aleff.
infra-ai-ready implementacao

LGPD e IA em escritório de advocacia: como proteger dado do cliente

Como o escritório de advocacia usa IA sem violar sigilo profissional, LGPD e Recomendação 001/2024 da OAB. 3 camadas de proteção e o que NÃO resolve.

Por Aleff Pimenta · · 8 min de leitura

Você abriu o ChatGPT free, colou aquela peça de 40 páginas, pediu “resume em 1 parágrafo”. A IA cuspiu o resumo em 5 segundos. Você usou. O cliente nunca soube.

Pelo Art. 34 do Estatuto da Advocacia e pela LGPD, isso é violação de sigilo profissional. E o problema vai além de “alguém ler” — é que você acabou de transferir dado privado de cliente pra um servidor de terceiro, sem contrato, sem DPA, sem autorização.

A Recomendação 001/2024 do Conselho Federal da OAB, aprovada em fevereiro de 2025, foi o primeiro documento brasileiro que reconheceu essa zona cinza e estabeleceu 4 diretrizes pra advogado usar IA sem se queimar. Esse post mostra o que ela diz na prática, por que sigilo profissional é mais duro do que LGPD comum, e como o escritório de advocacia monta infra que permite usar IA sem botar a OAB no pescoço.

Por que colar peça no ChatGPT é problema

A versão gratuita de qualquer LLM público (ChatGPT, Claude, Gemini) tem 3 caminhos possíveis pro seu dado:

  1. Treinamento futuro do modelo (a menos que você desabilite explicitamente)
  2. Retenção temporária pra “fins de melhoria do serviço”
  3. Acesso humano pra análise de qualidade ou abuso

Você não controla nenhum desses. E a OpenAI/Anthropic/Google são empresas estrangeiras — você não tem foro brasileiro pra reclamar se algo der errado.

Pro advogado, isso colide frontalmente com 3 dispositivos:

  • Art. 34 do Estatuto da Advocacia (Lei 8.906/94): sigilo profissional como dever
  • Código de Ética e Disciplina da OAB: o sigilo é perene e sobrevive ao término do mandato
  • LGPD (Lei 13.709/18): dado pessoal sensível processado sem base legal nem consentimento

A combinação dos 3 é mais dura do que qualquer uma sozinha. LGPD multa por exposição de dado. OAB pune por violação de sigilo. E se o cliente sentir prejuízo, processa civilmente também.

O que a Recomendação 001/2024 da OAB diz na prática

A Recomendação se organiza em 4 eixos. Resumindo cada um pra quem precisa decidir esta semana:

1. Legislação aplicável. O advogado continua integralmente responsável pelo conteúdo produzido — mesmo quando IA gerou. Errou citação? Você assina. Mentiu sobre jurisprudência? Você responde.

2. Confidencialidade e privacidade. Antes de incluir informação em sistema de IA, o advogado deve verificar que o fornecedor protege os dados e que NÃO usa o que você manda pra treinar o modelo. Na prática: precisa de DPA assinado e política clara.

3. Prática jurídica ética. Supervisão humana é obrigatória. Soluções que geram dependência absoluta do usuário (sem revisão possível) são vedadas. Quem usa IA sem revisar o que ela produziu está em desacordo.

4. Comunicação sobre uso de IA generativa. O advogado deve informar o cliente sobre o uso de IA quando isso for material — especialmente em casos sensíveis. Não é todo prompt, mas é toda decisão importante baseada em saída de IA.

A Recomendação não tem força de lei direta, mas vira referência ética em representações disciplinares. Descumprir é agravante.

Por que sigilo profissional é mais duro do que LGPD comum

LGPD permite tratamento de dado com base legal — consentimento, execução de contrato, legítimo interesse, etc. Tem 10 hipóteses no Art. 7º.

Sigilo profissional do advogado é diferente: ele é perene (sobrevive ao mandato), absoluto dentro de algumas condições, e a violação vira infração disciplinar mesmo se o cliente não reclamar — basta a OAB tomar conhecimento.

Quer dizer:

  • LGPD: você precisa justificar processamento. Se justificar, está OK.
  • Sigilo OAB: justificativa não te salva se houve exposição evitável.

A IA pública não é canal autorizado. Não tem como justificar “passei a peça pro ChatGPT” da mesma forma que se justifica “guardei no servidor próprio com criptografia”.

