O Microsoft Copilot se integra aos serviços do Microsoft 365 e usa modelos de linguagem grandes para gerar respostas com base nos dados da sua organização. Clientes sujeitos à Lei Geral de Proteção de Dados precisam entender como o Copilot lida com dados pessoais, onde os processa e quais controles existem para cumprir as obrigações de conformidade. Este artigo explica os principais recursos de conformidade com a LGPD do Copilot, incluindo residência de dados, limites de processamento e as ferramentas que os administradores podem usar para gerenciar a conformidade. Também aborda equívocos comuns e as etapas que sua organização deve seguir para permanecer em conformidade.
Principais conclusões: Conformidade com a LGPD para o Microsoft Copilot
- Centro de administração do Microsoft 365 > Copilot > Limite de processamento de dados: Controla se o Copilot processa dados dentro do Limite de Dados da UE ou fora dele.
- Portal de conformidade do Microsoft Purview > Auditoria > Interações do Copilot: Registra todas as consultas e respostas do Copilot para avaliações de impacto à proteção de dados.
- Automação de Direitos do Titular dos Dados: Use o eDiscovery do Microsoft Purview para pesquisar e exportar dados do Copilot para solicitações de acesso de titulares.
Por que a conformidade com a LGPD é importante para o Copilot
O Copilot processa prompts de usuários e dados organizacionais para gerar respostas. Quando esses dados incluem informações pessoais como nomes, endereços de e-mail ou registros de RH, as obrigações da LGPD se aplicam. O risco central é que o Copilot possa expor inadvertidamente dados pessoais a usuários não autorizados ou processar dados fora do Espaço Econômico Europeu sem as devidas salvaguardas. A Microsoft projetou o Copilot para operar dentro do limite de conformidade do Microsoft 365, o que significa que ele herda os mesmos compromissos de processamento de dados do Microsoft 365. No entanto, os administradores devem configurar várias opções para garantir a conformidade com os Artigos 5, 28 e 32 da LGPD.
Limite de processamento de dados e residência de dados
O Copilot usa o mesmo limite de processamento de dados que o Microsoft 365. Por padrão, o Copilot processa dados na região onde seu locatário está provisionado. Para locatários na UE, a Microsoft oferece o Limite de Dados da UE, que garante que todo o processamento de dados do Copilot permaneça dentro da União Europeia ou do Espaço Econômico Europeu. Os administradores podem verificar essa configuração no centro de administração do Microsoft 365 em Configurações > Configurações da organização > Segurança e privacidade > Limite de processamento de dados. Se o seu locatário estiver fora da UE, o Copilot pode processar dados em uma região diferente. Para manter a conformidade com a LGPD, certifique-se de que seu locatário esteja configurado para o Limite de Dados da UE se seus usuários estiverem baseados na UE.
Solicitações de acesso de titulares de dados e eDiscovery
Sob o Artigo 15 da LGPD, os indivíduos têm o direito de acessar seus dados pessoais. O Copilot armazena prompts de usuários e respostas geradas no log de auditoria do Microsoft 365. Os administradores podem usar o eDiscovery do Microsoft Purview para pesquisar interações do Copilot relacionadas a um usuário específico. A pesquisa abrange prompts, respostas e quaisquer dados anexados que o Copilot acessou. Para executar uma pesquisa, vá para o portal de conformidade do Microsoft Purview > eDiscovery > Pesquisa de conteúdo. Crie uma consulta de pesquisa com o endereço de e-mail do usuário e a palavra-chave “Copilot” no campo de assunto. Exporte os resultados para fornecer ao titular dos dados dentro do prazo de um mês exigido.
Etapas para configurar o Copilot para conformidade com a LGPD
Siga estas etapas para alinhar o Copilot com as obrigações da LGPD da sua organização.
