Transformação do programa de privacidade com inteligência artificial e automação integrada | Análise
Análise

Transformação do programa de privacidade com inteligência artificial e automação integrada

Responsáveis pelo projeto: Renan Sancho (privacy PMO & corporate lawyer); Angela Fonseca (DPO & corporate lawyer) e Juliana Lopes (head of legal & data privacy) da VTEX

23 de October 18h30

DESAFIO

O time de Privacidade, alocado dentro da estrutura do Jurídico da VTEX - uma equipe enxuta composta por apenas três membros -, enfrentava um desafio relevante em uma grande empresa global de tecnologia, listada na bolsa de Nova York, com mais de 1.500 colaboradores, 2.400 clientes e operações em 43 países.

O principal obstáculo era engajar todas as áreas da empresa no preenchimento do ROPA (Record of Processing Activities ou Relatório de Atividades de Processamento de Dados Pessoais). Trata-se de um documento exigido por legislações de privacidade, que requer o registro detalhado de todas as atividades que envolvem o tratamento de dados pessoais, tanto em processos internos quanto na própria plataforma da empresa.

Para manter esse registro atualizado, é fundamental garantir a comunicação contínua com diferentes áreas da organização, que devem reportar como utilizam dados pessoais em suas rotinas. A estratégia tradicional para esse mapeamento é o envio de formulários para os stakeholders, os quais, muitas vezes, enfrentam barreiras como dificuldade de compreensão sobre o tema, receio de preenchimento incorreto, falta de tempo ou até desinteresse.

Além disso, é comum que as informações prestadas venham com erros conceituais, exigindo entrevistas complementares para validação e correção dos dados. Como exemplo, na primeira vez em que o ROPA foi elaborado, o processo levou cerca de seis meses para ser concluído e ainda restaram dúvidas sobre a completude do mapeamento, uma vez que o processo dependia exclusivamente da confiança nas respostas humanas.

Com o aumento da complexidade regulatória e a necessidade de uma gestão de compliance mais eficiente, ficou evidente que a ferramenta tradicional utilizada até então já não atendia às demandas do negócio, especialmente frente à crescente operação da empresa. Era preciso um novo modelo que oferecesse automação no mapeamento de dados, inclusive para outros pontos como gestão de solicitações dos titulares de dados (DSRs) e governança em inteligência artificial.

Diante desse cenário, o objetivo do time de Privacidade passou a ser a otimização do processo de elaboração do ROPA, reduzindo significativamente o tempo investido, minimizando a sobrecarga dos stakeholders e aumentando a precisão das informações coletadas.

Com isso, decidiu-se buscar soluções mais inovadoras no mercado, capazes de substituir a ferramenta tradicional até então utilizada, mesmo sendo considerada uma das líderes do setor.

SOLUÇÃO

Diante das limitações das ferramentas tradicionais e da crescente complexidade das demandas regulatórias, o time de Privacidade decidiu buscar soluções mais modernas e alinhadas à sua realidade operacional. Com abertura para inovação e disposição em testar novos players de mercado, partiu em busca de softwares que tivessem a inteligência artificial como elemento central de sua arquitetura. A constatação era evidente: se a ferramenta anterior, o OneTrust, embora robusta e consolidada, estava dificultando o trabalho, era hora de inverter essa lógica. A tecnologia deveria trabalhar a favor da equipe, e não o contrário.

Foi nesse contexto que a equipe identificou a solução chamada Trustworks, que trazia como diferencial o uso nativo de inteligência artificial para automatizar os processos de gestão de privacidade. A plataforma era capaz de ler e interpretar, de forma autônoma, toda a documentação técnica e de privacidade associada aos softwares, sistemas e fornecedores utilizados pela empresa, preenchendo automaticamente o ROPA com base nas informações extraídas.

A adoção dessa solução exigiu uma mudança de paradigma no modelo de mapeamento. Em vez da abordagem tradicional centrada em atividades, passou-se a adotar um modelo baseado em ferramentas e fornecedores. Isso trouxe ganhos imediatos de eficiência: uma mesma solução tecnológica geralmente contempla múltiplas atividades de tratamento de dados, o que reduz a necessidade de input humano e torna o mapeamento mais preciso e abrangente.

O fator decisivo para a escolha da plataforma foi a possibilidade de integração direta com os sistemas corporativos da empresa, incluindo a infraestrutura de TI e, especialmente, a integração via API com o ambiente Google. Essa funcionalidade permitiu que todos os fornecedores digitais utilizados fossem automaticamente identificados e mapeados, restando ao time apenas a responsabilidade de incluir manualmente os poucos fornecedores com atuação exclusivamente física.

Com isso, o time passou a contar com um processo altamente automatizado, no qual o preenchimento do ROPA é feito com base em análises conduzidas por uma IA treinada especificamente para temas de privacidade e proteção de dados, restando apenas um trabalho simplificado de revisão posterior. Essa virada não apenas reduziu o esforço operacional envolvido, como também elevou o grau de precisão e consistência das informações documentadas.

IMPLEMENTAÇÃO

Para viabilizar uma implementação ágil e estratégica, a empresa adotou uma abordagem de parceria com o fornecedor, posicionando-se como flagship client — ou seja, cliente-vitrine. Essa condição trouxe benefícios expressivos: além de um desconto significativo na contratação da ferramenta, mesmo com seu alto nível de inovação tecnológica e uso intensivo de IA, a empresa teve prioridade total na implementação. O investimento foi bem acolhido pelas lideranças financeiras, pois conciliava inovação com responsabilidade orçamentária, já que não houve aumento de custo operacional para a implementação de uma inovação e melhoria tecnológica.

