Checklist de LGPD no atendimento do provedor (grátis)
O provedor trata CPF, endereço, histórico de conexão e de pagamento do assinante — e continua responsável por esses dados mesmo quando quem atende é uma IA. Este checklist transforma os princípios da LGPD em itens acionáveis para você auditar o próprio atendimento e o fornecedor que o opera. Não é aconselhamento jurídico; é uma ferramenta de trabalho para não deixar buraco de conformidade passar batido.
- Sete blocos acionáveis: bases legais e finalidade, coleta e minimização, transparência, segurança e acesso, retenção e descarte, operadores de IA e direitos do titular — cada item é uma caixa que você marca só com evidência.
- A responsabilidade não se terceiriza: o provedor é o controlador dos dados do assinante; o fornecedor de IA é operador. Usar IA adiciona um elo à cadeia, não transfere o dever de proteger.
- Minimização é o item que a IA mais testa: o agente deve consultar o cadastro daquele assinante para resolver aquele pedido, nunca varrer a base inteira sem propósito.
- Onde os dados ficam e por quanto tempo decide conformidade na prática: hospedagem no Brasil, criptografia em trânsito e em repouso, acesso restrito e política de retenção clara.
- Marque a caixa só com prova. Caixa vazia por falta de evidência é um 'não', não um 'talvez'. E valide as decisões finais com o jurídico.
Como usar este checklist
Quando um provedor coloca IA para atender, ele não terceiriza a responsabilidade sobre os dados do assinante — ele a estende. CPF, endereço, histórico de conexão e de pagamento continuam sob a guarda do provedor, que na lógica da LGPD é o controlador; o fornecedor de IA que processa esses dados sob as instruções do provedor é o operador. Este checklist existe para você verificar, item a item, se o seu atendimento automatizado — e quem o opera — respeita os princípios da lei.
Como aplicar: imprima ou abra numa aba. Percorra os sete blocos na ordem, do mais estrutural (bases legais) ao operacional (direitos do titular). Marque cada caixa apenas quando houver evidência — um contrato, uma configuração de acesso, uma tela, uma política escrita. Caixa vazia por falta de prova é um "não", nunca um "talvez". Use o bloco de operadores para auditar o fornecedor, exigindo respostas por escrito. Ao final, os itens não marcados são a sua lista de pendências de conformidade — leve-a ao jurídico.
Aviso: este recurso é informativo e reflete princípios gerais da LGPD aplicados ao atendimento com IA. Não é aconselhamento jurídico. Decisões sobre bases legais, contratos e políticas devem ser validadas com o jurídico ou um advogado especializado em proteção de dados.
1. Bases legais e finalidade
Todo tratamento de dado precisa se apoiar numa base legal e existir para um propósito legítimo, específico e informado. É o alicerce — sem ele, o resto não se sustenta.
- Cada tratamento de dado do assinante tem uma base legal identificada (no atendimento a um cliente existente, a execução do contrato de prestação de serviço costuma ser a base natural para consultar dados e resolver pedidos — confirme com o jurídico qual se aplica).
- A finalidade de cada uso está clara: atender o próprio cliente, resolver o pedido, cumprir o contrato — não um uso que o assinante não esperaria.
- Usos que fogem do atendimento (por exemplo, marketing ativo) foram avaliados à parte, porque podem exigir base legal diferente, como o consentimento.
- Nenhum dado do assinante alimenta produto de terceiros ou finalidade não informada (desvio de finalidade).
2. Coleta e minimização
O princípio que a IA mais testa. A tentação técnica é dar ao agente acesso irrestrito ao ERP; o correto é o oposto.
- A IA consulta apenas o dado necessário para resolver o atendimento em questão — o cadastro daquele assinante, não a base inteira.
- O agente não coleta dados a mais "porque pode ser útil depois".
- Dados sensíveis desnecessários ao atendimento não são solicitados na conversa.
- A profundidade do acesso ao ERP está dimensionada por caso de uso (2ª via, status de conexão, chamados), não como acesso amplo e indiscriminado.
3. Transparência com o assinante
O titular tem direito de saber como seus dados são tratados. Transparência não é opcional na LGPD — é princípio.
- O assinante é informado de que o atendimento é automatizado, de forma clara, no início do contato.
- A política de privacidade está atualizada, descrevendo que há tratamento por IA, para quais finalidades e com quais operadores.
- Há sempre um caminho para o atendimento humano — além de bom atendimento, é uma salvaguarda ligada aos direitos do titular.
- A comunicação sobre uso de dados é honesta e em linguagem acessível, sem esconder o tratamento em juridiquês.
4. Segurança e controle de acesso
Segurança deixou de ser "boa prática de TI" e virou obrigação de conformidade, para controlador e operador.
- Os dados são criptografados em trânsito (enquanto trafegam pela rede) e em repouso (enquanto armazenados) — o piso de segurança esperado.
- O acesso ao cadastro do assinante é restrito e rastreável, com perfis de acesso e princípio do menor privilégio.
- Existe registro de quem acessou o quê (log de acessos), tanto do lado da IA quanto das pessoas.
- Ambientes estão segregados e há um plano de resposta a incidentes definido — não improvisado no dia do problema.
5. Retenção e descarte
Dado não deve ser guardado para sempre "porque pode ser útil". Transcrições, gravações de voz e logs precisam de regra clara.
- Existe política de retenção escrita: por quanto tempo transcrições, gravações e logs de atendimento ficam armazenados.
- O prazo de guarda está vinculado à finalidade — mantido apenas pelo tempo necessário, respeitadas as hipóteses legais de guarda.
- Há processo de descarte ou anonimização ao fim do prazo, não acúmulo indefinido.
- A política de retenção do fornecedor está documentada e alinhada à sua — você sabe o que ele guarda e por quanto tempo.
