OORT Labs
Política de Privacidade/Compromisso com IA Responsável e Compliance
OORT Flows · IA Responsável

Compromisso com Privacidade, Compliance e Segurança em IA

A OORT Labs adota políticas formais de privacidade, compliance e segurança em todos os recursos de Inteligência Artificial do OORT Flows, atendendo regulamentações no Brasil (LGPD, PL 2338/2023) e no exterior (GDPR, EU AI Act, CCPA), além das principais normas técnicas internacionais.

Última atualização: 12 de abril de 2026Versão: 1.0
Aviso

Este documento descreve o programa de governança de IA da OORT Labs e deve ser lido em conjunto com a Política de Privacidade do OORT Flows e com os Termos de Uso. Não substitui aconselhamento jurídico específico ao caso de uso do Cliente.

1.Nosso Compromisso

A OORT Labs desenvolve agentes de Inteligência Artificial corporativa com a premissa de que confiança, privacidade e segurança não são opcionais. Cada recurso de IA do OORT Flows — assistentes, agentes autônomos e orquestrações multi-agente — é projetado, operado e auditado segundo um programa formal de IA Responsável.

Esse programa cobre todo o ciclo de vida do sistema: definição do caso de uso, coleta e tratamento de dados, escolha do provedor de modelo, implantação, monitoramento em produção e descomissionamento — garantindo conformidade com as regulamentações aplicáveis no Brasil e no exterior.

2.Princípios de IA Responsável

  • Centralidade do ser humano — sistemas de IA apoiam decisões humanas e preservam supervisão significativa em casos de alto impacto.
  • Privacidade por design — proteção de dados pessoais é requisito de produto, não recurso adicional.
  • Segurança por padrão — cifração em trânsito e em repouso, isolamento entre tenants e princípio do menor privilégio.
  • Transparência e explicabilidade — fluxos, modelos utilizados e fontes de dados são auditáveis pelo Cliente.
  • Justiça e não discriminação — avaliação periódica de vieses e impacto sobre grupos protegidos.
  • Responsabilização (accountability) — papéis e responsabilidades claros entre OORT (Operadora) e Cliente (Controlador).
  • Robustez e segurança técnica — testes de regressão, red-teaming e controles de prompt injection, exfiltração e abuso.
  • Não utilização de dados do Cliente para treinamento próprio — o conteúdo trafegado nos fluxos não é usado para treinar modelos da OORT.

3.Regulamentações Brasileiras

3.1.LGPD — Lei nº 13.709/2018

A OORT Labs adere integralmente à Lei Geral de Proteção de Dados Pessoais. Implementamos:

  • Bases legais documentadas para cada finalidade de tratamento (LGPD art. 7º e art. 11);
  • Registro de operações de tratamento (RIPD) e Relatório de Impacto à Proteção de Dados (RIPD) quando aplicável;
  • Encarregado de Proteção de Dados (DPO) designado e canal de atendimento ao titular;
  • Resposta a requisições de titulares (acesso, correção, anonimização, portabilidade e eliminação) dentro dos prazos legais;
  • Notificação à ANPD e aos titulares em caso de incidente relevante.

3.2.PL 2338/2023 — Marco Legal da IA

O Projeto de Lei 2338/2023, em tramitação no Congresso Nacional, propõe o marco regulatório da IA no Brasil. A OORT Labs antecipa suas obrigações e estrutura o OORT Flows segundo seus principais pilares:

  • Classificação de risco dos sistemas (excessivo, alto, médio, baixo) com controles proporcionais;
  • Avaliação preliminar de risco e Avaliação de Impacto Algorítmico (AIA) para casos de alto risco;
  • Direito à explicação sobre decisões automatizadas que afetem o titular;
  • Direito à revisão humana de decisões automatizadas com impacto significativo;
  • Direito à não discriminação e mitigação de vieses;
  • Transparência ativa sobre o uso de IA e identificação clara de conteúdos sintéticos;
  • Governança interna com responsável técnico identificado, registro de eventos e plano de resposta a incidentes.

O OORT Flows oferece mecanismos nativos que apoiam o Cliente a cumprir essas obrigações, como classificação de fluxo por nível de risco, logs de execução auditáveis, configuração de pontos de aprovação humana e relatórios de uso por agente.

3.3.Marco Civil da Internet e Demais Normas

Atendemos também à Lei 12.965/2014 (Marco Civil da Internet), ao Decreto 8.771/2016 e a normas setoriais aplicáveis (BACEN, CVM, ANS, CFM, OAB, entre outras) conforme o contexto de cada Cliente.

4.Regulamentações Internacionais

4.1.GDPR — Regulamento (UE) 2016/679

Para titulares localizados no Espaço Econômico Europeu, observamos integralmente o GDPR:

  • Bases legais conforme art. 6º e art. 9º;
  • Acordos de Tratamento de Dados (DPA) com sub-operadores;
  • Cláusulas Contratuais Padrão (SCCs) e análise de Transfer Impact Assessment para transferências internacionais;
  • Atendimento aos direitos dos titulares (acesso, retificação, apagamento, portabilidade, oposição, restrição);
  • Notificação de violação em até 72 horas à autoridade competente, quando aplicável.

4.2.EU AI Act — Regulamento (UE) 2024/1689

A OORT Labs alinha o OORT Flows ao EU AI Act, primeira regulação horizontal de IA no mundo, segundo a abordagem baseada em risco:

Categoria de RiscoPostura OORT Flows
Risco inaceitável (ex.: scoring social, manipulação subliminar)Proibido por design. Tais casos não podem ser implantados na Plataforma.
Alto risco (ex.: RH, crédito, infraestrutura crítica)Suporte a AIA, supervisão humana obrigatória, logs estendidos, documentação técnica e Avaliação de Conformidade.
Risco limitado (ex.: chatbots, geração de conteúdo)Transparência obrigatória ao usuário final, identificação de conteúdo sintético e marcação de interação com IA.
Risco mínimo (ex.: automações operacionais)Boas práticas de governança e logs padrão.

