Política Interna de Uso de Inteligência Artificial
OKUMURA Sociedade de Advogados — vigência a partir da data de aprovação
Versão: 1.0 Data de elaboração: 10 de maio de 2026 Aprovação: Sócio-Administrador / Encarregado de Dados (DPO)
Esta Política estabelece as regras, controles e responsabilidades para o uso de ferramentas de Inteligência Artificial (IA) generativa pelos sócios, advogados associados, estagiários, colaboradores e terceiros que prestam serviços ao escritório OKUMURA Sociedade de Advogados, com a finalidade de assegurar o cumprimento da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD), do Estatuto da Advocacia e da Ordem dos Advogados do Brasil (Lei nº 8.906/1994), do Código de Ética e Disciplina da OAB, e da Constituição Federal no tocante ao sigilo profissional.
O uso de ferramentas de IA pelo escritório observará os seguintes princípios:
• Sigilo profissional: o segredo do cliente é dever absoluto e prevalece sobre qualquer ganho de produtividade obtido com IA.
• Minimização: insere-se no sistema de IA apenas a informação estritamente necessária à tarefa.
• Finalidade: o uso de IA deve ter propósito legítimo, específico e informado, vinculado à atividade advocatícia.
• Transparência: clientes serão informados, em contrato, sobre a utilização de ferramentas de IA na prestação de serviços.
• Responsabilidade: a revisão crítica humana de todo conteúdo produzido por IA é obrigatória, sem exceção.
• Segurança: dados de clientes só transitarão por ferramentas que ofereçam garantias contratuais e técnicas adequadas.
Para fins desta Política, as ferramentas de IA são classificadas em três níveis:
Ferramentas contratadas pelo escritório em planos comerciais (Team, Enterprise, API ou equivalentes), sob Data Processing Addendum (DPA), Standard Contractual Clauses (SCCs) ou figura jurídica equivalente, e que contratualmente não usam os dados para treinar modelos.
Ferramenta principal vigente: Microsoft 365 Copilot atrelada à licença Microsoft 365 Business, corporativo OKUMURA.
Outras ferramentas autorizadas: Claude Team (Anthropic), workspace corporativo OKUMURA, Deepl corporativo OKUMURA, aos usuários para os quais for concedido acesso.
Uso permitido: dados de clientes podem ser inseridos, desde que observada a regra de minimização e anonimadas (item 6) e as regras especiais para matérias sensíveis (item 7).
Ferramentas acessadas em planos gratuitos, planos pessoais (Free, Pro, Plus) ou contas individuais não contratadas pelo escritório, ainda que utilizadas em equipamento corporativo.
Exemplos: Claude Free/Pro/Max acessado fora do workspace corporativo, ChatGPT Free/Plus/Pro, Gemini, Copilot pessoal, Perplexity, Grok, DeepSeek, qualquer chatbot acessado sem login corporativo.
Uso permitido: apenas com informações públicas, anonimizadas ou de natureza estritamente acadêmica/conceitual.
Uso PROIBIDO: inserir nomes de clientes, contrapartes, números de processo, números de documentos (CPF, CNPJ, RG), valores de operações em curso, qualquer documento de cliente (contrato, petição, parecer, balanço), conversas com clientes, estratégias processuais ou negociais, informações cobertas por cláusula de confidencialidade.
Ferramentas que não foram avaliadas pelo escritório ou que apresentam risco contratual ou de compliance inaceitável.
Exemplos: ferramentas de origem desconhecida, ferramentas hospedadas em jurisdições sem base legal de transferência internacional adequada, ferramentas sem termos de uso publicados, plug-ins e extensões de IA não homologadas pelo TI do escritório.
Uso: vedado em qualquer hipótese.
1. O acesso é concedido individualmente, mediante login institucional, após assinatura do Termo de Ciência desta Política.
