Uma ação popular apresentada em San Diego descreve o mecanismo técnico pelo qual conversas com chatbots de IA podem chegar à Meta e à Google. Qual a leitura sob a legislação europeia e para os Advogados portugueses?
A 13 de maio de 2026, foi apresentada no United States District Court for the Southern District of California uma class action (ação poular, como se diria em Portugal) contra a OpenAI Global, LLC.
O processo — — é movido pelo escritório Bursor & Fisher, P.A. em nome de Amargo Couture, uma mulher californiana, e de um universo proposto que abrange todos os residentes nos Estados Unidos que tenham acedido a chatgpt.com.
A tem 36 páginas e enumera quatro causas de pedir: violação do Electronic Communications Privacy Act (ECPA, 18 U.S.C. § 2511 et seq.); violação do California Invasion of Privacy Act (CIPA) na sua Secção 631; violação do CIPA na sua Secção 632; e invasion of privacy ao abrigo do artigo I, § 1 da Constituição da Califórnia e do common law do mesmo Estado, nesta última vertente como teoria autónoma de intrusion upon seclusion.
Os pedidos indemnizatórios são elevados: 10.000 dólares por violação, ou 100 dólares por dia, ao abrigo do ECPA; e, ao abrigo do CIPA, o maior valor entre 5.000 dólares por violação ou o triplo dos danos efetivamente sofridos.
Para sustentar a jurisdição federal, a petição invoca o Class Action Fairness Act (28 U.S.C. § 1332(d)(2)(A)), o que pressupõe um valor agregado da causa superior a 5 milhões de dólares.
Vale a pena anotar o que a queixa alega, com o devido cuidado, porque é aqui que reside o interesse para o leitor jurídico português.
A OpenAI ainda não respondeu publicamente a estas alegações e ainda não contestou a açao, e nada disto está, nesta fase, provado em tribunal, como é óbvio.
Mas a descrição técnica é suficientemente concreta para merecer leitura.
O que a petição descreve
Segundo a petição inicial, a OpenAI integrou o código do ChatGPT com duas tecnologias de rastreamento de terceiros: o Facebook Pixel da Meta e o Google Analytics da Google.
Ambas, alega-se, operaram como mecanismos de interceção em tempo real, capturando o conteúdo dos prompts dos utilizadores e remetendo-o, juntamente com identificadores pessoais, para servidores da Meta e da Google, enquanto os utilizadores presumiam estar a comunicar privada e exclusivamente com o chatbot da OpenAI.
O detalhe técnico é relecante.
A petição identifica, do lado da Meta, os identificadores c_user, fr e _fbp, cookies que, em utilizadores com sessão ativa ou recente no Facebook, permitem associar a atividade no ChatGPT a um perfil concreto.
A petição é explícita sobre a natureza deste identificador: o Facebook ID contido no cookie c_user é, segundo a queixa, um “unique and persistent identifier” (um identificador único e persistente) que permite a “any ordinary person […] look up the user’s Facebook profile and name” (isto é, a qualquer utilizador comum procurar o perfil e o nome do utilizador no Facebook) (§ 34).
Ou seja: não se trata apenas de um token opaco utilizável internamente pela Meta; trata-se, segundo a própria alegação, de um identificador utilizável por terceiros para obter um nome próprio.
Do lado da Google, a petição descreve a transmissão de user-provided data, identificadores persistentes, device IDs, sinais Google e outros elementos técnicos aptos a associar a atividade a uma conta ou perfil Google.
A petição também chama a atenção para o uso de dados fornecidos pelo utilizador em formato hashed e para o papel do Google Signals no cruzamento de atividade entre dispositivos para efeitos analíticos e publicitários.
Sobre a alegada anonimização por hashing, a queixa antecipa o argumento da defesa e cita posições recentes da Federal Trade Commission, segundo as quais o uso de hashes é sobrevalorizado como técnica de anonimização e que esses aches, ainda assim, permitem identificr utilizadores (“hashing is vastly overrated as an ‘anonymization’ technique” ; “hashes aren’t ‘anonymous’ and can still be used to identify users” (§ 47)).
Este ponto interessa em sede europeia: a posição da FTC alinha-se com o entendimento, solidificado na doutrina e na prática do Comité Europeu para a Proteção de Dados, de que dados pseudonimizados continuam a ser dados pessoais sujeitos ao RGPD.
A consequência operacional descrita é a de que um utilizador que tenha o seu browser aberto com sessão iniciada no Facebook e na Google, e que entretanto utilize o ChatGPT, pode estar a alimentar, em paralelo, duas infraestruturas publicitárias com aquilo que escreve.
A petição sustenta ainda que o conjunto de código, browsers, dispositivos e servidores utilizados por Meta e Google se enquadra no conceito amplo de máquina, instrumento ou dispositivo (“machine, instrument, contrivance, or in any other manner”) da Secção 631 do CIPA; e que, para efeitos da Secção 632, a tecnologia de tracking funciona como dispositivo eletrónico de gravação ou amplificação “electronic amplifying or recording device” usado para intercetar ou registar comunicações confidenciais sem o consentimento de todas as partes envolvidas.
