Avaliação de Impacto sobre a Proteção de Dados (DPIA)

Resumo executivo público. O documento completo é mantido no Documento de Segurança da Bilbao AI S.L. e está à disposição da Autoridade de Controlo (AEPD espanhola) quando solicitado.

1. Âmbito e obrigação legal

O art. 35 do RGPD obriga a realizar uma DPIA quando o tratamento, pela sua natureza, âmbito ou finalidades, possa implicar um risco elevado para os direitos e liberdades das pessoas. A Afini.ai trata categorias especiais de dados (art. 9 RGPD: traços psicológicos, valores, vínculo, humor, orientação temporal, contexto vital) sobre os quais aplica algoritmos automatizados. Por isso esta DPIA é viva: é revista pelo menos anualmente e sempre que se introduz uma nova camada, um novo modelo ou uma alteração substantiva da base jurídica.

2. Mapa do tratamento

Identificação (e-mail, idioma), dados de pagamento (processados pela Stripe — a Bilbao AI não armazena PAN nem dados bancários), respostas a questionários psicométricos, conversas com a IA, camadas declaradas (vital, ritmos, trajetória, hobbies, etc.), métricas de uso do proxy LLM e eventos de auditoria. Subcontratantes: Stripe (pagamentos), Anthropic (LLM sob DPA — apenas processa, não treina com o seu conteúdo), Resend (e-mail transacional), Holded (faturação TicketBAI), Railway (hosting europeu), Cloudflare (CDN/WAF), Sentry (monitorização europeia de erros).

3. Riscos identificados

Risco de inferência sensível: a combinação das camadas pode revelar estados psicológicos não declarados explicitamente.
Risco de reidentificação: os dados pseudonimizados podem voltar a ligar-se ao titular se forem cruzados com fontes externas.
Risco de uso secundário: que terceiros utilizem o AfiniTwin ou as narrativas para fins diferentes dos consentidos.
Risco de viés algorítmico: que os modelos LLM reproduzam vieses ao interpretar o perfil.
Risco de transferência internacional: embora o tratamento principal seja europeu, a API da Anthropic processa o conteúdo sob DPA com cláusulas contratuais-tipo da UE (SCC).

4. Medidas de mitigação

Cifragem em trânsito (TLS 1.2+) e em repouso (AES-256) em todas as camadas; segregação da base de dados em infraestrutura europeia (Railway eu-west).
Consentimento granular e revogável por camada com auditoria de cada alteração (ver a aba Consentimentos no seu painel).
Minimização: cada conversa com a IA recebe apenas o subconjunto estritamente necessário do perfil; o conteúdo nunca é utilizado para treinar modelos.
Auditoria de viés nos prompts do proxy e revisão humana periódica das narrativas geradas.
Anonimização agressiva em logs e métricas: hashes salgados de IP, sem conteúdo conversacional, retenção limitada (90 dias no Sentry, 30 dias nos logs aplicacionais).
Procedimento documentado de notificação de violação (art. 33 RGPD) em menos de 72 h com cadeia de custódia documentada.

5. Revisão e governança

A DPIA é revista pelo menos uma vez por ano e obrigatoriamente sempre que se incorpora uma camada nova, um modelo novo ou uma funcionalidade de alto impacto (por exemplo, exportação a terceiros). O responsável pelo tratamento aprova cada revisão e a data fica registada no Documento de Segurança. Os utilizadores profissionais e as empresas podem solicitar acesso ao resumo alargado mediante a assinatura de um acordo de confidencialidade.

És profissional ou empresa? Solicita o DPA

Se vais tratar dados dos teus clientes através da Afini.ai, o art. 28 RGPD exige assinar um Acordo de Subcontratante (DPA). Enviamos-te o modelo em menos de 48 h.

Descarregar DPA (PDF)Descarregar DPA editável (DOCX)Contactar para dúvidas

Modelo preparado para contrassinatura: descarrega-o, preenche os teus dados na secção de assinaturas, assina-o e envia-o para privacidad@afini.ai. Contrassinamo-lo e devolvemos-te o PDF selado em menos de 48 horas.

Suplemento v2.0 (9 de maio de 2026): integrações publicitárias e analíticas

A partir de 9 de maio de 2026, a Afini.ai ativa de forma controlada as seguintes integrações publicitárias e analíticas, todas condicionadas ao consentimento prévio do usuário manifestado através do banner de cookies com quatro categorias (Google Consent Mode v2, valor padrão denied):

Google Tag Manager (GTM) como contêiner de tags — sem identificadores até o consentimento.
Google Analytics 4 (GA4) com cookies _ga, _ga_*; IP anonimizado no EEE; retenção de 14 meses.
Google Ads Conversion Tracking com cookies _gcl_au, _gcl_aw, _gcl_dc; janela de atribuição de 30 dias.
Google Ads Enhanced Conversions — transmissão ao Google do hash SHA-256 do e-mail do usuário para melhorar a atribuição.
Google Ads Offline Conversions — chamada server-to-server do webhook checkout.session.completed da Stripe para a API do Google Ads (ConversionUploadService), condicionada ao consentimento de marketing.
Audiências publicitárias — Remarketing Lists for Search Ads, Customer Match (com e-mail hasheado SHA-256 via UserDataService) e Similar Audiences. As pontuações de personalidade e o perfil cognitivo nunca são usados para construir essas audiências.
Plausible Analytics (sem cookies, sem consentimento) — hospedado na União Europeia (Estônia), métricas agregadas isentas conforme Diretrizes EDPB 03/2023.

Novo destinatário: Google LLC (EUA / rede global). Garantias aplicáveis: EU-U.S. Data Privacy Framework (DPF) + Cláusulas Contratuais Padrão (SCCs) + Transfer Impact Assessment realizado conforme Schrems II.

Resultado da atualização da DPIA: o risco residual permanece moderado-baixo. As medidas mitigadoras adicionadas são (1) Consent Mode v2 com valor padrão negado, (2) gate server-side da chamada Stripe→Google Ads baseado na flag de consentimento de marketing do usuário, (3) política expressa de não segmentar por personalidade, (4) banner de cookies com três botões equiprominentes e revogação reabrível a partir do rodapé.

Para o detalhe exaustivo (cookies específicos, prazos, bases jurídicas, tabela de destinatários e transferências), consulta a Política de Privacidade e a Política de Cookies na versão v2.0.

Última atualização: 6 de maio de 2026 (v2.0 — 9 de mayo de 2026)