2. O compartilhamento de credenciais é vedado.
3. O acesso é registrado e auditável.
4. A configuração das contas corporativas será mantida pelo TI do escritório com a opção de uso de dados para treinamento desabilitada (quando aplicável), retenção mínima e Data Processing Addendum vigente.
5. Em caso de desligamento, o acesso é revogado no mesmo dia, e o histórico de conversas vinculadas ao login é preservado conforme política de retenção.
6. O uso de IA gratuita em equipamento corporativo é tolerado exclusivamente para finalidades acadêmicas, conceituais, de aprendizado pessoal e produtividade não vinculada a casos de clientes.
7. É vedado, sob qualquer hipótese, fazer login em ferramentas gratuitas com e-mail corporativo @okumura.* — salvo nas ferramentas Nível Verde.
8. É vedado instalar plug-ins, extensões de navegador ou aplicativos desktop de IA gratuita em equipamento corporativo sem prévia autorização do TI.
9. É vedado permitir que ferramentas gratuitas acessem caixas de e-mail corporativas, drives compartilhados, agendas ou qualquer fonte de dados profissionais.
10. Em caso de dúvida sobre a classificação de uma ferramenta, o colaborador deve consultar o DPO antes do uso.
Esta seção regula especificamente o acesso ao workspace corporativo da OKUMURA na plataforma Claude Team (Anthropic), e detalha os requisitos de provisionamento, gestão de domínios e ciclo de vida do usuário.
11. Primary Owner: titular único da conta, com poderes plenos de administração e configuração. Atribuído ao Sócio-Administrador ou pessoa por ele designada.
12. Owner: papel administrativo equivalente ao Primary Owner, exceto pela impossibilidade de transferir a titularidade. Recomenda-se manter ao menos um Owner adicional, para contingência.
13. Admin: gestão de membros, configurações e cobrança. Atribuído ao responsável de TI e ao DPO.
14. Member: usuário comum, sem poderes administrativos.
15. Em qualquer caso, é vedada a manutenção de papel administrativo em conta de pessoa em vias de desligamento, de estagiário ou de prestador externo.
O acesso ao workspace corporativo Claude Team observará a seguinte regra de domínios:
16. Regra geral: somente serão admitidos ao workspace usuários cujo e-mail pertença ao domínio corporativo principal da OKUMURA Sociedade de Advogados.
17. Exceção: poderão ser admitidos usuários com e-mail de domínio diverso (parceiro, of counsel, sociedade coligada) mediante autorização prévia, expressa e formal do Encarregado de Dados (DPO).
18. A autorização excepcional deverá conter: identificação do usuário externo, domínio a ser liberado, justificativa profissional, vínculo contratual com a OKUMURA (NDA assinado, contrato de parceria ou de prestação), prazo determinado de acesso e indicação do sócio responsável pela supervisão do uso.
19. O DPO manterá registro centralizado das autorizações excepcionais e revisará a lista de domínios permitidos no mínimo a cada 90 dias.
20. É vedada, em qualquer hipótese, a liberação de domínios pessoais (gmail.com, outlook.com, hotmail.com, yahoo.com, icloud.com, protonmail.com e similares) — restrição reforçada pela própria plataforma Anthropic, que não admite tais domínios na lista de permitidos.
A admissão de novo usuário ao workspace observará o procedimento operacional próprio (Procedimento de Onboarding e Offboarding) e, no mínimo:
21. Verificação prévia do vínculo do usuário com o escritório (contrato de trabalho, contrato de associação, contrato de estágio ou autorização excepcional do DPO).
22. Verificação do domínio do e-mail, conforme item 5-A.2.
23. Assinatura do Termo de Ciência desta Política antes do envio do convite.
24. Atribuição do papel mais restritivo compatível com a função.
25. Treinamento inicial sobre a regra de minimização (item 6) e sobre matérias com sigilo qualificado (item 7), antes do primeiro uso operacional.
