TrustThis
Voltar ao início

Transparência de IA - TrustThis

Como funciona nossa Inteligência Artificial

Última atualização em: 15/10/2025

A TrustThis utiliza Inteligência Artificial para automatizar análises de privacidade e segurança. Esta página documenta como nossa IA funciona, seus limites e como garantimosgovernança responsável. Transparência algorítmica é parte essencial da nossa missão.

1. Visão Geral: Como Nossa IA Funciona

Nosso sistema de auditoria automatizada segue um pipeline de 5 etapas com revisão humana obrigatória:

1

Coleta de Dados Públicos

Raspagem automatizada de políticas de privacidade, termos de uso e documentação pública de empresas. Nenhum dado pessoal de usuários é enviado para IA.

2

Pré-processamento

Limpeza de HTML, normalização de texto, remoção de scripts. Reduz 30-40% do tamanho sem perda de informação.

3

Mapeamento de Evidências (opcional)

IA identifica seções relevantes para cada critério antes da auditoria completa. Melhora acurácia em 20-30%.

4

Auditoria Dual (Gemini + DeepSeek)

Dois modelos de IA analisam independentemente 90 critérios ISO 27001/27701. Sistema AITS v3 combina resultados via união lógica (reduz falsos negativos).

5

Revisão Humana Obrigatória

Especialista em privacidade revisa todos os resultados antes de publicação. IA sugere, humano decide.

💡 Princípio Fundamental:

IA é uma ferramenta de apoio, não um oráculo. Decisões finais sobre scores e recomendações sempre passam por revisão humana qualificada.

2. Princípios e Referências

Nosso sistema de IA é desenvolvido seguindo os seguintes frameworks e princípios internacionais:

📘 ISO 27001/27701/42001

  • ISO 27001: Segurança da informação (baseline)
  • ISO 27701: Privacidade (90 critérios AITS derivados daqui)
  • ISO 42001: Management System for AI (governança)

🇺🇸 NIST AI Risk Management Framework

  • Govern: Políticas e responsabilidades definidas
  • Map: Riscos de IA identificados e documentados
  • Measure: Métricas de performance e fairness
  • Manage: Mitigação contínua de riscos

🇪🇺 EU AI Act

  • Classificação: High-Risk System (Annex III, 5b)
  • Transparência: Obrigatória para usuários
  • Human Oversight: Revisão humana implementada
  • Contestation Rights: Direito de contestar decisões

🇧🇷 LGPD / 🇪🇺 GDPR

  • LGPD Art. 20: Direito de revisão de decisões automatizadas
  • GDPR Art. 22: Direito de não ser sujeito a decisões automatizadas
  • Explicabilidade: Justificativas claras para scores
→ ANPD (Autoridade Nacional de Proteção de Dados) | → Guia LGPD (gov.br)

🎯 Framework AITS (Propriedade TrustThis)

Sistema de 90 critérios derivados de ISO 27701, NIST Privacy Framework e GDPR. Avalia conformidade em privacidade e segurança de forma estruturada e auditável.

3. Onde Usamos IA

IA é utilizada em tarefas específicas onde demonstramos maior benefício vs. risco:

✅ Classificação de Critérios de Privacidade

O que faz: Analisa políticas de privacidade e classifica conformidade com 90 critérios ISO 27701.

Por que IA aqui: Volume de texto grande (10k-50k tokens), padrões complexos, múltiplas interpretações possíveis. Humano sozinho levaria 8-12 horas/auditoria. IA + humano: 30-60 minutos.

Revisão humana: ✅ Obrigatória antes de publicação

✅ Detecção de Mudanças em Políticas

O que faz: Compara versões de políticas e identifica mudanças significativas (novas coletas de dados, alterações em bases legais).

Por que IA aqui: Diff semântico é superior a diff textual. IA detecta "agora coletamos biometria" mesmo que redação tenha mudado completamente.

Revisão humana: ✅ Obrigatória para mudanças de alto impacto

✅ Resumos Explicativos

O que faz: Gera resumos em linguagem simples de achados técnicos (ex: "Esta empresa não especifica por quanto tempo mantém seus dados").

Por que IA aqui: Tradução de jargão técnico para linguagem acessível. Melhora UX sem comprometer acurácia.

Revisão humana: ✅ Sempre revisado para evitar simplificação excessiva

❌ O Que NÃO Fazemos com IA:

  • Decisões finais sem humano: IA sugere, especialista decide
  • Scoring de pessoas: Apenas empresas/sistemas são auditados, nunca indivíduos
  • Treinamento com dados de clientes: Modelos são externos (OpenAI, Google, DeepSeek). Não treinamos modelos próprios.
  • Decisões de contratação/crédito: Nossos scores não devem ser usados para decisões sobre pessoas
  • Análise de sentimentos: Não fazemos análise emocional ou psicográfica

4. Modelos e Provedores

Utilizamos roteamento via OpenRouter, que permite flexibilidade para escolher os melhores modelos por tarefa.

