Checklist do contrato de operador para infraestrutura IA

25 perguntas de verificação para contratos de processamento de dados em infraestrutura de IA empresarial.

Um contrato de operador de dados para infraestrutura de IA deve cobrir dez áreas que contratos SaaS padrão não regulam: políticas de registro de prompts, separação de ambientes (dev/staging/produção), cadeias de provedores de modelos, processamento de dados in-flight vs. at-rest, proteção de dados de embeddings RAG, acesso de terceiros países a dados de produção, conformidade com sigilo profissional, tokenização PII, trilhas de auditoria do Decision Layer e verificabilidade de medidas técnicas. Este checklist traduz as dez lacunas em 25 perguntas concretas de verificação.

A análise detalhada das dez lacunas está disponível no artigo: Contrato de operador IA: O que falta no seu contrato padrão.

A — Categorias de dados e finalidades de tratamento

1

Os conteúdos de prompts e respostas do modelo estão listados como categorias de dados independentes no contrato?

2

Está estabelecido que a responsabilidade pela classificação do conteúdo recai sobre a organização, não sobre o provedor?

3

Os embeddings/vetores estão classificados como dados potencialmente pessoais?

4

O contrato contempla categorias especiais de dados sensíveis que podem surgir por entradas de usuários?

B — Registro e monitoramento

5

O registro de corpos de requisição/resposta no ambiente de produção está desativado?

6

Quais metadados são registrados (códigos de status, latências, IDs de requisição)?

7

O registro de depuração em produção está verificavelmente desativado?

8

Os rastreamentos de pilha e mensagens de erro estão configurados para excluir dados de conteúdo dos logs?

9

A verificação das configurações de registro é parte do processo de lançamento?

C — Separação de ambientes e acesso

10

Existem ambientes separados (dev, staging, produção) com políticas de dados distintas?

11

Os ambientes dev/staging contêm exclusivamente dados sintéticos ou anonimizados?

12

O acesso à produção está restrito a funções autorizadas em jurisdição adequada conforme Art. 33 LGPD?

13

Existe um procedimento de exceção documentado para casos de suporte com acesso a dados?

D — Provedores de modelos e sub-operadores

14

A delimitação está clara: Quais provedores são sub-operadores do provedor e quais operam no tenant da organização?

15

A retenção de conteúdo nos provedores de modelos está desativada?

16

A exclusão do uso para treinamento está documentada contratualmente?

17

Onde estão localizados os endpoints dos modelos (região UE, US, outros)?

E — Armazenamento e exclusão de dados

18

Está estabelecido onde os dados de conteúdo persistentes são armazenados (banco de dados, região, provedor)?

19

Qual retenção de backup se aplica e como os dados excluídos são tratados nos backups?

20

O usuário individual pode excluir seus próprios dados dentro da aplicação?

F — Setores regulados

21

O contrato contém disposições de conformidade com sigilo profissional conforme legislação setorial brasileira?

22

Existem compromissos de confidencialidade para todas as pessoas com acesso?

23

A tokenização PII está disponível como módulo opcional?

G — Governança e verificabilidade

24

Uma trilha de auditoria para decisões de agentes está ancorada como componente contratual?

25

As medidas técnicas e organizacionais podem ser evidenciadas sob solicitação (documentação de configuração, extratos de logs anonimizados)?

Este checklist é um catálogo de requisitos da perspectiva de arquitetura e governança. Não constitui assessoria jurídica. A análise legal e a avaliação formal do contrato são responsabilidade do departamento jurídico do controlador ou de consultores externos.

Perguntas frequentes

Este checklist substitui assessoria jurídica?

Não. O checklist é um catálogo de requisitos da perspectiva de arquitetura e governança. Ajuda a formular as perguntas certas ao provedor de IA. A análise legal permanece responsabilidade do departamento jurídico.

Para qual tamanho de organização este checklist é relevante?

Para qualquer organização que implante agentes de IA com acesso a dados pessoais, independentemente do tamanho. As perguntas sobre sigilo profissional e compliance setorial são específicas e podem ser omitidas se não se aplicarem.

De onde vêm as 25 perguntas?

Da experiência prática com projetos de infraestrutura de IA empresarial. Cada pergunta aborda uma lacuna que contratos SaaS padrão não cobrem para infraestrutura de IA. A análise detalhada está no artigo da revista.

Como sua infraestrutura de IA pontua no check do contrato?

Avaliamos sua configuração contra os 25 requisitos.

Agendar conversa