O que está acontecendo
Fornecedores de SaaS adicionam IA às plataformas por atualização de produto — sem negociação, sem comunicação formal, frequentemente sem nem avisar o cliente.
O contrato original não contempla: uso de dados no treinamento do modelo, responsabilidade por decisões do modelo, processo de incidente específico para IA, SLA de performance do modelo, direito de auditoria da IA do fornecedor.
Isso ocorre com CRMs que adicionaram análise preditiva, ERPs com previsão automática de lançamentos, plataformas de RH com scoring de candidatos, ferramentas de atendimento com resposta automatizada por LLM.
Por que isso é problema do CFO
Quando a IA do SaaS toma uma decisão errada que afeta seu cliente, a responsabilidade perante a ANPD e o Procon é sua — não do fornecedor. Você é o controlador dos dados. Você é quem tem relação com o cliente afetado.
Para auditoria LGPD: processadores de dados (fornecedores SaaS) precisam de contrato específico (DPA). Se o SaaS processa dados com IA e não tem DPA específico para isso, você tem lacuna de controle.
O que acontece quando isso vai para auditoria
O auditor vai perguntar: quais SaaS processam dados de clientes com IA? Você tem DPA específico para o processamento por IA? Se a resposta for não, você tem achado.
Em investigação de incidente: a ausência de contrato específico significa que você não tem base legal para acionar o fornecedor por falha do modelo. Você assume a responsabilidade sem ter suporte contratual de quem causou o problema.
O que fazer
- Inventariar todos os SaaS que adicionaram IA nos últimos 24 meses — perguntar diretamente ao fornecedor se a plataforma usa IA e quais dados processa
- Para cada um: verificar se o contrato existente contempla processamento por IA. Se não contempla, é lacuna
- Exigir aditivo contratual ou DPA específico com: lista de funcionalidades de IA, política de uso de dados no modelo, processo de notificação de incidente, SLA de performance da IA
- Incluir cláusula de notificação: o fornecedor deve avisar antes de implementar mudanças de IA que afetam dados de clientes
- Para novos contratos: incluir cláusula padrão de IA antes de assinar — é mais fácil negociar antes do que depois
"Você compra a funcionalidade. A responsabilidade fica com você. O contrato não muda isso — mas pode definir de quem você consegue cobrar quando der errado."