Em qualquer indústria onde clientes confiam dados sensíveis à empresa, o trust boundary é a primeira restrição de projeto de qualquer produto baseado em IA. Não é cláusula — é arquitetura. Aqui está como Clareo Labs trata isso, da decisão de projeto à execução.
Não é compliance reativa retrofitada depois do go-live. É decisão de projeto desde o discovery. Cada iniciativa Clareo nasce com base legal LGPD declarada, mapeamento de dados pessoais, tempo de retenção, finalidade e direitos dos titulares.
A camada de IA opera DENTRO do perímetro de dados do cliente — nunca em sistemas que requerem que dados saiam da empresa para serem processados. Quando um modelo externo é usado, é via integração que respeita o perímetro (vendor com DPA assinado, processamento em região contratada, sem treino sobre dados do cliente).
Toda iniciativa Clareo carrega audit trail vivo: o que foi proposto pela IA, em que contexto, com base em que dados, o que o humano decidiu, quando, por quê. Não é "caixa-preta". É evidência reproduzível para auditoria interna e externa.
O que "LGPD-by-design" significa quando uma iniciativa Clareo entra em produção:
| Etapa | O que acontece | Artefato vinculante |
|---|---|---|
| Discovery | Identificação de dados pessoais envolvidos, base legal, finalidade, retenção e mapeamento de transferências. | RIPD (Relatório de Impacto à Proteção de Dados) versão 0.1 |
| Design | Arquitetura define onde dados ficam, quem acessa, como anonimizar, qual o ciclo de aposentadoria. | RIPD v1.0 + DPIA Anexo Técnico |
| Build | Implementação respeita o desenho. Logs de acesso ativos. Dados pessoais minimizados ou anonimizados onde possível. | Audit trail iniciado |
| Operate | Monitoramento contínuo de acessos. Direitos dos titulares (acesso, correção, eliminação) endereçáveis em SLA. | Painel de governança no Comitê quinzenal |
| Retire | Quando iniciativa é descomissionada, dados pessoais são apagados ou anonimizados conforme política. | Termo de descomissionamento + log assinado |
Clareo Labs não substitui frameworks reconhecidos — herda deles. Cada pilar Clareo ancora em um ou mais padrões internacionais, garantindo legitimidade defensável e facilitando auditorias futuras.
| Pilar Clareo | NIST AI RMF | ISO/IEC 42001 | EU AI Act | OECD |
|---|---|---|---|---|
| Estratégia Viva & Tese | GOVERN.1 | §4, §5.2 | Indireto | #1 |
| Dados | MAP.3, MEASURE.1 | §7.1 | Art. 10 | #3 |
| Modelos, Agentes & Aplicações | MEASURE, MANAGE | §8 | Art. 13–15 | #4 |
| Risco, Ética & Compliance | MAP.5, MANAGE.4 | §6.1, §10 | Todo o Ato | #2/#3/#4 |
| Pessoas, Cultura & Capacitação | GOVERN.4 | §7.2, §7.3 | Art. 4 | #5 |
| Operating Model & Comitê | GOVERN | §5, §9 | Art. 17 | #5 |
| Fornecedores & Tecnologia | MAP.4 | §8.4 | Art. 25 | #5 |
| KPIs Gerenciados & ROI | MEASURE.2 | §9.1 | Indireto | #1 |
| Company Brain (transversal) | MAP.1, MAP.2 | §4, §7.5 | Art. 11–12 | #3 |
Síntese: Clareo herda governança do NIST, estrutura do ISO 42001, taxonomia de risco do EU AI Act e ética alto-nível do OECD. O diferencial está fora dessa intersecção: foco em performance, gestão operada, KPIs vivos, Company Brain como pilar transversal e operating model real (Comitê com cadência, não advisory board).
Não. Vendors externos contratados pela Clareo passam por DPA com cláusula explícita de no-train-on-customer-data. Onde o modelo de fundo não permite essa cláusula, ele não é usado em iniciativas Clareo.
Toda decisão com impacto material passa por human-in-the-loop. A IA propõe; humano decide. Para casos de alta repetibilidade (conciliação, resposta inicial de SAC), usamos validação cruzada de modelos + auditoria amostral pelo Comitê.
O framework Clareo herda do EU AI Act, que define o piso regulatório que a maior parte das jurisdições (incluindo Brasil) tende a aproximar. Atualizações maiores são absorvidas na revisão anual do framework. Clientes em Comitê recebem nota de impacto antecipada.
Sim. Cada iniciativa em produção carrega audit trail exportável (decisões, dados de entrada, logs de acesso, atas de comitê). Para auditoria de governança de IA, o framework Clareo está alinhado com ISO/IEC 42001 — quando o cliente decidir buscar certificação, a infraestrutura já está montada.
Accountability é declarada por iniciativa: cada agente em produção tem owner humano, métrica de qualidade, gate de promoção e critério de aposentadoria. Para decisões com impacto material, há human-in-the-loop. Falhas com impacto material disparam o processo de incident response (4 horas para acionamento, 24h para postmortem inicial).
O Board AI Governance Pack é um dos cinco pacotes Clareo. Em 30-45 dias, seu Conselho recebe política de uso de IA, charter de comitê, taxonomia de risco EU AI Act-style, fluxo de aprovação, audit trail-template e treinamento C-level.
Solicitar Operating Assessment