26. É vedado o compartilhamento de credenciais. Cada usuário acessa o workspace exclusivamente com sua própria conta.
27. É vedada a vinculação, ao login do workspace, de contas pessoais de terceiros (Google pessoal, Microsoft pessoal) para fins de autenticação federada, salvo autorização do TI.
28. As conexões a fontes de dados externas (connectors do Claude — Google Drive, Microsoft 365, Slack, etc.) somente podem ser ativadas quando aprovadas pelo Comitê Gestor de IA, conforme item 11.
29. Mudanças de função, de área de atuação ou de status profissional devem ser comunicadas ao DPO em até 5 dias úteis, para revisão dos privilégios.
30. Auditoria periódica trimestral da lista de usuários ativos, conduzida pelo DPO em conjunto com o TI, com geração de relatório a ser arquivado.
31. A revogação de acesso ao workspace é obrigatória e deve ocorrer no mesmo dia útil do efetivo desligamento, suspensão de contrato ou término do prazo da autorização excepcional.
32. Em casos de desligamento por justa causa, ruptura conflituosa ou suspeita de incidente, a revogação será imediata, antes da comunicação formal ao usuário.
33. O usuário desligado terá oportunidade prévia, quando juridicamente cabível e tecnicamente viável, de exportar conversas pessoais não relacionadas a casos do escritório, com supervisão do DPO.
34. O histórico de conversas vinculado ao usuário desligado permanecerá disponível para os administradores, pelo prazo de retenção definido, para fins de auditoria e continuidade dos casos.
Quando, mediante autorização do DPO, for admitido ao workspace usuário com domínio externo, aplicam-se ainda as seguintes regras:
35. O usuário externo assinará Termo de Ciência específico, com cláusula expressa de confidencialidade e de submissão à Política Interna OKUMURA.
36. Será atribuído papel Member, sem qualquer privilégio administrativo.
37. O acesso será concedido por prazo determinado, com renovação expressa.
38. O sócio supervisor será corresponsável pelo cumprimento da Política por parte do usuário externo.
39. Em caso de término do projeto, parceria ou relação contratual subjacente, a revogação é imediata, independentemente do prazo de autorização originalmente concedido.
40. Sempre que o usuário externo trouxer dados de clientes próprios (não do escritório) ao workspace, fica obrigado a observar a regra de minimização e os limites de sigilo aplicáveis aos seus próprios clientes.
Antes de inserir qualquer informação em ferramenta de IA, o usuário deve aplicar o seguinte protocolo:
41. Pergunte-se: a tarefa pode ser executada com a tese jurídica, sem identificação das partes? Se sim, anonimize.
42. Substitua nomes de pessoas físicas por iniciais ou rótulos genéricos (ex.: "Cliente A", "Contraparte").
43. Substitua nomes de pessoas jurídicas por descrições funcionais (ex.: "Sociedade do setor de varejo de médio porte").
44. Remova CPF, CNPJ, RG, números de processo, números de conta bancária, endereços, e-mails e telefones.
45. Substitua valores específicos por faixas (ex.: "valor entre R$ 10 milhões e R$ 50 milhões") ou deixe-os não indicados.
46. Remova datas precisas.
47. Para documentos extensos, extraia e submeta apenas o trecho objeto da consulta.
Em determinadas matérias, mesmo a IA Corporativa Aprovada (Nível Verde) só pode ser utilizada com dados anonimizados, em razão da natureza especialmente sensível da informação:
• Matéria penal e processo penal.
• Contratos empresariais que não sejam públicos.
• Operações de M&A, joint ventures e reestruturações em qualquer fase.
• Arbitragem e mediação sob cláusula expressa de confidencialidade.
• Matéria tributária envolvendo planejamento, transações tributárias em curso, denúncia espontânea ou autuações sob sigilo fiscal.
• Operações sob sigilo bancário (LC nº 105/2001) ou sigilo fiscal (CTN, art. 198).
