Comparativo de Segurança de IA
Para juristas que precisam escolher uma ferramenta de IA e querem entender as diferenças de segurança sem jargão técnico.
O que você precisa saber antes de ler tudo
Vedação contratual via Google CDPA (Seção 17) — não é configuração que pode mudar, é obrigação legal.
ChatGPT e Claude treinam por padrão mesmo em planos pagos. Você precisa lembrar de desativar — e a política pode mudar.
ISO 27001, SOC 2/3 e CDPA herdadas do Google Cloud — os mesmos padrões exigidos por bancos e governos.
Você é o controlador, a Apolus é controladora, o Google é apenas operador. Se descumprir o contrato, responde na Justiça.
Glossário de Termos
| Termo | O que significa |
|---|---|
| B2C | Business to Consumer — Produtos vendidos diretamente para pessoas físicas (ex: ChatGPT Plus, Gemini gratuito). Geralmente têm menos garantias de segurança. |
| B2B / Enterprise | Business to Business — Produtos vendidos para empresas, com contratos específicos e garantias formais (ex: ChatGPT Enterprise, Google Workspace). |
| Controlador | Quem decide o que fazer com os dados. Na LGPD, é responsável pelas decisões sobre tratamento de dados pessoais (Art. 5º, VI). |
| Operador | Quem processa dados seguindo instruções do Controlador. Não decide nada, apenas executa (Art. 5º, VII da LGPD). |
| CDPA | Cloud Data Processing Addendum — Contrato entre empresa e Google Cloud que estabelece obrigações de proteção de dados. |
| DPA | Data Processing Agreement — Contrato de processamento de dados exigido pelo GDPR e LGPD. |
| BR SCCs | Brazilian Standard Contractual Clauses — Cláusulas Contratuais Padrão aprovadas pela ANPD para transferência internacional de dados. |
| Opt-out | Opção de "sair" de algo. No contexto de IA, significa desativar manualmente o uso dos seus dados para treinamento. |
| ISO 27001 | Certificação internacional de gestão de segurança da informação. |
| SOC 2/3 | Relatórios de auditoria de controles de segurança, emitidos por auditores independentes. |
| DPO | Data Protection Officer — Encarregado de Proteção de Dados, exigido pela LGPD (Art. 41). |
| Vertex AI | Plataforma enterprise do Google Cloud para IA. Diferente do Gemini B2C, possui contratos vinculantes e certificações. |
A Pergunta Fundamental
Antes de utilizar qualquer ferramenta de IA com dados de clientes, é necessário avaliar:
"Se eu colocar um contrato sigiloso aqui, quem pode ver e o que vão fazer com ele?"
A resposta varia drasticamente entre as ferramentas.
Comparativo: O que cada ferramenta faz com seus dados
1. Seus dados treinam a IA?
A ferramenta "aprende" com o que você escreve? Seu contrato pode virar parte do conhecimento da IA e aparecer para outros usuários?
| Ferramenta | Plano Gratuito | Plano Pago Individual | Plano Enterprise |
|---|---|---|---|
| ChatGPT (OpenAI) | ✗ Sim, treina | ✗ Sim, treina | ✓ Não treina |
| Claude (Anthropic) | ✗ Sim, treina | ✗ Sim, treina | ✓ Não treina |
| Gemini (Google) | ✗ Sim, treina | ⚠ Opt-out disponível | ✓ Não treina |
| NotebookLM (Google) | ⚠ Não treina* | ⚠ Não treina* | ✓ Não treina |
| Apolus.ai | ✓ Não treina | ✓ Não treina | ✓ Não treina |
* NotebookLM não treina, mas se você der feedback, revisores humanos podem ver tudo.
Por que a Apolus.ai é diferente? Temos um contrato com o Google (CDPA) que proíbe o uso de dados para treinamento. Não é uma "política" que pode mudar — é obrigação legal.
2. Funcionários da empresa leem suas conversas?
Pessoas reais (não a IA) podem ler o que você escreveu para "avaliar qualidade" ou "melhorar o serviço"?
| Ferramenta | Plano Gratuito | Plano Pago Individual | Plano Enterprise |
|---|---|---|---|
| ChatGPT (OpenAI) | ✗ Sim, leem | ✗ Sim, leem | ✓ Não leem |
| Claude (Anthropic) | ✗ Sim, leem | ✗ Sim, leem | ✓ Não leem |
| Gemini (Google) | ✗ Sim, leem | ✗ Sim, leem | ✓ Não leem |
| NotebookLM (Google) | ⚠ Se der feedback | ⚠ Se der feedback | ✓ Não leem |
| Apolus.ai | ✓ Não leem | ✓ Não leem | ✓ Não leem |
Se um funcionário do ChatGPT lê um contrato seu, isso pode comprometer o cumprimento do dever de sigilo profissional do advogado (Art. 34, VII do Estatuto da OAB), uma vez que terceiros não autorizados tiveram acesso a informações confidenciais.
