Dados Pessoais Sensiveis Enviados para LLMs Externos
Categoria: Tecnologia · Por Anderson Chipak · ALC Consultoria
Regulacoes afetadas
LGPD art. 5 II - LGPD art. 11 - Transferencia internacional de dados
O risco
Colaboradores ou sistemas automatizados enviam CPF, dados de saude, dados financeiros, biometria ou outros dados pessoais sensiveis em prompts para APIs de LLMs de terceiros sem DPA adequado e sem base legal especifica para transferencia internacional de dados pessoais.
Impacto regulatorio e empresarial
A LGPD classifica dados de saude, biometricos e financeiros como dados sensiveis, exigindo base legal do art. 11 mais restritiva. A transferencia desses dados para servidores no exterior via API de LLM exige base legal especifica, DPA adequado e pode violar clausulas de confidencialidade com clientes.
Como identificar na sua empresa
Realizar inventario de uso: quais equipes usam LLMs externos? Quais dados tipicos aparecem nos prompts? Pedir a 10 colaboradores que mostrem prompts reais enviados a LLMs nos ultimos 7 dias.
Como mitigar
1. Classificar dados por sensibilidade e definir o que pode ir para LLMs externos. 2. Para dados sensiveis, usar apenas solucoes on-premise ou com DPA e processamento em regiao adequada. 3. Implementar DLP para detectar padroes de dados sensiveis saindo pela rede.
Este risco existe na sua empresa?
A auditoria da ALC identifica quais dos 50 riscos existem nos seus sistemas e prioriza os de maior impacto. Parecer tecnico em 5 dias uteis.