RIPD — Relatório de Impacto à Proteção de Dados
Cataloga-ai SaaS B2B
Data: 2026-04-25
Responsável: Privacy Head (LGPD / GDPR / CCPA)
Escopo: Tratamentos de alto risco identificados no produto Cataloga-ai
Base normativa: LGPD (Lei 13.709/2018), Art. 38 e Resolução CD/ANPD nº 4/2022
Sumário Executivo
Este RIPD avalia 3 tratamentos de dados de alto risco no Cataloga-ai:
| ID | Tratamento | Severity | Decisão |
|---|---|---|---|
| T1 | WhatsApp opt-in via Meta Cloud API | ALTO | Condicionar |
| T2 | Order Bump com perfilamento | MÉDIO | Condicionar |
| T3 | Integração GPTMaker (IA externa) | CRÍTICO | Condicionar |
Principais achados:
- T3 (GPTMaker) apresenta risco crítico por transferência internacional não controlada de dados de consumidores finais
- T1 (WhatsApp) depende de garantias contratuais da Meta e DPA robusto
- T2 (Order Bump) requer transparência sobre lógica de perfilamento e direito de oposição
Próximos passos: Implementar medidas mitigatórias listadas antes de escalar uso em produção.
T1: WhatsApp Opt-in via Cloud API (Meta)
Descrição do tratamento
Coleta de consentimento de consumidores finais (clientes dos lojistas) para recebimento de mensagens promocionais e transacionais via WhatsApp. Operação realizada através da WhatsApp Cloud API hospedada pela Meta Platforms Inc. (EUA).
Fluxo:
- Consumidor interage com chatbot do lojista
- Sistema envia solicitação de opt-in via WhatsApp Cloud API
- Consentimento capturado é armazenado no Supabase (Brasil)
- Logs de interação ficam retidos na infraestrutura Meta por até 30 dias (política Meta)
Dados envolvidos
- Dados de identificação: Número de telefone (WhatsApp ID), nome do contato
- Dados de comunicação: Mensagens trocadas, timestamp de interação, status de entrega
- Metadados técnicos: IP do device, user-agent, idioma preferencial
- Consentimento: Flag opt-in/opt-out, data/hora do aceite, versão do termo aceito
Volume estimado: ~50k números de telefone/mês (crescimento 20% trimestral)
Finalidade e base legal
Finalidade: Comunicação direta com consumidor final para:
- Confirmação de pedido (transacional)
- Status de entrega (transacional)
- Ofertas personalizadas (marketing)
Base legal:
- Consentimento (Art. 7º, I LGPD) para mensagens promocionais
- Execução de contrato (Art. 7º, V LGPD) para mensagens transacionais
- Legítimo interesse (Art. 7º, IX LGPD) para melhoria de experiência do usuário (discutível, preferir consentimento)
Posição do Cataloga-ai: Operador (processa dados sob instrução dos lojistas, que são controladores)
Avaliação de risco
Matriz de risco
| Risco | Probabilidade | Impacto | Severity |
|---|---|---|---|
| R1.1 Transferência internacional não conforme (dados processados por Meta nos EUA sem adequação LGPD Art. 33) | ALTA | ALTO | CRÍTICO |
| R1.2 Vazamento de dados via comprometimento da conta WhatsApp Business do lojista | MÉDIA | ALTO | ALTO |
| R1.3 Uso secundário de dados pela Meta para treinamento de IA ou profiling (fora do controle contratual) | MÉDIA | MÉDIO | MÉDIO |
| R1.4 Impossibilidade de titular exercer direito de eliminação (dados retidos em logs Meta por 30 dias) | BAIXA | MÉDIO | MÉDIO |
| R1.5 Falta de evidência robusta de consentimento (ausência de double opt-in ou registro de IP/timestamp) | ALTA | MÉDIO | ALTO |
Severity consolidada: ALTO
Medidas mitigatórias
| ID | Medida | Owner | Prazo | Status |
|---|---|---|---|---|
| M1.1 | Assinar DPA (Data Processing Agreement) com Meta via WhatsApp Business API oficial, incluindo cláusulas de adequação para transferência internacional (SCCs ou equivalente) | DPO | 30 dias | Pendente |
| M1.2 | Implementar double opt-in para consentimento de marketing: 1) captura inicial, 2) confirmação via mensagem "Digite SIM para confirmar" | Eng. Backend | 15 dias | Pendente |
