Os serviços do Microsoft Copilot processam dados que podem conter informações pessoais de indivíduos brasileiros, tornando a conformidade com a Lei Geral de Proteção de Dados Pessoais uma obrigação compartilhada. A Microsoft oferece garantias contratuais e técnicas, mas o cliente controla quais dados são enviados, como são classificados e quais usuários podem acessar os recursos do Copilot. Este artigo explica as responsabilidades específicas do cliente sob a LGPD ao usar o Copilot para Microsoft 365, incluindo classificação de dados, gerenciamento de consentimento e planejamento de resposta a incidentes.
Principais Conclusões: Obrigações do Cliente com a LGPD para o Copilot no Brasil
- Rótulos de classificação de dados no Microsoft Purview: Aplique rótulos de confidencialidade a documentos e e-mails antes que o Copilot os processe para aplicar as regras de retenção e acesso da LGPD.
- Controles de fontes de dados do Copilot no centro de administração do Microsoft 365: Restrinja quais sites do SharePoint, pastas do OneDrive e caixas de correio do Exchange o Copilot pode indexar para respostas fundamentadas.
- Gerenciamento de consentimento via Acesso Condicional do Azure AD: Bloqueie o acesso ao Copilot para usuários que não aceitaram uma declaração de consentimento de processamento de dados em conformidade com a LGPD.
Por que a Conformidade com a LGPD é uma Responsabilidade Compartilhada para o Copilot
A LGPD define o controlador de dados como a entidade que decide por que e como os dados pessoais são processados, e o operador de dados como a entidade que processa dados em nome do controlador. A Microsoft é a operadora. O cliente é o controlador. Essa distinção significa que a Microsoft não é responsável pela legalidade das finalidades de processamento definidas pelo cliente.
Quando um usuário digita um prompt no Copilot no Word, o prompt e quaisquer dados que o Copilot recupera do Microsoft Graph são processados nos servidores da Microsoft. O cliente decide quais documentos são indexados, quais contas de usuário têm licenças e quais fontes de dados estão conectadas. Se um prompt fizer com que o Copilot processe dados pessoais sem uma base legal sob a LGPD, o cliente assume a responsabilidade.
A Microsoft publicou os Termos do Produto e o Adendo de Proteção de Dados, que afirmam que o cliente mantém a propriedade de todos os dados do cliente. A Microsoft não usa dados do cliente para treinar seus modelos de base. No entanto, o cliente deve garantir que os dados enviados aos serviços do Microsoft 365, incluindo o Copilot, tenham uma base legal válida na LGPD, como consentimento, interesse legítimo ou execução de contrato.
Principais Requisitos da LGPD que se Aplicam ao Uso do Copilot
O Artigo 6 da LGPD exige que o processamento de dados seja específico para a finalidade, adequado e necessário. O Artigo 7 lista as bases legais, incluindo consentimento e interesse legítimo. O Artigo 18 concede aos titulares dos dados o direito de acessar, corrigir e excluir seus dados. O Artigo 46 exige medidas de segurança. O Copilot não satisfaz automaticamente esses requisitos. O cliente deve configurar o ambiente para que o Copilot processe dados apenas para fins permitidos.
Passos do Cliente para Alinhar o Copilot com as Obrigações da LGPD
Os passos a seguir cobrem as principais áreas de configuração onde o cliente deve agir para atender aos requisitos da LGPD. Cada passo pressupõe que o cliente tenha uma licença Microsoft 365 E3 ou E5 com o complemento Copilot para Microsoft 365 e acesso ao centro de administração do Microsoft 365 e ao portal do Microsoft Purview.
- Classifique todos os dados pessoais com rótulos de confidencialidade do Microsoft Purview
Crie rótulos de confidencialidade para categorias como “Dados Pessoais LGPD” e “Dados Pessoais Sensíveis LGPD”. Aplique esses rótulos automaticamente usando políticas de rotulagem automática para documentos e e-mails que contenham números de CPF, dados de saúde ou dados biométricos. O Copilot respeita os rótulos de confidencialidade e não incluirá conteúdo rotulado em suas respostas, a menos que o usuário tenha direitos de acesso explícitos. - Restrinja as fontes de dados do Copilot no centro de administração do Microsoft 365
Vá em Configurações > Configurações da organização > Copilot para Microsoft 365. Em “Fontes de dados”, selecione sites específicos do SharePoint e pastas do OneDrive que contenham dados em conformidade com a LGPD. Remova qualquer site que armazene dados pessoais sem uma base legal. Isso impede que o Copilot recupere dados de repositórios não aprovados. - Configure políticas de Acesso Condicional do Azure AD para o Copilot
Crie uma política de Acesso Condicional que bloqueie o acesso ao Copilot para Microsoft 365, a menos que o usuário tenha aceitado uma declaração de consentimento. Use o recurso “Termos de uso” no Azure AD para apresentar um documento de consentimento da LGPD. Exija autenticação multifator para todo acesso ao Copilot para atender ao requisito de segurança do Artigo 46. - Implemente fluxos de trabalho de solicitação de titulares de dados no Microsoft Purview
Use o portal de conformidade do Microsoft Purview para criar modelos de solicitação de titulares de dados. Quando um usuário brasileiro solicitar acesso ou exclusão de seus dados pessoais processados pelo Copilot, use as ferramentas de Pesquisa de Conteúdo e Descoberta Eletrônica para localizar os dados em Exchange, SharePoint e OneDrive. O Copilot não armazena prompts separadamente, mas os documentos subjacentes estão sujeitos a DSRs. - Audite as interações do Copilot com o Log de Auditoria do Microsoft 365
Ative o log de auditoria no centro de administração do Microsoft 365. Pesquise no log de auditoria por eventos como “Interação do Copilot” e “Resposta fundamentada do Copilot”. Revise esses logs regularmente para detectar processamento não autorizado de dados pessoais. Retenha os logs por pelo menos seis meses para cumprir os requisitos de manutenção de registros da LGPD. - Defina uma política de retenção de dados para conteúdo relacionado ao Copilot
Aplique rótulos de retenção a documentos e e-mails que o Copilot indexa. Defina períodos de exclusão que correspondam ao princípio de minimização de dados da LGPD. Por exemplo, exclua registros de RH contendo dados pessoais cinco anos após o funcionário sair da empresa. O Copilot não pode reter dados além da política de retenção aplicada ao conteúdo de origem.
