O gestor público que precisa justificar a contratação
Você é gestor de TI em um tribunal. Ou secretário em uma defensoria. Ou coordenador de inovação no Ministério Público. Sua instituição quer adotar IA jurídica, e a tarefa de avaliar fornecedores caiu no seu colo.
A ferramenta funciona? Talvez. Mas isso é o menos importante.
O que você precisa responder:
- Está em conformidade com a regulamentação da minha instituição?
- Posso comprovar isso em uma auditoria?
- Qual é a classificação de risco?
- Onde estão as certificações de segurança?
- Quem é o responsável por proteção de dados?
Se o fornecedor não consegue responder essas perguntas com documentação, você está assumindo risco pessoal ao autorizar a contratação.
Este guia traduz o que cada instituição exige — e o que você deve verificar antes de assinar qualquer contrato.
Cada instituição tem sua regulamentação
O setor público não é homogêneo. Poder Judiciário, Defensorias e Ministério Público têm marcos regulatórios próprios para uso de IA.
| Instituição | Marco regulatório | Status |
|---|---|---|
| Poder Judiciário | Resolução CNJ nº 615/2025 | Em vigor |
| Defensorias Públicas | Política de IA CONDEGE 2025 | Em vigor |
| Ministério Público | Proposta CNMP | Em desenvolvimento |
| Todos | LGPD (Lei 13.709/2018) | Em vigor |
Antes de avaliar qualquer ferramenta, identifique qual regulamentação se aplica à sua instituição. Os requisitos são diferentes.
Poder Judiciário: o que o CNJ 615/2025 exige
A Resolução CNJ nº 615/2025 é o marco regulatório mais detalhado. Estabelece classificação de risco, requisitos de conformidade e governança.
Classificação de risco
O Anexo da resolução classifica sistemas de IA em categorias. Ferramentas de baixo risco têm menos restrições:
| Código | Descrição | Exemplo de uso |
|---|---|---|
| BR1 | Execução de atos ordinatórios ou tarefas de apoio (extração, classificação, transcrição, sumarização) | Resumo de processos, extração de informações |
| BR2 | Detecção de padrões decisórios, detecção de precedentes pertinentes | Pesquisa jurisprudencial, identificação de precedentes |
| BR4 | Produção de textos de apoio para confecção de atos, com supervisão e versão final pelo magistrado | Minutas de decisões, apoio a redação de peças |
Implicação prática
Ferramentas classificadas como baixo risco podem ser contratadas sem autorização prévia do Comitê Nacional de IA do Judiciário.
Checklist CNJ 615/2025
O Art. 20 da resolução lista os requisitos que ferramentas de IA devem atender:
Conformidade legal (LGPD, LOMAN, LPI)
Vedação de treinamento
Capacitação
Supervisão humana
Proteção de dados sigilosos
Classificação de risco
Segurança e auditoria
Privacy by design
Contratação individual por magistrados
O Art. 19, §2º permite que magistrados contratem ferramentas individualmente quando o tribunal não oferece solução corporativa — desde que a ferramenta atenda as diretrizes do §3º.
Defensorias Públicas: o que o CONDEGE 2025 exige
A Política de Inteligência Artificial do CONDEGE estabelece 19 artigos de diretrizes específicas para Defensorias Públicas.
Checklist CONDEGE 2025
| Artigo | Tema | O que verificar |
|---|---|---|
| Art. 4º | Supervisão humana obrigatória | Ferramenta não pode tomar decisões autônomas |
| Art. 5º | Vedação de uso autônomo | Defensor sempre decide; IA apenas auxilia |
| Art. 7º | Proteção de dados | Conformidade com LGPD documentada |
| Art. 8º | Capacitação de defensores | Treinamento disponível |
| Art. 10 | Transparência algorítmica | Documentação pública sobre funcionamento |
Diferença em relação ao CNJ
A política CONDEGE não tem classificação de risco como o CNJ 615/2025. O foco é na vedação de uso autônomo e na proteção dos assistidos — pessoas em situação de vulnerabilidade atendidas pelas Defensorias.
Ministério Público: o que esperar do CNMP
A proposta do CNMP para regulamentação de IA no Ministério Público está em desenvolvimento. Mas as diretrizes esperadas seguem o padrão:
- Vedação de treinamento com dados processuais
- Supervisão humana em todas as etapas
- Classificação de risco documentada
- Certificações de segurança comprovadas
Recomendação: Mesmo sem regulamentação específica, exija os mesmos requisitos do CNJ 615/2025 como base mínima.
LGPD: requisitos que valem para todos
Independentemente da instituição, a LGPD se aplica. E traz requisitos específicos para ferramentas que tratam dados pessoais.
O que verificar
| Requisito LGPD | O que pedir ao fornecedor |
|---|---|
| Base legal para tratamento | Qual base legal justifica o tratamento de dados? |
| DPO designado | Nome e contato do Encarregado de Proteção de Dados |
| Política de retenção | Por quanto tempo os dados são armazenados? |
| Direitos dos titulares | Como exercer portabilidade, eliminação, acesso? |
| Transferência internacional | Dados saem do Brasil? Se sim, qual mecanismo de adequação? |
DPO: nome ou email genérico?
