Segurança IA no setor público: ENS e RGPD
A adoção da Inteligência Artificial no setor público passou de ser uma curiosidade para uma necessidade estratégica. No entanto, para qualquer responsável de tecnologia (CIO), delegado de proteção de dados (DPO) ou responsável de segurança (CISO), a eficiência operacional nunca pode estar acima da segurança.
O medo do "Shadow AI" (o uso não autorizado de ferramentas de IA por parte dos empregados) é real. Vimos casos de fuga de código ou outros tipos de informação sensível no setor privado. Na administração pública, um erro similar não é uma perda financeira; é uma violação da segurança nacional ou da privacidade do cidadão.
Quando uma instituição pública sobe um caderno de encargos para a nuvem, a pergunta crítica não é "o que pode a IA fazer com isto?", mas "para onde vão os meus dados, quem os vê e são usados para treinar o modelo?".
Neste artigo técnico esmiuçamos a arquitetura de segurança da Tendios e como garantimos o cumprimento do Esquema Nacional de Segurança (ENS) e o RGPD em ambientes GovTech.
A arquitetura do isolamento: o seu "Cofre" digital
O maior mito —e risco— dos Grandes Modelos de Linguagem (LLM) é a privacidade do "prompt". As ferramentas gratuitas costumam usar os seus dados para reentrenar os seus modelos futuros. Na Tendios, a política é rotunda: Os seus dados são seus. Nunca treinamos modelos com dados de clientes.
Para garantir isto, utilizamos uma arquitetura de isolamento lógico estrito (Single-Tenant Logic). Embora o motor de processamento seja potente, os seus dados nunca se misturam.
Glossário técnico: como protegemos a informação?
Para os perfis técnicos, assim é como traduzimos a nossa arquitetura e segurança:
- RAG (Base de dados vetorial) com rastreabilidade: Utilizamos tecnologia RAG sobre uma base de dados vetorial que permite a verificação documental. Isto garante que a IA não "alucine" nem invente dados, oferecendo sempre respostas fundamentadas e rastreáveis, ao contrário dos modelos genéricos.
- Cumprimento e segurança de dados europeus: A plataforma está desenhada priorizando o cumprimento normativo, a proteção e a segurança dos dados conforme os padrões europeus.
- IA Especializada e Centralizada: Não utilizamos um modelo generalista; operamos com uma IA especializada na complexidade normativa e documental da Contratação Pública, centralizando toda a operativa numa plataforma all-in-one para evitar a fragmentação da informação.
Cumprimento normativo e certificações
Em contratação pública, a segurança não se promete; certifica-se. A nossa infraestrutura está alinhada com os requisitos mais estritos do setor público espanhol e europeu.
Esquema Nacional de Segurança (ENS)
Trabalhamos sobre infraestrutura certificada no Esquema Nacional de Segurança (Categoria Alta). A Tendios implementa as medidas de segurança organizativas, operacionais e de proteção exigidas para garantir a confidencialidade, integridade, rastreabilidade, autenticidade e disponibilidade da informação pública.
ISO 27001 e 27018
Os nossos processos e fornecedores de nuvem cumprem com a norma ISO/IEC 27001 (Segurança da Informação) e ISO/IEC 27018 (Proteção de dados pessoais na nuvem) alinhando-se com as exigências do RGPD e assegurando que existem controlos auditáveis sobre quem acede a que dado e quando.
Residência do dado (RGPD)
Ao contrário de ferramentas que encaminham dados por servidores nos EUA, garantimos a soberania do dado. Toda a informação processada pela Tendios reside e processa-se exclusivamente dentro do Espaço Económico Europeu (EEE), eliminando riscos de transferências internacionais não conformes.
Para cumprir o RGPD, a Tendios não utiliza os seus dados estratégicos para treinar modelos públicos. Esta abordagem de arquitetura fechada, baseada na tecnologia RAG, marca a diferença na segurança face a ferramentas generalistas ao garantir que a IA opere num ambiente verídico e livre das alucinações típicas de modelos como RAG vs ChatGPT na contratação pública.
Comparativa: IA pública vs. Cloud genérico vs. Tendios
Nem todas as IAs privadas são iguais. Qual é a diferença real entre contratar uma API de Azure OpenAI "a seco" e usar a Tendios?
| Característica | IA pública (ChatGPT Free/Plus) | Cloud genérico (Azure/AWS) | GovTech especializado (Tendios) |
|---|---|---|---|
| Treino com os seus dados | Sim (Por defeito) | NÃO (Configurável) | NUNCA (Por desenho) |
| Residência do dado | Global (EUA) | Configurável | União Europeia (Garantido) |
| Cumprimento ENS | Não desenhado para isso | Requer configuração complexa | Nativo (Out-of-the-box) |
| Apagamento de dados | Difícil de verificar | Políticas de retenção | Controlo total do utilizador (Eliminação imediata a pedido/ao fechar processo) |
| Rastreabilidade de acessos | Limitada | Logs técnicos complexos | Auditoria completa de utilizador |
Perguntas frequentes sobre segurança em IA (FAQ)
É seguro subir cadernos de encargos com dados pessoais para a Tendios?
Sim. Além da encriptação, aplicamos técnicas de ofuscação ou pseudonimização onde é possível. Além disso, ao assinar o contrato de Encarregado do Tratamento (Art. 28 RGPD), assumimos as obrigações legais de proteção desses dados.
O que acontece se uso o ChatGPT para redigir um caderno de encargos?
Está a expor informação pública (e potencialmente confidencial) a servidores fora do seu controlo que podem usá-la para aprender. Isto poderia constituir uma infração do dever de custódia da informação administrativa.
Têm acesso aos meus dados?
Aplicamos o princípio de Least Privilege. A nossa equipa técnica não tem acesso aos seus processos salvo autorização expressa e temporal para suporte, e todos os acessos ficam registados nos logs de auditoria.
Conclusão: Inovar sem se expor
A modernização da administração não requer assumir riscos incontrolados. É possível aproveitar a potência da inteligência artificial generativa mantendo os padrões mais altos de segurança e soberania digital.
Escolher uma plataforma especializada não é apenas uma questão de funcionalidades ("que responda bem"); é a única forma de garantir que os dados públicos continuam a estar, em todo o momento, sob controlo.
Artigos relacionados
