Agente de IA para Auditoria de Processos de Dados

18 de December de 2025 • Tempo de leitura: 5 min

Como criar um agente de IA que revisa e audita processos internos de tratamento de dados, identificando riscos de não conformidade com a LGPD.

Biblioteca de Prompts e Agentes

1. Propósito e Escopo

Este documento define todos os prompts, configurações de memória, transição entre estados, ferramentas como chamadas a sistemas externos, busca online, consulta a documentos e demais requisitos funcionais para o Agente de IA para Auditoria de Processos de Dados. Essa documentação é um modelo de PRD ou Documento de Requisitos de Produto específicos para construção de Agentes de IA.

O objetivo principal é revisar e auditar processos internos de tratamento de dados, identificando riscos de não conformidade com a LGPD e sugerindo melhorias para garantir a conformidade contínua.

2. Contexto e Problema

Problemas Específicos

  • Dificuldade em manter a conformidade contínua com a LGPD em todos os processos de tratamento de dados.
  • Necessidade de identificar e corrigir rapidamente quaisquer riscos de não conformidade.

3. Impactos Esperados

A implementação deste agente visa alcançar os seguintes resultados:

  • Garantir conformidade contínua com a LGPD em todos os processos de tratamento de dados.
  • Identificar e corrigir rapidamente quaisquer riscos de não conformidade.
  • Manter registros detalhados de todas as auditorias e ações tomadas.

4. Visão Geral da Solução

O agente de IA para auditoria de processos de dados revisa e audita processos internos de tratamento de dados, identificando riscos de não conformidade com a LGPD e sugerindo melhorias. A seguir são detalhadas todas as regras de negócio e especificações funcionais necessárias para que esse agente atue como um auditor eficaz e autônomo na garantia da conformidade com a LGPD.

A solução consiste em um fluxo de automação composto por 4 agentes de IA. O processo inicia com a padronização do inventário de processos e termina com a geração de um relatório de auditoria consolidado.

Agentes Função Principal
Agente de Padronização de Inventário de Processos (RF 1) Receber inventário de processos de tratamento e padronizar/normalizar os dados para um esquema único de auditoria.
Agente de Auditoria LGPD (RF 2) Avaliar cada processo normalizado contra requisitos da LGPD e princípios de proteção de dados, identificando riscos e não conformidades.
Agente de Recomendações e Plano de Ação (RF 3) Transformar achados de auditoria em um plano de ação priorizado com tarefas, responsáveis, prazos e critérios de aceitação.
Agente de Registro e Saída Estruturada (RF 4) Consolidar auditoria e plano de ação em um artefato único de saída, com identificação, sumário executivo e trilha de evidências.

5. Protótipos

Para proporcionar uma visão clara e tangível da solução proposta, criamos protótipos interativos que demonstram tanto o fluxo de trabalho dos agentes quanto o resultado final que o cliente receberá. Explore os links abaixo para entender melhor a solução em ação.

Ver Agente na Prototipe AI

6. Requisitos Funcionais

RF 1. Agente de Padronização de Inventário de Processos

1.1 Tarefa do Agente

Receber inventário de processos de tratamento e padronizar/normalizar os dados para um esquema único de auditoria.

1.2 Prompt ou Instruções do Agente 
# 1. Contexto e explicações sobre inputs iniciais
Você está recebendo uma lista de processos de tratamento de dados em formato livre ou parcialmente estruturado. 

# 2. Objetivo
Padronizar e normalizar os dados para um esquema único de auditoria, garantindo que todos os campos necessários estejam presentes e corretos.

# 3. Regras que você deve seguir para gerar sua resposta
- Gerar um process_id único quando ausente, usando concatenação determinística de nome do processo + área + hash curto, sem espaços.
- Mapear sinônimos para o esquema canônico.
- Normalizar listas separadas por vírgula/; para arrays, removendo duplicatas e espaços.
- Padronizar valores de legal_basis para chaves LGPD.
- Converter retenção em period_value (número) + period_unit.
- Classificar dados sensíveis conforme art. 5º II.
- Marcar ripd.required = true quando necessário.
- Validar que dsr_process.sla_days é numérico.
- Não inventar valores: quando informação for ambígua/ausente, deixar null e registrar chave correspondente em missing_fields.
1.3 Configurações do Agente

1.3.1 Especificação do Input

  • Mecanismo de Acionamento: Este agente é o ponto de partida do fluxo e deve ser acionado pelo envio de um inventário de processos de tratamento via API. Na fase de testes, o fluxo será iniciado pelo envio manual dos dados, que serão enviados para o agente diretamente por upload do arquivo na interface da Prototipe AI, para acelerar o processo de validação.
  • Tipo do input: O input inicial para o fluxo é um arquivo contendo a lista de processos de tratamento.
  • Formatos Suportados: Esse agente deve ser capaz de receber inputs nos formatos: .csv, .xls, .xlsx.
  • Número de caracteres esperado: Este agente deve ter capacidade para processar um input de texto com até 100.000 caracteres.

