Ato Normativo DPG nº 311, de 20 de agosto de 2025.
Dispõe sobre a ética, a transparência e a governança na produção e no uso de Inteligência Artificial no âmbito da Defensoria Pública do Estado de São Paulo.
A Defensora Pública-Geral do Estado de São Paulo, no uso de suas atribuições legais, conforme previsão contida no art. 19, incisos I e II da Lei Complementar Estadual nº 988, de 9 de janeiro de 2006:
CONSIDERANDO a necessidade de promover a inovação tecnológica no âmbito da Defensoria Pública do Estado de São Paulo, assegurando a proteção dos direitos fundamentais;
CONSIDERANDO o acelerado progresso das tecnologias de aprendizado de máquinas em Inteligência Artificial (IA), especialmente no desenvolvimento de algoritmos fundamentados em modelos linguísticos avançados, capazes de interpretar informações, interagir com usuários e fornecer soluções geradas de forma automatizada;
CONSIDERANDO o dever institucional da Defensoria Pública outorgado pela Constituição Federal, em especial pelo seu art. 134, e o seu compromisso com a inclusão social, a redução de desigualdades e a garantia do pleno acesso à justiça, valores que devem nortear a implementação de qualquer inovação tecnológica nos serviços de assistência jurídica;
CONSIDERANDO a necessidade de a Defensoria Pública do Estado de São Paulo evitar e minimizar riscos de vazamento de dados pessoais e sensíveis;
CONSIDERANDO que a Constituição Federal de 1988, em seu art. 5º, inciso LXXIX, estabelece que é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais;
CONSIDERANDO que a Constituição Federal, em seu artigo 5º, incisos X e XII, assegura a inviolabilidade da intimidade, da vida privada, da honra e da imagem das pessoas, bem como a proteção às comunicações de dados pessoais, garantindo a todos o direito à privacidade como fundamento do Estado Democrático de Direito;
CONSIDERANDO que o art. 37, caput da Constituição Federal consagra os princípios da legalidade, impessoalidade, moralidade, publicidade e eficiência, exigindo da administração pública medidas que assegurem a transparência e a proteção dos direitos fundamentais no tratamento de dados pessoais;
CONSIDERANDO que a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD), em seus arts. 1º e 2º, estabelece como fundamentos o respeito à privacidade, a autodeterminação informativa, a inviolabilidade da intimidade e o pleno desenvolvimento da personalidade, e dispõe, no art. 23, que órgãos públicos devem garantir a conformidade de suas atividades com as normas de proteção de dados pessoais;
CONSIDERANDO os riscos potenciais associados à adoção de sistemas de Inteligência Artificial generativa, incluindo possíveis ameaças à soberania nacional, à proteção cibernética, à privacidade e à segurança de informações pessoais, além da possibilidade de exacerbação de preconceitos e desigualdades sociais;
CONSIDERANDO a relevância de alinhar a adoção de tecnologias emergentes às legislações nacionais, como a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), bem como às melhores práticas internacionais em ética e governança no campo da Inteligência Artificial;
CONSIDERANDO que a Inteligência Artificial (IA), ao ser aplicada no âmbito de atuação da Defensoria Pública do Estado de São Paulo, pode contribuir com a agilidade e coerência do processo de tomada de decisão;
CONSIDERANDO que, no desenvolvimento e na implantação da Inteligência Artificial (IA), os órgãos de execução deverão observar sua estrita compatibilidade com os direitos fundamentais;
CONSIDERANDO que a Inteligência Artificial (IA) aplicada nos processos de tomada de decisão deve atender a critérios éticos de transparência, previsibilidade, rastreabilidade e auditoria, e garantia de revisão humana, compatibilidade com os princípios constitucionais e busca da justiça substancial;
CONSIDERANDO que, no seu processo de tratamento, os dados utilizados devem ser eficazmente protegidos contra riscos de destruição, modificação, extravio, acessos e transmissões não autorizadas;
CONSIDERANDO que o uso da Inteligência Artificial (IA) deve respeitar a privacidade dos/as usuários, cabendo-lhes ciência e controle sobre o uso de dados pessoais, nos termos da legislação aplicável;
CONSIDERANDO que a utilização da Inteligência Artificial (IA) deve se desenvolver com vistas à promoção da igualdade, da liberdade e da justiça, bem como para garantir e fomentar a dignidade e direitos humanos;
CONSIDERANDO a atual ausência, no Brasil, de normas específicas quanto à governança e aos parâmetros éticos para o desenvolvimento e uso da Inteligência Artificial (IA);
CONSIDERANDO a Resolução nº 615/2025 que regulamenta o uso de Inteligência Artificial (IA) no Poder Judiciário, editada pelo Conselho Nacional de Justiça (CNJ);
RESOLVE:
CAPÍTULO I – DAS DISPOSIÇÕES GERAIS
Art. 1º O conhecimento associado à Inteligência Artificial (IA) e a sua implementação estarão à disposição da promoção e a defesa, em todos os graus, judicial e extrajudicial, dos direitos individuais e coletivos, de forma integral e gratuita, aos necessitados, nos termos do inciso LXXIV do art. 5º da Constituição Federal.
