Conformidade · Guia
Agentes de IA em conformidade com a DSGVO — o que realmente é preciso
A DSGVO aplica-se a qualquer plataforma de agente de IA que processe dados pessoais de cidadãos da UE, independentemente da localização do fornecedor. Conformidade significa mais do que um selo "Somos conformes": exige uma base legal para cada atividade de processamento, direitos dos titulares de dados implementados no nível dos dados, um DPA assinado entre cliente e fornecedor, armazenamento isolado por tenant, política transparente de treinamento de modelo e logs de auditoria que resistam a uma inspeção regulatória. Especificamente para agentes de IA, o Artigo 22 (decisões automatizadas) adiciona requisitos explícitos: o cliente — não o fornecedor — deve determinar quando a revisão humana é necessária.
DSGVO reformulada para plataformas de agentes de IA
Os seis princípios fundamentais do Artigo 5 da DSGVO, traduzidos para o que significam para um fornecedor de agentes de IA.
Legalidade, Lealdade, Transparência
Cada atividade de processamento requer uma base legal (consentimento, contrato, interesse legítimo, etc.) registrada por ação. Os clientes obtêm transparência sobre como os agentes raciocinam e decidem.
Limitação das Finalidades
Dados coletados para uma ação do agente não podem ser desviados para outro propósito sem uma nova base legal. Sem cláusulas "Usamos seus dados para melhorar o produto".
Minimização de Dados
Os agentes acessam apenas os campos necessários para a tarefa específica. Os escopos mínimos do OAuth-2.0 impõem isso no nível da integração.
Exatidão
As saídas são verificáveis; saídas incorretas do agente podem ser corrigidas ou excluídas. O log de auditoria rastreia cada versão de cada conjunto de dados.
Limitação da Conservação
Retenção configurável pelo cliente por categoria de dados. Transcrições de conversas do agente, gravações de chamadas e eventos de CRM têm todos TTLs configuráveis.
Integridade e Confidencialidade
Criptografia em repouso (AES-256) e em trânsito (TLS 1.3). Isolamento de tenant criptográfico, não apenas lógico. Meta de auditoria SOC 2 Tipo I Q3 2026.
10 Implementações Técnicas que Comprovam a Conformidade com a DSGVO
Um fornecedor pode alegar conformidade. Estas são as implementações que ele deve mostrar quando um auditor aparecer.
Base Legal por Ação
Cada ação do agente documenta sua base legal (consentimento, contrato, interesse legítimo, obrigação legal). Exportável por titular de dados mediante solicitação.
Exportação de Acesso do Titular
Exportação com um clique de tudo o que a plataforma mantém sobre um titular de dados nomeado — CRM, e-mails, transcrições de chamadas, saídas geradas pelo agente.
Exclusão em Nível de Tenant
A exclusão se propaga por cada cache do agente e pelo grafo de dados compartilhado em até 30 dias. Sem "Soft Delete" — remoção real com comprovante de exclusão.
Exportação Estruturada
Exportação legível por máquina (JSON, CSV) de todos os dados do cliente, não apenas os pessoais. Reimportável para plataformas concorrentes via esquemas padrão.
Porta de Revisão Humana
Decisões de alto risco (pagamentos acima do limite, bloqueios de conta, cláusulas contratuais de alto valor) exigem aprovação humana por padrão. Configurável por política do cliente.
Isolamento de Tenant
Isolamento criptográfico de tenant desde o nível do banco de dados. Sem stores de vetores compartilhados, sem caches de prompts compartilhados entre clientes.
DPA com Lista de Subprocessadores
DPA assinado entre cliente e fornecedor. Lista de subprocessadores (incluindo fornecedores de LLM) publicada e versionada. Os clientes são informados sobre alterações de subprocessadores com prazo para objeção.
Log de Auditoria
Log de auditoria imutável de cada ação do agente: carimbo de data/hora, identidade do agente, entrada, saída, confiança, base legal, identificador do titular de dados. Exportável para a autoridade supervisora.
Criptografia + Controle de Acesso
AES-256 em repouso, TLS 1.3 em trânsito. RBAC para operadores humanos. Agentes autenticados por requisição. Rotação de segredos programada.
