POLÍTICA DE USO DE INTELIGÊNCIA ARTIFICIAL GENERATIVA NA ADVOCACIA
(Conforme diretrizes da Recomendação n. 001/2024 do Conselho Federal da OAB e a LGPD)
Objetivo do documento: estabelecer regras claras, didáticas e aplicáveis ao dia a dia do Escritório para o uso responsável de ferramentas de IA Generativa (IAG) como apoio à atividade jurídica, preservando o sigilo profissional, a conformidade legal e a qualidade técnica das manifestações.
Versão: v1.1 — 18/10/2025
Controle de revisão: 18/10/2026
Sumário analítico (navegável)
1. Âmbito de aplicação e princípios
1.1. Abrangência. Esta Política se aplica a sócios, associados, consultores, estagiários e prestadores que utilizem IAG em atividades do Escritório.
1.2. Princípios. (a) Protagonismo humano; (b) Sigilo profissional e proteção de dados; (c) Transparência; (d) Qualidade e acurácia; (e) Responsabilização e auditoria; (f) Minimização de dados; (g) Segurança da informação por padrão e por design.
2. Definições operacionais
IA Generativa (IAG): modelos de linguagem ou multimodais capazes de produzir texto/imagem a partir de instruções.
Ambiente controlado: infraestrutura própria ou de terceiro com controles contratuais e técnicos equivalentes aos do Escritório (ex.: VPC/self‑hosting, criptografia, logs, DLP).
Dados pessoais sensíveis: nos termos da LGPD (art. 5º, II).
RAG: Recuperação Aumentada por Geração, técnica para reduzir alucinações, vinculando respostas a fontes confiáveis internas.
Revisor humano responsável: advogado habilitado que valida o produto assistido por IAG e assume responsabilidade técnica.
3. Governança e responsabilidades
3.1. Patrocínio e Comitê. A Diretoria institui Comitê de IA, com representantes de: (i) Sócios; (ii) DPO/Encarregado LGPD; (iii) TI/Segurança; (iv) Coordenação de Conteúdo.
3.2. Funções.
Sócio responsável pela área: aprova casos de uso, níveis de autonomia e recursos.
DPO/Encarregado: avalia riscos de privacidade, define salvaguardas, conduz DPIA (quando aplicável).
TI/Segurança: qualifica fornecedores, define arquitetura (VPC/self‑hosted), aplica DLP, IAM, criptografia e logging.
Revisor humano responsável: valida peça/minuta, certifica fontes e assina a declaração de revisão.
3.3. Ciclo de vida. Planejar → Validar piloto → Treinar equipe → Operar com métricas → Auditar trimestralmente → Revisar política.
4. Casos de uso permitidos e vedações
4.1. Permitidos (sempre com revisão humana (sem exceção)):
(a) rascunho inicial de minutas/peças, e-mails e relatórios;
(b) sumarização de documentos;
(c) brainstorming de teses e organização de argumentos;
(d) auxílio linguístico/estilo;
(e) revisão de consistência redacional e de formatação;
(f) extração/categorização de informações de documentos não sigilosos ou anonimizados;
(g) consultas internas de apoio quando ancoradas via RAG a fontes validadas.
4.2. Vedações absolutas:
(a) inserção de dados sigilosos ou pessoais identificáveis em ambientes sem garantias contratuais e técnicas equivalentes às do Escritório;
(b) uso de IAG para decisões jurídico‑estratégicas sem revisão/validação de advogado;
(c) geração de conteúdo com afirmações fáticas não verificadas ou citações inventadas;
(d) práticas contrárias ao Estatuto e Código de Ética da OAB (ex.: captação indevida, publicidade irregular, deslealdade processual);
(e) automações que protocolem peças sem checkpoint humano.
5. Proteção de dados e sigilo (LGPD + sigilo profissional)
5.1. Base legal e minimização. Toda inserção de dados em IAG deve observar base legal adequada e o princípio da minimização.
5.2. Classificação de informação. Antes de usar IAG, ocorre a classificação do documento: (i) público; (ii) interno; (iii) confidencial; (iv) restrito (cliente/processo).
5.3. Sanitização de conteúdo. Aplicação de anonimização/mascaramento quando possível. Remoção de nomes, CPFs, números de processos e metadados.
5.4. Transferência internacional. Verificação da localização do processamento/armazenamento e as garantias contratuais (SCCs/Cláusulas‑padrão, aditivos LGPD, sub‑processadores).
5.5. Retenção e descarte. Definição de prazos de retenção no provedor e no Escritório. Proibição de reuso de dados para treinamento do fornecedor, salvo acordo específico.