Art. 2º A Inteligência Artificial, no âmbito da Defensoria Pública do Estado de São Paulo, visa, além do previsto no artigo 1º deste Ato, descobrir métodos e práticas que possibilitem a consecução desses objetivos.
Art. 3º Para os efeitos deste Ato, considera-se:
I – sistema de Inteligência Artificial (IA): conjunto computacional, projetado com diferentes níveis de autonomia, capaz de analisar dados e informações para atingir objetivos específicos, produzindo resultados como previsões, recomendações, conteúdos ou decisões que influenciem ambientes virtuais, físicos ou reais, com base em metodologias como aprendizado de máquina, por meio de um modelo cuja complexidade inviabiliza a análise de seu funcionamento;
II – ciclo de vida de um sistema de Inteligência Artificial: sequência de etapas que abrangem desde sua concepção, planejamento, desenvolvimento e treinamento, passando por validações, implementações, monitoramentos e ajustes, até sua eventual descontinuação;
III – desenvolvedor de sistemas de Inteligência Artificial: pessoa física ou jurídica, pública ou privada, responsável pela criação ou produção de sistema de Inteligência Artificial (IA), seja diretamente ou por encomenda, com finalidade específica de comercialização ou aplicação em serviços, sob sua marca ou nome, de forma onerosa ou gratuita;
IV – operador de sistema de Inteligência Artificial: indivíduo ou organização que utiliza ou emprega sistema de Inteligência Artificial (IA) em suas atividades profissionais ou institucionais, excetuando-se usos de caráter exclusivamente pessoal e não comercial;
V – agentes de Inteligência Artificial: termo que engloba tanto os desenvolvedores quanto os operadores de sistema de Inteligência Artificial (IA);
VI – usuário: qualquer pessoa que interaja com sistema de Inteligência Artificial (IA), seja como agente interno ou externo à Defensoria Pública do Estado de São Paulo, incluindo membros, servidores, colaboradores e pessoas atendidas pela Defensoria Pública do Estado de São Paulo;
VII – usuário interno: membros, servidores ou colaboradores da Defensoria Pública do Estado de São Paulo que atuam diretamente no desenvolvimento, gestão ou uso de sistema de Inteligência Artificial (IA) em suas atividades funcionais;
VIII – usuário externo: indivíduo ou entidade que, sem vínculo formal com a Defensoria Pública do Estado de São Paulo, mantém interação ou contato com os sistemas de Inteligência Artificial (IA), incluindo assistidos, advogados e demais interessados;
IX – Inteligência Artificial Generativa (IA Generativa): sistema de Inteligência Artificial (IA) projetado para criar ou modificar textos, imagens, músicas, vídeos e códigos, com diferentes graus de autonomia;
X – avaliação de impacto algorítmico: processo de análise sobre os impactos potenciais de um sistema de Inteligência Artificial (IA) nos direitos fundamentais, abrangendo medidas para prevenir ou mitigar riscos negativos e maximizar benefícios positivos;
XI – mineração de dados e textos: técnica de remoção e análise de grandes volumes de informações ou conteúdos textuais para identificar padrões e gerar insight úteis ao desenvolvimento ou aplicação de sistemas de Inteligência Artificial (IA);
