Skip to main content
PromptQuorumPromptQuorum
Início/LLMs locais avançados/RAG local para dados empresariais: IA em conformidade com o GDPR para documentos sensíveis (2026)
RAG & Document Chat

RAG local para dados empresariais: IA em conformidade com o GDPR para documentos sensíveis (2026)

·15 min de leitura·Por Hans Kuepper · Fundador do PromptQuorum, ferramenta de despacho multi-modelo de IA · PromptQuorum

Uma implantação RAG auto-hospedada está em conformidade com o GDPR e o Regulamento de IA da UE somente quando seis controles são integrados desde o primeiro dia: hospedagem em air-gap ou com egresso estritamente controlado, autenticação por usuário com acesso a documentos baseado em funções, registros de auditoria imutáveis que cubram a ingestão e a recuperação, criptografia ponta a ponta em repouso e em trânsito, rastreabilidade determinística do chunk até a fonte, e um procedimento de exclusão por escrito que se propague do repositório de origem através do índice vetorial e de quaisquer embeddings em cache. O padrão de implantação (notebook de usuário único, servidor on-prem, nuvem privada na UE) determina quais controles são simples e quais exigem trabalho — não se os controles são obrigatórios.

As equipes jurídicas, médicas e financeiras enfrentam o mesmo problema: os documentos cuja busca por IA traria mais valor são justamente os que não podem sair da organização. Este artigo reúne a arquitetura, o conjunto de controles e a matriz de decisão de padrões de implantação para um RAG auto-hospedado em conformidade com o GDPR, o Regulamento de IA da UE, a HIPAA e as expectativas do Datenschutz alemão — escrito para o responsável de conformidade que precisa enviar um único documento à sua equipe de TI e que ela saiba o que construir.

Principais conclusões

  • A hospedagem local é necessária, mas não suficiente. Executar o modelo e o repositório vetorial no seu próprio hardware resolve a transferência transfronteiriça de dados e reduz a lista de operadores, mas os artigos 5, 25, 30, 32 e 35 do GDPR continuam aplicáveis. A base legal, a minimização de dados, o registro de auditoria, a segurança do tratamento e os DPIAs não se tornam opcionais apenas porque os dados permanecem nas instalações.
  • Seis controles são inegociáveis independentemente do padrão de implantação: air-gap ou controle de egresso estrito, autenticação por usuário com acesso baseado em funções, registros de auditoria imutáveis, criptografia em repouso e em trânsito, rastreabilidade determinística do chunk até o documento de origem, e um procedimento de exclusão por escrito que inclua o índice vetorial e quaisquer embeddings em cache.
  • Três padrões de implantação cobrem a maioria dos casos de uso regulados. Notebook de usuário único para profissionais individuais e revisões pontuais; servidor on-prem para bases de conhecimento departamentais de 5–50 usuários; nuvem privada na UE (região soberana, chaves gerenciadas pelo cliente) para implantações multientidade onde a resiliência importa mais do que o air-gap completo.
  • O Regulamento de IA da UE classifica a maioria dos RAG locais como sistemas de risco limitado — mas no momento em que a recuperação alimenta uma decisão automatizada (pontuação de crédito, seleção de pessoal, elegibilidade a benefícios), a implantação passa a ser de alto risco e aciona a avaliação de conformidade completa, a vigilância pós-comercialização e as obrigações de supervisão humana.
  • Um DPIA é obrigatório nos termos do artigo 35 para qualquer RAG que ingira dados de categorias especiais (saúde, dados jurídicos, biométricos, políticos, de filiação sindical) em larga escala, ou qualquer sistema que produza decisões automatizadas com efeitos jurídicos. Pular o DPIA significa pular a defesa em auditoria.
  • O direito ao esquecimento é o teste de exclusão que mais implantações reprovam. Os documentos de origem são fáceis. Os índices vetoriais podem ser reconstruídos. Os embeddings em cache, os registros de recuperação e as respostas armazenadas no histórico de chat são as partes negligenciadas — e as que um regulador perguntará.
  • Os modelos de embedding de código aberto são seguros para o GDPR em princípio, mas somente se (a) os pesos do modelo forem baixados uma vez e fixados a um hash, (b) a inferência for executada inteiramente em hardware local sem telemetria, e (c) a ficha do modelo e a licença forem revisadas para detectar cláusulas que conflitem com o uso empresarial confidencial.

Fatos rápidos

  • 6 controles obrigatórios para qualquer RAG regulado: air-gap, RBAC, registros de auditoria, criptografia, rastreabilidade de dados, procedimento de exclusão.
  • 3 padrões de implantação: notebook de usuário único (profissionais individuais), servidor on-prem (5–50 usuários), nuvem privada na UE (multientidade).
  • O DPIA é obrigatório nos termos do artigo 35 quando há ingestão de dados de categorias especiais (saúde, jurídicos, biométricos) em larga escala.
  • Regulamento de IA da UE: a maioria dos RAG locais = risco limitado; passa a alto risco quando a recuperação alimenta decisões automatizadas (crédito, emprego, benefícios).
  • O direito ao esquecimento deve se propagar a documentos de origem, índices vetoriais, embeddings em cache E o histórico de respostas.
  • Cogestão do conselho de trabalhadores (Betriebsrat) nos termos do §87 BetrVG é exigida para qualquer RAG sobre conteúdo gerado por funcionários na Alemanha.
  • Os modelos de embedding de código aberto só estão em conformidade com o GDPR se os pesos estiverem fixados, a inferência for totalmente local e a licença tiver sido revisada.

Comparação de padrões de implantação

Cada padrão pode ser tornado conforme ao GDPR; o que muda é o custo dos controles e os modos de falha quando algo dá errado. Escolha o padrão mais simples que se ajuste ao número de usuários, à sensibilidade dos documentos e ao requisito de resiliência.

