O que está acontecendo
Ferramentas SaaS com IA embarcada — CRMs, ERPs, plataformas de atendimento, ferramentas de produtividade — usam LLMs para processar dados dos seus clientes.
O contrato padrão de SaaS, assinado antes da IA ser adicionada, raramente especifica: quais dados alimentam o modelo, se os dados são usados para re-treinamento do modelo, onde os dados são armazenados durante o processamento pelo LLM, e quem tem acesso.
A maioria dos usuários corporativos não sabe que os dados que inserem no SaaS estão sendo processados por um LLM de terceiro — possivelmente em infra fora do Brasil.
Por que isso é problema do CFO
Dados de clientes processados por LLM de terceiro sem base legal clara é potencial violação LGPD. Você é o controlador. A responsabilidade é sua.
Se o fornecedor usa os dados para re-treinar o modelo, você perdeu o controle sobre como esses dados são usados. E quando o titular pedir exclusão, você não consegue garantir que os dados foram removidos do modelo.
Para auditoria de controles de privacidade: ausência de DPA (Data Processing Agreement) específico para processamento por LLM é lacuna de controle.
O que acontece quando isso vai para auditoria
Auditores de privacidade vão perguntar: você sabe quais dados dos seus clientes são enviados para LLMs de terceiros? Se a resposta for não, você tem achado de controle inexistente.
Para o EU AI Act: processadores de dados que usam LLMs em sistemas de alto risco têm obrigações específicas. Contratos sem cláusula de IA são contratos com lacuna regulatória.
Impacto financeiro estimado
Violação LGPD por processamento sem base legal: multa de até 2% do faturamento, limitada a R$ 50 milhões. Agravante: o volume de dados afetados pode ser o total da base de clientes.
Risco de incidente: se o fornecedor sofrer violação, os dados dos seus clientes que estavam no LLM também foram comprometidos. Você notifica — não o fornecedor.
O que fazer
- Inventariar todos os SaaS que adicionaram IA nos últimos 24 meses — especialmente os que processam dados de clientes
- Para cada um: verificar se o contrato contempla processamento por LLM e se existe DPA específico
- Exigir aditivo contratual com: lista de LLMs utilizados, política de uso de dados no modelo, SLA de exclusão de dados, notificação prévia de mudanças de IA
- Para ferramentas que processam dados sensíveis: avaliar se é possível anonimizar antes de enviar ao LLM
- Incluir SaaS com IA no inventário de subprocessadores de dados da LGPD — atualizar o mapa de dados
"Se você não sabe o que o fornecedor faz com os dados que você envia ao LLM, você não tem controle sobre esses dados. E o regulador vai perguntar para você — não para o fornecedor."