XII – dados não estruturados: informações armazenadas em formatos que não possuem estrutura predefinida, como vídeos, imagens, áudios ou textos livres, cujo processamento exige técnicas específicas de análise e aprendizado de máquina;
XIII – transferência algorítmica: princípio que garante a disponibilização de informações sobre o funcionamento interno de sistemas de Inteligência Artificial (IA) permitindo a compreensão, supervisão e auditoria de suas decisões e processos automatizados;
XIV – explicabilidade: característica de sistema de Inteligência Artificial (IA) que permite traduzir de forma compreensível as razões pelas quais determinada decisão ou recomendação foi produzida, especialmente em contextos de alto impacto social;
XV – viés algorítmico: qualquer acidente ou tendência presente no funcionamento de um sistema de Inteligência Artificial (IA), decorrente de dados inadequados, escolhas de design ou comportamento emergente, capaz de gerar discriminação ou exclusão injustificada;
XVI – governança de Inteligência Artificial (IA): conjunto de políticas, práticas e estruturas de supervisão previstas a garantir o uso responsável, seguro e ético de sistema de Inteligência Artificial (IA), alinhado aos direitos fundamentais e às normas legais;
XVII – supervisão humana: processo de monitoramento e intervenção em sistema de Inteligência Artificial (IA) para garantir que suas decisões e operações sejam alinhadas aos objetivos e princípios estabelecidos pela Defensoria Pública;
XVIII – encarregado de dados: profissional responsável pela supervisão de sistema de Inteligência Artificial (IA) garantindo conformidade com as legislações vigentes, mitigando riscos relacionados à privacidade e dados pessoais, e promovendo transparência e responsabilidade ética;
XIX – dados sensíveis: consideram-se dados sensíveis as informações pessoais que revelam origem racial ou étnica, opiniões políticas, convicções religiosas, filiação sindical, sobre saúde, vida sexual, dados biométricos e genéticos, cuja proteção é essencial para garantir a privacidade, a dignidade e os direitos fundamentais dos indivíduos, nos termos da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018).
Art. 4º Os sistemas de Inteligência Artificial (IA) serão classificados de acordo com os graus de risco associados à sua operação, observando os seguintes níveis:
I – baixo risco: sistemas que oferecem suporte não decisivo às atividades humanas, sem impacto significativo nos direitos fundamentais dos usuários;
II – risco médio: sistemas que influenciam processos administrativos ou operacionais com impactos moderados em indivíduos ou grupos;
III – alto risco: sistema que afetam diretamente os direitos fundamentais, especialmente em contextos como saúde, segurança pública, assistência jurídica ou decisões automatizadas com impactos significativos;
IV – risco excessivo: sistemas cuja operação apresenta ameaças irreversíveis à dignidade humana, à privacidade, à igualdade e à proteção de dados.
