Voltar para o blog
Governança18/05/20266 min

LGPD em sistema autônomo: como a Nellia prova compliance

Empresa regulada não pode confiar em promessa de compliance. Tem que ver registro. Aqui o que o NelliaOS gera por padrão pra advogado, DPO e auditor.

Empresa que opera dado pessoal sob LGPD tem uma frase canônica: "a gente tem política, sim". Política não convence auditor. O que convence auditor é registro consultável de cada vez que o dado foi tocado, por quem, pra fazer o quê, sob que base legal. O NelliaOS é construído pra entregar esse registro por padrão.

Os quatro pilares do compliance prático

  • Finalidade declarada (LGPD art. 7º): cada agente que toca dado pessoal tem propósito definido em arquivo na sua infra. Sem propósito declarado, ação não roda
  • Base legal explícita: consentimento, execução de contrato, legítimo interesse, todas registradas com a base que justifica cada operação
  • Minimização (art. 6º III): cada extração lê só os campos que precisa. O resto fica fora do prompt, fora do log
  • Retenção e descarte: o audit log distingue 'dado operacional' de 'dado pessoal sensível' e aplica TTL diferente em cada classe

Como isso se prova

Quando o DPO da empresa cliente pergunta "que dado pessoal o sistema tocou na última semana?", a resposta sai em segundos. O audit log hash-chain conta cada acesso, cada extração, cada exposição cross-agent. Filtra por sujeito (CPF, e-mail, telefone), por agente, por janela de tempo. Hash da chain garante que o registro não foi forjado.

Compliance que precisa de relatório semanal pra existir não é compliance. É marketing de compliance. Compliance real é o estado natural do sistema, consultável a qualquer hora.

Quando o titular exerce direito de acesso ou eliminação

LGPD art. 18 dá ao titular do dado o direito de saber quais dados a empresa tem dele, e o direito de pedir eliminação. No NelliaOS, isso vira API. O DPO digita o CPF ou e-mail do titular, recebe a lista completa de registros nominais, decide o que sai. A eliminação é propagada pra todos os agentes em segundos. O registro de que houve eliminação fica (com hash) sem o conteúdo eliminado (pra não recriar o dado por inferência).

Onde a coisa pode dar errado

  • Treino de modelo: o NelliaOS não treina LLM em cima do dado do cliente. Os modelos rodam stateless por inferência. Não tem fine-tune por padrão
  • Cross-tenant: o Guardian veta qualquer ação que leia dado de tenant A enquanto opera tenant B. Isolamento garantido em nível de banco (row-level security) e em nível de prompt
  • Provedores upstream: se você usa Claude, OpenAI ou Gemini pela API, o contrato deles vale. A Nellia operacionaliza zero-retention quando o provider oferece (Claude oferece, default ON)

O que entregamos pro auditor

Numa auditoria LGPD, o cliente recebe: relatório do audit log filtrado por janela, lista de bases legais usadas por operação, política de retenção por classe de dado, evidência de minimização (campos lidos vs disponíveis), e o relatório de eliminações executadas. Tudo isso é gerado direto do hash-chain, não precisa montar relatório manual.

Auditor não quer ouvir como funciona. Quer ver onde está. O NelliaOS entrega o onde por padrão.

Funciona porque compliance não é módulo extra, é como o sistema foi escrito. Auditoria é o estado natural, não o evento excepcional.