A própria petição reconhece, sem rodeios, a natureza do material em causa: descreve as conversas dos utilizadores como envolvendo “sensitive personal, financial, medical, and other information” (informações sensíveis de natureza pessoal, financeira, médica e outras) (§ 118) e cita um estudo da Cyberhaven (fevereiro de 2023) segundo o qual “the average company leaks confidential material to ChatGPT hundreds of times per week” (a empresa média expõe material confidencial ao ChatGPT centenas de vezes por semana) (§ 2).
Trata-se de uma descrição de tratamento, em escala, de informação sensível.
E o caso pode não ser isolado.
Em finais de março de 2026, foi apresentada uma , alegando que a empresa incorporara nos seus serviços trackers como o Meta Pixel, Google Ads e Google DoubleClick, capazes de encaminhar para Meta e Google o conteúdo das conversas dos utilizadores com o chatbot.
Meses antes, em outubro de 2025, a Meta que passaria a utilizar dados das interações dos utilizadores com os seus produtos de IA para personalizar publicidade, com efeitos a partir de 16 de dezembro de 2025.
No início de 2026, a OpenAI comunicou, por seu turno, o para determinados utilizadores, indicando que os anúncios seriam exibidos com base nas conversas, ainda que sem partilha dos dados dessas conversas com os anunciantes.
O caso Couture v. OpenAI surge, assim, como o segundo grande episódio público de litigância a alegar o encaminhamento de conteúdos de conversação com sistemas de IA para infraestruturas de publicidade de terceiros em pouco mais de um ano, e o primeiro a documentar em peça processual, com detalhe técnico, o uso de cookies identificados nominalmente e de capturas de ecrã para ilustrar o mecanismo.
Saiamos dos Estados Unidos: o que isto seria em Portugal
A tentação é descrever o caso apneas como uma questão de direito californiano sobre interceção de comunicações.
Mas é (bem) mais do que isso. Em Portugal, e em qualquer Estado-Membro da União Europeia, o mecanismo técnico descrito na petição da ação popular colide ab initio com o quadro legal aplicável. Vejamos.
O artigo 5.º da Lei n.º 41/2004, de 18 de agosto, que transpõe a Diretiva 2002/58/CE (ePrivacy) e foi alterada pela Lei n.º 46/2012, de 29 de agosto, exige consentimento prévio e informado para o armazenamento de informações ou para o acesso à informação armazenada no equipamento terminal do utilizador.
A redação é clara: o consentimento tem de ser obtido antes do disparo de qualquer cookie não estritamente necessário.
Cookies publicitários e de tracking de terceiros, categoria em que o Facebook Pixel e o Google Analytics inequivocamente se inserem, não são estritamente necessários ao funcionamento do serviço.
A CNPD tem, desde 2022, vindo a consolidar este entendimento. Em abril desse ano, declarações públicas da sua presidente — amplamente difundidas na imprensa — já apontavam que a , sem medidas adicionais que mitigassem o risco das transferências de dados para os Estados Unidos, configura .
O entendimento alinha-se com a jurisprudência Schrems II do TJUE (acórdão de 16 de julho de 2020, proc. C-311/18) sobre transferências transatlânticas.
E acrescenta-se, como nível suplementar, o RGPD: artigo 6.º, n.º 1, quanto à licitude do tratamento; artigo 7.º, quanto às condições de validade do consentimento (livre, específico, informado e inequívoco); artigo 13.º, quanto aos deveres de transparência; e — aqui o ponto que mais importa — artigo 9.º, quanto às categorias especiais de dados.
Porque é precisamente a este nível que o caso ChatGPT se distingue, em gravidade, de um e-commerce qualquer com um Meta Pixel mal configurado.
As pessoas não pedem ao chatgpt.com que lhes recomende sapatilhas. Como a própria petição Couture descreve, e como qualquer pessoa que use o serviço sabe, os utilizadores escrevem ao ChatGPT sobre depressão, dívidas, problemas conjugais, sintomas médicos, problemas legais e receios profissionais.
O conteúdo ou tema das conversas, ainda que agregado e ainda que alegadamente “anonimizado”, constitui frequentemente dado pessoal sensível na aceção do artigo 9.º, n.º 1, do RGPD.
E o consentimento exigido para o tratamento desses dados é, nos termos do artigo 9.º, n.º 2, alínea a), um consentimento explícito e jamais o que se obtém por aceitação tácita de um banner genérico de cookies.
Acresce que, como já se viu, a petição antecipa e desmonta o argumento da anonimização por hashing. Em sede europeia, o argumento é ainda mais frágil: o Considerando 26 e o artigo 4.º, n.º 5, do RGPD são claros quanto a dados pseudonimizados continuarem a ser dados pessoais. E o FID descrito no § 34 da petição, utilizável por qualquer pessoa para chegar a um nome, nem sequer requer essa discussão. É, em sentido próprio, um identificador direto.
