LGPD · Soberania · Lei 13.709/18

O risco oculto da IA generativa está na jurisdição dos seus dados

A IA pública revolucionou os negócios — mas o modelo de negócio dela é alimentado pelos seus dados. Quando seu time usa ChatGPT, Claude ou Gemini, essa informação cruza fronteiras e pode beneficiar concorrentes.

A LGPD exige controle, transparência e segurança. As IAs públicas oferecem caixas-pretas em jurisdições estrangeiras. Esse descompasso é o maior risco jurídico e corporativo da década.

Baixar o dossiê Ver os 4 conflitos

Art. 7ºFinalidade

Art. 33Transferência

Art. 20Explicação

Art. 46Segurança

O choque · LGPD vs LLMs públicas

Os 4 princípios que sua IA pública quebra todo dia

A LGPD baseia-se em pilares que são inerentemente quebrados pelo uso descontrolado de LLMs de terceiros. Não é opinião — está no texto da lei.

01 Art. 7º LGPD

Finalidade & adequação

A LGPD determina que dados só podem ser processados para finalidades específicas. Quando um funcionário insere dados de cliente em LLM público para "resumir uma reunião", ele autoriza terceiros a processar para a finalidade deles (melhorar o modelo).

Verdict: fere o princípio de adequação · uso indevido por finalidade.

02 Art. 33 LGPD

Transferência internacional

A maioria dos servidores das Big Techs de IA está nos EUA. Enviar dados pessoais para essas APIs sem garantias contratuais robustas ou consentimento específico configura transferência irregular — sujeita a sanções da ANPD.

Verdict: sanção da ANPD · base legal inexistente para a operação.

03 Art. 6º & 20º

Transparência & direito à explicação

Se um agente de IA toma uma decisão automatizada sobre o cliente — negar desconto, classificar como "risco de churn" — a LGPD garante o direito de revisão. Em LLMs caixa-preta, é impossível rastrear o raciocínio.

Verdict: sem observabilidade, a LGPD é violada — não há rastro auditável.

04 Art. 46 LGPD

Segurança & prevenção de danos

O Shadow AI — funcionários usando IAs não autorizadas no trabalho — é a quebra definitiva do princípio de segurança. A empresa perde a posse e a governança sobre onde o dado está e quem tem acesso.

Verdict: ausência de governança · responsabilização integral do controlador.

Soberania de dados · Por que a localização importa

Sem soberania de infraestrutura, não há soberania de negócio

Soberania vai além da LGPD. É garantir que seus dados estejam submetidos exclusivamente às leis brasileiras — não às leis do país onde o servidor está hospedado.

Jurisdição estrangeira

Estados Unidos

CLOUD Act · 2018

O alcance que a sua empresa não controla

O Clarifying Lawful Overseas Use of Data Act permite que órgãos de inteligência dos EUA solicitem acesso aos seus dados armazenados em servidores americanos — mesmo que sua empresa seja brasileira e os dados sejam de cidadãos brasileiros.

Implicação

Você não pode construir a casa da sua empresa em terreno onde o vizinho pode trocar a fechadura a qualquer momento.

Jurisdição soberana

Brasil · sa-east-1

Lei 13.709/18 · LGPD

Soberania física & legal

A infraestrutura de inferência do MyDataAgent (vLLM, GPUs, bancos) roda em datacenters no Brasil. Os dados não cruzam fronteiras. A jurisdição é exclusivamente brasileira — blindando sua empresa do CLOUD Act e cumprindo o art. 33 da LGPD.

Resultado

Lei brasileira aplicada · auditável pela ANPD · zero exposição a ordens judiciais estrangeiras.

Sem soberania de infraestrutura, não há soberania de negócio. O que entra na sua VPC fica na sua VPC.

Como o MyDataAgent garante a conformidade

A LGPD está em linhas de código, não em PDF

Nosso AI Ecosystem foi arquitetado desde o dia 1 para ser seguro, auditável e soberano. Cumprimos a LGPD não em documentos — mas em rede, proxy, modelo e governança.

Pilar 01

Zero retenção · zero treinamento

Seus dados nunca treinam modelos fundacionais. O que processa na VPC fica na VPC — garantido por DPA contratual e tecnicamente via roteamento LiteLLM.