3. A ferramenta tem certificações de segurança?
A empresa passou por auditorias independentes que comprovam boas práticas de segurança?
| Certificação | O que comprova | ChatGPT B2C | Claude B2C | Gemini B2C | Apolus.ai |
|---|---|---|---|---|---|
| ISO 27001 | Gestão de segurança da informação | ✗* | ✗* | ✗* | ✓** |
| SOC 2 | Controles de segurança auditados | ✗* | ✗* | ✗* | ✓** |
| SOC 3 | Relatório público de segurança | ✗* | ✗* | ✗* | ✓** |
* As empresas (OpenAI, Anthropic, Google) possuem certificações corporativas, mas estas não se aplicam aos produtos B2C de forma que o usuário final possa invocar garantias contratuais. As certificações só são garantidas nos planos Enterprise.
** A Apolus.ai não possui certificações próprias. Essas garantias são herdadas do Google Cloud via CDPA (Seção 7.4). Veja a seção "De onde vêm as garantias" abaixo.
A Resolução CNJ 615/2025 considera a adoção de certificações ISO/IEC 27000 uma boa prática para uso de IA no Judiciário (Art. 31, IV). Embora não seja requisito obrigatório, demonstra diligência na escolha do fornecedor.
4. Quanto custa ter segurança enterprise?
Nas demais ferramentas, garantias de segurança enterprise só estão disponíveis nos planos mais caros — mesmo que existam planos individuais mais baratos, estes não incluem as garantias de segurança.
| Ferramenta | Planos disponíveis | Plano com segurança enterprise | Preço para ter segurança |
|---|---|---|---|
| ChatGPT | Free, Plus (~R$ 120), Pro (~R$ 1.200) | Enterprise | Sob consulta (mín. ~150 usuários) |
| Claude | Free, Pro (~R$ 120), Max (~R$ 600–1.200) | Enterprise | US$ 500 a 15.000+/mês |
| Gemini | Free, AI Pro (~R$ 120) | Workspace Enterprise | US$ 25+/usuário + negociação |
| Apolus.ai | Grátis, Essencial, Profissional | Todos os planos | R$ 0 (já incluso no gratuito) |
Preços aproximados em março de 2026. Valores podem variar conforme taxa de câmbio e políticas dos fornecedores.
5. A ferramenta atende às regulamentações brasileiras?
| Regulamentação | O que estabelece | ChatGPT B2C | Claude B2C | Gemini B2C | Apolus.ai |
|---|---|---|---|---|---|
| OAB 001/2024 | Avaliar se dados são usados para treinamento* | ⚠ Treina por padrão | ⚠ Treina por padrão | ⚠ Treina por padrão | ✓ Vedado contratualmente |
| OAB 001/2024 | Garantir sigilo profissional | ⚠ Revisão humana | ⚠ Revisão humana | ⚠ Revisão humana | ✓ Sem revisão humana |
| CNJ 615/2025 | Vedação de treinamento para ferramentas do Judiciário** | N/A | N/A | N/A | ✓ Vedado (CDPA) |
| CNJ 615/2025 | Certificações ISO (boa prática, Art. 31, IV) | ✗ | ✗ | ✗ | ✓ Via CDPA |
| LGPD Art. 33 | Cláusulas para transferência internacional | ✗ | ✗ | ✗ | ✓ BR SCCs |
| LGPD Art. 46 | Medidas de segurança | ⚠ | ⚠ | ⚠ | ✓ |
* A OAB 001/2024 recomenda que o advogado avalie se os dados são usados para treinamento. Não é uma "vedação" formal, mas uma diligência esperada na escolha do fornecedor.
** O Art. 19, §3º, III do CNJ 615/2025 veda o uso de dados para treinamento por ferramentas contratadas pelo Poder Judiciário. Essa vedação aplica-se a contratações do Judiciário, não a qualquer ferramenta usada por advogados.
O que falta mesmo nos planos Enterprise
Mesmo que você contrate ChatGPT Enterprise ou Claude Enterprise, você resolve apenas a questão de segurança de dados. Mas as normas deontológicas exigem mais do que isso.
O que a OAB e o CNJ estabelecem para uso de IA
| Tema | Norma | Descrição |
|---|---|---|
| Supervisão humana | OAB 001/2024 | A IA não pode substituir o julgamento profissional do advogado |
| Sigilo profissional | OAB 001/2024 | Avaliar segurança do fornecedor antes de inserir dados confidenciais |
| Consentimento do cliente | OAB 001/2024 | Informar previamente ao cliente sobre uso de IA |
| Caráter auxiliar | CNJ 615/2025, Art. 19 | IA como "apoio à decisão", vedada como instrumento autônomo |
| Responsabilidade humana | CNJ 615/2025, Art. 19 | Magistrado permanece responsável pelas decisões |
As normas estabelecem princípios gerais, não especificam quais ferramentas são adequadas. A conformidade depende de como cada ferramenta é utilizada e dos controles implementados pelo usuário.
