1) Âmbito de aplicação e objectivos
A Telecajas utiliza a inteligência artificial (IA) para apoiar o atendimento ao cliente, a análise de documentos e dados, a redação assistida e a automatização de processos. Para estes efeitos, os dados pessoais estritamente necessários (por exemplo, nomes, encomendas, moradas e informações de faturação ) podem ser tratados de acordo com os princípios do Regulamento Geral de Proteção de Dados (RGPD) .
2) Papéis no tratamento
-
A Telecajas atua como Controladora de Dados .
-
Os fornecedores de IA atuam como Processadores de Dados , ao abrigo de um Adendo de Processamento de Dados (DPA) que incorpora instruções, confidencialidade, medidas técnicas e organizacionais, assistência no exercício de direitos e eliminação/devolução de dados (Art. 28 do RGPD).
3) Salvaguardas técnicas e organizacionais
A Telecajas aplica o princípio da “privacidade desde a conceção e por defeito” e exige que os seus fornecedores ofereçam, no mínimo, as seguintes garantias:
-
Não existe formação padrão de conteúdo empresarial: os nossos avisos e resultados não são utilizados para treinar modelos, exceto com ativação/consentimento explícito e documentado.
-
Encriptação em trânsito utilizando TLS (Transport Layer Security) e encriptação em repouso utilizando AES-256 (Advanced Encryption Standard, 256 bits) ou equivalente.
-
Controlos de acesso com MFA (Autenticação Multifator) e SSO (Single Sign-On) ; suporte para SAML (Security Assertion Markup Language) e/ou OIDC (OpenID Connect) ; gestão de funções e permissões e registos de auditoria .
-
Monitorização e resposta a incidentes 24 horas por dia, 7 dias por semana , testes de segurança (incluindo red teaming e testes ofensivos controlados) e abordagem de defesa em profundidade.
-
Retenção mínima e exclusão segura ; onde o serviço o permitir, não será retido qualquer conteúdo .
-
Residência/localização dos dados (por exemplo, na UE ), quando viável, e transferências internacionais com Cláusulas Contratuais Padrão (SCCs) e medidas complementares.
-
Avaliação de Impacto na Proteção de Dados (AIPD) – quando a utilização de IA pode envolver um elevado risco para os direitos e liberdades.
4) Normas e certificações exigidas
Damos prioridade a fornecedores com certificações internacionais como ISO/IEC 27001 (SGSI), ISO/IEC 27017 (controlos na cloud), ISO/IEC 27018 (PII na cloud pública) e ISO/IEC 27701 (gestão da privacidade); auditorias SOC 2 Tipo 2 (controlos operacionais avaliados ao longo do tempo, controlos de segurança, disponibilidade e confidencialidade dos dados); e registo CSA STAR (Cloud Security Alliance – Segurança, Confiança, Garantia e Risco) . Também exigimos conformidade com o RGPD e estruturas equivalentes (por exemplo, CCPA nos EUA). Para novas ferramentas de IA, exigimos níveis de conformidade substancialmente equivalentes.
5) Integrações e conectores
As integrações com repositórios empresariais (por exemplo, Google Drive , SharePoint , GitHub , Notion ) são ativadas e restringidas pela equipa de TI , aplicando o princípio do menor privilégio e a segregação de permissões . Todas as ligações estão sujeitas a controlos de acesso e rastreabilidade.
6) Fundamento jurídico e minimização
Tratamos os dados pessoais com base na execução do contrato e/ou num interesse legítimo (artigo 6.1. b/f do RGPD), aplicando minimização , pseudonimização e mascaramento quando apropriado. Realizamos a Avaliação de Impacto na Proteção de Dados (AIPD) em aplicações de IA que a exijam e documentamos as medidas de mitigação (incluindo a revisão humana).
7) Direitos das pessoas
A Telecajas garante o exercício dos direitos de acesso, retificação, eliminação, oposição, limitação do tratamento e portabilidade dos dados . Colaboramos com os responsáveis pelo tratamento de dados para responder prontamente e com rastreabilidade.
8) Preservação e supressão
Os dados tratados pelas ferramentas de IA são retidos apenas durante o tempo necessário, dependendo da finalidade e das obrigações legais/contratuais. Implementámos definições de exclusão segura e não retenção sempre que disponíveis.
9) Gestão de incidentes e transparência
Temos em vigor procedimentos de detecção, resposta e notificação . Em caso de violação de dados, a Telecajas notificará a Agência Espanhola de Proteção de Dados (AEPD) e os titulares dos dados, em conformidade com o RGPD. Mantemos a revisão humana das decisões com efeitos significativos, controlos contra o uso indevido e validação dos resultados gerados.
10) Atualizações do anexo
Este anexo será revisto e atualizado quando incorporarmos novas ferramentas de IA ou quando as garantias oferecidas pelos fornecedores sofrerem alterações substanciais, mantendo o mesmo nível de segurança, privacidade e conformidade descrito.