| M1.3 | Registrar evidência de consentimento no Supabase: timestamp UTC, IP de origem (quando disponível via webhook Meta), hash SHA-256 do texto do termo aceito, versão do termo | Eng. Backend | 15 dias | Pendente |
| M1.4 | Criar endpoint de revogação de consentimento via comando "SAIR" no WhatsApp + API pública para titular solicitar opt-out sem depender do lojista | Eng. Backend | 20 dias | Pendente |
| M1.5 | Mapear retenção de logs na Meta e documentar no RoPA: "Logs técnicos retidos por Meta por 30 dias, sem controle direto do Cataloga-ai. Mitigação: exclusão imediata de dados no Supabase após revogação" | Privacy Head | 7 dias | Pendente |
| M1.6 | Adicionar cláusula contratual no DPA proibindo Meta de usar dados para finalidades além do escopo do serviço (sem treinamento de IA, sem profiling cross-app) | DPO + Legal | 30 dias | Pendente |
| M1.7 | Implementar auditoria trimestral de conformidade da Meta via relatório de compliance (SOC 2 Type II ou equivalente) e registrar no log de sub-operadores | DPO | Recorrente (90 dias) | Pendente |
Decisão final
CONDICIONAR o uso da WhatsApp Cloud API à implementação de M1.1, M1.2, M1.3, M1.4 (críticas) em até 30 dias.
Justificativa:
A transferência internacional de dados para Meta (EUA) sem DPA adequado constitui violação do Art. 33 LGPD. O consentimento sem double opt-in e sem registro robusto de evidência é vulnerável a contestação por titulares e fiscalização da ANPD.
Plano de ação:
- Fase 1 (0-15 dias): Implementar M1.2, M1.3, M1.4 (controle interno)
- Fase 2 (15-30 dias): Negociar e assinar M1.1 com Meta (DPA)
- Fase 3 (30+ dias): Auditoria contínua (M1.7)
Risk owner: DPO
Escalation: Se Meta não assinar DPA em 30 dias, avaliar migração para alternativa brasileira (ex: Take Blip, Zenvia) ou arquitetura on-premise do WhatsApp Business API.
T2: Order Bump com Perfilamento
Descrição do tratamento
Funcionalidade de recomendação personalizada de produtos (order bump) no checkout, baseada em perfilamento de comportamento de compra do consumidor final. Sistema analisa histórico de pedidos, itens no carrinho atual, e comportamento de navegação para inferir preferências e sugerir produtos adicionais com maior probabilidade de conversão.
Fluxo:
- Consumidor adiciona item ao carrinho
- Backend consulta histórico de compras (tabela
ordersno Supabase) - Motor de perfilamento (regras + ML simples) calcula score de afinidade para produtos relacionados
- Order bump exibido no checkout com produto sugerido
Tecnologia: Regras heurísticas + modelo de collaborative filtering (sem IA generativa)
Dados envolvidos
- Dados de compra: Histórico de pedidos (itens, valores, datas), carrinho atual
- Dados comportamentais: Páginas visitadas, tempo de permanência, produtos clicados, abandonos de carrinho
- Dados derivados (perfilamento): Score de afinidade por categoria, propensão a compra, segmento de comportamento (ex: "comprador frequente de eletrônicos")
- Dados de identificação: ID do consumidor (vinculado ao lojista), e-mail (opcional)
Volume estimado: ~100k consumidores finais perfilados/mês
Finalidade e base legal
Finalidade: Personalização de experiência de compra para aumentar conversão do lojista
Base legal:
- Legítimo interesse (Art. 7º, IX LGPD) do lojista (controlador) em otimizar vendas OU
- Consentimento (Art. 7º, I LGPD) específico para perfilamento (mais seguro, especialmente se inferências sensíveis)
Posição do Cataloga-ai: Operador (executa perfilamento sob instrução do lojista)
Observação LGPD: Art. 20 garante ao titular direito de revisão de decisões automatizadas que afetem seus interesses. Order bump não nega acesso a produtos, mas influencia decisão de compra → linha tênue, requer transparência.