🤖 Modelos Principais (Sistema AITS v3):

Modelo Primário: Google Gemini 2.0 Flash Thinking

  • Provedor: Google LLC (via OpenRouter)
  • Context Window: 1M tokens (permite processar políticas extensas)
  • Por que escolhemos: Excelente em raciocínio legal/compliance, suporta thinking mode (mostra cadeia de pensamento)
  • Taxa de aprovação: ~38-46% dos 90 critérios (conservador, reduz falsos positivos)

Modelo Secundário: DeepSeek R1

  • Provedor: DeepSeek (via OpenRouter)
  • Context Window: 32k tokens
  • Por que escolhemos: Perspectiva diferente (treinamento diferente), ajuda a detectar falsos negativos do Gemini
  • Sistema Dual: União lógica (OR) - critério aprovado se qualquer modelo aprovar

🔒 Garantias de Privacidade:

  • Sem dados pessoais de usuários enviados: Apenas políticas públicas são processadas
  • Cache desativado: Nenhum dado é armazenado nos servidores de provedores de IA
  • Região de processamento: Estados Unidos (OpenRouter)
  • Salvaguardas contratuais: DPAs assinados, SCCs em vigor
  • Não usamos dados para treinar modelos: Modelos são externos e pré-treinados

Histórico de mudanças em modelos: Ver changelog completo de IA

5. Limitações e Riscos Conhecidos

IA não é perfeita. Documentamos abaixo os principais riscos conhecidos e como os mitigamos:

⚠️ Alucinação (Hallucination)

O que é: IA "inventa" fatos que não existem no documento.

Exemplo: Afirmar que empresa tem certificação ISO 27001 quando não há evidência disso na política.

Mitigação:

  • Dual audit (dois modelos precisam concordar ou aprovamos se ao menos 1 aprovar)
  • Revisão humana obrigatória verifica evidências citadas
  • Sistema de contestação permite usuários reportarem inconsistências

⚠️ Desatualização

O que é: Modelos de IA são treinados até uma data de corte. Mudanças legais recentes podem não ser conhecidas.

Exemplo: Lei aprovada em 2025, mas modelo treinado até 2024.

Mitigação:

  • Critérios ISO são estáveis (mudanças graduais)
  • Revisores humanos são atualizados continuamente sobre mudanças legais
  • Sistema de atualização de critérios via código (não depende apenas do modelo)

⚠️ Ambiguidade Documental

O que é: Políticas de privacidade vagas ou contraditórias levam a análises incertas.

Exemplo: "Podemos compartilhar dados com parceiros" - quais parceiros? Para quais fins?

Mitigação:

  • IA sinaliza quando texto é ambíguo ("evidência insuficiente")
  • Score reflete incerteza (critério não aprovado se não há clareza)
  • Recomendações incluem sugestão de clarificação para a empresa

🛡️ Sistema de Qualidade (QA):

  • Auditorias de auditorias: 10% das auditorias são revisadas por segundo especialista
  • Métricas de performance: Taxa de falsos positivos, falsos negativos monitoradas
  • Feedback loop: Contestações de usuários alimentam melhorias
  • Testes em casos conhecidos: Suite de 50 políticas com resultados esperados

6. Revisão Humana e Contestação

Revisão humana é obrigatória antes de qualquer resultado de auditoria ser publicado. IA acelera o processo, mas decisão final é sempre humana.

✅ Processo de Revisão Humana:

  1. Análise inicial por IA: Gemini + DeepSeek processam 90 critérios (30-60min)
  2. Validação técnica: Especialista em privacidade revisa evidências citadas pela IA (1-2h)
  3. Verificação de consistência: Score final reflete achados? Recomendações fazem sentido? (30min)
  4. Aprovação para publicação: Apenas após aprovação humana, resultado é visível

📝 Como Contestar uma Análise:

Se você discorda de um resultado de auditoria ou acredita que há erro, pode solicitar revisão:

1. Entre em Contato:

Email: privacy@trustthis.org

2. Forneça Detalhes:

  • Nome da empresa auditada
  • Critério(s) específico(s) contestado(s)
  • Evidência que suporta sua posição (link para seção da política, etc.)
  • Por que você acredita que a análise está incorreta

3. Revisão Independente:

Segundo especialista (não envolvido na análise original) revisa o caso com evidências de ambas as partes.

4. SLA de Resposta:

  • Confirmação de recebimento: 2 dias úteis
  • Análise preliminar: 5 dias úteis
  • Revisão completa + resposta: 10 dias úteis

5. Resolução:

Se revisão concluir que análise estava incorreta, score é atualizado e notificação é enviada. Se análise estava correta, fornecemos justificativa detalhada.

🔄 Auditoria 100% Humana (Opcional):

Para clientes enterprise, oferecemos fluxo de auditoria totalmente manual (sem IA) mediante solicitação. Tempo de entrega: 2-3 semanas. Custo adicional aplicável. Entre em contato: compliance@trustthis.org

7. Avaliações de Impacto de IA (AIA)

Realizamos Avaliações de Impacto de IA periodicamente para identificar e mitigar riscos de viés, discriminação e outros impactos adversos.