Pipeline de Violação
Detecção → Triagem → Notificação ao cliente em até 72 horas após o conhecimento. Roteirizado e praticado trimestralmente.
Riscos Comuns da DSGVO em Agentes de IA — e Como Mitigar
Os modos de falha que os auditores procuram. Cada risco tem um padrão de mitigação concreto.
Fornecedores de LLM usam seus prompts para treinar seus modelos.
Use apenas fornecedores com cláusulas de "não treinamento em conteúdo do cliente" assinadas. Verifique isso no DPA, não apenas na página de marketing.
Transcrições de conversas vazam através de um store de vetores compartilhado entre tenants.
Exija embeddings isolados por tenant. Peça ao fornecedor para mostrar o layout do banco de dados — coleções compartilhadas são um sinal de alerta.
Logs do agente contêm dados pessoais retidos além do necessário.
Retenção de log configurável pelo cliente por categoria de dados. Padrão de 90 dias para dados não regulamentados, 10 anos apenas para conjuntos de dados relevantes para GoBD/impostos.
Gravações telefônicas são armazenadas sem consentimento explícito.
O agente de chamada explica a gravação no início da conversa. O consentimento é registrado no log de auditoria com carimbo de data/hora e identificador do chamador. Redação com um clique mediante solicitação.
Subprocessadores fora da UE processam dados pessoais.
Opção de residência de dados apenas na UE. Se subprocessadores dos EUA forem usados, DPF (Data Privacy Framework) ou Cláusulas Contratuais Padrão com Avaliação de Impacto de Transferência verificável.
Decisões do agente não podem ser contestadas porque o raciocínio é intransparente.
Cada decisão do agente registra sua trilha de raciocínio. Os titulares de dados recebem o raciocínio (em texto simples) mediante solicitação do Artigo 15.
Uma integração esquecida ainda possui tokens OAuth após seu cancelamento.
A revogação de tokens no cancelamento é automática. O cliente também pode revogar na fonte (configurações da conta Google/Microsoft) com um clique.
O que você deve procurar no DPA do fornecedor
Solicite o modelo de DPA antes da compra, não durante o onboarding. Estas são as cláusulas que mais importam.
- ✓Cláusula explícita de não treinamento: o conteúdo do cliente nunca é usado para treinar modelos, sem letras miúdas de opt-out
- ✓Lista de subprocessadores anexada, versionada e prazo de notificação antes das alterações (mínimo de 30 dias)
- ✓Prazos para solicitações dos titulares: acesso do Artigo 15 em até 30 dias, exclusão do Artigo 17 em até 30 dias, incluindo cascata de processadores downstream
- ✓Direitos de auditoria: o cliente pode auditar os controles de segurança do fornecedor anualmente ou com mais frequência, se necessário
- ✓Notificação de violação: 48 horas entre o conhecimento do fornecedor e a notificação ao cliente (mais rigoroso do que o relatório de 72 horas da DSGVO às autoridades)
- ✓Compromisso de residência de dados: onde os dados são armazenados, processados, protegidos — por escrito, não "tipicamente UE"
- ✓Devolução e exclusão no término: dados em formato portátil devolvidos em até 30 dias; comprovante de exclusão emitido em até 60 dias
- ✓Clareza do limite de responsabilidade: especificamente para violações de proteção de dados, separadamente do limite geral de responsabilidade
- ✓Lei aplicável e foro: idealmente, estado membro da UE do cliente, não o foro de origem do fornecedor
Lista de Verificação da DSGVO para Compradores de Agentes de IA — 12 Pontos
Imprima isso. Envie ao fornecedor antes do contrato. Se uma resposta for "Estamos trabalhando nisso", adie a compra.
Contrato de Processamento de Dados
O fornecedor assina um DPA em conformidade com a DSGVO por padrão, não negociado por cliente?
Não Treinamento Contratual
A frase "Nunca treinamos com conteúdo do cliente" está no próprio DPA, não apenas no site?
Isolamento de Tenant
O isolamento de tenant é criptográfico — chaves de criptografia separadas por cliente — ou apenas particionamento lógico?