Avaliação de risco
Matriz de risco
| Risco | Probabilidade | Impacto | Severity |
|---|---|---|---|
| R2.1 Falta de transparência sobre lógica de perfilamento (violação Art. 20, §1º LGPD: titular tem direito a explicação clara sobre critérios da decisão automatizada) | ALTA | MÉDIO | ALTO |
| R2.2 Ausência de opt-out (titular não pode desativar perfilamento) | ALTA | MÉDIO | ALTO |
| R2.3 Perfilamento inadvertido de dados sensíveis (ex: inferir condição de saúde por compras de produtos de saúde) | BAIXA | ALTO | MÉDIO |
| R2.4 Viés discriminatório no modelo de ML (ex: sugerir produtos mais baratos para consumidores de determinados CEPs) | BAIXA | ALTO | MÉDIO |
| R2.5 Uso de dados de perfilamento para finalidade secundária não consentida (ex: revenda de perfis para data brokers) | BAIXA | CRÍTICO | MÉDIO |
Severity consolidada: MÉDIO
Medidas mitigatórias
| ID | Medida | Owner | Prazo | Status |
|---|---|---|---|---|
| M2.1 | Adicionar banner de transparência no checkout: "Estamos personalizando sua experiência com base em seu histórico de compras. [Saiba mais] [Desativar]" | Eng. Frontend | 10 dias | Pendente |
| M2.2 | Criar página de Explicação de Perfilamento acessível via link "Saiba mais" com: 1) Quais dados são usados, 2) Como o score é calculado (linguagem simples), 3) Direito de oposição | Product + Privacy Head | 15 dias | Pendente |
| M2.3 | Implementar opt-out de perfilamento via toggle na conta do consumidor: "Desativar recomendações personalizadas" → flag salva no Supabase, motor de perfilamento respeita flag | Eng. Backend | 15 dias | Pendente |
| M2.4 | Adicionar filtro de dados sensíveis no pipeline de perfilamento: bloquear inferências baseadas em categorias de produtos potencialmente sensíveis (saúde, medicamentos, religião, orientação sexual) | Eng. Backend + Data | 20 dias | Pendente |
| M2.5 | Realizar auditoria de viés semestral no modelo de ML: testar se recomendações variam de forma discriminatória por CEP, gênero inferido, ou faixa de valor de compra. Documentar resultado e ajustar modelo se necessário | Data + Privacy Head | Recorrente (180 dias) | Pendente |
| M2.6 | Incluir cláusula contratual no ToS do lojista: "Dados de perfilamento não podem ser compartilhados com terceiros ou usados para finalidades além da operação da loja" | Legal | 7 dias | Pendente |
| M2.7 | Criar log de auditoria de decisões automatizadas: registrar produto sugerido, score calculado, timestamp, ID do consumidor → retenção 6 meses para auditoria ANPD | Eng. Backend | 20 dias | Pendente |
Decisão final
CONDICIONAR o uso de Order Bump com perfilamento à implementação de M2.1, M2.2, M2.3, M2.4 (conformidade mínima Art. 20 LGPD) em até 20 dias.
Justificativa:
Perfilamento sem transparência e sem opt-out viola Art. 20 LGPD (direito de revisão de decisões automatizadas). Risco de inferência de dados sensíveis inadvertida (ex: saúde) sem filtro adequado pode gerar passivo regulatório.
