anonym.legal

By · Last updated 2026-06-05

Voltar ao BlogSegurança de IA

Comprovando a Conformidade com o Artigo 32 do GDPR...

As equipes de conformidade empresarial precisam de evidências quantitativas dos controles de PII das ferramentas de IA.

June 5, 20267 min de leitura
GDPR Article 32AI compliancePII monitoringCISO evidenceenterprise AI governance

Provar a conformidade com o RGPD Art. 32 para ferramentas de IA

Atualizado para 2026.

O artigo 32 do RGPD exige "medidas técnicas e organizativas adequadas" para proteger dados pessoais. Quando os colaboradores usam ferramentas de IA externas — ChatGPT, Claude, Gemini — o risco é real e mensurável. As medidas também devem ser mensuráveis.

Uma política que diz "não partilhe dados pessoais com ferramentas de IA" é uma medida organizativa. Não é uma medida técnica. Não é suficiente quando um auditor da APD pergunta: "Como sabe que os colaboradores cumprem?"

O que os auditores da APD perguntam sobre ferramentas de IA

Após o incidente Samsung ChatGPT de março de 2023, os reguladores analisaram de perto os programas de IA em empresas. Os auditores da APD fazem agora perguntas diretas.

Sobre controlos técnicos, perguntam:

  • O que impede que os dados pessoais cheguem aos sistemas de IA?
  • Como é que a anonimização é aplicada em tempo real?
  • Que evidências mostram que os controlos funcionam?

Sobre monitorização, perguntam:

  • Como é que o uso de IA dos colaboradores é rastreado para exposição de DCP?
  • Que métricas são recolhidas? Com que frequência?
  • Como se sabe que os controlos não estão a ser contornados?

Sobre deteção de incidentes, perguntam:

  • Como se detetaria uma fuga de DCP para uma ferramenta de IA?
  • Qual é o plano de resposta?

Os documentos de política não respondem a nenhuma destas perguntas. Descrevem o que os colaboradores devem fazer. Não mostram o que fazem na realidade.

A lacuna de monitorização para ferramentas de IA no browser

As equipas de TI empresarial enfrentam um problema fundamental: as ferramentas de IA em browser são difíceis de monitorizar.

Encriptação HTTPS

ChatGPT, Claude e Gemini usam todos HTTPS com HSTS. A inspeção de rede não consegue ler o conteúdo dos prompts sem desencriptação TLS.

Inspeção TLS

A inspeção SSL requer certificados enterprise em cada dispositivo. Pode quebrar o certificate pinning em algumas apps. Cria novas lacunas de segurança. Pode violar os termos de serviço das plataformas de IA. Levanta preocupações de privacidade dos colaboradores em muitos países.

DLP de endpoint

Os agentes de endpoint monitorizam a área de transferência e as teclas pressionadas. Mas produzem muitos falsos positivos. Não conseguem distinguir "escrever dados de cliente num contrato" de "escrevê-los no ChatGPT". O atraso de processamento pode também falhar envios em tempo real.

Resultado: a maioria das empresas que usam ferramentas de IA tem pouca visibilidade sobre o que realmente chega a esses sistemas.

Um dashboard de conformidade na prática

Um CISO de uma empresa de serviços financeiros tem de mostrar a auditores que a exposição de DCP via ferramentas de IA é monitorizada e controlada. O requisito de auditoria: dados concretos sobre monitorização ativa.

A empresa implementa uma extensão Chrome em 500 colaboradores. Uma semana de dados:

MétricaValor semanal
Total de sessões de IA8.400
Entidades DCP detetadas12.000
Taxa de mascaramento94 %
Nomes de clientes encontrados4.800
Números de conta encontrados3.200
IDs de transação encontrados2.100
Envios não mascarados (6 %)720 entidades

Nota: cenário ilustrativo. Os resultados variam consoante a dimensão da empresa e os padrões de utilização de IA.

Quatro coisas que isto mostra aos auditores:

  • A escala de utilização das ferramentas de IA (8.400 sessões por semana)
  • O volume de DCP em risco (12.000 entidades detetadas)
  • O desempenho do controlo (taxa de mascaramento de 94 %)
  • O risco residual (720 entidades que precisam de acompanhamento)

Três coisas que os auditores podem verificar:

  • Um controlo técnico está ativo (registos de implementação)
  • A monitorização funciona e produz dados (relatórios semanais)
  • O risco residual é gerido (formação adicional para os 6 %)

Esta é a diferença entre "temos uma política" e "aqui está a nossa eficácia de controlo medida".