Transparência do Subprocessador
Existe uma lista pública de subprocessadores com histórico de versões? O fornecedor de LLM está listado?
Residência de Dados
Onde os dados do cliente são armazenados, processados e protegidos? Apenas UE é uma opção?
Exportação do Direito de Acesso
Você pode acionar uma exportação completa do Artigo 15 da interface de administração, ou é necessário um ticket de suporte?
Cascata de Exclusão
A exclusão se propaga para todos os caches de agentes, stores de vetores e subprocessadores em até 30 dias?
Revisão Humana do Artigo 22
Você pode configurar quais decisões do agente exigem aprovação humana? Aprovação padrão para ações destrutivas.
Exportação de Log de Auditoria
O log de auditoria é exportável em um formato utilizável para solicitações de autoridades reguladoras (JSON, CSV)?
Prazo de Notificação de Violação
O fornecedor se compromete a notificá-lo em até 48–72 horas após o conhecimento de uma violação?
Consentimento Telefônico
Se agentes de voz forem usados, a plataforma lida com regras de consentimento específicas da jurisdição (consentimento bilateral em DE/AT/CH)?
Plano de Saída
Se você cancelar, existe um processo documentado de devolução e exclusão com comprovante de exclusão?
Perguntas Frequentes
Uma plataforma de agente de IA é Controladora ou Operadora de Dados sob a DSGVO?+
Em quase todos os cenários de PME, o cliente é o Controlador e a plataforma de agente de IA é o Operador de Dados. A plataforma opera de acordo com as instruções do cliente, processa dados no tenant do cliente e não determina as finalidades do processamento.
O Artigo 22 (decisões automatizadas) proíbe agentes de IA?+
Não. O Artigo 22 exige que os titulares de dados tenham o direito à revisão humana em decisões com efeitos legais ou igualmente significativos. As plataformas de agentes de IA são conformes ao oferecerem portas de aprovação humana configuráveis por tipo de decisão. Os clientes (Controladores) configuram quais decisões passam por revisão humana.
Posso usar uma plataforma de agente de IA baseada nos EUA sob a DSGVO?+
Sim, se o fornecedor operar sob o EU-US Data Privacy Framework ou usar Cláusulas Contratuais Padrão com uma Avaliação de Impacto de Transferência válida. Pergunte pela certificação DPF ou documentação SCC antes de assinar. Preferir fornecedores sediados na UE simplifica isso.
Os agentes de IA também estão sujeitos ao EU AI Act, além da DSGVO?+
Sim. O EU AI Act adiciona requisitos de transparência, classificação de risco e supervisão humana à DSGVO. A maioria dos agentes de IA de negócios se enquadra em "risco limitado" (transparência sobre o uso de IA necessária), não "alto risco". Agentes de voz também se enquadram em regras de transparência que exigem a divulgação de que o usuário está falando com IA.
Qual é o maior fator de risco da DSGVO para compradores de agentes de IA?+
Cláusulas de treinamento. Muitos fornecedores têm opt-out por recurso para melhoria de modelo por padrão, o que é praticamente inexequível para PMEs com muitos usuários. Insista em um padrão contratual de não treinamento no DPA.
As gravações de chamadas sob a DSGVO sempre exigem consentimento?+
Na Áustria, Alemanha e Suíça: sim, ambas as partes devem consentir antes da gravação. Em outros estados membros da UE, as regras de consentimento variam. Uma plataforma de agente de voz em conformidade explica a gravação no início da conversa e registra o consentimento no log de auditoria — é assim que funciona em todas as jurisdições.
Por quanto tempo devo manter os logs de auditoria do agente?+
Para dados de negócios não regulamentados: escolha do cliente, padrão de 90 dias. Para ações relevantes para impostos (faturas, pagamentos): 10 anos sob GoBD (DE) / RGS (AT). O agente de conformidade separa os dois para que você não retenha dados não fiscais por muito tempo.
Obtenha o DPA antes da compra
Agende uma sessão de 30 minutos com nossa equipe de conformidade. Analisaremos o DPA completo, a lista de subprocessadores e responderemos a cada uma das 12 perguntas da lista de verificação de forma protocolar.