CAPÍTULO II – DOS FUNDAMENTOS
Art. 5º O desenvolvimento, a governança, a auditoria, o monitoramento e o uso responsável de soluções de Inteligência Artificial (IA) na Defensoria Pública do Estado de São Paulo têm como fundamentos:
I – o respeito aos direitos humanos e aos valores democráticos;
II – a promoção do bem-estar dos usuários;
III – o desenvolvimento tecnológico e o estímulo à inovação no setor público, com ênfase na promoção dos direitos humanos;
IV – a centralidade da pessoa humana;
V – a participação e a supervisão humana em todas as etapas dos ciclos de desenvolvimento e de utilização das soluções que adotem técnicas de inteligência artificial, ressalvado o uso dessas tecnologias como ferramentas auxiliares para aumentar a eficiência e automação da prestação da assistência jurídica integral e gratuita;
VI – a promoção da igualdade, da pluralidade e da justiça substancial;
VII – a formulação de soluções seguras para os usuários internos e externos, com a identificação, a classificação, o monitoramento e a mitigação de riscos sistêmicos;
VIII – a proteção de dados pessoais, o acesso à informação e o respeito ao segredo de justiça;
IX – a curadoria dos dados usados no desenvolvimento e no aprimoramento de inteligência artificial, adotando fontes de dados seguras, rastreáveis e auditáveis, preferencialmente governamentais, permitida a contratação de fontes privadas, desde que atendam aos requisitos de segurança, finalidade pública e auditabilidade estabelecidos neste Ato;
X – a conscientização e a difusão do conhecimento sobre as soluções que adotam técnicas de Inteligência Artificial (IA), com capacitação contínua dos seus usuários sobre as suas aplicações, os seus mecanismos de funcionamento e os seus riscos;
XI – a garantia da segurança da informação e da segurança cibernética;
XII – a transparência dos relatórios de auditoria, de avaliação de impacto algorítmico e monitoramento.
CAPÍTULO III – DAS DIRETRIZES
Art. 6º A implantação e o uso de sistema de Inteligência Artificial (IA) na Defensoria Pública do Estado de São Paulo deverão estar alinhados aos seguintes princípios:
I – transparência: garantia de que o funcionamento dos sistemas de Inteligência Artificial (IA), seus critérios de decisão e limitações sejam compreensíveis aos usuários e supervisáveis pelas autoridades competentes;
II – proporcionalidade: garantia de que os sistemas de Inteligência Artificial (IA) sejam utilizados para os fins previstos neste Ato, sem ampliação indevida de sua aplicação;
III – não discriminação: adoção de medidas para identificar e mitigar vieses nos sistemas de Inteligência Artificial (IA) que possam resultar em discriminação ou exclusão injustificada;
IV – prestação de contas: implementação de mecanismo de responsabilidade e supervisão para os agentes envolvidos no desenvolvimento, operação e uso de Inteligência Artificial (IA), com responsabilização por danos causados a terceiros;
V – confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas;
VI – integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais;
VII – disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes, sempre que necessário;
VIII – autenticidade: garantia de que as informações sejam verídicas, pois, por meio da autenticação, é possível confirmar a identidade da pessoa ou entidade que presta a informação;
IX – não repúdio: garantia de que o autor do arquivo, mensagem e/ou documento não irá negar qualquer ação a eles relacionadas, desde sua criação, quanto à alteração, deleção ou assinatura;
X – centralidade da pessoa humana: a participação e a supervisão humana são necessárias para a garantia da atribuição da responsabilidade ética e legal em qualquer fase do ciclo de vida dos sistemas de Inteligência Artificial (IA), devendo os resultados gerados por meio da mediação tecnológica ser sempre revisados e editados por humanos, garantindo a originalidade e a precisão do conteúdo;
XI – privacidade: refere-se ao uso proporcional dos dados pessoais com a finalidade para a qual devam ser coletados, sendo uma forma de responsabilidade proativa relacionada à etapa anterior à coleta dos dados, antes de começar seu tratamento.
Art. 7º Todos os sistemas de Inteligência Artificial (IA) deverão ser submetidos a testes de validações prévias com o objetivo de:
I – verificar sua conformidade com os direitos fundamentais e a legislação aplicável, especialmente a Lei Geral de Proteção de Dados (LGPD);
II – avaliar a precisão, robustez e confiabilidade de seus algoritmos em diferentes contextos de uso;
III – identificar possíveis riscos de segurança, privacidade ou impacto social adverso, inclusive vieses algorítmicos;
IV – revisar continuamente os sistemas, promovendo seu aperfeiçoamento com base em evidências e considerações dos usuários.
V – garantir que os sistemas estejam em perfeita consonância com os ditames constitucionais e legais que regem a Defensoria Pública, bem como respeitem os direitos humanos, sem quaisquer vieses discriminatórios.
