← Trust & Compliance Center
ENP Ecosystem · Global Compliance Framework v1.0

AI Governance Policy

Versão 1.0 · Última atualização: 8 de junho de 2026

Enengin

Esta política define como a Enengin desenha, opera e supervisiona sistemas de IA — modelos, agentes, automações e orquestração — de forma segura, transparente e responsável. Alinha-se com princípios reconhecidos (OECD AI Principles, NIST AI RMF) e antecipa requisitos do EU AI Act baseados em risco.

1. Princípios

2. Classificação de risco dos agentes/usos

NívelExemplosControlos mínimos
BaixoGeração de texto, resumo, tradução, ideação, conteúdo público.Logs, limites de quota.
MédioCRM, marketing, scoring leve, relatórios, automações internas, documentos empresariais.Logs detalhados, validação de output, permissões por função.
AltoFinanças, saúde, jurídico, emprego, crédito, educação certificada, segurança, dados sensíveis.Revisão humana, explicação, restrição de dados sensíveis, auditoria.
CríticoAções irreversíveis: movimentação financeira, eliminação de dados, deploys de produção, decisões legais sobre pessoas.Aprovação humana obrigatória, dupla validação, rollback, limites de autonomia rígidos.

3. Guardrails obrigatórios

Os agentes operam com: permissões por função; limites de execução, custo e profundidade; aprovação humana para ações críticas; logs completos e rastreáveis; validação antes de executar; rollback/compensação; monitorização de custos; restrições a dados sensíveis; proteção contra prompt injection; isolamento por tenant; limites por plano; e auditoria.

4. Supervisão humana

Para decisões com efeitos jurídicos ou impacto significativo sobre pessoas, garantimos intervenção humana significativa, explicação do resultado, direito de contestação e a possibilidade de não ficar sujeito a decisão exclusivamente automatizada, conforme o art. 22.º do RGPD e leis equivalentes.

5. Política de modelos externos

Ao usar fornecedores externos: enviar apenas o contexto necessário; evitar dados sensíveis sempre que possível; preferir API/DPA empresarial; aplicar redaction quando necessário; registar o modelo usado e a finalidade; permitir configuração por cliente, incluindo a opção de "não enviar dados para modelos externos" quando aplicável.

6. Qualidade, avaliação e melhoria

Usamos avaliação por rubric (LLM-as-judge), exemplos de referência (gold examples), feedback humano (👍/👎) e métricas de qualidade para melhorar resultados. Mudanças materiais a sistemas de alto risco são testadas antes de promoção (canary), com auto-rollback em caso de degradação.

7. Ciclo de vida e documentação

Mantemos documentação técnica dos sistemas de IA de maior risco: finalidade, dados usados, limitações conhecidas, métricas, medidas de mitigação e responsáveis. Reavaliamos periodicamente e quando há alterações significativas.

8. Incidentes de IA

Comportamentos prejudiciais, enviesamentos materiais ou falhas de segurança de IA seguem o processo da Incident Response, com contenção, análise de causa, correção e comunicação quando exigido.