Avaliação de Impacto sobre a Proteção de Dados (DPIA)

1. Âmbito e obrigação legal

O art. 35 do RGPD obriga a realizar uma DPIA quando o tratamento, pela sua natureza, âmbito ou finalidades, possa implicar um risco elevado para os direitos e liberdades das pessoas. A Afini.ai trata categorias especiais de dados (art. 9 RGPD: traços psicológicos, valores, vínculo, humor, orientação temporal, contexto vital) sobre os quais aplica algoritmos automatizados. Por isso esta DPIA é viva: é revista pelo menos anualmente e sempre que se introduz uma nova camada, um novo modelo ou uma alteração substantiva da base jurídica.

2. Mapa do tratamento

Identificação (e-mail, idioma), dados de pagamento (processados pela Stripe — a Bilbao AI não armazena PAN nem dados bancários), respostas a questionários psicométricos, conversas com a IA, camadas declaradas (vital, ritmos, trajetória, hobbies, etc.), métricas de uso do proxy LLM e eventos de auditoria. Subcontratantes: Stripe (pagamentos), Anthropic (LLM sob DPA — apenas processa, não treina com o seu conteúdo), Resend (e-mail transacional), Holded (faturação TicketBAI), Railway (hosting europeu), Cloudflare (CDN/WAF), Sentry (monitorização europeia de erros).

3. Riscos identificados

• Risco de inferência sensível: a combinação das camadas pode revelar estados psicológicos não declarados explicitamente.
• Risco de reidentificação: os dados pseudonimizados podem voltar a ligar-se ao titular se forem cruzados com fontes externas.
• Risco de uso secundário: que terceiros utilizem o AfiniTwin ou as narrativas para fins diferentes dos consentidos.
• Risco de viés algorítmico: que os modelos LLM reproduzam vieses ao interpretar o perfil.
• Risco de transferência internacional: embora o tratamento principal seja europeu, a API da Anthropic processa o conteúdo sob DPA com cláusulas contratuais-tipo da UE (SCC).

4. Medidas de mitigação

• Cifragem em trânsito (TLS 1.2+) e em repouso (AES-256) em todas as camadas; segregação da base de dados em infraestrutura europeia (Railway eu-west).
• Consentimento granular e revogável por camada com auditoria de cada alteração (ver a aba Consentimentos no seu painel).
• Minimização: cada conversa com a IA recebe apenas o subconjunto estritamente necessário do perfil; o conteúdo nunca é utilizado para treinar modelos.
• Auditoria de viés nos prompts do proxy e revisão humana periódica das narrativas geradas.
• Anonimização agressiva em logs e métricas: hashes salgados de IP, sem conteúdo conversacional, retenção limitada (90 dias no Sentry, 30 dias nos logs aplicacionais).
• Procedimento documentado de notificação de violação (art. 33 RGPD) em menos de 72 h com cadeia de custódia documentada.

5. Revisão e governança

A DPIA é revista pelo menos uma vez por ano e obrigatoriamente sempre que se incorpora uma camada nova, um modelo novo ou uma funcionalidade de alto impacto (por exemplo, exportação a terceiros). O responsável pelo tratamento aprova cada revisão e a data fica registada no Documento de Segurança. Os utilizadores profissionais e as empresas podem solicitar acesso ao resumo alargado mediante a assinatura de um acordo de confidencialidade.