Transformar dados em melhoria

Os 6 % enviados sem mascaramento não são uma falha. É um sucesso de monitorização. A empresa sabe agora:

  1. Que colaboradores rejeitam ou não veem os avisos de mascaramento.
  2. Que tipos de entidades são enviados com mais frequência sem mascaramento.
  3. Que equipas têm taxas de desvio mais altas.
  4. Se a taxa está a diminuir à medida que os colaboradores se adaptam.

Isto impulsiona ações direcionadas. Colaboradores com altas taxas de desvio recebem formação adicional. Tipos de entidades com alta taxa de desvio podem precisar de avisos UI mais fortes. Equipas com desvios repetidos podem precisar de uma reformulação do fluxo de trabalho.

Sem estes dados, a formação é aplicada de forma uniforme. Com eles, vai onde o risco é maior.

Como é um pacote Art. 32 completo

Um conjunto de documentação RGPD Art. 32 completo para um programa de ferramentas de IA:

Medidas técnicas:

  1. Extensão Chrome em N dispositivos (evidência: registos MDM)
  2. Deteção de DCP em tempo real nos campos de entrada das ferramentas de IA
  3. Fluxo de mascaramento com trilha de auditoria (registos de extensão)
  4. Dashboard de conformidade (métricas de deteção)

Medidas organizativas:

  1. Política de utilização de ferramentas de IA
  2. Registos de formação dos colaboradores
  3. Plano de resposta a incidentes para fugas de dados de IA
  4. Revisão trimestral dos dados de monitorização

Evidências de monitorização:

  1. Métricas semanais do dashboard (12 meses em contínuo)
  2. Tendência da taxa de mascaramento
  3. Desagregação por tipo de entidade
  4. Registos de acompanhamento para desvios identificados

Capacidade de deteção de incidentes:

  1. Os dados de monitorização detetam comportamentos anómalos (queda súbita da taxa, novos tipos de entidades)
  2. Plano de resposta a incidentes testado em [data]

Este conjunto satisfaz o Art. 32. Demonstra medidas técnicas e organizativas com evidências reais.

Quantificar a redução do risco

Para o teste de proporcionalidade, é necessário mostrar o risco que o controlo elimina.

Sem o controlo:

  • 11 % dos prompts de IA contêm DCP (Cyberhaven 2025)
  • 8.400 sessões/semana × 11 % = 924 sessões com DCP por semana
  • Cada sessão: uma potencial exposição ao Art. 83 do RGPD se dados da UE estiverem envolvidos

Com o controlo (taxa de mascaramento de 94 %):

  • 924 sessões com DCP detetadas
  • 94 % mascaradas: 869 sessões protegidas
  • Residual: 55 sessões por semana com conteúdo não mascarado

Resultado: 94 % de redução na exposição de DCP pelo uso de ferramentas de IA.

Para os reguladores que aplicam o teste de proporcionalidade, uma redução de 94 % com um controlo técnico implementado é uma evidência forte. Ver também prevenção de DCP em tempo real para ferramentas de IA e DLP em browser para ChatGPT, Claude e Gemini.

Conclusão

A conformidade com o RGPD Art. 32 para ferramentas de IA não pode assentar apenas em políticas. Monitorizar sessões de IA em browser para exposição de DCP requer um controlo técnico que produza evidências.

O mascaramento em tempo real com monitorização integrada oferece ambos: prevenção (menos exposição) e evidências (risco medido e eficácia do controlo). Essa combinação satisfaz o Art. 32.

Para os CISO que se preparam para uma auditoria da APD: os auditores querem dados concretos. Mostre taxas de deteção, taxas de mascaramento e tendências do risco residual. A política é o ponto de partida. Os dados de monitorização são a prova.

Para comparar o bloqueio com o mascaramento como estratégia de controlo, veja Browser DLP: Bloqueio vs. Anonimização.

Fontes

Artigos Relacionados

Segurança de IA

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

Segurança de IA

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

Segurança de IA

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Pronto para proteger seus dados?

Comece a anonimizar PII com mais de 285 tipos de entidades em 48 idiomas.

Iniciar Teste GratuitoVer Recursos

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.