Outro fator decisivo foi o suporte direto do fornecedor durante todo o processo de transição. A equipe da nova ferramenta ficou responsável por realizar toda a migração de dados da solução anterior, o que reduziu a sobrecarga interna e garantiu continuidade operacional. Esses elementos foram determinantes para a decisão de migração de sistema.

A implementação seguiu um cronograma estruturado, com envolvimento de diversos stakeholders internos:

  • Time de Compras, para negociação contratual e formalização do acordo;
  • Time de TI, para viabilizar as integrações da ferramenta com os sistemas corporativos, via API;
  • Time de Privacidade, responsável por validar as informações extraídas e processadas pela IA no ROPA.

Com as integrações ativas, a plataforma passou a desempenhar de forma autônoma uma série de tarefas que antes demandavam alto esforço manual. A IA foi capaz de:

  • Identificar e descrever as atividades de tratamento com base nos sistemas utilizados pela empresa;
  • Avaliar toda a documentação técnica e de privacidade dos sistemas mapeados;
  • Definir automaticamente as bases legais aplicáveis a cada atividade;
  • Identificar os tipos de dados pessoais tratados;
  • Avaliar fatores de risco em cada atividade de tratamento;
  • Mapear, de forma contínua, atualizações nas documentações dos sistemas integrados.

Adicionalmente, a ferramenta conta com um módulo dedicado ao mapeamento de sistemas com uso de inteligência artificial, que realiza uma análise automatizada cruzando as informações encontradas com os critérios de risco definidos pelo EU AI Act. Esse recurso permitiu à empresa iniciar, de forma antecipada, seu programa de gestão e governança em IA colocando o tema sob a responsabilidade do time jurídico e em alinhamento com as regulamentações internacionais emergentes.

Outro componente estratégico da plataforma é o módulo "Initiatives", que permite a qualquer área da empresa submeter propostas de novos projetos que envolvam o uso de dados pessoais. Isso promove uma cultura de governança preventiva, integrando o tema da privacidade de maneira transversal e proativa em toda a organização, antecipando riscos e orientando decisões desde a concepção dos projetos.

A soma dessas funcionalidades, especialmente o uso de IA para automação, o módulo de governança de IA e a capacidade de integração com sistemas internos, consolidou a plataforma como uma ferramenta essencial para a nova fase da gestão de privacidade da empresa.

RESULTADO

Os resultados alcançados com a implementação da nova ferramenta foram expressivos e transformadores. A atualização do ROPA, que anteriormente consumia cerca de seis meses de trabalho, passou a ser concluída em apenas um mês, com maior assertividade no mapeamento das atividades de tratamento. A simplicidade de uso da plataforma e seus recursos impulsionados por inteligência artificial permitiram uma verdadeira mudança de patamar nas operações de privacidade, reduzindo significativamente a carga de trabalho e ampliando a eficiência em todos os aspectos, fazendo com que o time de privacidade pudesse focar ainda mais em projetos mais estratégicos.

A migração da ferramenta anterior ocorreu de forma fluida e sem atritos, sendo concluída em apenas duas semanas, o que garantiu continuidade das operações de compliance e engajamento imediato dos stakeholders no novo sistema. Logo na segunda semana de uso, já houve uma redução perceptível das tarefas manuais, mesmo com o desafio de operar com times autônomos e distribuídos globalmente. Os processos automatizados e a IA simplificaram especialmente o atendimento às solicitações dos titulares de dados (DSRs), melhorando os tempos de resposta e liberando a equipe para atividades mais estratégicas.

A nova solução também proporcionou:

  • Mapeamento de dados em tempo real e insights acionáveis: a plataforma passou a oferecer recomendações automatizadas para otimizar descrições de atividades, bases legais e períodos de retenção, reduzindo drasticamente o esforço manual.
  • Gestão automatizada do ROPA: a integração com o ecossistema interno da empresa permitiu que as atualizações do relatório fossem feitas de forma contínua, sem a necessidade de grandes intervenções da equipe.
  • Automação eficiente dos fluxos de atendimento aos direitos dos titulares (DSRs): a implementação de fluxos personalizados agilizou as respostas às requisições dos titulares, com ganhos expressivos de eficiência e padronização.

Além dos ganhos operacionais, a ferramenta também se mostrou essencial para impulsionar a governança em inteligência artificial. O módulo de AI Governance passou a identificar automaticamente quais sistemas utilizam IA e a classificar seus riscos de acordo com o EU AI Act, oferecendo recomendações práticas de mitigação. Isso permitiu que a empresa iniciasse de forma antecipada seu programa de governança em IA, alinhado às melhores práticas regulatórias internacionais.

Por fim, a adoção do módulo Initiatives possibilitou a integração transversal da privacidade no dia a dia das áreas de negócio, incentivando uma cultura organizacional de responsabilidade e prevenção desde a concepção dos projetos.

Com a contratação da Trustworks, a empresa obteve:

  • Maior precisão no mapeamento de dados;
  • Redução do esforço operacional do time de Privacidade;
  • Automatização de fluxos críticos de compliance;
  • Fortalecimento da cultura de privacidade e responsabilidade no uso de IA.

A iniciativa se consolidou como um caso exemplar de adoção de legaltech com impacto mensurável e estratégico, reforçando o papel do time jurídico da empresa como referência em inovação jurídica corporativa.

Análise DNAIA nos departamentos jurídicosPrêmio Análise DNA+FenalawVTEX