LGPD e IA no atendimento do provedor: o que você precisa garantir

</> Ver como Markdown
Resumo em 30 segundos

Quem é responsável pelos dados quando a IA atende

A resposta curta, e a mais importante deste texto: o provedor continua responsável. Colocar uma IA para atender não transfere o dever de proteger os dados do assinante — ele apenas adiciona mais um elo à cadeia, e esse elo precisa estar em conformidade.

A LGPD organiza esse relacionamento em papéis. O provedor, que decide por que e como os dados dos assinantes são tratados, é o controlador — é ele quem responde perante o titular (o cliente) e perante a autoridade. O fornecedor de IA, que processa esses dados seguindo as instruções do provedor, é o operador. Um call center humano terceirizado sempre funcionou assim; a IA não muda a lógica, só troca quem executa o processamento.

O que isso significa na prática: não adianta escolher o fornecedor mais barato e presumir que "o problema de dados é dele". Se algo der errado — vazamento, uso indevido, acesso não autorizado — o assinante reclama com o provedor, e é o provedor que precisa demonstrar que agiu com diligência ao escolher e supervisionar seu operador. Por isso a avaliação do fornecedor é parte do seu dever de conformidade, não um detalhe comercial.

Aviso: este artigo é informativo e reflete princípios gerais da LGPD aplicados ao atendimento com IA. Não é aconselhamento jurídico. Decisões sobre bases legais, contratos e políticas devem ser validadas com o jurídico ou um advogado especializado em proteção de dados.

Os princípios da LGPD aplicados ao atendimento com IA

A LGPD é construída sobre princípios, e são eles — mais do que qualquer artigo isolado — que orientam o dia a dia. Aplicados a um agente de IA que atende assinantes, eles ficam assim:

Finalidade

Os dados só podem ser usados para propósitos legítimos, específicos e informados ao titular. Um agente que atende para resolver o atendimento do próprio cliente — consultar fatura, verificar conexão, agendar visita — está dentro de uma finalidade clara. Usar os mesmos dados para algo que o cliente não espera (por exemplo, alimentar um produto de terceiros) seria desvio de finalidade.

Minimização

Trate apenas o dado necessário para a tarefa. Este é o princípio que a IA precisa respeitar com mais cuidado, porque a tentação técnica é dar ao agente acesso irrestrito ao ERP. O correto é o contrário: o agente consulta o cadastro daquele assinante para resolver aquele pedido, não varre a base inteira. Menos exposição, menos superfície de risco.

Transparência

O titular tem direito de saber como seus dados são tratados. No atendimento com IA, isso se traduz em duas coisas: avisar que o atendimento é automatizado e deixar claro (na política de privacidade e no momento do contato) como os dados serão usados. Voltamos a isso mais à frente.

Segurança

O controlador e o operador devem adotar medidas técnicas e administrativas para proteger os dados. Criptografia, controle de acesso, registro de quem acessou o quê, segregação de ambientes — tudo isso deixa de ser "boas práticas de TI" e passa a ser obrigação de conformidade.

Base legal

Todo tratamento precisa se apoiar em uma base legal. No atendimento a um assinante existente, a execução do contrato de prestação de serviço costuma ser a base natural para consultar dados e resolver pedidos. Para outros usos — comunicações de marketing, por exemplo — a base pode ser diferente (como o consentimento). Qual base se aplica a cada tratamento é justamente o tipo de decisão que deve passar pelo jurídico.

Onde os dados ficam, quem acessa e por quanto tempo

Princípio sem execução é discurso. Na prática, a conformidade de um atendimento com IA se decide em três perguntas concretas.

Onde os dados são processados e armazenados. Para um provedor brasileiro atendendo clientes brasileiros, o cenário mais simples de defender é o processamento e o armazenamento em infraestrutura no Brasil. Isso reduz complexidade jurídica e é mais fácil de explicar ao titular e à autoridade. Quando há transferência internacional (comum quando o fornecedor usa modelos de IA hospedados no exterior), ela precisa ser conhecida, documentada e apoiada nas salvaguardas que a LGPD prevê.

Quem acessa. O acesso aos dados do assinante deve ser restrito e rastreável — tanto do lado da IA (que consulta o mínimo necessário) quanto das pessoas do fornecedor e do próprio provedor. "Quem consegue ver os dados dos meus clientes?" é uma pergunta legítima para fazer ao fornecedor, e a resposta deve vir com controles: perfis de acesso, registro de acessos, princípio do menor privilégio.

Criptografia. Dados protegidos em trânsito (enquanto trafegam pela rede) e em repouso (enquanto armazenados) são o piso de segurança esperado. Sem isso, qualquer interceptação ou vazamento vira exposição direta de CPF, endereço e histórico do assinante.

Retenção e descarte. Dado não deve ser guardado para sempre "porque pode ser útil". A LGPD orienta que os dados sejam mantidos apenas pelo tempo necessário à finalidade — depois, eliminados ou anonimizados, respeitadas as hipóteses legais de guarda. Transcrições de atendimento, gravações de voz e logs precisam de uma política de retenção clara, não de um acúmulo indefinido.

Transparência com o cliente final: avisar que é IA

Há um receio comum de que avisar o cliente "você está falando com uma inteligência artificial" espante ou irrite. A experiência aponta para o contrário: quando a IA resolve rápido e o caminho para um humano permanece aberto, a transparência reforça a confiança.