Comparativo de funcionalidades
| Ferramenta | Segurança de dados | Metodologia jurídica integrada | Fontes com links para tribunais | Operações especializadas |
|---|---|---|---|---|
| ChatGPT Enterprise | ✓ Sim | — Não possui | — Não possui* | — Conversa genérica |
| Claude Enterprise | ✓ Sim | — Não possui | — Não possui* | — Conversa genérica |
| Gemini Enterprise | ✓ Sim | — Não possui | — Não possui* | — Conversa genérica |
| Apolus.ai | ✓ Sim (via CDPA) | ✓ Método RJE | ✓ Links para tribunais | ✓ PESQUISAR, ANALISAR, REDIGIR, EXTRAIR |
* Essas ferramentas podem citar jurisprudência, mas não possuem integração nativa com bases de dados de tribunais brasileiros. O usuário deve verificar as citações manualmente.
1. Segurança de dados — como a ferramenta trata seus dados (treinamento, acesso, retenção)
2. Adequação ao trabalho jurídico — se a ferramenta possui funcionalidades específicas para o Direito
Ferramentas Enterprise (ChatGPT, Claude, Gemini) resolvem o aspecto de segurança. A Apolus.ai foi projetada para atender ambos os aspectos.
O Problema do Opt-Out: Pagar mais não resolve
Opt-out significa que você precisa ir nas configurações e desativar o uso dos seus dados para treinamento. Se você não fizer isso, a ferramenta usa seus dados.
| Ferramenta | Plano | Preço | Treina por padrão? | Você precisa fazer algo? |
|---|---|---|---|---|
| ChatGPT Plus | Pago | ~R$ 120/mês | ✗ Sim | Ir em Settings → Data Controls → Desativar |
| ChatGPT Pro | Pago | ~R$ 1.200/mês | ✗ Sim | Ir em Settings → Data Controls → Desativar |
| Claude Pro | Pago | ~R$ 120/mês | ✗ Sim | Ir em Settings → Privacy → Desativar |
| Claude Max | Pago | ~R$ 600–1.200/mês | ✗ Sim | Ir em Settings → Privacy → Desativar |
| Apolus.ai | Todos | R$ 0 a R$ 170/mês | ✓ Não | Nada — proibido por contrato |
Por que isso é um problema para advogados?
- Você pode esquecer: E se não lembrar de ativar o opt-out?
- Novos funcionários: O estagiário sabe que precisa fazer isso?
- Mudanças de política: A Anthropic mudou em setembro de 2025 — quem não viu o aviso teve dados coletados.
- Não é garantia legal: "Configuração" não é "contrato".
ChatGPT/Claude (opt-out)
→ Você PAGA R$ 1.200/mês
→ Você PRECISA lembrar de desativar
→ Se esquecer, seus dados treinam a IA
→ Se a empresa mudar a política, você precisa reagir
Apolus.ai (vedação contratual)
→ Você paga R$ 0 a R$ 170/mês
→ Você NÃO precisa fazer nada
→ É PROIBIDO usar seus dados (CDPA Seção 17)
→ Se descumprirem, respondem na Justiça
O Conceito Chave: Controlador vs. Operador
ChatGPT, Claude, Gemini direto
A empresa é "dona" da relação. Ela pode usar seus dados para treinar, ter funcionários lendo, mudar as regras.
Apolus.ai
(controlador)
(operador, só obedece)
A Apolus é "dona" da relação. O Google só faz o que está no contrato. Se descumprir, responde na Justiça.
ChatGPT, Claude, Gemini (B2C): Você entrega seus documentos para a empresa processar. A empresa vê o conteúdo, pode usá-lo para melhorar seus produtos, e funcionários podem acessar para "controle de qualidade".
Apolus.ai: Funciona como um cofre equipado com bancada de ferramentas jurídicas. Nós fornecemos o cofre (infraestrutura de segurança, contratos, certificações) e a bancada (Método RJE, 4 operações especializadas, fontes auditáveis). Nós não sabemos e não acessamos o conteúdo.
De onde vêm as garantias da Apolus.ai?
A Apolus.ai não possui certificações próprias ISO 27001 ou SOC 2/3. Não somos uma empresa de infraestrutura de cloud — somos uma empresa de software jurídico.
