Pillar 4 of 4
The audit your privacy policy has been quietly failing
We find your policy in 8 languages, extract the clean text, and grade it clause-by-clause against a rubric your DPO would actually approve.
Why a rubric instead of a vibe check
An off-the-shelf LLM will happily tell you a policy 'looks comprehensive' when it's missing a third of the clauses regulators actually look for. We don't ask the LLM 'is this policy compliant?' — we ask 14 specific yes/no questions, each tied to a regulatory citation, each requiring an evidence quote when the answer is yes. The scoring is mechanical: percentage of rubric items passed. An 80%+ score is solid. A 60% score means several material gaps. Below 50% usually means the policy was templated quickly and never updated for GDPR or CCPA.
Multilingual policy discovery
If you're scanning a German bakery's website, looking for the word 'privacy' won't help. We match against link text in English, German, French, Spanish, Italian, Portuguese, Dutch, and Japanese — covering ~80% of the open web by traffic. If link text matching fails, we probe a short list of conventional URLs (/privacy, /datenschutz, /privacidad, etc.) before giving up. When no policy is found at all, the result is unambiguous: zero rubric items pass, and the report flags 'no policy detected' as the top issue.
What we don't do
We don't tell you whether your business is GDPR-compliant — that's a question for legal counsel and a real DPIA. What we do is surface the exact clauses your policy doesn't contain, so when your counsel sits down to review it they have a punch list instead of a blank page. The LLM output is cached against a hash of the policy text, so repeated scans of an unchanged policy don't burn tokens.
Exemplos de achados
Falta descrição dos direitos do titular de dados (GDPR)
Sua política de privacidade não descreve os direitos concedidos aos titulares de dados sob os Artigos 15–22 do GDPR (acesso, retificação, apagamento, portabilidade, restrição, objeção). Essa omissão é material para qualquer site que processe dados de residentes da UE e está entre as deficiências mais citadas em ações de enforcement de DPA.
Item da régua: gdpr.data-subject-rights Framework : GDPR Resultado : FAIL Evidência : (nenhuma — política não traz descrição de direitos) Citação : Artigos 15, 16, 17, 18, 20, 21 do GDPR
Não há divulgação CCPA "Do Not Sell or Share"
A política não menciona o direito dos consumidores da Califórnia de optar por não vender ou compartilhar informações pessoais, nem descreve como exercer esse direito. CCPA/CPRA exige essa divulgação para qualquer negócio que atenda aos limiares de receita ou dados, mesmo que você não acredite que venda dados — a definição legal é mais ampla do que a coloquial.
Item da régua: ccpa.do-not-sell Framework : CCPA / CPRA Resultado : FAIL Evidência : (nenhuma — não há mecanismo de opt-out descrito) Citação : Cal. Civ. Code §1798.135
Não há períodos de retenção especificados
A política diz que você retém dados "enquanto for necessário" sem especificar durações reais ou os critérios usados para determiná-los. O Artigo 13(2)(a) do GDPR exige o período de retenção — ou, quando isso não for possível, os critérios usados para determiná-lo. "Enquanto for necessário" sozinho foi rejeitado por múltiplas DPAs como insuficiente.
Item da régua: gdpr.retention-periods Framework : GDPR Resultado : FAIL Evidência : "Retemos seus dados pelo tempo necessário para fornecer o Serviço." Citação : Artigo 13(2)(a), 14(2)(a) do GDPR Correção: liste durações específicas por categoria de dados, ex.: "Dados da conta: até exclusão + 30 dias. Logs: 30 dias. Cobrança: 7 anos (estatutário)".
Faça o scan do seu site em 60 segundos
25 créditos grátis. Sem cartão de crédito. Achados reais na página que importa para você.