1.3.2 Especificação do Output

  • Formato de output: O output deve ser um objeto JSON com a propriedade normalized_processes (array).
  • Exemplo de Estrutura de Output: 
    { "normalized_processes": [{ "process_id": "12345", "process_name": "Processo Exemplo", "business_owner": "Área X" }]}
  • Número de caracteres esperado: O JSON gerado deve ter um tamanho estimado em 5.000 caracteres, variando conforme a quantidade de processos.

1.3.3 Parâmetros de Geração

  • Modelo: GPT-5
  • Temperatura: 0.6

1.3.4 Ferramentas do Agente

  • Documentos: Não consulta documentos externos.
  • Calculadora: Não utiliza.
  • Busca Online: Não utiliza.
  • Sistemas Externos: Não se conecta a sistemas externos.

1.3.5 Memória

  • Visibilidade das Instruções (Prompt): As instruções deste agente não devem ser visíveis para nenhum agente subsequente.
  • Visibilidade da Resposta: A resposta gerada por este agente deve ser visível para o Agente de Auditoria LGPD (RF 2).

1.3.6 Regras de Orquestração e Transição

Ao concluir sua execução, esse agente aciona o Agente de Auditoria LGPD (RF 2).

RF 2. Agente de Auditoria LGPD

2.1 Tarefa do Agente

Avaliar cada processo normalizado contra requisitos da LGPD e princípios de proteção de dados, identificando riscos e não conformidades.

2.2 Prompt ou Instruções do Agente 
# 1. Contexto e explicações sobre inputs iniciais
Você está recebendo um objeto JSON com os processos normalizados conforme o esquema canônico.

# 2. Objetivo
Avaliar cada processo contra os requisitos da LGPD, identificando riscos e não conformidades.

# 3. Regras que você deve seguir para gerar sua resposta
- Base legal: Se legal_basis vazio ou incompatível com purpose declarado, gerar finding.
- Consentimento: Se base=consentimento e consent_management.evidence_ref ausente, gerar finding.
- Legítimo interesse: Se legal_basis inclui legitimainteresse e não há legitimate_interest_assessment.exists, gerar finding.
- Minimização: Se data_categories contêm itens não necessários à purpose, gerar finding.
- Retenção: Se retention_policy ausente ou vaga, gerar finding.
- Direitos do titular: Se dsr_process.channels vazio, gerar finding.
- Segurança: Se security_measures vazias, gerar finding.
- Transferência internacional: Se international_transfer.countries preenchido e safeguard_mechanism vazio, gerar finding.
- Contratos: Se data_processors não vazio e contracts.dp_addendum_exists=false, gerar finding.
- RIPD: Se ripd.required=true e ripd.status != 'concluido', gerar finding.
- Crianças: Se childrens_data.processed=true e parental_consent_mechanism ausente, gerar finding.
- Decisões automatizadas: Se automated_decisions.exists=true e human_review_available != true, gerar finding.
- Compartilhamento: Se shared_with_external existe sem finalidade compatível, gerar finding.
2.3 Configurações do Agente

2.3.1 Especificação do Input

  • Mecanismo de Acionamento: Este agente deve ser acionado automaticamente após a conclusão bem-sucedida do agente anterior (RF 1).
  • Tipo do input: Este agente deve ser apto a receber um objeto JSON com os processos normalizados.
  • Formatos Suportados: Esse agente deve ser capaz de receber inputs no formato: .json (JSON).
  • Número de caracteres esperado: Este agente deve ter capacidade para processar um input de até 20.000 caracteres.

2.3.2 Especificação do Output

  • Formato de output: O output deve ser um objeto JSON com audit_findings (array por processo).
  • Exemplo de Estrutura de Output: 
    { "audit_findings": [{ "process_id": "12345", "risk_level": "alto", "findings": [{ "category": "base_legal", "description": "Base legal incompatível." }]}]}
  • Número de caracteres esperado: O JSON gerado deve ter um tamanho estimado em 10.000 caracteres.

2.3.3 Parâmetros de Geração

  • Modelo: GPT-5
  • Temperatura: 0.6

2.3.4 Ferramentas do Agente

  • Documentos: Não consulta documentos externos.
  • Calculadora: Não utiliza.
  • Busca Online: Não utiliza.
  • Sistemas Externos: Não se conecta a sistemas externos.

2.3.5 Memória

  • Visibilidade das Instruções (Prompt): As instruções deste agente não devem ser visíveis para nenhum agente subsequente.
  • Visibilidade da Resposta: A resposta gerada por este agente deve ser visível para o Agente de Recomendações e Plano de Ação (RF 3).

2.3.6 Regras de Orquestração e Transição

Ao concluir sua execução, esse agente aciona o Agente de Recomendações e Plano de Ação (RF 3).

RF 3. Agente de Recomendações e Plano de Ação

3.1 Tarefa do Agente

Transformar achados de auditoria em um plano de ação priorizado com tarefas, responsáveis, prazos e critérios de aceitação.

3.2 Prompt ou Instruções do Agente 
# 1. Contexto e explicações sobre inputs iniciais
Você está recebendo um objeto JSON com os achados de auditoria.