Art. 8º A Defensoria Pública do Estado de São Paulo deverá priorizar a implementação de boas práticas no uso de Inteligência Artificial (IA), tais como:
I – realizar treinamento contínuo dos membros, servidores e colaboradores para uso ético e seguro das tecnologias de Inteligência Artificial (IA);
II – garantir, sempre que houver dados pessoais sensíveis utilizados, que estes sejam tratados em conformidade ao disposto no art. 13, inciso II deste Ato, sem desvios de finalidade;
III – publicar relatórios anuais sobre o desempenho, riscos e benefícios dos sistemas de Inteligência Artificial (IA) em uso, garantindo a transparência e o controle social;
IV – proibir o uso de endereços de e-mail e de números de telefone institucionais para criar contas nas plataformas externas de Inteligência Artificial Generativa (IA Generativa) que não tenham sido autorizadas pela instituição, a fim de evitar o estabelecimento de vínculo entre o uso pessoal dessas plataformas e a relação de trabalho no órgão, ressalvadas as hipóteses previstas nos §§ 1º e 2º deste artigo;
V – utilizar apenas dados públicos ou previamente anonimizados ao empregar plataformas externas de Inteligência Artificial Generativa (IA Generativa), assegurada a conformidade com as normas internas e a legislação aplicável;
VI – vedar a inserção de dados pessoais (gerais e sensíveis), protegidos por sigilo judicial, funcional, bem como de qualquer informação confidencial ou interna do órgão em plataformas externas de Inteligência Artificial Generativa (IA Generativa) não autorizadas pela instituição;
VII – reportar o uso corporativo e continuado de plataformas externas de Inteligência Artificial Generativa (IA Generativa) à Coordenadoria de Tecnologia da Informação, para que esta mantenha um registro de tal uso para fins de governança.
§1º Independentemente da existência de solução institucional de Inteligência Artificial Generativa (IA Generativa), será facultado aos membros e servidores da Defensoria Pública do Estado de São Paulo contratar, individualmente, ferramentas de Inteligência Artificial Generativa (IA Generativa) externas, inclusive mediante assinatura privada, desde que:
I – sejam utilizadas exclusivamente como apoio técnico às atividades funcionais, com revisão humana obrigatória dos resultados produzidos;
II – seja vedado o uso para processar, analisar ou gerar conteúdo a partir de dados sigilosos ou protegidos, salvo se integralmente anonimizados, sendo de responsabilidade do usuário as consequências legais do vazamento;
III – a ferramenta contratada esteja em conformidade com a legislação brasileira de proteção de dados, propriedade intelectual e segurança da informação;
IV – o agente observe as orientações sobre boas práticas, riscos e limites do uso de Inteligência Artificial (IA);
V – a contratação e o uso sejam comunicados à Coordenadoria de Tecnologia da Informação e à Controladoria-Geral da Defensoria Pública do Estado de São Paulo, com indicação da ferramenta, finalidade e precauções adotadas;
VI – a ferramenta conste de Ato conjunto da Coordenadoria de Tecnologia da Informação e da Controladoria-Geral da Defensoria Pública do Estado de São Paulo, que indicará periodicamente as soluções recomendadas para uso funcional.
§2º A Coordenadoria de Tecnologia da Informação e a Controladoria-Geral da Defensoria Pública do Estado de São Paulo deverão publicar, periodicamente, Ato conjunto próprio indicando as ferramentas de Inteligência Artificial Generativa (IA Generativa) externas autorizadas para uso institucional no exercício das atribuições funcionais, com base em critérios de segurança, confiabilidade, transparência e aderência à legislação nacional e a este Ato.
Art. 9º A introdução de sistemas de Inteligência Artificial (IA) na Defensoria Pública do Estado de São Paulo deve considerar as seguintes diretrizes operacionais:
I – definir claramente os limites de autonomia das decisões inteligentes, preservado o direito à revisão humana em casos que impactem os direitos fundamentais dos assistidos;
II – implementar políticas internas de governança para monitoramento contínuo do ciclo de vida dos sistemas de Inteligência Artificial (IA) abrangendo todas as etapas desde a concepção até a descontinuidade;
III – estabelecer um canal de comunicação acessível para recebimento de denúncias, reclamações ou dúvidas relacionadas ao uso de Inteligência Artificial (IA);
IV – manter a responsabilidade plena e exclusiva do autor sobre o resultado produzido em todos os documentos criados com o uso da Inteligência Artificial Generativa (IA Generativa);
V – submeter à revisão humana todo documento produzido por Inteligência Artificial Generativa (IA Generativa).
