IA e LGPD no atendimento: o que cuidar

Por que a LGPD é relevante para quem usa IA no atendimento

Quando um cliente envia uma mensagem no WhatsApp para o seu negócio, ele está compartilhando dados pessoais: nome, número de telefone, conteúdo das mensagens, histórico de compras e, em alguns casos, imagens de documentos. Se uma IA está processando essas mensagens, as obrigações da Lei Geral de Proteção de Dados (LGPD) se aplicam integralmente.

Não se trata de burocracia: empresas que tratam dados sem base legal adequada, sem transparência ou sem medidas de segurança enfrentam riscos reais — desde reclamações no Procon até sanções da ANPD (Autoridade Nacional de Proteção de Dados).

Quais dados são coletados em um atendimento via IA

Em um atendimento típico pelo WhatsApp, os dados que transitam incluem:

• Nome e número de telefone do cliente.
• Histórico completo da conversa.
• Dados de pedidos, agendamentos e pagamentos mencionados no chat.
• Comprovantes de pagamento enviados como imagem ou PDF.
• Preferências e informações fornecidas voluntariamente pelo cliente.

Cada um desses dados precisa de uma base legal para ser coletado e armazenado. A LGPD prevê dez bases legais; as mais comuns no atendimento são:

Transparência: o cliente precisa saber

A LGPD exige que o titular saiba que seus dados estão sendo coletados, para qual finalidade e por quanto tempo serão armazenados. No contexto de atendimento por IA, isso significa:

Informar desde o primeiro contato. Uma mensagem automática inicial pode incluir: "Este atendimento é realizado por IA. As mensagens são armazenadas por [X dias/meses] para fins de atendimento e qualidade. Acesse nossa Política de Privacidade em [link]."

Política de Privacidade acessível. O link para a política deve estar disponível no primeiro contato e fácil de encontrar no site. A política precisa ser escrita em linguagem clara, não em juridiquês impenetrável.

Não coletar mais do que o necessário. Se o atendimento é para agendar um serviço, não há motivo para coletar data de nascimento ou CPF — a menos que exigido por lei ou pelo serviço específico.

Direitos do titular e como atendê-los

O cliente tem direitos garantidos pela LGPD que você precisa estar preparado para atender:

• Acesso: saber quais dados seus estão armazenados.
• Correção: corrigir dados incorretos.
• Eliminação: solicitar a exclusão dos dados (com ressalvas quando há obrigação legal de retenção).
• Portabilidade: receber os dados em formato estruturado.
• Revogação do consentimento: quando a base legal for consentimento.

Defina um canal claro para receber essas solicitações (pode ser um e-mail de privacidade) e um prazo para respondê-las — a ANPD recomenda até 15 dias.

Cuidados específicos com comprovantes de pagamento

Comprovantes enviados como imagem ou PDF merecem atenção especial. Eles podem conter dados bancários sensíveis do cliente. Na Atendize, a IA recebe o arquivo, agradece o envio e encaminha para um atendente humano — mas o arquivo transita e fica armazenado no sistema.

Certifique-se de que:

• O armazenamento é seguro (criptografado em trânsito e em repouso).
• Há uma política de retenção: após quanto tempo o comprovante é excluído?
• O acesso é restrito: apenas quem precisa ver o comprovante tem acesso.

O papel do operador e do controlador

Na LGPD, o controlador é quem define a finalidade e a forma do tratamento dos dados — geralmente o seu negócio. O operador é quem trata os dados em nome do controlador — neste caso, a Atendize.

Isso significa que você, como controlador, precisa garantir que o operador (a plataforma) oferece garantias adequadas de segurança e conformidade. Verifique os termos de serviço e, idealmente, formalize um Acordo de Processamento de Dados (DPA) com o fornecedor.

Para uma visão mais ampla sobre como estruturar o atendimento com IA de forma responsável, consulte o guia completo de atendimento no WhatsApp.