- Verifique a região do seu locatário
Vá para Centro de administração do Microsoft 365 > Configurações > Configurações da organização > Perfil da organização. Em Localização dos dados, confirme que a localização principal dos dados está em uma região compatível com a LGPD, como a UE ou o Reino Unido. - Ative o Limite de Dados da UE
No centro de administração, navegue até Configurações > Configurações da organização > Segurança e privacidade > Limite de processamento de dados. Selecione Limite de Dados da UE. Isso garante que o Copilot processe todos os prompts e respostas dentro da UE. - Ative o log de auditoria para o Copilot
Vá para Portal de conformidade do Microsoft Purview > Auditoria. Em Log de auditoria, ative a categoria de evento de interação do Copilot. Selecione CopilotActivity na lista de Atividades e clique em Iniciar gravação. Isso registra todas as interações do usuário com o Copilot. - Configure a retenção de dados para logs do Copilot
No portal do Purview, vá para Gerenciamento do ciclo de vida dos dados > Políticas de retenção. Crie uma política de retenção para logs de auditoria do Copilot. Defina o período de retenção de acordo com o cronograma de retenção de dados da sua organização sob o Artigo 5 da LGPD. - Restrinja o acesso do Copilot a dados confidenciais
Use o Microsoft Purview Information Protection para rotular documentos confidenciais. O Copilot respeita os rótulos de confidencialidade. Se um documento estiver rotulado como “Confidencial” ou “Altamente Confidencial”, o Copilot não o incluirá nas respostas a menos que o usuário tenha permissão. Para aplicar isso, vá para Centro de administração do Microsoft 365 > Copilot > Fontes de dados. Em Rótulos de confidencialidade, selecione os rótulos que devem bloquear o acesso do Copilot. - Realize uma Avaliação de Impacto à Proteção de Dados
A Microsoft fornece um modelo de AIPD para o Copilot no centro de administração do Microsoft 365. Vá para Configurações > Configurações da organização > Segurança e privacidade > Avaliação de Impacto à Proteção de Dados. Baixe o modelo, preencha suas atividades de processamento e armazene o documento concluído para revisão regulatória.
Equívocos e limitações comuns
Vários equívocos sobre o Copilot e a conformidade com a LGPD podem levar a lacunas de conformidade.
O Copilot não armazena dados pessoais indefinidamente
Alguns clientes temem que o Copilot retenha dados pessoais de prompts e respostas. O Copilot não armazena o conteúdo dos prompts ou respostas além da sessão. O log de auditoria retém metadados como ID do usuário, timestamp e tamanho da consulta, mas não o texto completo. Se você precisar de retenção de texto completo para fins de solicitação de titular, ative o log de auditoria estendido no Microsoft Purview, que armazena o prompt e a resposta completos por até 90 dias.
O Copilot não treina seu modelo com seus dados
A Microsoft afirma que o Copilot não usa os dados da sua organização para treinar o modelo de linguagem subjacente. O modelo é treinado em dados publicamente disponíveis e nos próprios conjuntos de dados da Microsoft. Seus dados são processados apenas para gerar respostas em tempo real e não são armazenados para melhoria do modelo. Este é um ponto crítico para a conformidade com o Artigo 22 da LGPD sobre tomada de decisão automatizada.
Plugins de terceiros exigem acordos de processamento de dados separados
Se você ativar plugins de terceiros no Copilot, esses plugins podem processar dados pessoais fora do limite de conformidade da Microsoft. Por exemplo, um plugin que se conecta a um sistema de CRM pode enviar dados do usuário para esse serviço de terceiros. Antes de ativar qualquer plugin, verifique se o terceiro possui um Acordo de Processamento de Dados assinado e se o plugin processa dados dentro da UE, se necessário.
Conformidade do Copilot com a LGPD: Principais recursos comparados
| Item | Copilot com Microsoft 365 E5 | Copilot com Microsoft 365 Business Premium |
|---|---|---|
| Limite de processamento de dados | Limite de Dados da UE disponível | Limite de Dados da UE disponível |
| Log de auditoria para o Copilot | Log de auditoria estendido incluído | Log de auditoria padrão incluído |
| eDiscovery para solicitações de titular | Suporte completo a eDiscovery | Limitado à pesquisa de conteúdo |
| Políticas de retenção de dados | Políticas de retenção personalizadas suportadas | Políticas de retenção personalizadas suportadas |
| Imposição de rótulos de confidencialidade | Funciona com todos os rótulos de confidencialidade | Funciona com todos os rótulos de confidencialidade |
O Microsoft Copilot herda os compromissos de conformidade com a LGPD do Microsoft 365, mas os administradores devem configurar ativamente as opções para manter a conformidade. Verifique o limite de processamento de dados do seu locatário, ative o log de auditoria e restrinja o acesso do Copilot a dados confidenciais por meio de rótulos de confidencialidade. Para solicitações de acesso de titulares de dados, use o eDiscovery para pesquisar e exportar interações do Copilot. Revise cuidadosamente os plugins de terceiros e certifique-se de que eles tenham Acordos de Processamento de Dados assinados. Seguindo essas etapas, sua organização pode usar o Copilot enquanto cumpre as obrigações da LGPD sob os Artigos 5, 28 e 32.