CAPÍTULO IV – DAS BOAS PRÁTICAS E PRESTAÇÃO DE CONTAS
Art. 10 Os sistemas de Inteligência Artificial (IA) utilizados na Defensoria Pública do Estado de São Paulo devem ser desenvolvidos e oferecidos de maneira transparente, de forma que os usuários possam compreender de maneiras acessíveis como suas decisões são tomadas.
Art. 11 Os usuários internos, como membros, servidores e colaboradores, devem atuar com responsabilidade e diligência ao utilizar sistemas de Inteligência Artificial (IA), cujas melhores práticas incluem:
I – uso consciente da tecnologia: certificar-se de que o uso de Inteligência Artificial (IA) seja alinhado com a missão constitucional, as diretrizes e princípios éticos da Defensoria Pública, respeitando os direitos fundamentais e a privacidade;
II – treinamento contínuo: participar de programas de capacitação sobre o uso de Inteligência Artificial (IA), suas implicações éticas e legais, garantindo que o uso esteja sempre conforme as regulamentações vigentes;
III – gestão transparente dos dados: garantir que todos os dados tratados em sistema de Inteligência Artificial (IA) sejam gerenciados de forma transparente, protegendo a confidencialidade e o direito à privacidade;
IV – validação do conteúdo gerado: o usuário deve ter certeza de que conhece o tema submetido à plataforma de Inteligência Artificial Generativa (IA Generativa) para que seja capaz de identificar eventuais alucinações ou incorreções produzidas;
V – zelo pelo princípio da privacidade: os responsáveis pelos dados devem adotar medidas de privacidade e segurança reforçadas, que sejam proporcionais à sensibilidade dos dados e à sua capacidade de prejudicar os seus titulares, visando garantir a proteção das informações e dos dados pessoais, em conformidade com legislações vigentes;
VI – letramento em Inteligência Artificial (IA): essencial para que agentes públicos usem essa tecnologia de forma ética e estratégica, promovendo a democratização do conhecimento sobre Inteligência Artificial (IA) e suas aplicações no setor público, independente da formação prévia dos participantes.
Art. 12 Os usuários internos devem estar atentos aos riscos e aos vieses potenciais presentes nos sistemas de Inteligência Artificial (IA), observando:
I – monitoramento contínuo de resultados: realizar monitoramento constante das decisões automatizadas, garantindo que os sistemas operem de forma justa e sem discriminação;
II – correções de visões: identificar e corrigir possíveis visões algorítmicas que possam resultar em discriminação ou impactos negativos para grupos específicos.
Art. 13 Os usuários internos devem adotar medidas para proteger seus dados pessoais na interação com sistemas de Inteligência Artificial Generativa (IA Generativa), incluindo:
I – limitar a quantidade de informações pessoais compartilhadas diretamente nas instruções inseridas nos sistemas de Inteligência Artificial (IA) – prompts –, evitando fornecer dados sensíveis ou confidenciais;
II – utilizar configurações de privacidade oferecidas pelas plataformas para controlar como seus dados são tratados;
III – verificar a confiabilidade e a política de privacidade do desenvolvedor do sistema antes de utilizá-lo.
Art. 14 Durante o uso de sistemas de Inteligência Artificial Generativa (IA Generativa), os usuários internos devem observar boas práticas relacionadas ao compartilhamento de dados pessoais, tais como:
I – garantir que terceiros não compartilhem informações pessoais sem o devido consentimento, especialmente em ambientes públicos ou colaborativos;
II – evitar transferir dados gerados pela interação com Inteligência Artificial (IA) para sistemas não autorizados ou inseguros.