• Casos de família, sucessões e infância e juventude.
• Casos com cláusula contratual específica de não uso de IA, quando existir.
Todo conteúdo produzido por IA — petição, parecer, e-mail, minuta contratual, resumo, tradução, código — passa por revisão crítica de ao menos um advogado habilitado antes de ser entregue ao cliente, protocolado, enviado a terceiro ou publicado.
A revisão deve verificar, no mínimo:
• Acurácia jurídica: ausência de "alucinações", citações jurisprudenciais inexistentes, dispositivos legais incorretos ou revogados.
• Atualização: a base de conhecimento da IA pode estar defasada; legislação e jurisprudência precisam ser confirmadas em fontes oficiais.
• Adequação ao caso concreto: a resposta da IA não substitui análise contextualizada.
• Linguagem e estilo: aderência ao padrão da casa OKUMURA.
• Sigilo: a resposta não revela informação confidencial de outros casos.
É expressamente vedado:
• Apresentar conteúdo gerado por IA como autoral, em peças, pareceres ou qualquer comunicação, sem revisão substantiva humana.
• Atribuir a clientes ou terceiras declarações fabricadas por IA.
• Utilizar IA para gerar conteúdo enganoso, deepfakes, falsas autenticações ou simulações de comunicações de terceiros.
• Treinar modelos de IA externos com base de conhecimento do escritório, salvo autorização expressa do Comitê Gestor.
• Permitir que IA execute, em modo agente autônomo, ações com efeito jurídico (envio de e-mail a cliente, protocolo, transferência financeira, agendamento) sem confirmação humana prévia.
O escritório, na qualidade de controlador, tratará dados pessoais via ferramentas de IA observando:
48. Base legal adequada (LGPD, art. 7º ou 11), conforme o caso, registrada no ROPA.
49. Informação ao titular, por meio dos contratos de prestação de serviços e da Política de Privacidade publicada.
50. Existência de Data Processing Addendum vigente com o fornecedor da ferramenta.
51. Existência de Standard Contractual Clauses (SCCs) ou outra hipótese do art. 33 da LGPD para transferência internacional.
52. Garantias técnicas e contratuais de não utilização dos dados para treinamento de modelos.
A governança do uso de IA cabe ao Comitê Gestor de IA, formado pelo Sócio-Administrador, pelo DPO e pelo responsável de TI. Compete ao Comitê:
• Aprovar e revisar a lista de ferramentas Nível Verde.
• Avaliar pedidos de uso de novas ferramentas.
• Aprovar autorizações excepcionais de domínio externo (item 5-A.2).
• Coordenar a resposta a incidentes envolvendo IA.
• Revisar esta Política, no mínimo, anualmente, ou sempre que houver alteração relevante na legislação ou nos termos das ferramentas.
Vazamento ou suspeita de vazamento de informação confidencial via IA, inserção indevida de dados em ferramenta Nível Amarelo ou Vermelho, ou qualquer comportamento anômalo da ferramenta deve ser reportado imediatamente ao DPO, no prazo máximo de 24 horas. O DPO conduzirá a apuração e, sendo o caso, notificará a ANPD e os titulares afetados, nos termos do art. 48 da LGPD.
O descumprimento desta Política sujeita o infrator às medidas previstas no contrato de trabalho, no contrato de associação ou no estatuto societário, sem prejuízo da apuração de responsabilidade civil, criminal e ético-disciplinar perante a OAB. Em casos graves, o ato pode configurar quebra de sigilo profissional (Estatuto da Advocacia, art. 7º, II e XIX) e violação à LGPD, com responsabilização pessoal.
Esta Política entra em vigor na data de sua publicação e poderá ser alterada independentemente de notificação prévia, por meio de divulgação no site do OKUMURA
(www.okumurasa.com.br).
53. Versão 1.0 — 10/05/2026
contato@okumurasa.com.br