DPALiteLLM proxyLogs auditáveis

Pilar 02

Datacenters no Brasil

Toda inferência (vLLM, GPUs, bancos) em datacenters BR. Dados não cruzam fronteiras — jurisdição brasileira blinda do CLOUD Act e cumpre o art. 33 da LGPD.

sa-east-1VPC dedicadaTenant isolation

Pilar 03

PII mascarada em tempo real

Antes do prompt chegar ao modelo, nosso proxy aplica Microsoft Presidio + DLP. CPFs, CNPJs, nomes e e-mails mascarados automaticamente — agente trabalha sem expor o titular.

Presidio30+ entidadesPre-GPU

Pilar 04

Observabilidade & explicabilidade

Cada requisição, ferramenta MCP e resposta dos agentes é logada de forma imutável. Quando ANPD ou cliente pedir explicações, você tem o rastro completo de auditoria.

Logs imutáveisSIEM exportHash chain

Pilar 05

SSO + RBAC + chave por usuário

Acesso à IA tratado como acesso a banco. Single Sign-On + RBAC granular + chave única por usuário com cota — eliminando o Shadow AI corporativo de uma vez.

Okta · Azure ADSAML 2.0Quotas R$

Pilar 06

Direito ao esquecimento & retenção

Definição clara de tempo de retenção por tipo de dado + endpoint de apagamento sob demanda. Pronto para atender solicitação de titular em até 15 dias úteis.

Retention policyAPI deleteSLA 15d

Arquitetura · O dado nunca vaza

Do funcionário ao modelo, com escudos em cada salto

Diagrama simplificado do fluxo de uma requisição. Cada passo aplica um controle — quando o prompt chega no modelo, ele já está mascarado, autenticado e logado.

01 · Entrada

Funcionário · Agente · App

Requisição entra autenticada via SSO, com chave individual rastreável. Quotas e rate limits do usuário aplicados antes de qualquer outro processamento.

SSO · SAMLAPI KeyRBAC

02 · Proxy LiteLLM

Mascaramento PII + policy

O proxy intercepta. Presidio remove CPF, CNPJ, e-mail. Guardrails verificam topic restriction. Se passar, segue para o modelo. Se não, retorna a policy — não o LLM.

PresidioLakeraAporiaLogs

03 · VPC sa-east-1

MDA LLM 2.1 · vLLM · GPU

MDA LLM 2.1 (32B MoE · 3,3B ativos · 256k contexto) processa o prompt já limpo e autorizado, em GPU dentro da sua VPC dedicada no datacenter brasileiro. Resposta passa pelos mesmos filtros antes de retornar ao usuário.

VPC BRFP8 · vLLMEncryption-at-rest

Quando o modelo enxerga o prompt, ele já está mascarado, autenticado, com cota e logado. O dado bruto não chega ao modelo. O modelo nunca sai do Brasil.

Dossiê MDA · download gratuito

Não coloque o faturamento em risco por um prompt

Adequação exige mais do que tecnologia — exige processo claro. Elaboramos um dossiê profundo com o framework jurídico e técnico para garantir que sua operação de IA esteja 100% dentro da lei.

"A conformidade é a melhor vantagem competitiva" — sua empresa pode mostrar para o cliente, para o auditor e para o board que IA é gerida com o rigor de um banco.

Para DPOs, Diretores Jurídicos, CIOs e CISOs que precisam destravar o projeto de IA sem expor a empresa.

Baixar dossiê LGPD & IA Ver checklist rápido

Seu Jurídico e seu TI não falam a mesma língua sobre IA?

Adequar a LGPD à IA exige expertise interdisciplinar. A Consultoria MDA atua como ponte entre Direito e Engenharia de Dados — desenhamos a VPC, implementamos os Guardrails (PII, observabilidade) e entregamos a documentação para o seu DPO assinar.

Adequar minha IA à LGPD

A empresa que ensina compliance, audita o próprio

SOC 2 Type IAICPA · Certified SOC 2 Type IIAICPA · Certified ISO/IEC 27001ISMS · Certified LGPD readyVPC sa-east-1