Verificando acesso...

MÓDULO 3.4

⚖️ Governança, Dados Sensíveis e LGPD

90% dos projetos travam no jurídico. Quem destrava vira ponte política. Aqui o que você precisa pra sentar com DPO sem ficar em silêncio.

1

📜 LGPD em 4 artigos

Só o que importa pra IA. Citar artigo específico em reunião com jurídico tira você de "leigo" pra "interlocutor sério".

  • Art. 5º — Definições. Dado pessoal, dado sensível, tratamento. Diferença muda controle.
  • Art. 7º — Base legal. 10 hipóteses. Consentimento e legítimo interesse são as mais usadas em IA.
  • Art. 20 — Decisão automatizada. Titular tem direito à revisão humana de decisão com impacto significativo.
  • Art. 5º XV — Cross-border. Transferência internacional exige salvaguarda. Modelo em US Cloud = transferência.
2

🛡️ EU AI Act resumido

Classificação por risco. Multinacional brasileira opera sob AI Act também. Quem traz o tema primeiro vira referência.

As 4 categorias

  • Risco inaceitável: proibido (scoring social, manipulação subliminal)
  • Alto risco: regulado pesado (RH, educação, judicial, infraestrutura crítica)
  • Risco limitado: transparência (chatbot precisa dizer "sou IA")
  • Risco mínimo: livre (filtro de spam, jogo, etc.)

⚠️ Sanções

Multa até €35M ou 7% do faturamento global. Aplicável a empresa não-EU se afeta cidadão EU. Vigência escalonada 2025-2027.

3

🏛️ NIST AI RMF

Framework dos EUA. Voluntário, mas virou exigência em contratos federais e cada vez mais em fornecedores B2B globais.

As 4 funções

  • Govern — políticas, papéis, accountability
  • Map — inventário de sistemas, contexto, partes interessadas
  • Measure — testes, monitoramento, métricas de risco
  • Manage — priorização, mitigação, comunicação
4

📋 DPIA pra projeto de IA

Data Protection Impact Assessment. Profissional que chega ao DPO com DPIA rascunhado vira parceiro. Quem chega de mãos abanando vira problema.

Estrutura mínima da DPIA

  • 1. Descrição do projeto (1 parágrafo)
  • 2. Dados envolvidos (categoria + volume)
  • 3. Finalidade + base legal
  • 4. Análise de riscos (probabilidade × impacto)
  • 5. Medidas de mitigação propostas
  • 6. Risco residual após mitigação
  • 7. Decisão informada (aceitar / ajustar / rejeitar)
5

🌐 Soberania prática

Modelo público vs cloud privada com BAA vs on-premise. Cada opção tem trade-off de custo, latência, governança.

3 níveis

  • Modelo público (OpenAI/Anthropic direto): mais barato, dado sai do país, retenção 30d.
  • Cloud privada com BAA (Azure OpenAI, AWS Bedrock): região BR, retenção zero, ~30% mais caro.
  • On-premise (Llama, Mistral local): controle total, infra cara, modelo menor.
6

🚨 Quando puxar o freio

Sinais de risco real: dado de saúde no prompt, decisão de RH automatizada sem revisão, sistema afetando público vulnerável. Pare e chame jurídico.

Stop signals

  • • Dado sensível (saúde, racial, religioso, sexual) sem base legal sólida
  • • Decisão final automatizada com impacto material (crédito, demissão, justiça)
  • • Sistema afetando menor, vulnerável, beneficiário de programa social
  • • Sem auditoria de viés em sistema de classificação humana
  • • Fornecedor sem clareza sobre região de hosting ou retenção

🧪 Prompt — DPIA rascunho

🇧🇷 Você é um especialista em LGPD focado em IA generativa. Vou descrever um projeto que pretendo propor. Sua tarefa: 1. Identifique se há tratamento de dado pessoal (art. 5º). 2. Sugira base legal mais defensável (art. 7º) com justificativa. 3. Indique se há decisão automatizada que dispara art. 20. 4. Liste 5 riscos LGPD ordenados por probabilidade × impacto. 5. Proponha 3 controles que reduzem risco a "aceitável" em linguagem que DPO aceita. 6. Sugira template de 1 página pra apresentar ao DPO antes de kick-off. Projeto: [descrição] Dados envolvidos: [categoria, volume, fonte] Decisão tomada pelo modelo: [resposta livre, classificação, recomendação] Stakeholder afetado: [cliente, funcionário, fornecedor]
🇺🇸 You are a data protection specialist focused on generative AI (LGPD + GDPR + EU AI Act). I'll describe a project I plan to propose. Your task: 1. Identify any PII processing. 2. Suggest the most defensible legal basis with rationale. 3. Flag any automated decision triggering right-to-human-review. 4. List 5 risks ordered by likelihood × impact. 5. Propose 3 controls that reduce risk to "acceptable" in DPO-friendly language. 6. Suggest a 1-page DPO briefing template. Project: [description] Data involved: [category, volume, source] Decision: [free response, classification, recommendation] Affected stakeholder: [customer, employee, vendor]

🎯 Resumo do Módulo

4 artigos LGPD cobrem 80% dos casos — 5º, 7º, 20, 5º XV.
EU AI Act é global — multinacional brasileira responde também.
NIST AI RMF como common ground — adotar evita inventar framework próprio.
DPIA rascunhada acelera 3x — chegar pronto ao DPO é skill consultiva.
3 níveis de soberania — público, cloud com BAA, on-premise.
Saber parar é skill — 5 stop signals protegem você e empresa.

Próximo Módulo:

3.5 — Storytelling de resultado

← Módulo anterior Próximo Módulo →