Art. 15 Para prevenir o uso indevido de dados pessoais em sistemas de Inteligência Artificial Generativa (IA Generativa), os usuários devem:
I – exigir, sempre que possível, a exclusão de dados pessoais após o término de sua interação com o sistema;
II – manter-se informados sobre as melhores práticas de proteção de dados e sobre os direitos garantidos pela Lei Geral de Proteção de Dados (LGPD).
Art. 16 Qualquer solução computacional utilizada pela Defensoria Pública do Estado de São Paulo que se valer de modelos de Inteligência Artificial Generativa (IA Generativa) deverá assegurar total transparência na prestação de contas, com o fim de garantir o impacto positivo para os usuários finais e para a sociedade.
Parágrafo único. A prestação de contas, no mínimo, compreenderá:
I – os nomes dos responsáveis pela execução das ações e pela prestação de contas;
II – os custos envolvidos na pesquisa, desenvolvimento, implantação, comunicação e treinamento;
III – a existência de ações de colaboração e cooperação entre os agentes do setor público ou desses com a iniciativa privada ou a sociedade civil;
IV – os resultados pretendidos e os que foram efetivamente alcançados;
V – a demonstração de efetiva publicidade quanto à natureza do serviço oferecido, técnicas utilizadas, desempenho do sistema e riscos de erros;
VI – a publicação, em portal acessível ao público, dos relatórios de impacto, desempenho e avaliação de riscos dos sistemas de Inteligência Artificial (IA), garantindo transparência e controle social, ressalvadas informações protegidas por sigilo legal.
CAPÍTULO V – DOS RISCOS, GOVERNANÇA E AUDITORIA
Art. 17 Para a implementação segura e ética dos sistemas de Inteligência Artificial (IA) na Defensoria Pública do Estado de São Paulo, os sistemas de Inteligência Artificial Generativa (IA Generativa) deverão ser classificados em categorias de risco, com base em sua natureza e impacto potencial sobre os direitos fundamentais dos usuários, conforme elencado no art. 4º deste Ato.
Art. 18 A Defensoria Pública do Estado de São Paulo deverá realizar avaliações de impacto algorítmico para os sistemas classificados como de risco médio, alto ou excessivo, de acordo com as categorias de riscos dispostas no art. 4º deste Ato.
Art. 19 Para os sistemas classificados com alto risco ou risco excessivos, a Defensoria Pública do Estado de São Paulo deverá adotar as seguintes obrigações adicionais:
I – mecanismo de contestação: garantir que os indivíduos afetados por decisões automatizadas possam contestar essas decisões de forma eficaz e sem custos;
II – avaliação de impacto: quando um sistema de Inteligência Artificial (IA) for classificado como de alto risco, deverá ser realizada a avaliação de impacto algorítmico por profissionais com conhecimentos técnicos, científicos, regulatórios e jurídicos.
Art. 20 Qualquer modelo de Inteligência Artificial (IA) que venha a ser adotado na Defensoria Pública do Estado de São Paulo deverá observar as regras de governança de dados aplicáveis aos seus próprios sistemas computacionais, a Lei Geral de Proteção de Dados Pessoais, a Lei de Acesso à Informação, a propriedade intelectual e o segredo de justiça.
§1º A conformidade com essas regras deverá ser assegurada contratualmente, garantida por meio de monitoramento contínuo e eventual auditoria, com foco na proteção de dados, na propriedade intelectual e na transparência dos modelos de Inteligência Artificial (IA) adotados.
§2º A governança das soluções de Inteligência Artificial (IA) deverá respeitar a autonomia da Defensoria Pública, permitindo o desenvolvimento e a implementação de soluções inovadoras, ajustando-se aos contextos específicos de cada área de atuação, desde que observados os padrões de auditoria, monitoramento e transparência definidos por este Ato.
§3º O uso dos modelos de Inteligência Artificial (IA) na Defensoria Pública do Estado de São Paulo deverá ser acompanhado de relatórios periódicos que comprovem a conformidade com as diretrizes de governança de dados, em particular os sensíveis, a transparência e a proteção à propriedade intelectual.
