# Checklist de LGPD no atendimento do provedor (grátis)

> Publicado em 2026-07-13 · ConectaAI (https://conectaai.io) · Versão HTML: https://conectaai.io/blog/checklist-lgpd-atendimento-provedor.html
> Categoria: Recursos. Público: provedores de internet (ISPs) brasileiros.

O provedor trata CPF, endereço, histórico de conexão e de pagamento do assinante — e continua responsável por esses dados mesmo quando quem atende é uma IA. Este checklist transforma os princípios da LGPD em itens acionáveis para você auditar o próprio atendimento e o fornecedor que o opera. Não é aconselhamento jurídico; é uma ferramenta de trabalho para não deixar buraco de conformidade passar batido.

## Resumo executivo

- **Sete blocos acionáveis:** bases legais e finalidade, coleta e minimização, transparência, segurança e acesso, retenção e descarte, operadores de IA e direitos do titular — cada item é uma caixa que você marca só com evidência.
- **A responsabilidade não se terceiriza:** o provedor é o controlador dos dados do assinante; o fornecedor de IA é operador. Usar IA adiciona um elo à cadeia, não transfere o dever de proteger.
- **Minimização é o item que a IA mais testa:** o agente deve consultar o cadastro daquele assinante para resolver aquele pedido, nunca varrer a base inteira sem propósito.
- **Onde os dados ficam e por quanto tempo** decide conformidade na prática: hospedagem no Brasil, criptografia em trânsito e em repouso, acesso restrito e política de retenção clara.
- **Marque a caixa só com prova.** Caixa vazia por falta de evidência é um 'não', não um 'talvez'. E valide as decisões finais com o jurídico.

## Como usar este checklist

Quando um provedor coloca IA para atender, ele não terceiriza a responsabilidade sobre os dados do assinante — ele a estende. CPF, endereço, histórico de conexão e de pagamento continuam sob a guarda do provedor, que na lógica da LGPD é o **controlador**; o fornecedor de IA que processa esses dados sob as instruções do provedor é o **operador**. Este checklist existe para você verificar, item a item, se o seu atendimento automatizado — e quem o opera — respeita os princípios da lei.

**Como aplicar:** imprima ou abra numa aba. Percorra os sete blocos na ordem, do mais estrutural (bases legais) ao operacional (direitos do titular). Marque cada caixa **apenas quando houver evidência** — um contrato, uma configuração de acesso, uma tela, uma política escrita. Caixa vazia por falta de prova é um "não", nunca um "talvez". Use o bloco de operadores para auditar o fornecedor, exigindo respostas por escrito. Ao final, os itens não marcados são a sua lista de pendências de conformidade — leve-a ao jurídico.

> **Aviso:** este recurso é informativo e reflete princípios gerais da LGPD aplicados ao atendimento com IA. **Não é aconselhamento jurídico.** Decisões sobre bases legais, contratos e políticas devem ser validadas com o jurídico ou um advogado especializado em proteção de dados.

## 1. Bases legais e finalidade

Todo tratamento de dado precisa se apoiar numa base legal e existir para um propósito legítimo, específico e informado. É o alicerce — sem ele, o resto não se sustenta.

- [ ] Cada tratamento de dado do assinante tem uma **base legal identificada** (no atendimento a um cliente existente, a execução do contrato de prestação de serviço costuma ser a base natural para consultar dados e resolver pedidos — confirme com o jurídico qual se aplica).
- [ ] A **finalidade de cada uso está clara**: atender o próprio cliente, resolver o pedido, cumprir o contrato — não um uso que o assinante não esperaria.
- [ ] Usos que fogem do atendimento (por exemplo, **marketing ativo**) foram avaliados à parte, porque podem exigir base legal diferente, como o consentimento.
- [ ] Nenhum dado do assinante alimenta **produto de terceiros** ou finalidade não informada (desvio de finalidade).

## 2. Coleta e minimização

O princípio que a IA mais testa. A tentação técnica é dar ao agente acesso irrestrito ao ERP; o correto é o oposto.

- [ ] A IA consulta **apenas o dado necessário** para resolver o atendimento em questão — o cadastro daquele assinante, não a base inteira.
- [ ] O agente **não coleta dados a mais** "porque pode ser útil depois".
- [ ] Dados sensíveis desnecessários ao atendimento **não são solicitados** na conversa.
- [ ] A profundidade do acesso ao ERP está **dimensionada por caso de uso** (2ª via, status de conexão, chamados), não como acesso amplo e indiscriminado.