📊 Quando Realizamos AIAs:

  • Antes do lançamento de novo sistema de IA (baseline)
  • A cada 6 meses (revisão periódica)
  • Após mudanças significativas em modelos ou critérios
  • Quando identificamos comportamento inesperado
  • Mediante solicitação de autoridades regulatórias

📈 Métricas de Fairness (Resumo Público):

Última AIA: Outubro 2025 (baseline)

Taxa de Aprovação por Categoria:

  • Empresas pequenas (<50 func.): 32% critérios aprovados
  • Empresas médias (50-500): 38% critérios aprovados
  • Empresas grandes (>500): 42% critérios aprovados
  • Análise: Diferença esperada (empresas maiores têm mais recursos para compliance)

Taxa de Falsos Positivos/Negativos:

  • Falsos positivos: ~8% (IA aprova critério, mas revisão humana reprova)
  • Falsos negativos: ~12% (IA reprova, mas dual audit + humano aprova)
  • Meta: Reduzir FN para <5% até Q2 2026

Relatórios completos de AIA: Disponíveis mediante acordo de confidencialidade para pesquisadores e auditores. Contato: compliance@trustthis.org

8. Auditabilidade

Entendemos que transparência inclui permitir auditoria externa de nossos sistemas de IA.

📂 O Que Disponibilizamos (sob acordo de NDA):

  • Critérios de decisão: Código-fonte dos 90 critérios ISO (já públicos em /lib/audit/criteria-definitions-iso.ts)
  • Logs de processamento: Timestamps, modelos usados, versões (anonimizados)
  • Métricas de performance: Latência, taxa de aprovação, distribuição de scores
  • Prompts (estrutura): Template geral de prompts (sem casos específicos)
  • Relatórios de AIA: Avaliações de impacto completas

🚫 Escopo e Limites:

  • Não fornecemos: Prompts palavra-por-palavra (evitar gaming), respostas completas de modelos (propriedade intelectual)
  • Não permitimos: Engenharia reversa de modelos proprietários (limitação de provedores como Google/DeepSeek)
  • Auditoria limitada a: Pesquisadores acadêmicos, auditores certificados, autoridades regulatórias

📧 Como Solicitar Acesso para Auditoria:

Entre em contato: compliance@trustthis.org

Informações necessárias:

  • Instituição/Organização
  • Propósito da auditoria (pesquisa, compliance, due diligence)
  • Escopo desejado (quais componentes do sistema)
  • Timeline (prazo para conclusão)

9. FAQ de IA

P: Vocês usam dados das minhas auditorias para treinar IA?

R: Não. Utilizamos modelos externos pré-treinados (Google Gemini, DeepSeek). Não treinamos modelos próprios. Apenas políticas de privacidade públicas são processadas. Dados de usuários nunca são enviados para IA.

P: Posso confiar 100% nos resultados de IA?

R: Não. IA é uma ferramenta de apoio, não um oráculo. Por isso temos revisão humana obrigatória e sistema de contestação. Sempre revise criticamente os resultados.

P: Como vocês garantem que a IA não é enviesada?

R: Utilizamos dual audit (dois modelos com treinamentos diferentes), métricas de fairness em AIAs periódicas e revisão humana. Monitoramos taxa de aprovação por categoria de empresa para detectar viés.

P: O que acontece se a IA errar gravemente?

R: Temos processo de incident response: (1) Correção imediata do score, (2) Notificação de usuários afetados, (3) Análise de causa raiz, (4) Registro público no changelog de IA, (5) Implementação de mitigações para prevenir recorrência.

P: Posso optar por auditoria 100% humana (sem IA)?

R: Sim. Para clientes enterprise, oferecemos fluxo manual completo mediante solicitação. Tempo de entrega: 2-3 semanas vs. 30-60min com IA. Custo adicional aplicável. Contato: compliance@trustthis.org

P: Minha empresa foi mal avaliada. Posso contestar?

R: Absolutamente. Temos processo formal de contestação com SLA de 10 dias úteis. Veja seção "Revisão Humana e Contestação" acima ou entre em contato: privacy@trustthis.org

P: Como vocês escolhem quais modelos de IA usar?

R: Avaliamos modelos em suite de 50 casos conhecidos. Critérios: acurácia, latência, custo, suporte a context window longo, capacidade de reasoning legal/compliance. Mudanças são registradas no changelog.

P: Vocês compartilham dados com Google/DeepSeek?

R: Apenas políticas de privacidade públicas são enviadas para processamento (disponíveis na internet). Cache é desativado (dados não armazenados). DPAs e SCCs em vigor. Nenhum dado pessoal de usuários é compartilhado.

💜 Compromisso TrustThis

Transparência sobre uso de IA é parte essencial da nossa missão. Se você tem dúvidas não respondidas aqui, discorda de uma análise ou deseja auditar nossos sistemas, entre em contato:

Esta página faz parte do nosso compromisso com governança responsável de IA e compliance com EU AI Act, NIST AI RMF e ISO 42001.

📖 Documentos Relacionados: