¿La LGPD prohíbe el uso de IA generativa?

No. La LGPD no prohíbe IA — exige gobernanza: base legal explícita, anonimización, registro de operaciones y protección de datos sensibles. El problema es usar ChatGPT/Claude/Gemini con datos confidenciales, porque pierdes control sobre dónde se procesan los datos y por cuánto tiempo se retienen.

¿Qué es Shadow AI y por qué es un riesgo LGPD?

Shadow AI es el uso no autorizado de IA pública (ChatGPT, Gemini, etc.) por empleados colando datos internos sin aprobación. Cada entrada es un posible escape: el dato sale del territorio brasileño, es procesado por terceros extranjeros y puede usarse para entrenar modelos. Para la LGPD, es tratamiento sin base legal — pasible de multa de hasta 2% de la facturación.

¿Cómo cumple MyDatAgent la LGPD?

El MDA atiende a la LGPD por diseño: hospedaje 100% en Brasil (Art. 33), base legal declarada por agente (Art. 7º), anonimización automática de PII en logs (Art. 12), audit trail inmutable (Art. 37) e API de derechos del titular para acceso/corrección/exclusión (Art. 18). Todos estos controles vienen habilitados — sin configuración adicional.

¿Necesito hacer DPIA (Reporte de Impacto) para usar MDA?

Como cualquier tratamiento de datos personales por IA, sí — la DPIA es recomendada. La ventaja de MDA es que ofrecemos una plantilla de DPIA pre-completada para nuestra arquitectura, lo que reduce el trabajo del DPO de semanas a horas.

Y si la ANPD pide auditoría, ¿cómo pruebo conformidad?

El MDA genera, bajo demanda, un reporte completo de conformidad con logs inmutables, mapeo de bases legales por uso, evidencias de anonimización y cadena de custodia de datos. Este paquete ya fue aceptado por la ANPD en auditorías de clientes de MDA.

¿No resuelve Azure OpenAI en Brasil el problema?

Parcialmente. Azure OpenAI hospeda inferencia en Brasil, pero metadatos de uso, telemetría de error y datos para anti-abuso van a Microsoft en USA — sujetos al CLOUD Act. Además, Microsoft retiene datos por hasta 30 días para análisis de uso indebido. El MDA es 100% brasileño, sin retención y sin CLOUD Act.

LGPD · Soberania · Ley 13.709/18

El riesgo oculto de la IA generativa está en la jurisdicción de tus datos

La IA pública revolucionó los negocios — pero su modelo de negocio se alimenta de tus datos. Cuando tu equipo usa ChatGPT, Claude o Gemini, esa información cruza fronteras y puede beneficiar competidores.

La LGPD exige control, transparencia y seguridad. Las IAs públicas ofrecen cajas negras en jurisdicciones extranjeras. Este desajuste es el mayor riesgo jurídico y corporativo de la década.

Descargar el dosier Ver los 4 conflictos

Art. 7ºFinalidad

Art. 33Transferencia

Art. 20Explicación

Art. 46Seguridad

El choque · LGPD vs LLMs públicos

Los 4 principios que tu IA pública rompe todos los días

La LGPD se basa en pilares que son inherentemente violados por el uso descontrolado de LLMs de terceros. No es opinión — está en el texto de la ley.

01 Art. 7º LGPD

Finalidad & adecuación

La LGPD determina que datos solo pueden procesarse para finalidades específicas. Cuando un empleado ingresa datos de cliente en LLM público para "resumir una reunión", autoriza a terceros para procesar con su finalidad (mejorar el modelo).

Veredicto: viola el principio de adecuación · uso indebido por finalidad.

02 Art. 33 LGPD

Transferencia internacional

La mayoría de servidores de las Big Techs de IA están en USA. Enviar datos personales a estas APIs sin garantías contractuales robustas o consentimiento específico configura transferencia irregular — sujeta a sanciones de la ANPD.

Veredicto: sanción de la ANPD · base legal inexistente para la operación.

03 Art. 6º & 20º

Transparencia & derecho a explicación

Si un agente de IA toma una decisión automatizada sobre el cliente — negar descuento, clasificar como "riesgo de abandono" — la LGPD garantiza el derecho de revisión. En LLMs caja negra, es imposible rastrear el razonamiento.

Veredicto: sin observabilidad, la LGPD es violada — no hay rastro auditable.

04 Art. 46 LGPD

Seguridad & prevención de daños

El Shadow AI — empleados usando IAs no autorizadas en el trabajo — es la ruptura definitiva del principio de seguridad. La empresa pierde posesión y gobernanza sobre dónde está el dato y quién tiene acceso.

Veredicto: ausencia de gobernanza · responsabilidad integral del controlador.

Soberania de datos · Por qué la localización importa

Sin soberania de infraestructura, no hay soberania de negocio

Soberania va más allá de la LGPD. Es garantizar que tus datos estén sometidos exclusivamente a las leyes brasileñas — no a las leyes del país donde está hospedado el servidor.

Jurisdicción extranjera

Estados Unidos

CLOUD Act · 2018

El alcance que tu empresa no controla

El Clarifying Lawful Overseas Use of Data Act permite que órganos de inteligencia de USA soliciten acceso a tus datos almacenados en servidores americanos — incluso si tu empresa es brasileña y los datos son de ciudadanos brasileños.

Implicación

No puedes construir la casa de tu empresa en terreno donde el vecino puede cambiar la cerradura en cualquier momento.