Esse é o ponto que a maioria dos cursos de “IA pra advogado” não explica direito. Eles ensinam a usar a ferramenta, não a estrutura legal por trás de quando usar é seguro.

Como proteger dado do cliente em 3 camadas

Não é “pare de usar IA”. É montar infra que permite usar sem expor. Três camadas cumulativas:

Camada 1 — Anonimização local antes da chamada externa

Antes do dado sair do seu computador ou servidor, ele passa por um script que substitui:

  • Nome de cliente → [CLIENTE_001]
  • CPF → [CPF]
  • Valores específicos → [VALOR]
  • Número de processo → [PROCESSO]
  • Nome de empresa terceira → [EMPRESA_X]

A IA recebe a peça anonimizada, devolve a análise, e o sistema re-substitui no caderno final. Stack típico:

  • Python + biblioteca de NER em português (spaCy + regex customizado)
  • Tabela de substituições por sessão
  • Tudo rodando local, sem chamada externa nessa fase

Funciona pra 80% dos casos. Pros 20% que precisam de contexto nominal (ex: revisão de contrato com identificação real obrigatória), as camadas 2 e 3 entram.

Camada 2 — Gateway de IA com DPA e política de não-treinamento

Se precisa enviar dado nominal, faça por gateway controlado:

  • LiteLLM (open source) ou similar como proxy entre seu sistema e OpenAI/Anthropic
  • Conta corporativa (Team ou Enterprise) com DPA assinado
  • Configuração que desabilita training na request
  • Audit trail de cada chamada — o que foi enviado, quando, por quem
  • Limites de rate por usuário pra evitar uso indevido

Stack típico:

  • LiteLLM em container no servidor próprio
  • Postgres com criptografia em repouso pra audit log
  • Auth interna por OAB (cada advogado loga, cada chamada fica no nome dele)

Camada 3 — Modelo local pra dado mais sensível

Pra peças com dado especialmente sensível (família, criminal, sigilo médico de cliente), modelo local elimina a chamada externa. Stack rodando há 2 anos no Brasil:

  • Ollama ou vLLM rodando Llama 3, Qwen 2.5 ou similar em servidor com GPU
  • 1 GPU NVIDIA RTX 4090 (~R$15 mil) ou 2x RTX 3090 usadas (~R$10 mil) servem 5-30 advogados em volume normal
  • Resposta levemente inferior ao GPT-4 em alguns casos, mas suficiente pra 80% das tarefas (resumo, análise, draft inicial)

Algumas plataformas como Jurídico AI e Locus.IA já oferecem versões com infra dedicada. Vale comparar com montar próprio dependendo do tamanho do escritório.

Caso prático: escritório de 18 advogados em São Paulo

Cenário aproximado de um escritório real com perfil tipo médio:

  • 18 advogados + 4 estagiários
  • 2.500 documentos/mês passando por revisão
  • Atualmente: cada um usa ChatGPT Plus pessoal (R$ 110/mês x 18 = R$1.980/mês), sem DPA, peça crua sendo colada
  • Risco mapeado: violação Art. 34 EOAB + LGPD em ~80% das interações

Setup proposto:

  • Servidor dedicado na sede (R$18 mil one-time, hardware comprovado)
  • Stack: Ollama + LiteLLM + Postgres + script de anonimização em Python
  • Conta OpenAI Enterprise com DPA pra casos que exigem contexto nominal (R$ 1.200/mês)
  • Audit trail em Postgres + dashboard interno
  • Treinamento do time (2 dias)

Investimento total: ~R$ 22 mil setup + R$ 1.500/mês operação. Valores estimados de mercado em maio de 2026, confirme com fornecedor.

Em 60 dias, o escritório passa a operar dentro da Recomendação 001/2024 e da LGPD. Risco disciplinar mapeado e mitigado. Conta OpenAI corporativa cobre os casos que pedem nome real, com base contratual.

O que NÃO resolve

Três coisas que advogado às vezes pensa que resolvem mas não resolvem:

1. Conta paga do ChatGPT no nome pessoal. Conta Plus individual no seu CPF não tem DPA corporativo. Você ainda está confiando em política da OpenAI que pode mudar. E o sigilo profissional é do escritório, não seu — então mistura piorou.

2. “Sou advogado autônomo, ninguém vai descobrir.” Advogado autônomo é alvo MAIOR pra OAB local — TED estadual fica de olho em quem opera sozinho porque é onde mais vaza, sem revisão de sócio. E descoberta acontece de formas que não dependem do cliente reclamar — vaza num grupo de WhatsApp, aparece num processo do colega, alguém vê na sua tela.