O que a Apolus.ai possui diretamente
| O que é nosso | Descrição |
|---|---|
| Método RJE | Metodologia de raciocínio jurídico desenvolvida internamente |
| 4 Operações especializadas | PESQUISAR, ANALISAR, REDIGIR, EXTRAIR |
| Fontes auditáveis | Integração com tribunais e legislação |
| Contrato CDPA com Google | Acordo vinculante que nos permite invocar garantias enterprise |
| DPO designado | Emidio Trancoso Neto — privacidade@apolus.ai |
O que herdamos do Google Cloud via CDPA
| O que é herdado | Como funciona |
|---|---|
| ISO 27001, 27017, 27018 | O Google Cloud possui essas certificações. O CDPA (Seção 7.4) garante que elas se aplicam aos serviços que utilizamos. |
| SOC 2/3 | Idem — auditorias do Google Cloud cobertas pelo CDPA. |
| Vedação de treinamento | CDPA Seção 17 proíbe o Google de usar dados para treinar modelos. |
| Sem revisão humana | CDPA Seção 7.1.2 estabelece confidencialidade. |
| BR SCCs | Cláusulas contratuais aprovadas pela ANPD para transferência internacional. |
| Notificação de incidentes | CDPA Seção 7.2 obriga o Google a notificar sem demora. |
A Apolus.ai é como um escritório que aluga sala em um prédio comercial com certificação de segurança. O prédio (Google Cloud) tem certificações ISO, portaria 24h, cofre, etc. O locatário (Apolus.ai) não precisa construir um prédio próprio para ter essas garantias. O contrato de locação (CDPA) garante que o locatário pode invocar as certificações do prédio.
Nenhum escritório de advocacia constrói seu próprio data center. Todos usam infraestrutura de terceiros. A diferença é se essa relação está formalizada em contrato vinculante ou apenas em termos de uso genéricos.
Quem mais usa essa abordagem enterprise?
A Apolus.ai usa o mesmo tipo de infraestrutura enterprise (Google Cloud com CDPA) utilizada por:
Bancos
- Itaú Unibanco
- Bradesco
- Banco BV
- Santander
Hospitais
- Hospital Sírio Libanês
- Dasa
Governo
- Estado do Paraná (60.000+ contas)
- Receita Federal
- Serpro
- TJ Paraíba · TJ Ceará
Escritórios Internacionais
- Freshfields
- PwC
- KPMG Law
Nenhuma dessas organizações utiliza ferramentas B2C (ChatGPT, Gemini gratuito/pago) para dados sensíveis. Todas contratam Google Cloud com garantias enterprise.
Perguntas Frequentes
O ChatGPT Plus (~R$ 120/mês) é seguro para dados sigilosos?
Não para dados sigilosos. O plano Plus (e até o Pro de ~R$ 1.200/mês) ainda:
- Treina a IA com seus dados por padrão (opt-out existe, mas você precisa lembrar de ativar)
- Tem funcionários que podem ler conversas
- Não tem certificações ISO/SOC para você
- Não tem contrato vinculante de proteção de dados
O opt-out de treinamento é suficiente para proteger dados sigilosos?
Pontos positivos do opt-out: Impede uso dos dados para treinamento quando ativado.
Limitações:
- Não é contrato — é configuração que a empresa pode modificar nos termos de uso
- Algumas ferramentas mantêm revisão por funcionários mesmo com opt-out
- Configuração por conta: se esquecer em outro dispositivo, a proteção não se aplica
- Opt-out não confere certificações ISO/SOC — estas existem apenas em planos Enterprise
Alternativa: Contratos vinculantes (como CDPA) estabelecem obrigações legais, não apenas políticas configuráveis.
O NotebookLM é adequado para dados sigilosos?
Com ressalvas. O NotebookLM não utiliza dados para treinamento por padrão, porém:
- Se você der feedback, revisores humanos podem acessar o contexto
- Não possui certificações ISO/SOC aplicáveis ao uso B2C
- Não tem contrato vinculante (CDPA) — apenas termos de uso
- Para dados sob segredo de justiça, o CNJ 615/2025, Art. 19, §3º, IV veda ferramentas externas
Como a Apolus.ai consegue oferecer infraestrutura enterprise?
A Apolus.ai contrata o Google Cloud Platform (Vertex AI) sob os mesmos termos (CDPA) disponíveis para qualquer empresa. As garantias de segurança vêm do contrato com o Google, não de certificações próprias.
A diferença em relação a planos Enterprise de outras ferramentas (ChatGPT Enterprise, Claude Enterprise) está no modelo de negócio e público-alvo, não na infraestrutura subjacente.
Onde posso verificar essas informações?
- CDPA (contrato com Google): cloud.google.com/terms/data-processing-addendum
- BR SCCs: cloud.google.com/sccs/br-c2p
- Certificações Google Cloud: cloud.google.com/security/compliance
- Nossa Política de Privacidade: apolus.ai/privacidade
Histórico de Versões
Versão inicial do comparativo de segurança de ferramentas de IA para o Direito.