ControleNotebook de usuário únicoServidor on-premNuvem privada na UE
Air-gap (sem rede de saída)Trivial — desativar a redeAlcançável — VLAN + firewallDifícil — somente lista de egresso permitido
Registro de auditoria (quem, o quê, quando)Manual — somente em nível de SOSólido — pipeline de logs centralizadoSólido — logging nativo na nuvem
Rastreabilidade de dados (chunk → fonte)Somente arquivos locaisPipeline totalmente rastreávelCompleta — mas abrange regiões
Residência de dados na UEInerente — localização físicaInerente — localização físicaConfigurada — região soberana exigida
RBAC por usuárioUsuário único — N/AProvedor de identidade + gruposIAM + SSO + ACL por coleção
Backup e recuperação de desastresDisco externo criptografadoFita ou backup externoReplicação multi-AZ
Custo inicialSomente hardware — baixoServidor + integração — médioAssinatura + configuração — médio
Custo contínuoNenhum — tempo de sysadminOperações de TI + eletricidade + refrigeraçãoMensalidade recorrente
Ideal paraProfissionais individuais, revisões pontuais5–50 usuários, bases de conhecimento departamentaisMultientidade, implantações resilientes

Escolher um padrão de implantação

A escolha certa depende do número de usuários, da sensibilidade dos documentos, da pressão de auditoria e da capacidade interna de TI. Este atalho de decisão cobre a maioria das situações reais.

Sua situaçãoEscolha
Advogado, médico ou auditor individual que revisa um caso de cada vezNotebook de usuário único
Data room de M&A com 3–5 revisores nomeados e data de fechamento definidaNotebook de usuário único ou on-prem (conforme o volume de documentos)
Equipe de conformidade de 10–30 pessoas que compartilha um arquivo de correspondência com reguladoresServidor on-prem
Departamento hospitalar construindo um assistente de protocolos clínicos para 50 funcionáriosServidor on-prem
Grupo multientidade que precisa de um RAG compartilhado entre filiais em vários países da UENuvem privada na UE (região soberana + chaves gerenciadas pelo cliente)
Seguradora com requisito de disponibilidade 24/7 e plano de recuperação de desastresNuvem privada na UE
Órgão público com dados classificados ou restritosSomente on-prem com air-gap — a nuvem fica fora de escopo
Defesa de auditoria perante regulador em menos de 6 semanasServidor on-prem (o mais rápido para demonstrar controle)

Por que RAG local para dados sensíveis

O argumento a favor do RAG local frente ao LLM-as-a-service na nuvem não é ideologia — é a forma que a avaliação de risco do GDPR assume. O RAG na nuvem é viável para muitos casos de uso; para dados empresariais sensíveis, ele acrescenta cinco riscos que o RAG local elimina por construção.

📍 Em uma frase

O RAG local mantém seus documentos sensíveis no seu próprio hardware enquanto fornece à sua equipe uma busca potencializada por IA — nenhum dado sai do prédio, nenhum operador externo os toca, e nenhuma pergunta sobre transferência transfronteiriça surge.

💬 Em termos simples

Imagine que sua equipe jurídica pudesse buscar em 10.000 processos fazendo perguntas em linguagem natural — mas os documentos nunca saíssem da sala de servidores. Isso é o RAG local: a IA lê seus documentos no seu hardware, responde suas perguntas no seu hardware, e nada é enviado para lugar algum. A vantagem de conformidade não é um recurso — é a arquitetura.

  • Transferência transfronteiriça (artigos 44–49). Enviar dados pessoais a um operador fora da UE exige cláusulas contratuais-padrão, uma avaliação de impacto da transferência e uma resposta crível sobre se a jurisdição receptora tem poderes de intimação que alcancem esses dados. O RAG local não transfere dados — a pergunta não surge.
  • Proliferação de suboperadores (artigo 28). Os provedores de LLM na nuvem costumam depender de infraestrutura de hiperescalador, serviços de moderação de conteúdo e provedores de observabilidade. Cada um é um suboperador que deve ser listado, contratado e auditado. O RAG local tem zero suboperadores por padrão.
  • Vazamento de dados de treinamento. Muitos termos de LLM na nuvem reservam-se o direito de usar os prompts dos clientes para melhorar o modelo, a menos que se use um nível enterprise pago e se verifique a cláusula de não treinamento. O RAG local executa modelos com pesos que você controla; nada sai do host.
  • Cláusulas de confidencialidade em contratos com clientes. Os acordos com assessoria externa, os NDAs de M&A e os acordos sobre dados de pacientes frequentemente proíbem a transmissão do material protegido a operadores externos. O RAG local contorna a cláusula por completo.
  • Exposição a intimações judiciais e processos legais. Os documentos armazenados em um provedor de nuvem podem ser requisitados por processo legal dirigido ao provedor, com obrigações de divulgação das quais o controlador pode nem ser notificado a tempo. Os documentos que nunca saem das suas instalações só podem ser requisitados a você.

📌Note: O RAG local não é a resposta certa para todas as cargas de trabalho. A pesquisa de informação pública, a geração de rascunhos de marketing, a assistência de código em repositórios de código aberto — tudo isso costuma funcionar melhor com LLMs na nuvem, porque a exposição ao GDPR é baixa e a diferença de qualidade do modelo importa. O argumento deste artigo é especificamente para dados empresariais confidenciais: jurídicos, médicos, financeiros, de RH, correspondência com reguladores e segredos comerciais.

Os seis controles que toda implantação precisa

Estes seis controles são o piso mínimo. Toda implantação regulada precisa dos seis; o padrão de implantação só muda como você os implementa. Omitir qualquer um deles é o motivo mais frequente pelo qual as auditorias dão errado.