§4º Os modelos de Inteligência Artificial (IA) adotados deverão possuir mecanismos de explicabilidade, sempre que tecnicamente possível, de modo que suas decisões e operações sejam compreensíveis e auditáveis pelos operadores do sistema.
§5º Findo o ciclo de vida do sistema de Inteligência Artificial (IA), todos os dados pessoais tratados deverão ser eliminados, exceto aqueles necessários para cumprimento de obrigação legal, regulatória ou exercício regular de direitos, nos termos da Lei Geral de Proteção de Dados (Lei nº 13.709/2018).
Art. 21 O Encarregado de Dados deverá ser consultado acerca da conformidade dos sistemas de Inteligência Artificial (IA) com os princípios de proteção de dados desde a concepção até a descontinuação do sistema, garantindo a observância das práticas de privacidade por design e privacidade por padrão.
CAPÍTULO VI – DA CONTRATAÇÃO INDIVIDUAL DE SISTEMAS DE INTELIGÊNCIA ARTIFICIAL
Art. 22 É permitida a contratação de sistemas de Inteligência Artificial (IA) por membros, servidores ou órgãos da Defensoria Pública do Estado de São Paulo, desde que observadas as seguintes condições:
I – a contratação deve ser comunicada à Coordenadoria de Tecnologia da Informação e ao Encarregado de Dados, que avaliarão sua conformidade com este Ato e com a legislação vigente;
II – o sistema deverá atender integralmente aos princípios e diretrizes deste Ato, especialmente no que se refere à privacidade, proteção de dados pessoais, segurança da informação, explicabilidade, auditabilidade e supervisão humana;
III – a contratação deverá incluir regras que garantam a conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), a Lei de Acesso à Informação (Lei nº 12.527/2011) e demais normas aplicáveis;
IV – o contratante deverá assegurar que o fornecedor disponibilize informações suficientes para avaliação de impacto algorítmico e mitigação de riscos, bem como garantir a rastreabilidade e o controle do ciclo de vida do sistema.
Parágrafo único. Fica vedada a utilização de sistemas classificados como de risco excessivo, nos termos deste Ato.
Art. 23 As contratações previstas neste capítulo não afastam a responsabilidade do usuário interno pela validação dos conteúdos, supervisão dos resultados gerados e zelo pelo cumprimento dos princípios institucionais da Defensoria Pública.
CAPÍTULO VII – DAS DISPOSIÇÕES FINAIS
Art. 24 A Administração Superior da Defensoria Pública do Estado de São Paulo poderá realizar cooperação técnica com outras instituições, públicas ou privadas, ou sociedade civil, para o desenvolvimento colaborativo de modelos de Inteligência Artificial (IA), observadas as disposições contidas neste Ato, bem como a proteção dos dados que venham a ser utilizados.
§1º A cooperação técnica deve incluir a elaboração de acordos que especifiquem as responsabilidades de cada parte no que diz respeito à proteção de dados e à confidencialidade das informações compartilhadas.
§2º As instituições parceiras devem garantir que os dados utilizados na colaboração atendam aos requisitos da Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e demais legislações pertinentes.
§3º Para a efetivação da cooperação técnica a que alude este artigo, a Defensoria Pública-Geral do Estado de São Paulo deverá ser previamente ouvida, a quem caberá decidir pela conveniência e oportunidade da parceria pretendida.
Art. 25 As normas previstas neste Ato não excluem a aplicação de outras integrantes do ordenamento jurídico pátrio, inclusive por incorporação de tratado ou convenção internacional de que a República Federativa do Brasil seja parte.
CAPÍTULO VIII – CONTROLE DAS REVISÕES
Art. 26 A revisão desta Política será realizada a cada 2 (dois) anos, em conformidade com as melhores práticas globais de uso de Inteligência Artificial (IA).
CAPÍTULO IX – DA ENTRADA EM VIGOR
Art. 27 Este Ato revoga o Ato normativo DPG nº 266/2024 e entra em vigor na data de sua publicação.