Relatório de Impacto à Proteção de Dados Pessoais
Versão 1.0.0. Documento público informativo. Este RIPD/DPIA deve ser revisado pelo controlador antes do go-live comercial e pode ser submetido à revisão jurídica externa.
1. Identificação do controlador
Controlador: NEXORA ComprasGov.AI, plataforma digital para apoio a profissionais que atuam em compras públicas brasileiras.
Canal de privacidade/DPO: privacidade@nexora.ai. O encarregado definitivo será designado pelo controlador antes da abertura comercial em modo Stripe live.
Fontes normativas de referência:
- Lei Geral de Proteção de Dados Pessoais, Lei 13.709/2018, especialmente arts. 6, 7, 18 e 38: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709compilado.htm
- Orientação ANPD sobre Relatório de Impacto à Proteção de Dados Pessoais: https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/relatorio-de-impacto-a-protecao-de-dados-pessoais-ripd
- Lei 14.133/2021, especialmente arts. 156 e 174: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2021/lei/L14133.htm?origin=instituicao
2. Escopo das operações de tratamento
Este relatório cobre o produto PF do NEXORA ComprasGov.AI, incluindo:
- Descobre.AI: chat de consulta assistida por inteligência artificial.
- Planeja: chat-wizard e formulários de DFD, ETP, TR e riscos.
- Preços M2: apoio à pesquisa de preços, análise crítica e documentos relacionados.
- Audit chain: cadeia de auditoria de documentos e eventos de integridade.
- Uploads: anexos enviados pelo usuário, com hash SHA-256, validação de tipo e fluxo de antivírus quando disponível no backend.
- Billing PF: cadastro, assinatura e portal de cobrança por Stripe.
3. Categorias de dados
Dados de conta: nome, e-mail, identificador de usuário, perfil, plano, tenant quando aplicável, eventos de login e configurações.
Dados de uso: prompts, respostas, preferências, configurações de estilo, documentos gerados, eventos de auditoria e logs técnicos minimizados.
Dados de contratação pública: descrições de objeto, justificativas, requisitos, estimativas, riscos, referências legais, fontes de preços, anexos e metadados de processo.
Dados de pagamento: identificadores de cliente, assinatura, checkout e eventos de cobrança processados pela Stripe. Dados completos de cartão não trafegam pela NEXORA.
Dados potencialmente pessoais inseridos pelo usuário: nomes de servidores, e-mails, telefones ou outros dados em texto livre. O produto instrui o usuário a evitar dados sensíveis ou desnecessários.
4. Finalidades e bases legais
Execução de contrato ou procedimentos preliminares: cadastro, autenticação, entrega dos módulos contratados, suporte e faturamento.
Interesse legítimo e segurança: prevenção a fraude, observabilidade, logs técnicos, rate limiting, investigação de incidentes e melhoria de confiabilidade.
Exercício regular de direitos e cumprimento de obrigação legal/regulatória: preservação de trilhas de auditoria, integridade documental, evidências de aceite, cumprimento da Lei 14.133/2021 e atendimento a titulares.
Políticas públicas e dados públicos: tratamento de dados provenientes de fontes oficiais como PNCP e bases governamentais quando usados em pesquisa de preços e contexto normativo.
Consentimento/opt-in específico: cookies analíticos opcionais e eventual contribuição futura de conteúdo pelo usuário.
5. Necessidade e proporcionalidade
O tratamento se limita ao necessário para entregar apoio técnico ao usuário PF. O produto evita coletar dados sensíveis como requisito de funcionamento e aplica minimização por padrão:
- cookies de autenticação httpOnly e CSRF separado;
- mascaramento de texto e inputs em replay/observabilidade;
- redação de PII em logs;
- upload com validação de MIME, magic bytes, tamanho e hash;
- separação entre conversa purgável e trilha documental imutável;
- política de retenção distinta por superfície.
6. Compartilhamento e operadores
A NEXORA pode utilizar operadores para hospedagem, observabilidade, IA e pagamentos, sempre com finalidade limitada:
- Vercel e Railway: hospedagem, runtime e deploy.
- Stripe: checkout, assinaturas e webhooks.
- Sentry/PostHog: observabilidade, com mascaramento de texto e inputs.
- Provedores de IA como Anthropic, OpenAI e Google: processamento de prompts e respostas conforme roteamento configurado.
- Serviços de e-mail ou suporte: comunicações operacionais quando habilitados.
7. Riscos identificados
| Risco | Probabilidade | Impacto | Medidas | | --------------------------------------------------------------- | ------------- | ------- | ------------------------------------------------------------------------------------------- | | Usuário inserir dado sensível em prompt livre | Média | Alto | Avisos, termos proibindo input sensível, redação PII, mascaramento em logs | | Vazamento por observabilidade ou replay | Baixa | Alto | maskAllText, maskAllInputs, sanitizacao de headers/cookies/querystrings | | Retenção excessiva de conversa | Média | Médio | Separação chat purgável versus audit chain, purge granular LGPD | | Inconsistência entre direito de eliminação e dever de auditoria | Média | Alto | Hash pré-purge sem PII, trilha documental apartada, retenção legal documentada | | Upload malicioso | Média | Alto | Validação client-side, hash SHA-256, quarentena/AV backend em contrato próprio | | Decisão automatizada sem revisão humana | Média | Alto | Banner Art. 156, aceite de responsabilidade, produto como apoio e não substituto de decisão | | Acesso indevido por sessão expirada | Baixa | Alto | JWT curto, refresh httpOnly, middleware fail-closed, CSRF |
8. Medidas técnicas e organizacionais
- Autenticação com cookies httpOnly, SameSite e CSRF.
- CSP aplicada por middleware.
- Redação de PII e mascaramento de replays.
- Registro de aceites legais com hash do documento aceito.
- Controle de versão de documentos jurídicos.
- Status page pública para comunicação de incidentes.
- Rotas públicas de termos, política e DPIA acessíveis sem login.
- Processo de resposta a titulares por canal de privacidade.
- Revisão humana obrigatória de conteúdo gerado por IA.
9. Retenção
Conversas e textos livres do chat seguem política de retenção operacional e podem ser apagados por controle do usuário quando a finalidade permitir.
Documentos, hash, trilhas de auditoria e eventos necessários para defesa técnica e integridade da contratação podem observar retenção superior, inclusive até 20 anos quando vinculados a deveres de transparência, auditoria e Lei 14.133/2021.
Dados de billing seguem prazos fiscais, contábeis e de defesa contra fraude ou contestações.
10. Direitos dos titulares
O titular pode solicitar acesso, confirmação de tratamento, correção, portabilidade, revisão, informação sobre compartilhamento, eliminação quando aplicável e oposição. O canal inicial é privacidade@nexora.ai. A interface dedicada de privacidade em /configuracoes/privacidade é evolução prevista.
11. Avaliação residual
Com as medidas atuais, o risco residual é aceitável para beta/GA PF condicionado a:
- aprovação do controlador;
- designação do encarregado/canal definitivo;
- validação do contrato backend de documentos legais;
- validação de antivírus self-hosted ou contrato operacional equivalente;
- revisão jurídica externa se Hélio decidir exigir antes do Stripe live.
12. Decisão de prosseguir
Decisão técnica preliminar: prosseguir com go-live somente após aceite ativo de Termos e Política, publicação desta DPIA, Status page ativa, monitoramento de incidentes e fechamento do contrato backend de persistência legal.