--- title: "OpenClaw e LGPD — Conformidade com Dados" url: "https://openclaw.ia.br/seguranca/lgpd/" markdown_url: "https://openclaw.ia.br/seguranca/lgpd.MD" description: "Como usar OpenClaw em conformidade com a LGPD. Guia para tratamento de dados pessoais." date: "" author: "" --- # OpenClaw e LGPD — Conformidade com Dados Como usar OpenClaw em conformidade com a LGPD. Guia para tratamento de dados pessoais. # OpenClaw e LGPD Guia para usar o OpenClaw em conformidade com a Lei Geral de Proteção de Dados. ## Introdução A LGPD (Lei 13.709/2018) mudou fundamentalmente a forma como empresas brasileiras precisam tratar dados pessoais. Para quem usa assistentes de IA no trabalho, isso cria questões importantes: quais dados o assistente pode processar? Como garantir conformidade quando a IA lida com informações de clientes, pacientes ou funcionários? O OpenClaw foi projetado com privacidade em mente — especialmente por rodar localmente, sem enviar dados para servidores de terceiros por padrão. Este guia explica como configurar e usar o assistente dentro dos limites da LGPD, independente da área de atuação. Antes de continuar, consulte também o [guia de boas práticas de segurança](/seguranca/boas-praticas/) e os [riscos conhecidos](/seguranca/riscos-conhecidos/) para uma visão completa do modelo de segurança do OpenClaw. ## Por Que É Importante A LGPD estabelece obrigações e penalidades significativas. A ANPD (Autoridade Nacional de Proteção de Dados) pode aplicar multas de até 2% do faturamento anual, limitadas a R$ 50 milhões por infração. Além das penalidades financeiras, incidentes de dados geram danos reputacionais difíceis de reverter. Para quem usa IA no trabalho, o risco específico é processar dados pessoais de terceiros sem base legal adequada, armazená-los em locais inadequados ou enviá-los para serviços externos sem o consentimento dos titulares. O OpenClaw ajuda a mitigar esses riscos com as configurações certas. ## O Que é LGPD A **Lei Geral de Proteção de Dados** (Lei 13.709/2018) regula o tratamento de dados pessoais no Brasil. Aplica-se a qualquer operação com dados de pessoas identificadas ou identificáveis, independente do meio — físico ou digital. ## Quando a LGPD se Aplica ### Aplica-se Quando - Processa dados de clientes, pacientes ou parceiros - Usa dados de funcionários em qualquer operação - Coleta informações de terceiros via formulários ou integrações - Armazena dados pessoais na memória do assistente - Usa IA para analisar ou tomar decisões baseadas em dados pessoais ### Não se Aplica Quando - Uso estritamente pessoal e particular - Apenas seus próprios dados sem impacto em terceiros - Fins exclusivamente particulares e sem compartilhamento ## Classificação de Dados Pessoais ### Dados Pessoais (Atenção Padrão) - Nome, email, telefone - CPF, RG, passaporte - Endereço físico - Dados de navegação com identificação ### Dados Pessoais Sensíveis (Atenção Redobrada) - Saúde e vida sexual - Orientação sexual - Religião e convicções filosóficas - Biometria - Filiação sindical ou política - Dados raciais ou étnicos **Dados sensíveis requerem base legal mais restrita e cuidados adicionais de proteção.** ## Princípios da LGPD no Contexto do OpenClaw ### 1. Finalidade Defina claramente por que está coletando ou processando dados antes de usar o assistente. Não processe dados "por via das dúvidas" ou para fins genéricos sem objetivo definido. ### 2. Necessidade Colete e processe apenas o mínimo necessário para a finalidade definida. Se o assistente precisa consultar o nome do cliente para enviar um email, não é necessário que ele tenha acesso ao CPF, endereço ou histórico financeiro. ### 3. Transparência Os titulares dos dados (clientes, pacientes, funcionários) têm direito a saber como seus dados são processados. Se você usa IA para analisar dados de terceiros, considere informar isso na sua política de privacidade. ### 4. Segurança Implemente medidas técnicas e administrativas adequadas para proteger os dados. Para o OpenClaw, isso inclui: uso de variáveis de ambiente para credenciais, logs de auditoria e controle de acesso. ## Como Funciona: Dados no OpenClaw O OpenClaw armazena contexto no arquivo MEMORY.md e em arquivos de sessão. Esses dados ficam no seu computador local, não são enviados para servidores externos (exceto para a API do modelo de IA durante o processamento). Para privacidade total, use [modelos locais via Ollama](/modelos/ollama/). A boa prática é evitar armazenar dados pessoais identificáveis na memória do assistente. Use identificadores internos em vez de dados reais. ## Implementação Passo a Passo ### Passo 1: Mapeie os Dados que o Assistente Processa Liste quais dados pessoais o OpenClaw vai ter acesso: dados de clientes do CRM, emails de prospects, arquivos de RH, etc. Para cada categoria, defina a base legal (contrato, consentimento, legítimo interesse, etc.). ### Passo 2: Configure a Minimização de Dados ```yaml # config.yaml privacy: # Não logar dados pessoais nas sessões log_personal_data: false # Alertar antes de processar padrões sensíveis sensitive_data_warning: true # Excluir padrões identificáveis dos logs exclude_patterns: - "CPF" - "RG" - "@.