## 3. Transparência com o assinante

O titular tem direito de saber como seus dados são tratados. Transparência não é opcional na LGPD — é princípio.

- [ ] O assinante é **informado de que o atendimento é automatizado**, de forma clara, no início do contato.
- [ ] A **política de privacidade está atualizada**, descrevendo que há tratamento por IA, para quais finalidades e com quais operadores.
- [ ] Há sempre um **caminho para o atendimento humano** — além de bom atendimento, é uma salvaguarda ligada aos direitos do titular.
- [ ] A comunicação sobre uso de dados é **honesta e em linguagem acessível**, sem esconder o tratamento em juridiquês.

## 4. Segurança e controle de acesso

Segurança deixou de ser "boa prática de TI" e virou obrigação de conformidade, para controlador e operador.

- [ ] Os dados são **criptografados em trânsito** (enquanto trafegam pela rede) **e em repouso** (enquanto armazenados) — o piso de segurança esperado.
- [ ] O acesso ao cadastro do assinante é **restrito e rastreável**, com perfis de acesso e princípio do menor privilégio.
- [ ] Existe **registro de quem acessou o quê** (log de acessos), tanto do lado da IA quanto das pessoas.
- [ ] Ambientes estão **segregados** e há um **plano de resposta a incidentes** definido — não improvisado no dia do problema.

## 5. Retenção e descarte

Dado não deve ser guardado para sempre "porque pode ser útil". Transcrições, gravações de voz e logs precisam de regra clara.

- [ ] Existe **política de retenção escrita**: por quanto tempo transcrições, gravações e logs de atendimento ficam armazenados.
- [ ] O prazo de guarda está **vinculado à finalidade** — mantido apenas pelo tempo necessário, respeitadas as hipóteses legais de guarda.
- [ ] Há **processo de descarte ou anonimização** ao fim do prazo, não acúmulo indefinido.
- [ ] A política de retenção do **fornecedor está documentada** e alinhada à sua — você sabe o que ele guarda e por quanto tempo.

## 6. Fornecedores e operadores de IA

Você vai entregar ao fornecedor os dados dos seus assinantes e o conteúdo das conversas. Avaliar quem opera a IA é parte do seu dever de conformidade — peça tudo por escrito.

- [ ] Existe **contrato (ou termo de tratamento de dados)** que coloca você como controlador e o fornecedor como operador, com obrigações de segurança e sigilo.
- [ ] Está definido **onde os dados são processados e armazenados** — o mais simples de defender para um provedor brasileiro é infraestrutura **no Brasil**.
- [ ] Se houver **transferência internacional** (comum quando o fornecedor usa modelos de IA hospedados no exterior), ela é conhecida, documentada e apoiada em salvaguardas.
- [ ] O fornecedor é **transparente sobre subcontratados** (provedores de modelos de IA, nuvem, telefonia) que também tratam os dados dos seus clientes.
- [ ] A **postura de segurança do fornecedor** está declarada com honestidade — certificações existentes ou em processo apresentadas como tais, nunca uma certificação "em andamento" vendida como já obtida.

## 7. Direitos do titular

O assinante é titular dos dados e tem direitos sobre eles. O atendimento precisa conseguir honrar esses direitos — inclusive quando é a IA na linha de frente.

- [ ] Existe um **canal e um processo** para o titular exercer seus direitos (confirmar, corrigir e solicitar informações sobre seus dados).
- [ ] O atendimento sabe **encaminhar um pedido de titular** para o fluxo correto em vez de ignorá-lo.
- [ ] Há sempre **rota para um humano** em decisões que afetem o titular.
- [ ] O provedor consegue **localizar e tratar** os dados de um assinante específico quando necessário para atender a uma solicitação legítima.

## Fechamento

Este checklist é um levantamento, não um parecer. Ele organiza a conversa entre atendimento, TI e jurídico e revela rápido onde falta evidência — mas as decisões finais sobre bases legais, contratos, política de privacidade e resposta a incidentes precisam passar pelo jurídico ou por um advogado especializado em proteção de dados. Um item não marcado não é um veredito; é uma pendência para alguém decidir com propriedade.