6. Fornecedores e operadores de IA
Você vai entregar ao fornecedor os dados dos seus assinantes e o conteúdo das conversas. Avaliar quem opera a IA é parte do seu dever de conformidade — peça tudo por escrito.
- Existe contrato (ou termo de tratamento de dados) que coloca você como controlador e o fornecedor como operador, com obrigações de segurança e sigilo.
- Está definido onde os dados são processados e armazenados — o mais simples de defender para um provedor brasileiro é infraestrutura no Brasil.
- Se houver transferência internacional (comum quando o fornecedor usa modelos de IA hospedados no exterior), ela é conhecida, documentada e apoiada em salvaguardas.
- O fornecedor é transparente sobre subcontratados (provedores de modelos de IA, nuvem, telefonia) que também tratam os dados dos seus clientes.
- A postura de segurança do fornecedor está declarada com honestidade — certificações existentes ou em processo apresentadas como tais, nunca uma certificação "em andamento" vendida como já obtida.
7. Direitos do titular
O assinante é titular dos dados e tem direitos sobre eles. O atendimento precisa conseguir honrar esses direitos — inclusive quando é a IA na linha de frente.
- Existe um canal e um processo para o titular exercer seus direitos (confirmar, corrigir e solicitar informações sobre seus dados).
- O atendimento sabe encaminhar um pedido de titular para o fluxo correto em vez de ignorá-lo.
- Há sempre rota para um humano em decisões que afetem o titular.
- O provedor consegue localizar e tratar os dados de um assinante específico quando necessário para atender a uma solicitação legítima.
Fechamento
Este checklist é um levantamento, não um parecer. Ele organiza a conversa entre atendimento, TI e jurídico e revela rápido onde falta evidência — mas as decisões finais sobre bases legais, contratos, política de privacidade e resposta a incidentes precisam passar pelo jurídico ou por um advogado especializado em proteção de dados. Um item não marcado não é um veredito; é uma pendência para alguém decidir com propriedade.
Um fornecedor de IA que responde ao bloco 6 com clareza e documentação está a anos-luz de um que responde "pode confiar" — e essa diferença é exatamente o que a sua conformidade precisa. Para entender o contexto por trás de cada item, o artigo LGPD e IA no atendimento do provedor explica os princípios em profundidade. Para ver como a integração com o ERP se conecta a controle de acesso bem feito, veja a integração IXC + IA. Quando quiser discutir a conformidade no contexto do seu provedor, agende uma demonstração de 20 minutos.
Fontes e mais leitura
- Lei Geral de Proteção de Dados (Lei nº 13.709/2018) — texto oficial da LGPD.
- Autoridade Nacional de Proteção de Dados (ANPD) — orientações e guias oficiais sobre a aplicação da lei.
- LGPD e IA no atendimento do provedor: o que você precisa garantir — o artigo que fundamenta este checklist, com os princípios explicados.
- Como escolher um call center de IA para o seu provedor — o guia de compra onde a conformidade é um dos critérios de decisão.
- Integração IXC + IA: como um agente atende consultando seu ERP — por que o acesso a dados vivos exige controle de acesso bem desenhado.
- Call center com IA para provedor de internet: o guia completo — visão geral de como o atendimento com IA funciona no ISP.
Perguntas frequentes
Como uso este checklist na prática?
Imprima ou abra numa aba e percorra os sete blocos, do mais estrutural (bases legais) ao operacional (direitos do titular). Marque cada caixa apenas quando conseguir apontar a evidência — um contrato, uma configuração, uma tela, uma política escrita. Caixa vazia por falta de prova é um 'não', não um 'talvez'. Use a parte de operadores de IA para auditar o fornecedor, exigindo respostas por escrito. No fim, leve os itens não marcados para o jurídico decidir o encaminhamento.
Este checklist substitui a orientação de um advogado?
Não. Ele reflete princípios gerais da LGPD aplicados ao atendimento com IA e serve para organizar a sua auditoria interna e a avaliação do fornecedor. Decisões sobre qual base legal se aplica a cada tratamento, redação de contrato, política de privacidade e resposta a incidentes devem ser validadas com o jurídico ou um advogado especializado em proteção de dados. Trate o checklist como um levantamento, não como um parecer.
Preciso avisar o assinante que ele está falando com uma IA?
A LGPD trata do princípio da transparência: o titular tem direito de saber como seus dados são tratados. Informar de forma clara que o atendimento é automatizado, e como os dados serão usados, é boa prática de transparência — e costuma reforçar a confiança, não reduzir, desde que o caminho para um humano continue disponível. Como formalizar isso na política de privacidade é decisão para o jurídico.
A IA pode acessar o cadastro completo do assinante no ERP?
O princípio da minimização diz que ela deve acessar apenas o dado necessário para resolver o atendimento em questão. Consultar a fatura, o status de conexão ou os chamados daquele assinante para atendê-lo é adequado; dar ao agente acesso irrestrito à base inteira sem propósito não é. Na prática, isso se resolve com controle de acesso bem desenhado — perfis, menor privilégio e registro de quem consultou o quê.
O que exigir do fornecedor de IA em termos de LGPD?
No mínimo: um contrato que o coloque formalmente como operador, com obrigações de segurança e sigilo; clareza sobre onde os dados residem e quem os acessa; criptografia em trânsito e em repouso; política de retenção e descarte; e transparência sobre subcontratados, como os provedores de modelos de IA. O bloco de operadores deste checklist detalha cada ponto.
Atendimento com IA para o seu provedor
Agentes de IA que atendem telefone e WhatsApp do seu provedor 24/7, conectados ao IXC, MK-Auth e Hubsoft. Implementação em 14 dias.
Agendar demonstração