  1. 1
    Air-gap ou controle de egresso estrito
    Why it matters: Confirme que os documentos e embeddings não podem vazar por chamadas de saída — SDK de telemetria, sondas de atualização do modelo, relatores de falhas, callbacks de moderação de conteúdo, CDN de terceiros para fontes. Ou desabilite o acesso à rede por completo (air-gap real) ou execute uma lista de egresso permitido que autorize somente servidores de atualização assinados.
  2. 2
    Autenticação por usuário com acesso baseado em funções
    Why it matters: Você precisa poder responder "quem acessou qual documento" antes que um regulador pergunte. Login único contra um provedor de identidade, acesso por grupos a coleções e ACL por documento onde o caso exigir. As contas compartilhadas não são um controle — são uma falha de auditoria esperando para acontecer.
  3. 3
    Registros de auditoria imutáveis que cubram a ingestão e a recuperação
    Why it matters: Para cada documento: quem o enviou, quando, caminho de origem, hash. Para cada consulta: quem perguntou, o que foi perguntado (se o logging permitir), quais chunks foram recuperados, de quais IDs de documentos vieram, qual resposta foi devolvida. Os registros devem ser à prova de adulteração — somente de adição, assinados, com retenção suficiente para cobrir a janela de investigação da autoridade supervisora. Para a trilha de auditoria em nível de prompt — controle de versões, registros de alterações e reversões — consulte [fluxos de trabalho de controle de versões de prompts](https://www.promptquorum.com/pt/prompt-engineering/prompt-version-control-workflows).
  4. 4
    Criptografia em repouso e em trânsito
    Why it matters: Criptografia de disco completo no host, TLS para qualquer chamada interna entre serviços, e gerenciamento de chaves que sobreviva a um notebook roubado ou a uma conta de administrador comprometida. Chaves gerenciadas pelo cliente para implantações na nuvem. Sem essas medidas, o roubo de um dispositivo se torna uma violação de dados notificável nos termos do artigo 33.
  5. 5
    Rastreabilidade determinística de dados do chunk à fonte
    Why it matters: Cada chunk recuperado deve ser rastreável até seu documento de origem, página, seção e versão. É isso que permite (a) verificar a resposta, (b) atender a uma solicitação de exclusão, (c) defender o sistema perante um tribunal quando um resumo gerado é contestado. "Não conseguimos reproduzir qual chunk causou qual resposta" não é uma resposta aceitável para uma autoridade supervisora.
  6. 6
    Procedimento de exclusão por escrito que inclua o índice vetorial e os embeddings em cache
    Why it matters: Uma solicitação de direito ao esquecimento deve se propagar do repositório de origem, através do índice vetorial, até quaisquer embeddings em cache, e através da retenção de registros de recuperação. A maioria das implantações gerencia a exclusão da origem corretamente e esquece o resto. Documente o procedimento de exclusão antes de entrar em produção; pratique-o com dados sintéticos.

Air-gap e controle de egresso

Air-gap significa que o host não tem rota de rede de saída; o controle de egresso significa que ele tem uma estritamente permitida. Ambos são aceitáveis; escolha o modelo mais sólido que suas operações conseguirem sustentar.

  • Air-gap real — sem DHCP, sem resolução DNS para destinos públicos, sem TCP de saída. As atualizações são feitas por mídia assinada que um administrador conecta fisicamente. Este é o modelo certo para trabalho classificado, determinadas redes hospitalares e qualquer implantação cujo modelo de ameaças inclua uma dependência maliciosa.
  • Lista de egresso permitido — a rede de saída só é permitida para uma pequena lista de destinos nomeados (servidores de atualização do modelo, seu provedor de identidade, encaminhadores de logs para coletores internos). Todo o demais tráfego é descartado no firewall. Este é o padrão prático para a maioria das implantações departamentais reguladas.
  • O que procurar na plataforma: zero telemetria por padrão, sem chamadas de saída durante a inferência, sem CDN de fontes na interface de usuário, sem relatores de falhas que enviem cargas úteis. Verifique com uma captura de pacotes ou uma ferramenta como o Little Snitch no banco de testes antes de ir para produção.
  • Governança de atualizações — os pesos do modelo, os pesos do embedder, o código da aplicação e os patches do SO passam todos por uma janela de atualização controlada. O administrador que promove uma atualização a assina por escrito; a alteração é registrada.
  • Ruptura de air-gap frequente: um SDK de analytics incluído com um componente de interface de terceiros, uma referência a CDN de fontes no chrome da aplicação, ou uma sonda de "verificar atualizações" que roda na inicialização. Por isso o passo de verificação importa — não presuma nada sobre os padrões.

💡Tip: Faça uma captura de pacotes de 24 horas no host com a aplicação aberta e em repouso. Qualquer tráfego de saída que não esteja na lista permitida é um achado. Repita isso sempre que a aplicação for atualizada — as notas de versão costumam subestimar quais novas chamadas de saída foram adicionadas.

Registro de auditoria que sobreviva a uma revisão

O registro de auditoria é o artefato que uma autoridade supervisora lerá primeiro. Ele deve responder a duas perguntas para cada recuperação: quem perguntou e o que o sistema lhe deu. Sem isso, você está argumentando com palavras; com um logging adequado, você está apresentando comprovantes.

  • Eventos de ingestão: ID de documento, hash (SHA-256), nome do arquivo, caminho de origem, enviado por, carimbo de data/hora, etiqueta de classificação, tamanho, número de páginas, grupo proprietário, classe de retenção. Etiquete cada documento na ingestão — a classificação retroativa de grandes corpora é difícil e raramente completa.
  • Eventos de recuperação: ID de consulta, ID de usuário, carimbo de data/hora, IDs de chunks recuperados (e IDs de documentos dos quais vieram), pontuações de recuperação, hash da resposta final, identificador do modelo, identificador do embedder, top-K utilizado. O texto da consulta em si é sensível — registre-o somente se sua base legal de tratamento o cobrir; caso contrário, registre o hash e o carimbo de data/hora.
  • Eventos administrativos: promoção do modelo, troca de embedder, reconstrução do índice, alterações de usuário/grupo, alterações de ACL, alterações de política de acesso. Cada evento assinado pelo administrador responsável.
  • Resistência a adulterações: registro somente de adição, cadeia de hashes (cada entrada referencia o hash da entrada anterior), chave de assinatura fora de banda, reconciliação periódica com uma cópia separada mantida por um administrador diferente ou em uma mídia de escrita única.
  • Retenção: alinha-se à janela de investigação da autoridade supervisora — no mínimo o período de retenção do caso; comumente seis a sete anos para indústrias reguladas; mais onde se apliquem normas setoriais.
  • Pipeline: a aplicação emite eventos estruturados; um encaminhador os envia a um repositório de logs separado com acesso de escrita restrito. O servidor de aplicação nunca deve ter permissão para excluir ou reescrever entradas de logs — a separação de funções é o que torna o log crível.

📌Note: Registrar o texto da consulta introduz sua própria pergunta sobre o GDPR — uma consulta pode conter em si dados pessoais (p. ex., "resuma o histórico médico do paciente X"). Decida no momento do design se sua base legal de tratamento cobre o registro de consultas, e se não cobrir, registre somente os metadados necessários para auditoria e diagnóstico operacional.