Um fornecedor de IA que responde ao bloco 6 com clareza e documentação está a anos-luz de um que responde "pode confiar" — e essa diferença é exatamente o que a sua conformidade precisa. Para entender o contexto por trás de cada item, o artigo [LGPD e IA no atendimento do provedor](https://conectaai.io/blog/lgpd-atendimento-ia-provedor.html) explica os princípios em profundidade. Para ver como a integração com o ERP se conecta a controle de acesso bem feito, veja a [integração IXC + IA](https://conectaai.io/blog/integracao-ixc-ia-atendimento.html). Quando quiser discutir a conformidade no contexto do seu provedor, [agende uma demonstração de 20 minutos](https://calendar.app.google/gcAyr2SvyNVNhwb86).

## Fontes e mais leitura

- [Lei Geral de Proteção de Dados (Lei nº 13.709/2018)](https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm) — texto oficial da LGPD.
- [Autoridade Nacional de Proteção de Dados (ANPD)](https://www.gov.br/anpd/pt-br) — orientações e guias oficiais sobre a aplicação da lei.
- [LGPD e IA no atendimento do provedor: o que você precisa garantir](https://conectaai.io/blog/lgpd-atendimento-ia-provedor.html) — o artigo que fundamenta este checklist, com os princípios explicados.
- [Como escolher um call center de IA para o seu provedor](https://conectaai.io/blog/como-escolher-call-center-ia-provedor.html) — o guia de compra onde a conformidade é um dos critérios de decisão.
- [Integração IXC + IA: como um agente atende consultando seu ERP](https://conectaai.io/blog/integracao-ixc-ia-atendimento.html) — por que o acesso a dados vivos exige controle de acesso bem desenhado.
- [Call center com IA para provedor de internet: o guia completo](https://conectaai.io/blog/call-center-ia-provedor-internet.html) — visão geral de como o atendimento com IA funciona no ISP.

## Perguntas frequentes

### Como uso este checklist na prática?

Imprima ou abra numa aba e percorra os sete blocos, do mais estrutural (bases legais) ao operacional (direitos do titular). Marque cada caixa apenas quando conseguir apontar a evidência — um contrato, uma configuração, uma tela, uma política escrita. Caixa vazia por falta de prova é um 'não', não um 'talvez'. Use a parte de operadores de IA para auditar o fornecedor, exigindo respostas por escrito. No fim, leve os itens não marcados para o jurídico decidir o encaminhamento.

### Este checklist substitui a orientação de um advogado?

Não. Ele reflete princípios gerais da LGPD aplicados ao atendimento com IA e serve para organizar a sua auditoria interna e a avaliação do fornecedor. Decisões sobre qual base legal se aplica a cada tratamento, redação de contrato, política de privacidade e resposta a incidentes devem ser validadas com o jurídico ou um advogado especializado em proteção de dados. Trate o checklist como um levantamento, não como um parecer.

### Preciso avisar o assinante que ele está falando com uma IA?

A LGPD trata do princípio da transparência: o titular tem direito de saber como seus dados são tratados. Informar de forma clara que o atendimento é automatizado, e como os dados serão usados, é boa prática de transparência — e costuma reforçar a confiança, não reduzir, desde que o caminho para um humano continue disponível. Como formalizar isso na política de privacidade é decisão para o jurídico.

### A IA pode acessar o cadastro completo do assinante no ERP?

O princípio da minimização diz que ela deve acessar apenas o dado necessário para resolver o atendimento em questão. Consultar a fatura, o status de conexão ou os chamados daquele assinante para atendê-lo é adequado; dar ao agente acesso irrestrito à base inteira sem propósito não é. Na prática, isso se resolve com controle de acesso bem desenhado — perfis, menor privilégio e registro de quem consultou o quê.

### O que exigir do fornecedor de IA em termos de LGPD?

No mínimo: um contrato que o coloque formalmente como operador, com obrigações de segurança e sigilo; clareza sobre onde os dados residem e quem os acessa; criptografia em trânsito e em repouso; política de retenção e descarte; e transparência sobre subcontratados, como os provedores de modelos de IA. O bloco de operadores deste checklist detalha cada ponto.

## Veja também

- [Checklist: contratar um call center de IA para provedor (grátis)](https://conectaai.io/blog/checklist-contratar-call-center-ia-provedor.html)
- [Checklist de implantação de IA no atendimento do provedor](https://conectaai.io/blog/checklist-implantacao-ia-atendimento-provedor.html)
- [Modelo de política de desbloqueio de confiança (para copiar)](https://conectaai.io/blog/modelo-politica-desbloqueio-confianca-provedor.html)
- [Modelo de régua de cobrança para provedor (para adaptar)](https://conectaai.io/blog/modelo-regua-cobranca-provedor-internet.html)