6. Seleção de fornecedores e arquitetura
6.1. Preferência por ambiente controlado. Priorização de self‑hosting/VPC ou provedores com: (a) contrato de confidencialidade; (b) isolamento de dados; (c) opção de no‑training; (d) criptografia em repouso e trânsito; (e) IAM, MFA e registros de auditoria exportáveis.
6.2. Due diligence técnica‑jurídica. Checklist mínimo: SLA; plano de continuidade; sub‑processadores; certificações (ISO 27001/27701, SOC 2); localização de data centers; logs e retenção; DLP; rate limits; suporte a RAG; content filtering; suporte a red teaming.
6.3. Gestão de mudanças. Qualquer alteração de versão de modelo ou de escopo do serviço passa por avaliação do Comitê e, se necessário, DPIA.
7. Qualidade, acurácia e mitigação de risco (antialucinação)
7.1. RAG e fontes confiáveis. Projetos de IAG incorporam RAG com repositórios internos (jurisprudência/peças modelo/documentos de cliente) curados e versionados.
7.2. Instruções e prompting. Mantemos biblioteca interna de prompts aprovados com orientações de escopo, tom, obrigações de citação, proibição de inventar fatos/precedentes e checklist de verificação.
7.3. Métricas. Definir KPIs por caso de uso: taxa de alucinação (H@0), cobertura de fontes, tempo de revisão, satisfação do revisor, % de ajustes substanciais.
7.4. Amostragem e auditoria. Auditorias trimestrais com amostragem estratificada das saídas; correções retroalimentam a biblioteca de prompts e as bases do RAG.
8. Fluxos operacionais
8.1. Elaboração assistida por IAG (peças e minutas)
Solicitação/escopo → 2) Prompt com contexto sanetizado + RAG → 3) Geração de rascunho → 4) Revisão humana obrigatória (checagem fática, jurídica e de estilo) → 5) Registro de revisão → 6) Protocolo/Envio.
8.2. Pesquisa e análise documental
Utilizar IAG para sumarização e triagem, sempre vinculando a fontes citáveis; resultados críticos devem ser replicáveis por meios tradicionais.
8.3. Comunicação com clienteTransparência razoável sobre emprego de IAG quando a ferramenta impactar preço, prazo ou metodologia do trabalho; registrar no dossiê do cliente.
9. Segurança da informação
9.1. Controles mínimos. MFA; segregação por papéis; least privilege; DLP; criptografia; bloqueio de paste/upload de dados sensíveis em ambientes não controlados; revisão periódica de acessos.
9.2. Logs e trilhas. Captura de prompts e saídas, identificação do revisor, versão do modelo, fontes RAG, carimbo de data/hora e hash do documento final.
9.3. Incidentes. Qualquer suspeita de vazamento, uso indevido ou resultado potencialmente lesivo deve ser comunicada ao DPO e ao Comitê em até 24h; aplicar plano de resposta a incidentes.
10. Treinamento e conscientização
10.1. Capacitação contínua. Treinamentos semestrais em: fundamentos de IAG; riscos e limitações; LGPD e sigilo; prompt engineering; RAG; red teaming jurídico; boas práticas de citação e verificação.
10.2. Certificação interna. Somente usuários certificados podem operar casos de uso classificados como “médio/alto risco”.
11. Revisão e atualização
11.1. Revisão anual ou motivada. Esta Política será revisada anualmente ou a qualquer tempo por alteração regulatória relevante.
11.2. Transparência. As versões vigentes e o histórico resumido de alterações serão publicados nesta página.
11.3. Vigência. Entra em vigor na data de sua aprovação pela Diretoria.
12. Aviso de Transparência ao Cliente
12.1. Quando informamos o uso de IAG. Sempre que o uso de IAG puder impactar preço, prazo ou metodologia, informaremos o cliente em linguagem clara, preservando o sigilo profissional e as restrições contratuais.
12.2. Ambiente controlado e no‑training. As atividades assistidas por IAG ocorrem em ambientes controlados (VPC/self‑hosted ou provedores com garantias contratuais e técnicas equivalentes), com criptografia, controle de acesso e cláusula no‑training (não utilizamos dados do cliente para treinar modelos gerais).
12.3. Qualidade e revisão humana. Toda saída de IAG é revisada por advogado antes de qualquer protocolo ou entrega.
12.4. Direitos do titular. Dados pessoais eventualmente tratados observarão a LGPD; solicitações podem ser direcionadas ao Encarregado/DPO.
Canal do Encarregado (DPO): iA-LGPD@bassildower.com.br | +55 (65) 99265‑6006