Em termos práticos: o mesmo facto técnico que sustenta Couture em San Diego, transposto para Portugal, seria objeto de queixa à CNPD com fundamento simultâneo no artigo 5.º da Lei n.º 41/2004 e nos artigos 6.º, 7.º, 9.º e 13.º do RGPD. As coimas previstas no RGPD chegam aos 20 milhões de euros ou a 4% do volume de negócios anual mundial, aplicando-se o valor mais elevado.
O prisma final: o art. 92.º do EOA
Tudo o que se disse até aqui é, de algum modo, o terreno previsível: a análise sob a lupa do RGPD.
Há, contudo, um prisma que torna o caso Couture particularmente relevante para a os Advogados.
O artigo 92.º, n.º 1, do Estatuto da Ordem dos Advogados (Lei n.º 145/2015, de 9 de setembro) determina que “o advogado é obrigado a guardar segredo profissional no que respeita a todos os factos cujo conhecimento lhe advenha do exercício das suas funções ou da prestação dos seus serviços”.
O preceito não distingue entre revelação voluntária e revelação por descuido.
E o n.º 7 do preceito estende autonomamente o dever aos funcionários do advogado e a qualquer outra pessoa que com ele colabore no exercício da profissão.
A pergunta deontológica que decorre do processo Couture é, portanto, a seguinte: se ficar provado (e mesmo que apenas se torne plausível, pelos detalhes técnicos da petição) que a interface web do ChatGPT transmite tópicos de conversa a terceiros, acompanhados de identificadores que permitem ligá-los à pessoa física do utilizador, pode um advogado português continuar a colar minutas, factos, nomes, números, estratégias ou análises de clientes no ChatGPT.com sem incorrer em violação do artigo 92.º do EOA?
O argumento de que o utilizador não pretendia revelar nada não colhe.
O dever de segredo não contém essa cláusula de ressalva.
O argumento de que se trata apenas de “tópicos” e não da conversa integral também não colhe, porque um tópico identificável — “falência da sociedade X”, “divórcio do cliente Y” — é frequentemente suficiente para identificar matéria-prima do dossiê e, portanto, para sustentar uma quebra de sigilo.
E o argumento, mais sofisticado, de que o ChatGPT é uma ferramenta como qualquer outra e que o segredo só se quebra perante humanos pode esbarrar no n.º 7 do artigo 92.º, que estende o dever, autonomamente, a quem quer que colabore com o advogado, independentemente do vínculo.
Sendo certo que essa redação foi pensada para colaboradores humanos, a sua lógica (a de que o segredo não pode evaporar-se pelo simples facto de a informação passar por colaboradores) poderá ser estruturalmente aplicável aos assistentes digitais e reflete-se, em última análise, no operador humano: o advogado.
Acresce, finalmente, o artigo 97.º do EOA, sobre o dever de diligência e competência. O advogado moderno tem o dever profissional de conhecer minimamente as ferramentas que usa. A invocação de ignorância tecnológica deixou de ser desculpa há vários anos, se é que alguma vez o foi. E cumpre, como sempre, relembrar o artigo 4.º do AI Act, aplicável aos advogados quanto utilizam uma ferreamenta de IA para efeitos profissionais.
Referências
| Tipo | Identificação | Hiperligação |
|---|---|---|
| Processo judicial (EUA) | Couture v. OpenAI Global, LLC, Case No. 3:26-cv-03000-H-GC, S.D. Cal., 13.05.2026 — docket | |
| Processo judicial (EUA) | Couture v. OpenAI Global, LLC — Class Action Complaint (36 pp.) | |
| Processo judicial (EUA) | Cobertura inicial do caso Couture | |
| Processo judicial (EUA) | Caso paralelo: ação coletiva contra a Perplexity AI, final de março / início de abril de 2026 | |
| Processo judicial (EUA) | Análise complementar sobre a ação Perplexity | |
| Legislação UE | Diretiva 2002/58/CE (ePrivacy) | |
| Legislação UE | Regulamento (UE) 2016/679 (RGPD) | |
| Jurisprudência UE | Acórdão Schrems II — TJUE, 16.07.2020, proc. C-311/18 | |
| Legislação nacional | Lei n.º 41/2004, de 18 de agosto (versão consolidada) | |
| Legislação nacional | Lei n.º 46/2012, de 29 de agosto | |
| Legislação nacional | Lei n.º 145/2015, de 9 de setembro — Estatuto da Ordem dos Advogados | |
| Doutrina deontológica | Parecer n.º 2/PP/2025-C, Conselho Regional de Coimbra da OA | |
| Imprensa especializada | “A Ordem dos Advogados está atrasada na Inteligência Artificial” | |
| Análise institucional / imprensa | “Sem ‘medidas adequadas’, uso do Google Analytics é ilegal” | |
| Análise secundária | Google Analytics e RGPD: alternativas conformes | |
| Posição regulatória | FTC — “No, Hashing Still Doesn’t Make Your Data Anonymous” | |
| Fonte citada na petição | Cyberhaven — “1% of Data Employees Paste into ChatGPT Is Confidential” | |
| Imprensa sobre monetização de IA | Meta AI e uso de dados para publicidade, outubro de 2025 | |
| Imprensa sobre monetização de IA | ChatGPT com anúncios para alguns utilizadores, início de 2026 |