Plano de ação:
- Fase 1 (0-15 dias): Implementar M2.1, M2.2, M2.3 (transparência + opt-out)
- Fase 2 (15-20 dias): Implementar M2.4 (filtro de sensíveis)
- Fase 3 (20+ dias): M2.5 (auditoria de viés semestral) + M2.7 (log de auditoria)
Risk owner: Product Manager + DPO
Escalation: Se opt-out não for viável tecnicamente em 20 dias, suspender feature até solução ou migrar para consentimento explícito (mais restritivo, pode impactar taxa de adesão).
T3: Integração GPTMaker (IA Externa)
Descrição do tratamento
Envio de contexto de conversas de consumidores finais para plataforma externa GPTMaker (serviço de IA generativa de terceiros) para geração de respostas automáticas em chatbot. Sistema envia histórico de mensagens (últimas 10 interações) para API do GPTMaker, que retorna sugestão de resposta processada por LLM (Large Language Model).
Fluxo:
- Consumidor envia mensagem no chat da loja
- Backend Cataloga-ai monta payload com contexto (últimas 10 mensagens + dados do pedido se disponível)
- Payload enviado via HTTPS para API GPTMaker (endpoint externo, fora do ambiente controlado)
- GPTMaker processa dados com LLM (OpenAI GPT-4 ou similar) e retorna resposta
- Resposta exibida ao consumidor
Tecnologia GPTMaker: SaaS de terceiro, sem informação clara sobre localização de servidores, retenção de dados, ou DPA disponível publicamente.
Dados envolvidos
- Dados de comunicação: Mensagens do consumidor (texto livre, pode conter PII não estruturado: nome, CPF, endereço, telefone)
- Dados de pedido: ID do pedido, itens comprados, valor, status de entrega (se mencionado na conversa)
- Dados de identificação: Nome do consumidor, e-mail, telefone (enviados como contexto para melhorar resposta)
- Dados sensíveis (risco): Consumidor pode inadvertidamente mencionar dados de saúde, religião, orientação sexual, etc. em mensagens livres
Volume estimado: ~10k conversas/mês enviadas para GPTMaker
Retenção no GPTMaker: DESCONHECIDA (ausência de DPA ou política de retenção documentada)
Finalidade e base legal
Finalidade: Automação de atendimento ao cliente via chatbot inteligente
Base legal:
- Execução de contrato (Art. 7º, V LGPD) para atendimento de pedido existente OU
- Consentimento (Art. 7º, I LGPD) específico para uso de IA externa (mais seguro)
Posição do Cataloga-ai: Operador (processa sob instrução do lojista)
Posição do GPTMaker: Sub-operador do Cataloga-ai → requer DPA robusto (Art. 39 LGPD)
Avaliação de risco
Matriz de risco
| Risco | Probabilidade | Impacto | Severity |
|---|---|---|---|
| R3.1 Transferência internacional de dados para GPTMaker sem DPA ou adequação (desconhecido se servidores estão no Brasil, EUA, ou outro país) | ALTA | CRÍTICO | CRÍTICO |
| R3.2 Retenção indefinida de dados pelo GPTMaker para treinamento de modelo de IA (política de retenção não documentada) | ALTA | CRÍTICO | CRÍTICO |
| R3.3 Vazamento de dados sensíveis enviados inadvertidamente pelo consumidor em texto livre (ex: "estou grávida, qual fralda vocês recomendam?") | MÉDIA | CRÍTICO | CRÍTICO |
| R3.4 Ausência de controle de acesso no GPTMaker: possibilidade de funcionários do GPTMaker acessarem conversas para debug ou treinamento | MÉDIA | ALTO | ALTO |
| R3.5 Impossibilidade de titular exercer direito de eliminação (dados podem estar em cache/treinamento do LLM do GPTMaker) | ALTA | ALTO | CRÍTICO |
| R3.6 Violação de segredo comercial do lojista (estratégias de venda, promoções, políticas internas podem ser expostas em conversas enviadas para GPTMaker) | BAIXA | ALTO | MÉDIO |