Rastreabilidade de dados do chunk à fonte

A rastreabilidade é a espinha dorsal de todos os demais controles. Sem ela, as solicitações de exclusão falham, a verificação de respostas é impossível e a trilha de auditoria desmorona. Integre a rastreabilidade desde a primeira ingestão, não depois.

  • Rastreabilidade em nível de documento: cada documento tem um ID interno estável, um hash de conteúdo, um carimbo de data/hora de ingestão, um proprietário, uma classificação e uma classe de retenção. O arquivo original permanece no repositório de origem; o sistema RAG mantém uma referência, não o original.
  • Rastreabilidade em nível de chunk: cada chunk referencia seu ID de documento pai, página (para PDFs), seção (para documentos estruturados), deslocamento de caracteres, comprimento e versão da estratégia de chunking. Quando você refizer o chunking (e você fará), os chunks antigos são marcados como obsoletos, não excluídos no local — para que os logs de recuperação antigos continuem resolvíveis.
  • Rastreabilidade em nível de embedding: cada vetor de embedding referencia seu ID de chunk e identificador de embedder. Quando você trocar de embedder, os vetores antigos são conservados até que os novos sejam validados e qualquer caso que os referenciasse esteja encerrado; só então são expurgados.
  • Rastreabilidade em nível de resposta: cada resposta gerada referencia os IDs de chunks que a produziram, o identificador do modelo, a versão do template de prompt e o carimbo de data/hora. Quando um usuário pergunta "de onde veio esta resposta?", o sistema resolve chunk → documento → página com um clique.
  • Reindexação sem quebrar a rastreabilidade: as reconstruções preservam os IDs de documentos e incrementam as versões da estratégia de chunking. Os IDs de chunks antigos continuam resolvíveis nos registros de recuperação mesmo depois de o índice ativo ter avançado.

💡Tip: Teste a cadeia de rastreabilidade trimestralmente. Escolha uma recuperação aleatória do registro de auditoria e percorra-a de trás para frente: ID de chunk → ID de documento → arquivo original no repositório de origem → classe de retenção. Se algum passo estiver quebrado, corrija o esquema antes da próxima inspeção supervisora — não durante ela.

Criptografia e controle de acesso

Criptografia em repouso, criptografia em trânsito e controle de acesso que se mapeia ao seu provedor de identidade existente. Estes são controles bem compreendidos; o modo de falha é esquecer uma das três camadas, não implementar mal a camada escolhida.

  • Criptografia em repouso — criptografia de disco completo no host (LUKS no Linux, BitLocker no Windows, FileVault no macOS para notebooks). Para servidores, criptografe também as partições que hospedam o repositório vetorial e a etapa de ingestão. Chaves gerenciadas pelo cliente para qualquer implantação na nuvem, com rotação de chaves conforme sua política.
  • Criptografia em trânsito — TLS para qualquer salto entre serviços, mesmo em localhost. Política de cifras alinhada à sua linha de base setorial. TLS mútuo onde o modelo de ameaças o justifique — tipicamente servidor a servidor em implantações na nuvem.
  • Autenticação — login único contra seu provedor de identidade existente (OIDC, SAML). Sem contas locais em produção. MFA obrigatório para qualquer usuário com acesso administrativo ou a coleções sensíveis.
  • Autorização — acesso baseado em grupos em nível de coleção; ACL em nível de documento onde o caso exigir (p. ex., data rooms de M&A, investigações de emprego). O pipeline de recuperação deve aplicar as ACLs no momento da consulta — não somente a interface de usuário. Um usuário que não pode ver um documento também não deve receber seus chunks na resposta.
  • Acesso administrativo — gerenciamento de acesso privilegiado para qualquer conta que possa ler ou reconstruir índices, ver registros de auditoria ou alterar ACLs. A elevação just-in-time com justificativa registrada supera os direitos de administrador permanentes.
  • Segurança de endpoint — dispositivos gerenciados para implantações com notebook (registrados em MDM, criptografados, política de bloqueio de tela aplicada). Um notebook de profissional individual com o repositório de documentos descriptografado e desatendido em uma cafeteria é a violação do GDPR que você não quer reportar.

Padrão de notebook de usuário único

O notebook de usuário único é o padrão mais fácil de tornar air-gapped e o mais difícil de escalar. Adequado para profissionais individuais e revisões pontuais; inadequado para qualquer coisa que precise sobreviver a um único usuário ou à sua saída.

  • Hardware — um notebook de categoria workstation com criptografia de disco completo, uma GPU discreta (ou uma máquina recente de memória unificada) e ao menos 32 GB de RAM. O modelo e o embedder devem caber na memória junto com o cache do repositório vetorial. Para requisitos de hardware e seleção de modelos por VRAM, consulte o guia de hardware para LLMs locais.
  • Software — uma aplicação RAG de desktop autocontida que roda localmente; um LLM de código aberto com pesos baixados uma vez e fixados a um hash; um embedder de código aberto; um repositório vetorial local no disco criptografado. Para uma comparação de modelos de código aberto adequados para RAG local, consulte os melhores modelos de código aberto para Ollama.
  • Postura de rede — air-gapped durante o trabalho; reconectado somente para atualizações assinadas explícitas. Configure o firewall do SO para descartar todas as conexões de saída por padrão e crie exceções explícitas para o fluxo de atualização.
  • Manuseio de documentos — documentos de origem no disco criptografado; uma estrutura de pastas por caso; backups semanais criptografados em um disco externo armazenado em local diferente.
  • Postura de auditoria — o registro de auditoria em nível do SO (login, acesso a arquivos, eventos de periféricos) é o piso mínimo. Os eventos em nível de aplicação são mais simples com o padrão de servidor on-prem; para o padrão de notebook, trate o log do SO como o registro principal e complemente com notas manuais por caso.
  • Limitações — um notebook de usuário único não é uma plataforma multiusuário. Compartilhar o notebook, compartilhar contas ou copiar o repositório de documentos para o notebook de um colega quebra a postura de auditoria e a avaliação da base legal.