Se o Copilot Processar Dados Sem uma Base Legal
O Copilot retorna dados pessoais de um cliente sem consentimento
Isso acontece quando um usuário solicita que o Copilot resuma um ticket de suporte que contém o CPF e endereço de um cliente. O cliente deve ter uma base de interesse legítimo ou consentimento para processar esses dados. Para corrigir, aplique um rótulo de confidencialidade a todos os tickets de suporte que contenham dados pessoais e configure a rotulagem automática para impedir que o Copilot os indexe, a menos que o usuário tenha permissão de necessidade de conhecimento. Alternativamente, mova os dados para um site do SharePoint que esteja excluído das fontes de dados do Copilot.
O Copilot retém dados pessoais por mais tempo do que o permitido pela LGPD
O Copilot não armazena prompts ou respostas fora dos documentos de origem. No entanto, se os documentos de origem forem retidos indefinidamente, o Copilot pode recuperá-los a qualquer momento. Aplique uma política de retenção no Microsoft Purview que exclua documentos contendo dados pessoais após o período definido no cronograma de retenção de dados da LGPD do cliente. Use o recurso “Gerenciamento do Ciclo de Vida de Dados” para aplicar a exclusão automática.
Um titular de dados solicita a exclusão de dados processados pelo Copilot
O cliente deve localizar os dados em todos os serviços do Microsoft 365. Use a Pesquisa de Conteúdo no portal do Microsoft Purview com uma consulta que corresponda ao nome ou identificador do titular dos dados. Exporte os resultados, verifique se não há nenhuma retenção legal aplicável e use a ação “Excluir” no portal de conformidade. O Copilot não possui um mecanismo de exclusão separado; excluir o documento de origem remove os dados do alcance do Copilot.
Responsabilidades do Cliente vs. Responsabilidades da Microsoft para a LGPD
| Item | Responsabilidade do Cliente | Responsabilidade da Microsoft |
|---|---|---|
| Base legal para processamento | Definir e documentar consentimento, interesse legítimo ou execução de contrato para cada conjunto de dados | Fornecer termos contratuais que designam a Microsoft como operadora |
| Classificação de dados | Aplicar rótulos de confidencialidade e políticas de retenção a dados pessoais | Aplicar rótulos e políticas nas respostas do Copilot |
| Gerenciamento de consentimento | Apresentar declarações de consentimento e aplicar aceitação via Acesso Condicional | Fornecer o recurso Termos de Uso no Azure AD |
| Solicitações de titulares de dados | Localizar, exportar e excluir dados pessoais usando ferramentas do Purview | Fornecer recursos de Pesquisa de Conteúdo e Descoberta Eletrônica |
| Medidas de segurança | Habilitar MFA, restringir funções de administrador e auditar o acesso ao Copilot | Manter certificações SOC 2 e ISO 27001 para a infraestrutura |
| Resposta a incidentes | Notificar a ANPD em até 72 horas de uma violação de dados envolvendo o Copilot | Notificar o cliente de qualquer violação em até 72 horas |
A tabela esclarece que o cliente controla os aspectos legais e operacionais da conformidade com a LGPD. A Microsoft fornece a plataforma técnica e as garantias contratuais, mas o cliente deve configurá-las corretamente.
Sua organização agora pode usar o Copilot para Microsoft 365 no Brasil enquanto cumpre as obrigações da LGPD, classificando dados, restringindo fontes, gerenciando consentimento e lidando com solicitações de titulares de dados por meio do Microsoft Purview. Em seguida, revise os Termos do Produto da Microsoft para obter os termos de processamento de dados mais atuais. Para proteção avançada, habilite o Customer Lockbox no centro de administração do Microsoft 365 para exigir aprovação explícita antes que engenheiros da Microsoft acessem seus dados.