3. “Vou só desabilitar o histórico.” Desabilitar histórico no ChatGPT free não muda o fato de que o dado passou pelo servidor da OpenAI. Continua exposto durante o processamento. Não resolve sigilo profissional.

A solução é estrutural, não comportamental. Não dá pra confiar que cada advogado vai lembrar de cada cuidado em cada chamada. Tem que estar na infra.

A gente faz isso pra escritórios de advocacia

Estruturamos esse tipo de ambiente pra escritório que quer usar IA sem se queimar com a OAB. Montamos a infra (servidor + Ollama + LiteLLM + anonimizador), configuramos auditoria, e treinamos o time pra operar — tudo dentro do prazo de pilot de 14 dias. Quando o pilot termina, você tem ambiente funcional, política de uso documentada, e dashboard de uso pra mostrar pro CFO ou pra OAB se for questionado.

A iAgentes (frente de agentes da Inteligência Avançada) é a parte que monta os agentes de IA específicos do escritório — assistente de revisão de contrato, gerador de peça draft, classificador de processo. Tudo rodando dentro da infra que a iAvancada estruturou. Sigilo preservado por arquitetura, não por checklist.

Se quiser ver isso aplicado ao seu escritório, entra em contato e a gente faz um diagnóstico de 30min do estado atual e do que precisa pra chegar lá.

Conclusão

LGPD e Recomendação 001/2024 da OAB não são burocracia. São o piso ético-legal pro escritório usar IA sem violar sigilo profissional. Colar peça no ChatGPT free continua sendo a violação mais comum em 2026 — e a mais punível.

A solução é estrutural: anonimização local + gateway controlado + modelo local quando o dado pede. Investimento de R$15-30 mil pra escritórios médios, que vira proteção contra TED estadual e LGPD ao mesmo tempo.

Se você é dono de escritório de advocacia, essa é a arquitetura mínima pra dormir tranquilo em 2026. Antes que vire representação disciplinar.

Perguntas frequentes

Posso usar ChatGPT pago no meu escritório de advocacia?

Pode, mas com cuidado. A versão paga (Plus, Team, Enterprise) tem opção de não treinar com seus dados, mas isso só vira proteção real com Data Processing Agreement (DPA) assinado, conta administrada, e política interna que define o que pode e o que não pode subir. Sem isso, ainda é exposição.

A Recomendação 001/2024 da OAB tem força de lei?

Não diretamente. Recomendação não impõe sanção sozinha. Mas ela vira marco de referência ética que tribunais e Tribunais de Ética e Disciplina podem usar pra avaliar a conduta do advogado em representações por violação de sigilo. Na prática, descumprir vira agravante.

Quanto custa montar uma infra que respeita sigilo profissional?

Depende do tamanho do escritório. Pra um escritório de 5 a 30 advogados, o setup inicial fica em torno de R$15 mil a R$30 mil — cobre servidor próprio ou VPS dedicada, gateway de IA, anonimizador local, backup testado e auditoria. Valores estimados de mercado em maio de 2026, confirme com fornecedor.

O que é DPA e por que importa pro advogado?

DPA é Data Processing Agreement (Acordo de Processamento de Dados). É o contrato que define o que o fornecedor de IA pode e não pode fazer com seus dados — guardar, treinar, compartilhar. Sem DPA assinado, você está confiando em política do site, que pode mudar. Com DPA, há base contratual pra responder à OAB se for questionado.

Como anonimizar peça processual antes de mandar pra IA?

Antes de chamar a API, um script local roda regex e NER (named entity recognition) pra identificar e substituir nome de cliente, CPF, valores específicos, número de processo. A IA recebe o texto neutralizado, devolve a análise, e o escritório re-substitui no caderno final. Tudo isso roda local, antes da chamada externa.

Sou advogado autônomo — preciso disso tudo?

Sim, na proporção. Sigilo profissional independe do tamanho do escritório. Advogado autônomo pode começar com versão simplificada: ChatGPT Team com DPA, política pessoal de não colar dado bruto, e anonimização manual antes de copiar. Funciona pra volume baixo. Quando o volume cresce, vale infra própria.

Produtos relacionados

iAgentes

Agentes IA determinísticos para operação empresarial. Rodam na sua infraestrutura.