apetite de risco da empresa para aquele sistema
"O contrato protege a relação com o fornecedor. Não protege você do regulador. São duas proteções diferentes — e você precisa das duas."
Riscos relacionados
Fornecedor
SaaS com IA Sem Contrato
Responsabilidade sem contrato algum — situação ainda mais exposta.
Regulatório
LGPD Art. 20
Obrigação de explicar decisões — que o fornecedor não vai cumprir por você.
Fornecedor
Fornecedor Como Única Fonte de Verdade
Quando você depende do fornecedor até para se defender.