💡Tip: Para profissionais individuais que trabalham casos confidenciais, o padrão de notebook de usuário único é genuinamente a postura de privacidade mais sólida disponível — melhor que qualquer nuvem e mais robusta que muitas implantações on-prem. A contrapartida é operacional: quando o notebook falha, o caso herda o tempo de recuperação da sua disciplina de backups.

Padrão de servidor on-prem

O servidor on-prem é o padrão de trabalho habitual para RAG departamental regulado. Escala para 5–50 usuários e alguns milhares de documentos, admite registros de auditoria adequados e permanece dentro do seu perímetro físico. O custo é trabalho real de operações de TI.

  • Hardware — um servidor com uma ou duas GPUs de nível empresarial (as GPUs de categoria workstation são aceitáveis para corpora menores), discos redundantes, memória ECC e um no-break. Planeje 2–4× o armazenamento do seu corpus de documentos bruto para cobrir vetores, índices, logs e backups.
  • Rede — uma VLAN dedicada atrás do firewall corporativo; lista de egresso permitido ou air-gap completo conforme o modelo de ameaças. Acesso interno somente pela rede corporativa, sem ingresso público.
  • Pilha de software — uma plataforma RAG auto-hospedada (uma imagem de servidor independente ou uma implantação em contêineres), um LLM de código aberto como modelo de chat, um embedder de código aberto e um repositório vetorial apropriado ao tamanho do corpus. O servidor de aplicação, o repositório vetorial e o encaminhador de logs rodam como processos separados com contas de serviço separadas.
  • Identidade — federada com o provedor de identidade corporativo; a participação em grupos controla o acesso às coleções. As coleções sensíveis exigem fluxos de aprovação adicionais.
  • Backup e recuperação de desastres — backups incrementais noturnos do repositório de documentos e do índice vetorial; backups completos semanais; cópia externa mantida pela TI. Procedimento de restauração documentado e testado ao menos anualmente.
  • Operações — janela de patch conforme a política de gestão de mudanças; revisões de acesso trimestrais; procedimento de exclusão para solicitações de direito ao esquecimento ensaiado; rota documentada de atualização do modelo e do embedder que preserve a rastreabilidade.
  • Planejamento de capacidade — alguns milhares de documentos e 5–50 usuários simultâneos cabem confortavelmente em um servidor GPU de gama média. Além disso, planeje um host mais potente ou a migração para o padrão de nuvem privada.

📌Note: O RAG on-prem é o padrão que mais frequentemente falha por razões não técnicas: um backup que nunca foi restaurado, uma conta de administrador compartilhada entre a equipe de TI, um no-break que ninguém testou, um encaminhador de logs que vinha descartando eventos silenciosamente por dois meses. Os controles técnicos são mais fáceis que a higiene operacional.

Opções de bancos de dados vetoriais para RAG on-prem

A escolha do repositório vetorial raramente determina a conformidade — mas molda o custo operacional, o teto de escala e a limpeza com que o procedimento de exclusão pode ser implementado. A maioria das implantações reguladas escolhe uma destas seis opções.

Banco de dados vetorialTipoAuto-hospedagem na UEMelhor padrão de RAG
ChromaCódigo aberto, leveNotebook + on-prem pequeno
QdrantCódigo aberto, alto desempenhoServidor on-prem, filtragem intensiva
WeaviateCódigo aberto, completoOn-prem + busca híbrida
MilvusCódigo aberto, empresarialOn-prem em larga escala
pgvectorExtensão do PostgreSQLEquipes que já usam Postgres
PineconeSaaS gerenciado⚠️ Hospedado nos EUASomente nuvem privada na UE (com ressalvas)

Padrão de nuvem privada na UE

O padrão de nuvem privada na UE utiliza um provedor de nuvem em região soberana com chaves gerenciadas pelo cliente, residência de dados exclusivamente na UE e uma cláusula contratual de não treinamento de IA que cubra os dados do cliente. É a resposta certa para implantações multientidade, requisitos de resiliência multirregional e equipes que carecem de capacidade operacional para um on-prem real.

  • Seleção do provedor — a oferta soberana na UE de um hiperescalador ou um provedor de nuvem europeu. O DPA deve listar cada suboperador; os mecanismos de transferência devem ser abordados se algum suboperador estiver fora do EEE. A análise do impacto da transferência ao estilo Schrems II faz parte do dossiê mesmo quando o operador imediato tem sede na UE.
  • Região — exclusivamente na UE, com garantias explícitas de residência de dados. Replicação entre regiões somente para outras regiões da UE. Sem região dos EUA como failover, nem mesmo temporariamente, nem mesmo para backups.
  • Criptografia — chaves gerenciadas pelo cliente com rotação; bring-your-own-key onde o provedor o suportar; eventos de acesso a chaves registrados separadamente dos logs operacionais do provedor de nuvem.
  • Rede — VPC privada sem ingresso público; acesso somente por conectividade privada (link dedicado ou VPN) a partir da sua rede corporativa; lista de egresso permitido para qualquer dependência de saída.
  • Identidade — federada com seu IdP corporativo; IAM nativo da nuvem vinculado a identidades de usuário, não a contas de serviço compartilhadas; ACL por coleção aplicadas no pipeline de recuperação.
  • Logging — log de auditoria nativo da nuvem alimentado no seu SIEM existente; ingestão separada para eventos de auditoria da aplicação; retenção à prova de adulteração que atenda às expectativas do supervisor.
  • Contratos — o DPA deve cumprir o artigo 28, listar suboperadores, abordar as cláusulas contratuais-padrão onde necessário e incluir uma cláusula explícita de não treinamento com dados do cliente que cubra tanto os pesos do LLM quanto qualquer serviço auxiliar (busca, telemetria, suporte).

💡Tip: O padrão de nuvem privada na UE parece mais permissivo que o on-prem porque utiliza um operador externo — mas com região soberana, chaves gerenciadas pelo cliente, cláusula contratual de não treinamento e controle de egresso adequado, pode igualar ou superar o on-prem em disponibilidade e postura de auditoria. O dossiê de conformidade é mais volumoso; o risco operacional é menor.

Classificação segundo o Regulamento de IA da UE: risco limitado frente a alto risco

A maioria das implantações de RAG local são sistemas de IA de risco limitado segundo o Regulamento de IA da UE — mas no momento em que a recuperação alimenta uma decisão automatizada que afeta uma pessoa, a classificação passa a alto risco e as obrigações se multiplicam. Classifique antes de construir.