# 2. Objetivo
Transformar os achados de auditoria em um plano de ação priorizado.

# 3. Regras que você deve seguir para gerar sua resposta
- Priorizar ações por risk_level e menor esforço estimado.
- Mapear cada finding em pelo menos uma action com descrição concreta.
- Estimar esforço: baixo=8h, médio=40h, alto=120h.
- Definir due_date usando due_date_suggestion_days do finding.
- acceptance_criteria devem ser mensuráveis.
- quick_win=true quando effort<=8h e risk_level médio ou superior.
- Definir KPI por categoria.
- residual_risk_expectation: reduzir um nível do risk_level original quando acceptance_criteria cumpridos.
3.3 Configurações do Agente

3.3.1 Especificação do Input

  • Mecanismo de Acionamento: Este agente deve ser acionado automaticamente após a conclusão bem-sucedida do agente anterior (RF 2).
  • Tipo do input: Este agente deve ser apto a receber um objeto JSON com os achados de auditoria.
  • Formatos Suportados: Esse agente deve ser capaz de receber inputs no formato: .json (JSON).
  • Número de caracteres esperado: Este agente deve ter capacidade para processar um input de até 15.000 caracteres.

3.3.2 Especificação do Output

  • Formato de output: O output deve ser um objeto JSON remediation_plan.
  • Exemplo de Estrutura de Output: 
    { "remediation_plan": [{ "process_id": "12345", "actions": [{ "description": "Formalizar cláusulas de operador." }]}]}
  • Número de caracteres esperado: O JSON gerado deve ter um tamanho estimado em 8.000 caracteres.

3.3.3 Parâmetros de Geração

  • Modelo: GPT-5
  • Temperatura: 0.6

3.3.4 Ferramentas do Agente

  • Documentos: Não consulta documentos externos.
  • Calculadora: Não utiliza.
  • Busca Online: Não utiliza.
  • Sistemas Externos: Não se conecta a sistemas externos.

3.3.5 Memória

  • Visibilidade das Instruções (Prompt): As instruções deste agente não devem ser visíveis para nenhum agente subsequente.
  • Visibilidade da Resposta: A resposta gerada por este agente deve ser visível para o Agente de Registro e Saída Estruturada (RF 4).

3.3.6 Regras de Orquestração e Transição

Ao concluir sua execução, esse agente aciona o Agente de Registro e Saída Estruturada (RF 4).

RF 4. Agente de Registro e Saída Estruturada

4.1 Tarefa do Agente

Consolidar auditoria e plano de ação em um artefato único de saída, com identificação, sumário executivo e trilha de evidências.

4.2 Prompt ou Instruções do Agente 
# 1. Contexto e explicações sobre inputs iniciais
Você está recebendo os objetos JSON de processos normalizados, achados de auditoria e plano de ação.

# 2. Objetivo
Consolidar todas as informações em um artefato único de saída.

# 3. Regras que você deve seguir para gerar sua resposta
- Gerar audit_id no formato 'AUD-' + ano + mês + dia + '-' + hash curto.
- audited_at deve ser data/hora atual em ISO-8601 UTC.
- Preencher summary.top_categories com as 3 categorias de finding mais frequentes.
- markdown_overview: produzir resumo executivo em até 300 palavras.
- Preservar integridade: não alterar valores de risk_score.
- Incluir somente evidências existentes em evidence_register.
4.3 Configurações do Agente

4.3.1 Especificação do Input

  • Mecanismo de Acionamento: Este agente deve ser acionado automaticamente após a conclusão bem-sucedida do agente anterior (RF 3).
  • Tipo do input: Este agente deve ser apto a receber múltiplos objetos JSON, incluindo processos normalizados, achados de auditoria e plano de ação.
  • Formatos Suportados: Esse agente deve ser capaz de receber inputs no formato: .json (JSON).
  • Número de caracteres esperado: Este agente deve ter capacidade para processar um input combinado de até 30.000 caracteres.

4.3.2 Especificação do Output

  • Formato de output: O output deve ser um objeto JSON audit_report.
  • Exemplo de Estrutura de Output: 
    { "audit_id": "AUD-20251218-1234", "audited_at": "2025-12-18T06:40:00Z", "summary": { "total_processes": 10 }}
  • Número de caracteres esperado: O JSON gerado deve ter um tamanho estimado em 12.000 caracteres.

4.3.3 Parâmetros de Geração

  • Modelo: GPT-5
  • Temperatura: 0.6

4.3.4 Ferramentas do Agente

  • Documentos: Não consulta documentos externos.
  • Calculadora: Não utiliza.
  • Busca Online: Não utiliza.
  • Sistemas Externos: Não se conecta a sistemas externos.

4.3.5 Memória

  • Visibilidade das Instruções (Prompt): As instruções deste agente não devem ser visíveis para nenhum agente subsequente.
  • Visibilidade da Resposta: A resposta gerada por este agente é o entregável final e não é passada para outros agentes internos.

4.3.6 Regras de Orquestração e Transição

A execução deste agente finaliza o fluxo, consolidando todas as informações em um artefato único de saída.

Posts Relacionados

© 2025 prototipe.ai. Todos os direitos reservados.