*\\.com" # emails - "\\d{3}\\.\\d{3}\\.\\d{3}-\\d{2}" # CPF pattern ``` ### Passo 3: Use Pseudonimização Em vez de armazenar dados reais na memória do assistente, use identificadores internos: ``` # Em vez de armazenar: "Cliente: João Silva, CPF 123.456.789-00" # Armazene: "Cliente: CLI-001" (referência ao CRM) ``` ### Passo 4: Configure Retenção de Dados Defina por quanto tempo as sessões e logs serão mantidos: ```yaml logging: retention: days: 30 # Ou menos, conforme política interna ``` ### Passo 5: Documente o Tratamento Mantenha um registro das atividades de tratamento que envolve o OpenClaw, conforme exigido pelo Art. 37 da LGPD para organizações de médio e grande porte. ## Boas Práticas por Profissão ### Médicos e Psicólogos Dados de saúde são sensíveis e exigem cuidado extra: - Nunca armazene diagnósticos ou anamneses na memória do assistente - Use apenas códigos de pacientes (ex: PAC-123) - Prontuário eletrônico = sistema próprio com proteção adequada, não o OpenClaw - Consentimento específico para uso de IA no processamento de dados de saúde ### Advogados O sigilo profissional é reforçado pela LGPD: - Não armazene detalhes de casos na memória do assistente - Use referências (Processo X, Cliente Y) em vez de dados reais - Para analisar documentos, prefira modelos locais sem envio para APIs externas - Verifique a política de privacidade do provedor de IA utilizado ### RH e Recursos Humanos Dados de funcionários têm base legal específica: - Não armazene informações pessoais de candidatos além do necessário - Use códigos de funcionários em vez de dados identificáveis - Dados sensíveis (saúde, religião) = sistema próprio com controle de acesso - Documente o uso de IA em processos que afetam candidatos e funcionários ### Financeiro e Contabilidade - Dados financeiros pessoais (conta bancária, renda, dívidas) não devem ser armazenados na memória - Use sempre o modelo com menor janela de contexto necessária - Prefira processamento local para dados altamente sensíveis ## Direitos dos Titulares Quando alguém (cliente, funcionário, parceiro) exercer seus direitos de titulares, saiba como o OpenClaw é afetado: - **Acesso:** Mostre quais dados o assistente armazenou sobre a pessoa (consulte os arquivos de memória e sessão) - **Correção:** Corrija dados errados nos arquivos de memória - **Eliminação:** Delete as informações dos arquivos de sessão e memória - **Portabilidade:** Exporte os dados em formato legível (os arquivos são texto/JSON) ## Resposta a Incidentes de Dados Se houver uma situação de risco com dados pessoais: 1. **Contenha** — Restrinja o acesso ao assistente e aos arquivos afetados 2. **Avalie** — Quais dados foram expostos, para quem e por quanto tempo 3. **Notifique** — ANPD em até 72h se houver risco relevante; titulares se houver dano provável 4. **Documente** — Registre o ocorrido, a causa e as medidas tomadas 5. **Corrija** — Implemente melhorias técnicas e de processo ## Checklist LGPD para Usuários do OpenClaw - [ ] Sei quais dados pessoais o assistente processa - [ ] Tenho base legal para cada tratamento - [ ] Coleto e processo apenas o mínimo necessário - [ ] Dados sensíveis têm tratamento especial configurado - [ ] Titulares podem exercer seus direitos facilmente - [ ] Tenho medidas de segurança técnicas adequadas - [ ] Sei o que fazer em caso de incidente de dados - [ ] Retenção de dados configurada conforme política interna ## FAQ **Q: Usar o OpenClaw com Claude ou GPT-4 é compatível com a LGPD?** O processamento de dados por APIs externas (Anthropic, OpenAI) requer análise do contrato com o provedor e da finalidade do uso. Esses provedores têm políticas de privacidade próprias. Para máxima conformidade, use modelos locais via Ollama. **Q: Preciso informar meus clientes que uso IA para atendê-los?** Depende de como você usa. Se a IA toma decisões automatizadas que afetam o titular, sim, é obrigatório informar. Para uso como ferramenta de produtividade interna, consulte um advogado especializado em proteção de dados. **Q: Como lidar com emails de clientes que o assistente processa?** Configure o assistente para usar apenas identificadores nos logs e na memória. O conteúdo dos emails não deve ser armazenado indefinidamente nem compartilhado com serviços não autorizados. **Q: A LGPD se aplica mesmo para microempresas?** Sim. A LGPD se aplica a qualquer empresa que trate dados pessoais de pessoas no Brasil, independente do porte. ## Próximos Passos - [Guia de Boas Práticas](/seguranca/boas-praticas/) - [Riscos Conhecidos](/seguranca/riscos-conhecidos/) - [Auditoria e Logs](/seguranca/auditoria/) - [Modelos Locais (Ollama)](/modelos/ollama/) — Máxima privacidade