Severity consolidada: CRÍTICO
Medidas mitigatórias
| ID | Medida | Owner | Prazo | Status |
|---|---|---|---|---|
| M3.1 | BLOQUEIO IMEDIATO de envio de PII para GPTMaker até assinatura de DPA adequado. Implementar flag de feature toggle GPTMAKER_ENABLED=false em produção |
CTO | IMEDIATO (1 dia) | CRÍTICO |
| M3.2 | Exigir DPA (Data Processing Agreement) do GPTMaker com cláusulas mínimas: 1) Localização de servidores (Brasil ou país com nível adequado LGPD Art. 33), 2) Proibição de uso de dados para treinamento de IA, 3) Retenção máxima de 30 dias com eliminação automática, 4) Direito de auditoria, 5) Notificação de incidente em 24h | DPO + Legal | 45 dias | CRÍTICO |
| M3.3 | Implementar anonimização de PII antes de envio para GPTMaker: substituir nomes por tokens (ex: "João" → "[CLIENTE-001]"), CPF por hash, telefone/e-mail por máscaras. Manter tabela de de-para no Supabase (criptografada) para reverter contexto se necessário | Eng. Backend | 30 dias | CRÍTICO |
| M3.4 | Criar filtro de dados sensíveis baseado em regex/NLP antes de envio: detectar e bloquear mensagens que mencionam termos de saúde, religião, orientação sexual, raça. Logar tentativas bloqueadas para auditoria | Eng. Backend + Data | 30 dias | CRÍTICO |
| M3.5 | Adicionar consentimento explícito para uso de chatbot com IA: "Este chat usa inteligência artificial de terceiros para melhorar respostas. Seus dados serão processados de forma segura. [Aceitar] [Usar chat básico sem IA]" | Eng. Frontend | 20 dias | CRÍTICO |
| M3.6 | Implementar eliminação automática de payloads enviados ao GPTMaker: após 30 dias, deletar registros de contexto armazenados no Supabase. Exigir do GPTMaker confirmação de eliminação equivalente via API de callback | Eng. Backend | 30 dias | Alto |
| M3.7 | Realizar auditoria de segurança do GPTMaker: exigir SOC 2 Type II ou ISO 27001 válido, ou conduzir pentest de terceiros no endpoint da API | Security + DPO | 60 dias | Alto |
| M3.8 | Criar plano de contingência para migração para alternativa brasileira (ex: IA on-premise com Llama 3 ou Claude Code local) caso GPTMaker não atenda requisitos de DPA | CTO | 45 dias | Médio |
Decisão final
SUSPENDER IMEDIATAMENTE (M3.1) e CONDICIONAR retomada à implementação de M3.2, M3.3, M3.4, M3.5 em até 45 dias.
Justificativa:
Transferência de dados de consumidores finais (incluindo potenciais dados sensíveis em texto livre) para plataforma externa sem DPA, sem controle de retenção, e sem transparência sobre localização de servidores constitui violação grave dos Arts. 33, 39, e 46 LGPD. Risco de:
- Multa ANPD de até 2% do faturamento (Art. 52, II)
- Responsabilidade solidária do Cataloga-ai por tratamento inadequado do sub-operador (Art. 42, §1º, II)
- Dano reputacional crítico em caso de vazamento
Plano de ação:
- Fase 0 (IMEDIATO): Desativar integração GPTMaker em produção (M3.1)
- Fase 1 (0-30 dias): Implementar M3.3, M3.4, M3.5 (anonimização + filtro + consentimento)
- Fase 2 (30-45 dias): Negociar e assinar M3.2 (DPA com GPTMaker)
- Fase 3 (45 dias): Se DPA não for viável, executar M3.8 (migração para IA on-premise ou alternativa brasileira)
- Fase 4 (45+ dias): Reativar feature com controles implementados + auditoria (M3.7)
Risk owner: CTO + DPO
Escalation: Se GPTMaker recusar DPA adequado, permanentemente descontinuar integração e migrar para solução própria ou fornecedor certificado ISO 27001 no Brasil.