Do ponto de vista da LGPD, a transparência não é opcional — é princípio. Na prática, para o provedor, isso significa:

Nada disso exige linguagem jurídica no meio da conversa. Um aviso honesto e um bom encaminhamento resolvem.

Checklist: o que perguntar a um fornecedor de IA

Antes de assinar, use estas perguntas para separar quem tem conformidade estruturada de quem só afirma tê-la. Peça respostas por escrito.

  1. Onde os dados são processados e armazenados? Idealmente no Brasil. Se houver transferência internacional, exija saber quais dados, para onde e sob quais salvaguardas.
  2. O contrato me coloca como controlador e o fornecedor como operador? Deve existir um instrumento (contrato ou termo de tratamento de dados) formalizando os papéis, as obrigações de segurança e o dever de sigilo.
  3. Quem, do lado de vocês, acessa os dados dos meus assinantes? Espere controles de acesso, registro e menor privilégio — não "só a equipe técnica".
  4. Os dados são criptografados em trânsito e em repouso? É o piso. Se a resposta for vaga, é sinal de alerta.
  5. Qual a política de retenção e descarte? Por quanto tempo transcrições, gravações e logs ficam guardados, e como são eliminados.
  6. Quais subcontratados vocês usam? Provedores de modelos de IA, nuvem, telefonia. O fornecedor deve ser transparente sobre a cadeia, porque ela também trata dados dos seus clientes.
  7. Qual a postura de segurança da empresa? Processos, certificações (existentes ou em andamento), plano de resposta a incidentes. Certificação em processo é legítima — desde que declarada como tal, não como já obtida.

Um fornecedor que responde a essas sete perguntas com clareza e documentação está a anos-luz de um que responde "pode confiar". A diferença é exatamente o que a sua conformidade precisa.

Vale lembrar que boa parte disso depende da profundidade da integração: um agente que lê o ERP em tempo real (veja a integração com o IXC) precisa de controles de acesso bem desenhados, e um agente que responde com base na sua documentação (o modelo RAG) trata os dados de forma diferente de um que memoriza. Entender esses mecanismos ajuda a fazer as perguntas certas. Se algum termo aqui soou novo, o glossário do atendimento com IA traz as definições.

Como a ConectaAI trata isso

A ConectaAI opera atendimento com IA exclusivamente para provedores de internet e trata a conformidade como parte do produto, não como cláusula de rodapé. Na prática: os dados ficam no Brasil, o tratamento segue os princípios da LGPD (finalidade, minimização, transparência, segurança e base legal), o acesso ao cadastro do assinante é restrito ao necessário para resolver cada atendimento, e há uma certificação ISO 27001 em processo — declarada honestamente como em andamento, não como já conquistada. O provedor permanece controlador dos dados; a ConectaAI atua como operador, sob as instruções do provedor.

Para entender como esse atendimento com IA funciona de ponta a ponta — o que a IA resolve sozinha, o que escala e quanto custa —, o guia completo do call center com IA para provedor é o ponto de partida. E se quiser discutir a conformidade no contexto específico do seu provedor, agende uma demonstração de 20 minutos.

Fontes e mais leitura

Perguntas frequentes

Usar um fornecedor de IA transfere minha responsabilidade sobre os dados do assinante?

Não. Na lógica da LGPD, o provedor que decide como e por que os dados do assinante são tratados é o controlador, e permanece responsável perante o titular e a autoridade. O fornecedor de IA que processa esses dados sob as instruções do provedor é operador. A responsabilidade não se terceiriza — ela se estende a um novo elo, que precisa estar em conformidade e formalizado em contrato.

A IA pode acessar CPF, endereço e dados de conexão do assinante?

Pode, desde que haja base legal e finalidade legítima — atender o próprio cliente e executar o contrato de prestação de serviço normalmente são finalidades adequadas. O que a LGPD exige é o princípio da minimização: a IA deve acessar apenas os dados necessários para resolver o atendimento em questão, não a base inteira sem propósito. Este texto é informativo e não substitui a orientação de um advogado.

Preciso avisar o cliente que ele está falando com uma IA?

A LGPD trata do princípio da transparência: o titular tem direito de saber como seus dados são tratados. Informar de forma clara que o atendimento é feito por inteligência artificial e como os dados serão usados é uma boa prática de transparência. Na prática, isso costuma aumentar a confiança do assinante, não reduzir — desde que a comunicação seja honesta e o caminho para um humano continue disponível.

Onde ficam armazenados os dados tratados pela IA?

Depende do fornecedor — e é exatamente por isso que essa deve ser uma das primeiras perguntas na avaliação. O ideal para um provedor brasileiro é que o processamento e o armazenamento fiquem em infraestrutura no Brasil, com criptografia em trânsito e em repouso, controle de acesso restrito e política de retenção definida. Exija que isso esteja documentado, não apenas afirmado verbalmente.

O que devo exigir de um fornecedor de IA em termos de LGPD?

No mínimo: um contrato que o coloque formalmente como operador, com as obrigações de segurança e sigilo; clareza sobre onde os dados residem e quem os acessa; criptografia; política de retenção e descarte; e transparência sobre subcontratados (como os provedores de modelos de IA). O checklist detalhado está no corpo deste artigo.

Atendimento com IA para o seu provedor

Agentes de IA que atendem telefone e WhatsApp do seu provedor 24/7, conectados ao IXC, MK-Auth e Hubsoft. Implementação em 14 dias.

Agendar demonstração