Jurisdicción soberana

Brasil · sa-east-1

Ley 13.709/18 · LGPD

Soberania física & legal

La infraestructura de inferencia de MyDatAgent (vLLM, GPUs, bases) corre en datacenters en Brasil. Los datos no cruzan fronteras. La jurisdicción es exclusivamente brasileña — protegiendo tu empresa del CLOUD Act y cumpliendo art. 33 de la LGPD.

Resultado

Ley brasileña aplicada · auditable por la ANPD · cero exposición a órdenes judiciales extranjeras.

Sin soberania de infraestructura, no hay soberania de negocio. Lo que entra en tu VPC se queda en tu VPC.

Cómo MyDatAgent garantiza conformidad

La LGPD está en líneas de código, no en PDF

Nuestro AI Ecosystem fue arquitectado desde el día 1 para ser seguro, auditable y soberano. Cumplimos la LGPD no en documentos — sino en red, proxy, modelo y gobernanza.

Pilar 01

Cero retención · cero entrenamiento

Tus datos nunca entrenan modelos fundacionales. Lo que procesa en la VPC se queda en la VPC — garantizado por DPA contractual y técnicamente via enrutamiento LiteLLM.

DPALiteLLM proxyLogs auditables

Pilar 02

Datacenters en Brasil

Toda inferencia (vLLM, GPUs, bases) en datacenters BR. Datos no cruzan fronteras — jurisdicción brasileña te protege del CLOUD Act y cumple art. 33 de la LGPD.

sa-east-1VPC dedicadaAislamiento de tenants

Pilar 03

PII enmascarado en tiempo real

Antes de que el prompt llegue al modelo, nuestro proxy aplica Microsoft Presidio + DLP. CPFs, CNPJs, nombres y emails enmascarados automáticamente — agente trabaja sin exponer al titular.

Presidio30+ entidadesPre-GPU

Pilar 04

Observabilidad & explicabilidad

Cada solicitud, herramienta MCP y respuesta de agentes se registra de forma inmutable. Cuando ANPD o cliente pida explicaciones, tienes el rastro completo de auditoría.

Logs inmutablesExportar SIEMCadena de hash

Pilar 05

SSO + RBAC + clave por usuario

Acceso a IA tratado como acceso a base. Single Sign-On + RBAC granular + clave única por usuario con cuota — eliminando el Shadow AI corporativo de una vez.

Okta · Azure ADSAML 2.0Cuotas BRL

Pilar 06

Derecho al olvido & retención

Definición clara de tiempo de retención por tipo de dato + endpoint de eliminación bajo demanda. Listo para atender solicitud de titular en hasta 15 días hábiles.

Política de retenciónAPI deleteSLA 15d

Arquitectura · El dato nunca se escapa

Del empleado al modelo, con escudos en cada salto

Diagrama simplificado del flujo de una solicitud. Cada paso aplica un control — cuando el prompt llega al modelo, ya está enmascarado, autenticado y registrado.

01 · Entrada

Empleado · Agente · App

La solicitud entra autenticada via SSO, con clave individual trazable. Cuotas y límites de tasa del usuario aplicados antes de cualquier otro procesamiento.

SSO · SAMLAPI KeyRBAC

02 · Proxy LiteLLM

Enmascaramiento PII + policy

El proxy intercepta. Presidio elimina CPF, CNPJ, email. Guardrails verifican restricción de tema. Si pasa, sigue al modelo. Si no, retorna la policy — no el LLM.

PresidioLakeraAporiaLogs

03 · VPC sa-east-1

MDA LLM 2.1 · vLLM · GPU

MDA LLM 2.1 (32B MoE · 3,3B activos · 256k contexto) procesa el prompt ya limpio y autorizado, en GPU dentro de tu VPC dedicada en el datacenter brasileño. La respuesta pasa por los mismos filtros antes de retornar al usuario.

VPC BRFP8 · vLLMEncriptación-en-reposo

Cuando el modelo ve el prompt, ya está enmascarado, autenticado, con cuota y registrado. El dato bruto no llega al modelo. El modelo nunca sale de Brasil.

Dosier MDA · descarga gratuita

No arriesgues la facturación por un prompt

La conformidad exige más que tecnología — exige proceso claro. Elaboramos un dosier profundo con el marco jurídico y técnico para garantizar que tu operación de IA esté 100% dentro de la ley.

"La conformidad es la mejor ventaja competitiva" — tu empresa puede mostrar al cliente, al auditor y al board que IA se gestiona con el rigor de un banco.

Para DPOs, Directores Jurídicos, CIOs y CISOs que necesitan desbloquear el proyecto de IA sin exponer la empresa.

Descargar dosier LGPD & IA Ver checklist rápido

¿Tu área Legal y tu TI no hablan el mismo idioma sobre IA?

Adecuar la LGPD a la IA requiere expertise interdisciplinario. La Consultoría MDA actúa como puente entre Derecho e Ingeniería de Datos — diseñamos la VPC, implementamos los Guardrails (PII, observabilidad) y entregamos la documentación para tu DPO firmar.

Adecuar mi IA a la LGPD

La empresa que enseña compliance, audita la propia

SOC 2 Type IAICPA · Certificado SOC 2 Type IIAICPA · Certificado ISO/IEC 27001ISMS · Certificado LGPD readyVPC sa-east-1