  • Risco limitado (a maioria dos RAG locais) — o sistema recupera e resume documentos para assistir um humano; o humano toma a decisão. As obrigações são principalmente de transparência: os usuários devem saber que estão interagindo com uma IA, o conteúdo gerado deve ser identificável como tal, e sem design manipulador ou enganoso.
  • Alto risco — a recuperação alimenta uma decisão automatizada em domínios que o Regulamento enumera: pontuação de crédito, seleção de pessoal, admissões educacionais, serviços públicos essenciais, aplicação da lei, migração, justiça, identificação biométrica, infraestrutura crítica. Um RAG de apoio à decisão clínica que recomenda tratamentos é de alto risco; um RAG que resume protocolos clínicos para ajudar um médico a ler diretrizes mais rápido não é.
  • Obrigações de alto risco — sistema de gestão de riscos ao longo do ciclo de vida, governança de dados (dados de treinamento, validação e teste documentados), documentação técnica, registro automático de eventos, transparência e informação aos usuários, supervisão humana, medidas de precisão e robustez, avaliação de conformidade antes da comercialização, vigilância pós-comercialização.
  • Considerações sobre a IA de propósito geral — usar um LLM de propósito geral (de código aberto ou não) não transfere as obrigações de alto risco ao provedor do modelo. O implementador (sua organização) carrega as obrigações de alto risco para o sistema que você constrói com esse modelo.
  • Práticas proibidas — pontuação social, raspagem não direcionada de imagens faciais, reconhecimento de emoções em locais de trabalho e centros educacionais, determinada categorização biométrica em tempo real. Estas ficam descartadas independentemente de quão localmente você as execute.
  • Documentação como artefato de auditoria — o dossiê técnico exigido para sistemas de alto risco não é um entregável único; é um documento vivo. Vincule-o ao seu processo de gestão de mudanças para que cada promoção de modelo, troca de embedder e alteração de ACL fique refletida.

📌Note: A linha entre alto risco e risco limitado é traçada pelo caso de uso, não pela tecnologia. O mesmo repositório vetorial e o mesmo modelo podem ser de risco limitado em uma implantação de assistente de pesquisa e de alto risco em uma implantação de seleção de pessoal de RH. Classifique por caso de uso, não por plataforma.

Requisitos do DPIA

Uma Avaliação de Impacto sobre a Proteção de Dados (artigo 35) é obrigatória para o tratamento que possa representar um alto risco para os direitos e liberdades dos titulares. A maioria dos RAG locais regulados está no âmbito de aplicação. Trate o DPIA como o documento de design, não como um artefato de conformidade a posteriori.

  • Quando é obrigatório — avaliação sistemática e abrangente que inclua definição de perfis com efeitos jurídicos; tratamento em larga escala de dados de categorias especiais (saúde, dados jurídicos, biométricos, raciais, políticos, religiosos, sindicais); monitoramento sistemático de zonas de acesso público. As autoridades supervisoras nacionais publicam listas de operações que sempre exigem um DPIA — consulte a sua.
  • Escopo do DPIA — finalidade e base legal; descrição das operações de tratamento; avaliação de necessidade e proporcionalidade; avaliação de riscos para os titulares; mitigações e risco residual; consulta com o DPO e (onde o risco residual for alto) com a autoridade supervisora antes de iniciar o tratamento.
  • Riscos específicos do RAG a abordar: reidentificação de indivíduos a partir de chunks recuperados; geração de informação imprecisa que afete uma pessoa; vazamento por meio de logs ou backups; completude da exclusão em solicitações de direito ao esquecimento; contaminação cruzada entre coleções; acesso amplo demais para usuários com muitos privilégios.
  • Mitigações a documentar — os seis controles anteriores, mais redação ou pseudonimização em nível de chunk onde a base legal for o consentimento ou o interesse legítimo; procedimento de exclusão com evidência de ensaio; revisões de acesso em uma cadência estabelecida.
  • Revisores — o DPO o aprova; a autoridade supervisora é consultada onde o risco residual após a mitigação ainda for alto. O DPIA assinado vai no dossiê técnico junto com a documentação de conformidade com o Regulamento de IA da UE se o sistema também for de alto risco.
  • Documento vivo — execute novamente o DPIA quando o corpus se ampliar materialmente, quando o modelo ou o embedder mudar, quando os limites de acesso mudarem, ou anualmente como base. Vincule isso ao seu processo de gestão de mudanças.

💡Tip: Um DPIA redigido na segunda semana do projeto é uma ferramenta de planejamento. Um DPIA redigido na décima semana é um documento defensivo. O primeiro é muito mais útil e tende a trazer à tona mudanças de design que reduzem o risco residual final. Comece o DPIA antes da decisão de aquisição, não depois da implantação.

Notas específicas para a Alemanha (Datenschutz)

A prática alemã de proteção de dados sobrepõe o BDSG-Neu, as normas setoriais e a cogestão do conselho de trabalhadores sobre a linha de base do GDPR. Uma implantação de RAG que satisfaz o GDPR genérico pode ainda assim não sobreviver a uma revisão alemã se esses pontos forem negligenciados.

