Fornecedores de IA com DPA, SCCs e TIA
Usar o OpenAI sem DPA é uma transferência internacional sem base legal.
Marco / norma: GDPR Cap. V + Art. 28 · EU AI Act Art. 25 · ISO/IEC 42001 A.10
Ativar autodescições com OpenAI parece inofensivo. Legalmente é enviar dados para um sub-encarregado, possivelmente fora da UE. Tens o DPA assinado? E as SCCs? E o TIA?
O Linedat modela cada fornecedor de IA como entidade versionada, com a sua cadeia de responsabilidade e o estado da sua documentação legal.
A cadeia controller → processor → sub-processor
Cada fornecedor regista o seu tipo, jurisdição, mecanismo de transferência (SCCs, adequação, BCR), datas de assinatura do DPA e das SCCs, o resultado do TIA (pós-Schrems II) e os seus sub-encarregados. Antes de ativar uma funcionalidade de IA, podes demonstrar que a base legal da transferência está em ordem.
Versionamento e renovação
O estado do DPA/SCCs/TIA é versionado, com historial, e a data de renovação fica marcada. Converte "julgo que sim, está algures" em "aqui está, versão 3, assinada a 12/03".
Os limites (o que não afirmamos)
A passagem a fornecedor "ativo" exige DPA registado, mas o TIA e os sub-encarregados são declarativos (registo manual, não questionário nem verificação do que o fornecedor declara realmente). O gate de runtime que impeça usar um fornecedor não permitido ainda não existe: é registo documental e auditado, não bloqueio em tempo real.
Como a Linedat ajuda
O Linedat integra o vendor risk de IA dentro do catálogo, não numa folha à parte: antes de a tua IA falar com um terceiro, já sabes se esse terceiro tem documentação — e os seus sub-encarregados.
Capacidades relacionadas
Antes de um DNI/NIF ou um IBAN saírem para o OpenAI, são anonimizados — no caminho crítico, não como opção.
Inventário de sistemas de IA por riscoO AI Act audita sistemas, não chamadas. Cada IA, inventariada com a sua classe de risco.
Direitos do titular (DSR) com relógio legalO direito do cidadão não se gere por e-mail: com relógio do Art. 12 e localização do dado via RoPA.