Conclusões e Roadmap de Implementação
Priorização de medidas (por criticidade)
Críticas (0-15 dias)
- M3.1 — Desativar GPTMaker IMEDIATAMENTE
- M1.2 — Implementar double opt-in WhatsApp
- M1.3 — Registrar evidência de consentimento WhatsApp
- M2.1 — Banner de transparência Order Bump
Altas (15-30 dias)
- M1.1 — Assinar DPA com Meta
- M1.4 — Endpoint de revogação WhatsApp
- M2.3 — Opt-out de perfilamento Order Bump
- M2.4 — Filtro de dados sensíveis Order Bump
- M3.3 — Anonimização de PII para GPTMaker
- M3.4 — Filtro de sensíveis GPTMaker
- M3.5 — Consentimento explícito chatbot IA
Médias (30-60 dias)
- M3.2 — Assinar DPA com GPTMaker
- M2.7 — Log de auditoria de decisões automatizadas
- M3.6 — Eliminação automática de payloads GPTMaker
- M3.7 — Auditoria de segurança GPTMaker
Recorrentes
- M1.7 — Auditoria trimestral Meta (cada 90 dias)
- M2.5 — Auditoria de viés semestral (cada 180 dias)
Governance e follow-up
Responsabilidade pela execução:
- DPO: Coordenação geral do RIPD, negociação de DPAs, auditoria de sub-operadores
- CTO: Priorização técnica, alocação de recursos de engenharia
- Eng. Backend/Frontend: Implementação de medidas técnicas
- Legal: Review de cláusulas contratuais, suporte em negociação de DPAs
- Privacy Head: Auditoria de conformidade, reporting para ANPD se necessário
Cadência de revisão:
- Semanal (primeiros 60 dias): Status update de medidas críticas/altas em stand-up de compliance
- Mensal (após 60 dias): Review de medidas recorrentes e novos tratamentos de alto risco
- Semestral: Re-assessment completo do RIPD se mudanças significativas no produto
Critério de sucesso:
- 100% das medidas críticas implementadas em 15 dias
- 100% das medidas altas implementadas em 30 dias
- DPAs assinados com Meta e GPTMaker (ou descontinuação de GPTMaker) em 45 dias
- Zero incidentes de não-conformidade LGPD em tratamentos de alto risco após implementação
Anexos
A. Referências normativas
- Lei 13.709/2018 (LGPD) — especialmente Arts. 7º, 20, 33, 38, 39, 42, 46, 52
- Resolução CD/ANPD nº 4/2022 — Regulamenta RIPD
- Guia Orientativo ANPD: Tratamento de Dados Pessoais via IA (2024)
B. Glossário
- RIPD: Relatório de Impacto à Proteção de Dados (equivalente ao DPIA europeu)
- DPA: Data Processing Agreement (Acordo de Processamento de Dados entre controlador e operador)
- SCCs: Standard Contractual Clauses (cláusulas contratuais padrão para transferência internacional)
- RoPA: Record of Processing Activities (Registro de Atividades de Tratamento de Dados)
- ANPD: Autoridade Nacional de Proteção de Dados
C. Histórico de revisões
| Versão | Data | Autor | Mudanças |
|---|---|---|---|
| 1.0 | 2026-04-25 | Privacy Head | Versão inicial — análise de T1, T2, T3 |
Documento aprovado para implementação: Sim, condicionado à execução das medidas mitigatórias listadas.
Próxima revisão: 2026-07-25 (90 dias) ou antes se novos tratamentos de alto risco forem introduzidos.