  • Cogestão do conselho de trabalhadores (Betriebsrat) — nos termos do §87 BetrVG, qualquer sistema que monitore o desempenho ou o comportamento dos funcionários exige um acordo do conselho de trabalhadores antes da implantação. Um RAG sobre conteúdo gerado por funcionários (e-mails, documentos internos) tipicamente o aciona. Envolva o conselho de trabalhadores no momento do design; o acordo (Betriebsvereinbarung) passa a fazer parte do dossiê de base legal.
  • Confidencialidade setorial — o §203 StGB criminaliza a violação da confidencialidade profissional (advogados, médicos, consultores fiscais, auditores). Implantar um RAG de forma que exponha dados de clientes protegidos a pessoal não vinculado ou a operadores externos pode constituir um crime, não apenas uma questão civil. O padrão on-prem ou air-gapped é a opção mais segura nesses setores.
  • Telemediengesetz (TTDSG) e telemetria — a telemetria de saída que toca os dispositivos dos usuários finais é regulada não apenas pelo GDPR, mas também pelo TTDSG. O air-gap elimina a questão; as implantações com controle de egresso devem verificar que qualquer chamada de saída seja consentida, necessária ou estritamente técnica.
  • Expectativas de transparência — as normas de transparência federais e estaduais ocasionalmente exigem a divulgação da tomada de decisão assistida por IA aos titulares. Mesmo onde não for estritamente exigido, a divulgação em linguagem clara de que a recuperação é assistida por IA e de que o revisor humano permanece responsável pela decisão é o padrão defensável.
  • Aufsichtsbehörden (autoridades supervisoras estaduais) — a supervisão do Datenschutz é organizada em nível estadual para o setor privado. Contate o Landesbeauftragte für Datenschutz relevante onde for necessária consulta nos termos do artigo 36. Os documentos de posição dos principais Landesbeauftragte sobre ferramentas de IA são insumos úteis para o DPIA.
  • Idioma da documentação — as autoridades supervisoras alemãs aceitam documentação em inglês, mas os artefatos-chave dirigidos aos usuários (avisos de privacidade, divulgações de transparência, acordos do conselho de trabalhadores) devem estar em alemão por razões tanto legais quanto práticas.

Lista de verificação de conformidade antes de entrar em produção

Percorra esta lista do início ao fim antes de qualquer implantação em produção. Cada item é um modo de falha real de uma auditoria real; a lista é intencionalmente curta para que realmente seja usada.

  • Base legal documentada para cada categoria de dados de origem — consentimento, contrato, obrigação legal, interesse vital, tarefa pública ou interesse legítimo com um teste de ponderação no dossiê.
  • DPIA aprovado pelo DPO, com um procedimento de exclusão ensaiado anexado.
  • Registro de atividades de tratamento (artigo 30) atualizado para incluir o sistema RAG, as categorias de dados, a retenção, os destinatários e os mecanismos de transferência (tipicamente nenhum para RAG local).
  • Seis controles verificados de ponta a ponta: air-gap ou lista de egresso permitido, RBAC, registros de auditoria, criptografia, rastreabilidade, procedimento de exclusão.
  • Captura de pacotes de saída limpa durante um teste de estresse de 24 horas; repetida após cada atualização da aplicação.
  • Integração do provedor de identidade testada com um usuário real de cada nível de acesso; o acesso a coleções sensíveis exige elevação separada.
  • Backups realizados e uma restauração realmente testada em hardware isolado, não apenas verificada em um painel de status.
  • Procedimento de direito ao esquecimento ensaiado com dados sintéticos que cubra o repositório de origem, o índice vetorial, os embeddings em cache e a retenção do registro de recuperação.
  • Classificação segundo o Regulamento de IA da UE confirmada (risco limitado frente a alto risco); dossiê técnico em vigor se for de alto risco.
  • Contratos de provedores (se houver) revisados: DPA conforme ao artigo 28, suboperadores listados, cláusula de não treinamento que cubra os dados do cliente.
  • Acordo do conselho de trabalhadores estabelecido onde o conteúdo gerado por funcionários estiver no âmbito de aplicação (Alemanha; normas similares em outros lugares da UE).
  • Aviso de transparência redigido em linguagem compreensível para o usuário que explique a assistência de IA, o humano no circuito e o fluxo de dados.
  • Procedimento de resposta a incidentes atualizado para incluir cenários específicos do RAG: vazamento do índice, adulteração de logs, falha de exclusão, troca de modelo com quebra de rastreabilidade posterior.
  • Revisão de acesso trimestral agendada e atribuída; primeira revisão no calendário antes de entrar em produção.
  • Atualização anual do DPIA agendada e vinculada ao processo de gestão de mudanças.

Erros frequentes

  • Erro 1: Tratar "local" como sinônimo de "conforme". Executar on-prem resolve as perguntas de transferência e de operador; não resolve a base legal, o DPIA, o registro de auditoria nem os direitos dos titulares. A conformidade é um programa em camadas, não uma escolha de implantação.
  • Erro 2: Pular o DPIA porque o sistema é "apenas uma ferramenta de busca". Uma ferramenta de busca que ingere dados de categorias especiais em larga escala é exatamente o que o artigo 35 cobre. Pular o DPIA significa pular a defesa em auditoria.
  • Erro 3: Registrar o texto da consulta sem verificar a base legal. As próprias consultas são dados pessoais quando referenciam indivíduos. Decida no momento do design se sua base legal de tratamento cobre o registro de consultas; se não, registre somente o hash e os metadados.
  • Erro 4: Esquecer os embeddings em cache no procedimento de exclusão. A exclusão da origem funciona. A reconstrução do índice vetorial funciona. A camada de cache que sua plataforma adicionou para o desempenho, as pegadas de embedding no registro de recuperação e o histórico de respostas no repositório de chat são as partes negligenciadas.
  • Erro 5: Permitir que usuários com muitos privilégios pulem as ACLs de coleção. "Os administradores podem ver tudo" é conveniente e muito comum; também é o motivo mais frequente pelo qual as auditorias dão errado. O acesso privilegiado deve, por sua vez, ser controlado, limitado no tempo e justificado pelo uso.
  • Erro 6: Reutilizar um espaço de trabalho para vários casos ou clientes. A contaminação cruzada de citações e contexto é uma falha de confidencialidade mesmo antes de qualquer parte externa vê-la. Um caso ou cliente por coleção; ACLs separadas; retenção separada.
  • Erro 7: Comprar air-gap e depois conectar um telefone pessoal para os testes. O perímetro de air-gap deve incluir as pessoas que podem transportar dados através dele. A política de endpoints é parte do controle, não uma preocupação separada.
  • Erro 8: Tratar a escolha de modelo e embedder como "configurar e esquecer". Cada atualização é um evento de gestão de mudanças com implicações para o DPIA, a rastreabilidade e a trilha de auditoria. Planeje o fluxo de trabalho de atualização antes da primeira implantação em produção.

Fontes

Perguntas frequentes

Executar RAG localmente cumpre automaticamente o GDPR?

