Conformidade GDPR de IA com o Audact

Como o Audact trata do GDPR

Artigo 22 do GDPR: tomada de decisões automatizada e IA

O Artigo 22 confere a cada titular de dados o direito de não ser sujeito a uma decisão baseada unicamente em processamento automatizado — incluindo perfis — que produza efeitos jurídicos ou que o afete significativamente de forma semelhante. Para os implementadores de IA, esta é a disposição mais importante do GDPR: um sistema de IA que recusa um empréstimo, rejeita um candidato a emprego, aciona um bloqueio por fraude ou agenda uma audiência disciplinar sem revisão humana significativa enquadra-se perfeitamente no Artigo 22.

Existem vias legais: consentimento explícito, necessidade para um contrato, ou autorização ao abrigo da lei da União/Estado-Membro com salvaguardas adequadas. Em todos os casos, o responsável pelo tratamento deve fornecer informações significativas sobre a lógica envolvida, a importância do processamento, e dar ao titular o direito de obter intervenção humana, expressar um ponto de vista e contestar a decisão. O Tribunal de Justiça Europeu confirmou em SCHUFA (C-634/21, 2023) que a pontuação de probabilidade usada por terceiros para impulsionar uma decisão é em si "tomada de decisões automatizada" — alargando o Artigo 22 para fornecedores de IA.

Como os sistemas de IA desencadeiam obrigações de proteção de dados GDPR

O treino, o ajuste fino e a inferência em dados pessoais são cada um atividades de processamento distintas ao abrigo do Artigo 4(2), e cada uma requer a sua própria base legal ao abrigo do Artigo 6. Agentes de voz, chatbots e fluxos de trabalho agênticos ingerem rotineiramente nomes, números de telefone, biometria de voz e conteúdo que revela saúde, crenças ou sexualidade — o que pode elevar o processamento para dados de categoria especial ao abrigo do Artigo 9, exigindo uma base mais sólida como consentimento explícito ou interesse público substancial.

Uma Avaliação de Impacto na Proteção de Dados (Artigo 35) é efetivamente obrigatória para a maioria das implementações de IA voltadas para o cliente: combinam monitorização sistemática, nova tecnologia e frequentemente titulares de dados vulneráveis. Os responsáveis pelo tratamento também devem satisfazer os deveres de transparência dos Artigos 13-14 no momento da recolha de dados — um dever que os agentes de voz de IA frequentemente não cumprem porque a divulgação acontece demasiado tarde na conversa.

Transferências de dados transfronteiriças ao abrigo do GDPR para fornecedores de IA

O Capítulo V do GDPR restringe as transferências de dados pessoais para fora do EEE. Após o Schrems II, os responsáveis pelo tratamento devem realizar uma Avaliação de Impacto de Transferência sempre que utilizarem Cláusulas Contratuais Padrão, e o EU–US Data Privacy Framework fornece atualmente a única ponte de adequação para os Estados Unidos. Muitos fornecedores populares de IA (OpenAI, Anthropic, Google) processam dados da UE em infraestrutura baseada nos EUA ao abrigo do DPF ou CCPs, o que transfere o encargo de due diligence para o cliente.

O Audact resolve isso operando exclusivamente dentro da UE: o tráfego de inferência, metadados, chaves e backups permanecem dentro do AWS Frankfurt e Amesterdão. Nenhuma transferência do Capítulo V ocorre alguma vez, eliminando o overhead de TIA e removendo a dependência da estabilidade política contínua do DPF.

Funções de processamento de dados

O Audact opera como subcontratante. O cliente permanece o responsável pelo tratamento em todos os momentos. O Audact processa dados unicamente em nome e sob as instruções do responsável pelo tratamento.

Acordo de Processamento de Dados

O nosso DPA padrão está disponível em /legal/dpa. Os clientes Enterprise podem solicitar um DPA personalizado.

Perguntas frequentes

Comparar leis de conformidade de IA da UE

Recursos de conformidade relacionados

• Visão geral da conformidade com o Artigo 50 do EU AI Act
• Conformidade Digital Services Act para IA
• Preços da plataforma de conformidade Audact