Para modelos de IA de uso geral (GPAI) acessados via provedores integrados, exigimos do provedor a documentação técnica e o cumprimento das obrigações de transparência previstas no art. 53 e seguintes do Regulamento.

4.3.CCPA / CPRA — Califórnia, EUA

Para residentes da Califórnia, observamos o California Consumer Privacy Act (CCPA), conforme alterado pelo CPRA, incluindo direitos de acesso, exclusão, correção, opt-out de "venda" ou "compartilhamento" e limitação do uso de informações sensíveis.

4.4.Outras Jurisdições

Quando aplicável, observamos também a UK GDPR, a PIPEDA (Canadá), a Lei 25.326 (Argentina), a Ley 1581/2012 (Colômbia), o APPI (Japão) e o PDPA (Singapura), entre outras.

5.Frameworks e Normas Técnicas

O programa de governança da OORT Labs é construído sobre frameworks reconhecidos internacionalmente:

  • ISO/IEC 42001:2023 — Sistemas de Gestão de IA (AIMS): base do nosso programa de IA Responsável.
  • ISO/IEC 27001 / 27701 — Gestão de Segurança da Informação e de Privacidade.
  • ISO/IEC 23894:2023 — Gestão de Riscos em IA.
  • NIST AI Risk Management Framework (AI RMF 1.0) — Funções *Govern*, *Map*, *Measure*, *Manage*.
  • OWASP Top 10 para LLM Applications — controle de prompt injection, vazamento de dados, supply chain de modelos.
  • SOC 2 Type II — controles de segurança, disponibilidade e confidencialidade.
  • CIS Benchmarks e MITRE ATLAS — endurecimento de infraestrutura e modelagem de ameaças a sistemas de IA.

6.Classificação de Risco e Avaliação de Impacto

Todo fluxo configurado pelo Cliente é classificado em níveis de risco compatíveis com EU AI Act e PL 2338. A classificação determina:

  • Necessidade de Avaliação de Impacto Algorítmico (AIA) e/ou Relatório de Impacto à Proteção de Dados (RIPD);
  • Profundidade dos logs de execução e período de retenção;
  • Presença obrigatória de pontos de revisão humana (human-in-the-loop);
  • Restrições a categorias de dados sensíveis e a determinados provedores de modelo;
  • Frequência de auditorias internas e testes de viés.

Templates de AIA e RIPD ficam disponíveis no Centro de Recursos do OORT Flows para apoiar o Cliente Controlador.

7.Governança e Supervisão Humana

  • Comitê de IA Responsável interno da OORT Labs, com representação de Engenharia, Segurança, Jurídico, Produto e DPO.
  • Responsável técnico de IA designado, com canal de comunicação direto com Clientes e autoridades.
  • Pontos de aprovação humana configuráveis em qualquer fluxo, com registro de identidade do aprovador, decisão e justificativa.
  • Política de uso aceitável de IA vinculante para colaboradores e Clientes.
  • Treinamento obrigatório de colaboradores em privacidade, segurança e ética de IA.

8.Transparência e Explicabilidade

O OORT Flows é projetado para que o Cliente saiba o quê, como e por quê cada agente faz o que faz:

  • Cada execução de fluxo gera logs detalhados com inputs, etapas intermediárias, modelo utilizado, custo, latência e output;
  • Cada agente expõe o provedor de IA e o modelo selecionados pelo Cliente;
  • Conteúdos gerados por IA podem ser marcados como sintéticos quando exigido pela regulação aplicável;
  • O Cliente pode exportar logs em formato auditável para apresentação a autoridades ou auditores independentes;
  • Quando uma decisão automatizada afeta um titular, é possível gerar uma explicação acessível dos critérios principais usados.

9.Segurança de Dados e Privacidade no Tratamento por IA

  • Cifração em repouso com AES-256 e em trânsito com TLS 1.2+;
  • Isolamento entre tenants em todos os bancos de dados, filas e armazenamento de arquivos;
  • Credenciais de integração armazenadas com Fernet/AES e rotação periódica;
  • MFA obrigatório para administradores, SSO/SAML/OIDC disponível para tenants corporativos;
  • Princípio do menor privilégio aplicado a usuários, agentes e integrações;
  • Não retenção de prompts em provedores de IA com cláusula contratual *zero data retention* quando suportada;
  • Filtros de dados sensíveis (PII, PHI, segredos) aplicáveis antes do envio a modelos externos;
  • Testes de segurança contínuos: SAST, DAST, SCA, varredura de segredos e red-teaming específico para LLMs;
  • Plano de resposta a incidentes com SLA de notificação alinhado à LGPD/GDPR.

10.Direitos dos Titulares e Contato

Titulares de dados pessoais podem exercer seus direitos a qualquer momento. Solicitações relacionadas a sistemas de IA — explicação, revisão humana, contestação — recebem tratamento prioritário pelo nosso comitê de IA Responsável.

  • Encarregado de Proteção de Dados (DPO): [dpo@oortlabs.com]
  • Responsável técnico de IA / Comitê de IA Responsável: [ai-governance@oortlabs.com]
  • Privacidade geral: [privacy@oortlabs.com]
  • Segurança e incidentes: [security@oortlabs.com]

Esta Política é revisada periodicamente. Alterações materiais são comunicadas com antecedência razoável ao Cliente e refletidas nas informações de versão acima.

OORT Labs — Todos os direitos reservados.