Não. A hospedagem local resolve a pergunta sobre a transferência transfronteiriça e reduz a lista de operadores, mas os princípios do GDPR no artigo 5 (licitude, lealdade, transparência, limitação da finalidade, minimização de dados, exatidão, limitação do prazo de conservação, integridade e confidencialidade, responsabilização) continuam aplicáveis. O artigo 25 (proteção de dados desde a concepção e por padrão), o artigo 30 (registro de atividades de tratamento), o artigo 32 (segurança do tratamento) e o artigo 35 (DPIA) aplicam-se independentemente de onde o modelo é executado. O RAG local é um ponto de partida sólido, não uma postura de conformidade completa.

O que é necessário para a conformidade com o Regulamento de IA da UE em uma implantação de RAG local?

Classifique o caso de uso como risco limitado ou alto risco. A maioria das implantações de assistente de recuperação é de risco limitado e exige obrigações de transparência: os usuários devem saber que estão interagindo com uma IA, o conteúdo gerado deve ser identificável. No momento em que a recuperação alimenta uma decisão automatizada em um domínio enumerado (crédito, emprego, educação, serviços públicos, aplicação da lei, migração, justiça, biometria, infraestrutura crítica), a implantação é de alto risco e aplicam-se as obrigações completas: sistema de gestão de riscos, governança de dados, documentação técnica, registro automático de eventos, transparência, supervisão humana, precisão e robustez, avaliação de conformidade e vigilância pós-comercialização.

Preciso de um DPIA para o RAG local?

Um DPIA nos termos do artigo 35 é obrigatório para o tratamento que possa representar um alto risco para os direitos e liberdades dos titulares — o que inclui o tratamento em larga escala de dados de categorias especiais (saúde, dados jurídicos, biométricos, raciais, políticos, religiosos, sindicais) e a definição de perfis sistemática com efeitos jurídicos. A maioria do RAG local regulado (jurídico, médico, financeiro, investigações de RH) está no âmbito de aplicação. Execute o DPIA cedo, trate-o como o documento de design e ensaie as mitigações — especialmente o procedimento de exclusão — antes de entrar em produção.

Posso compartilhar uma implantação de RAG local entre departamentos?

Sim, com cuidado. O controle de acesso em nível de coleção, a autenticação por usuário contra um único provedor de identidade e uma base legal clara para o uso de cada departamento são o piso mínimo. O DPIA deve cobrir o conjunto mais amplo de finalidades de tratamento; se algum departamento precisar de uma base legal diferente (p. ex., investigações de RH sob interesse legítimo enquanto a equipe clínica opera sob tarefa pública), as coleções separadas e os grupos de acesso separados são mais fáceis de defender que uma única coleção com ACLs elaboradas.

Como audito quem acessou qual documento?

Registre cada recuperação com ID de usuário, carimbo de data/hora, IDs de chunks recuperados e os IDs de documentos dos quais vieram. Encaminhe os eventos a um repositório de logs separado com acesso de escrita restrito sob controle administrativo diferente do servidor de aplicação (separação de funções). Use armazenamento somente de adição com uma cadeia de hashes para que a adulteração seja detectável. A retenção deve alinhar-se à janela de investigação da autoridade supervisora e a qualquer norma setorial — seis a sete anos é frequente em indústrias reguladas.

Os modelos de embedding de código aberto são seguros para o GDPR?

Em princípio sim, com três condições. Primeiro, os pesos são baixados uma vez e fixados a um hash para poder demonstrar o que estava sendo executado. Segundo, a inferência é totalmente local sem telemetria nem chamadas de saída — verifique com uma captura de pacotes, não confie só na documentação. Terceiro, a ficha do modelo e a licença são revisadas para detectar cláusulas que conflitem com o uso empresarial confidencial (algumas licenças de pesos abertos anexam restrições sobre tipos de dados ou casos de uso). O padrão prático para implantações reguladas é colocar na lista permitida um pequeno número de embedders validados e revisá-los a cada atualização.

E quanto à rastreabilidade de dados para os resultados gerados por IA?

Cada resposta gerada deve referenciar os IDs de chunks que a produziram, o identificador do modelo, a versão do template de prompt e o carimbo de data/hora. Os chunks resolvem-se então a IDs de documentos, que resolvem-se a documentos de origem. Esta cadeia é o que permite verificar a resposta, defendê-la perante um questionamento, atender a uma solicitação de exclusão e reproduzir o resultado mais tarde. Sem ela, "a IA disse" é a defesa de auditoria — o que não é defesa alguma.

Posso usar RAG local para documentos confidenciais de clientes?

Muitas vezes sim, às vezes não. Muitos acordos com assessoria externa, NDAs de M&A e contratos de dados de pacientes permitem a revisão assistida por IA desde que os dados não saiam de um limite definido e certos controles sejam cumpridos. O RAG local cumpre o requisito de limite por construção; a lista de controles específica do contrato (criptografia, acesso, auditoria, retenção, notificação de violações) deve continuar sendo respeitada. Onde o contrato proíbe por completo o tratamento por IA, nenhum padrão de implantação resolve — a proibição se aplica quer a IA seja local ou remota.

Qual registro é necessário para a conformidade?

Eventos de ingestão (ID de documento, hash, origem, remetente, carimbo de data/hora, classificação), eventos de recuperação (ID de usuário, metadados de consulta ou hash, IDs de chunks recuperados, referência de resposta, identificador de modelo/embedder), eventos administrativos (promoção do modelo, troca de embedder, alteração de ACL, alteração de usuário/grupo) e eventos operacionais (backup, restauração, rotação de chaves). Todos os eventos encaminhados a um repositório de logs separado, somente de adição, com cadeia de hashes e retidos conforme seus requisitos de caso e setor.

Como gerencio as solicitações de direito ao esquecimento no RAG?

Com um procedimento documentado que percorra a exclusão através de cada camada: repositório de documentos de origem, índice vetorial, embeddings em cache, retenção do registro de recuperação (onde a base legal permitir a exclusão da entrada do log) e quaisquer respostas armazenadas no histórico de chat. A exclusão da origem é simples; a reconstrução do índice vetorial é bem compreendida; os embeddings em cache e o histórico de respostas são as partes que a maioria das implantações negligencia. Ensaie o procedimento com dados sintéticos, documente o ensaio e vincule o procedimento ao seu processo de resposta a incidentes para que uma solicitação real acione a sequência ensaiada e não a improvisação.

← Voltar para LLMs locais avançados