O Art. 41 da LGPD exige designação de Encarregado de Proteção de Dados. Verifique se o fornecedor indica:
- Nome do DPO (não apenas "Equipe de Privacidade")
- Contato direto (não apenas formulário genérico)
- Responsabilidade profissional (advogado inscrito na OAB tem accountability)
Certificações de segurança: o que exigir
Certificações não são marketing — são auditorias independentes de controles de segurança.
Certificações relevantes
| Certificação | O que garante |
|---|---|
| ISO 27001 | Sistema de gestão de segurança da informação |
| ISO 27017 | Controles de segurança para nuvem |
| ISO 27018 | Proteção de dados pessoais em nuvem |
| SOC 2 Type II | Controles de segurança, disponibilidade, confidencialidade |
| SOC 3 | Relatório público de controles |
Certificação própria vs. herdada
Startups de IA raramente têm certificações próprias — o custo é alto. Mas podem herdar certificações do provedor de infraestrutura (Google Cloud, AWS, Azure) via contratos formais.
O que verificar:
- Há contrato de processamento de dados (DPA/CDPA) com o provedor de nuvem?
- As certificações do provedor cobrem os serviços utilizados pela ferramenta?
- O provedor permite auditoria?
Certificações herdadas são válidas — desde que documentadas e verificáveis.
Vedação de treinamento: a cláusula mais importante
Se há um requisito que aparece em todas as regulamentações, é este: dados inseridos na ferramenta não podem treinar o modelo de IA.
Por que isso importa
- Dados processuais são sigilosos
- Petições contêm informações de partes
- Decisões em elaboração são confidenciais
Se a ferramenta usa esses dados para treinar, há vazamento de informação — mesmo que não seja intencional.
O que verificar
| Documento | O que deve constar |
|---|---|
| Termos de Uso | Cláusula expressa de não-treinamento |
| Contrato com provedor de IA | CDPA ou DPA com Training Restriction |
| Política de Privacidade | Descrição de como dados são usados |
Alerta: "Seus dados são seguros" não é garantia. Exija cláusula contratual específica.
Exemplo prático
Veja como a Apolus documenta a vedação de treinamento nos Termos de Uso e no Anexo de Conformidade — modelo para comparar com outros fornecedores.
Checklist consolidado para avaliação de fornecedores
Use esta lista antes de incluir uma ferramenta no processo de contratação:
Conformidade regulatória
Fornecedor identifica qual classificação de risco se aplica (CNJ)
Há mapeamento de conformidade com a regulamentação da sua instituição
Documentação pode ser anexada ao processo de contratação
Proteção de dados
Cláusula expressa de não-treinamento com dados do usuário
DPO designado com nome e contato
Política de retenção e exclusão documentada
Conformidade com LGPD declarada
Segurança
Certificações ISO 27001, SOC 2 ou equivalentes
Certificações verificáveis (próprias ou herdadas)
Criptografia em trânsito e em repouso
Isolamento entre usuários/instituições
Governança
Supervisão humana garantida no fluxo de uso
Capacitação disponível para usuários
Documentação técnica acessível
Canal de suporte identificado
O que fazer se o fornecedor não responde
Se ao solicitar documentação de conformidade o fornecedor:
- Demora semanas para responder — não tem documentação pronta
- Envia apenas marketing — não tem compliance estruturado
- Diz que "está em desenvolvimento" — não está pronto para setor público
- Não sabe responder sobre certificações — não passou por auditoria
Essas são bandeiras vermelhas. Ferramenta sem documentação de conformidade não deveria entrar em processo de contratação pública.
Exemplo de ferramenta em conformidade
Para ilustrar como uma ferramenta pode atender esses requisitos, a Apolus.ai publica um Anexo de Conformidade Regulatória com mapeamento artigo por artigo.
| Requisito | Como é atendido |
|---|---|
| Classificação CNJ | BR1, BR2, BR4 — baixo risco |
| Vedação de treinamento | CDPA Seção 17 — Training Restriction contratual |
| Certificações | ISO 27001, SOC 2 herdadas do Google Cloud |
| DPO | Emídio Trancoso (OAB) — dpo@apolus.ai |
| Supervisão humana | Método RJE: Deliberação → Execução → Verificação |
| Capacitação | Escola RJE com módulos de treinamento |
O anexo completo é público e está disponível em /conformidade. Documentação adicional inclui Termos de Uso e políticas de privacidade — tudo pronto para inclusão em processos de contratação.
Avaliando ferramentas de IA para sua instituição?
Gestores públicos precisam de documentação, não de promessas. A Apolus entende isso.
Acesse diretamente nossa documentação de compliance:
- Anexo de Conformidade Regulatória — mapeamento artigo por artigo do CNJ 615/2025, CONDEGE 2025, LGPD e OAB
- Termos de Uso — cláusulas de não-treinamento e proteção de dados
- Certificações verificáveis via Google Cloud (ISO 27001, SOC 2)
- Documentação pronta para anexar em processos de licitação
Dúvidas específicas? Fale com nosso time: Chamar no WhatsApp
Conformidade documentada. Verificável. Artigo por artigo.