IA e LGPD: como automatizar atendimento sem dor de cabeça jurídica

A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em 2020 e, desde então, muitas empresas ficaram paralisadas por medo de adotar IA no atendimento. O receio é legítimo: dados de clientes transitam nas conversas, logs são armazenados e integrações com sistemas internos aumentam a superfície de risco. Mas o medo não precisa virar paralisia. Com os cuidados certos, é totalmente possível automatizar o atendimento em conformidade com a lei — e este artigo mostra como.

O que a LGPD tem a ver com atendimento automatizado

Sempre que um agente de IA conversa com um cliente, dados pessoais estão em jogo: nome, telefone, e-mail, CPF em alguns casos, histórico de compras, problemas relatados. Tudo isso é "dado pessoal" segundo o artigo 5º da LGPD — e qualquer operação sobre esses dados (coleta, armazenamento, uso, compartilhamento) precisa de uma base legal que a justifique.

Ignorar isso não é só um risco jurídico. É um risco de reputação. A ANPD (Autoridade Nacional de Proteção de Dados) já autuou empresas e o histórico de multas está crescendo. Para PMEs brasileiras, o valor pode chegar a 2% do faturamento, limitado a R$ 50 milhões por infração.

As bases legais que seu atendimento pode usar

A LGPD não proíbe o uso de dados — ela exige que esse uso tenha uma justificativa legal. Para atendimento automatizado, as bases mais aplicáveis são:

• Execução de contrato (art. 7º, V): se o cliente comprou de você, é legítimo usar os dados dele para atender dúvidas sobre o pedido. Nenhum consentimento adicional é necessário.
• Legítimo interesse (art. 7º, IX): para fins de atendimento ao cliente e melhoria de serviços, desde que o interesse da empresa não se sobreponha aos direitos do titular.
• Consentimento (art. 7º, I): necessário quando os dados são usados para finalidades além do atendimento direto — como envio de marketing, perfis de comportamento ou compartilhamento com terceiros.

Na prática: um agente que responde perguntas sobre pedidos e agenda suporte está coberto pela execução de contrato. Um agente que armazena o histórico para criar campanhas de reengajamento precisa de consentimento explícito.

Consentimento: como coletar de forma válida

O consentimento inválido é um dos erros mais comuns. A LGPD exige que ele seja:

• Livre: o cliente não pode ser obrigado a aceitar como condição para ser atendido.
• Informado: é preciso dizer exatamente para que os dados serão usados.
• Inequívoco: marcar uma caixinha escondida no rodapé ou presumir que "ao continuar você aceita" não é válido.
• Específico: "concordo com os termos" genérico não cobre todas as finalidades.

Uma boa prática: no início da conversa no WhatsApp, o agente pode enviar uma mensagem curta e clara — "Para continuar, confirme que concorda com nosso uso de dados conforme nossa Política de Privacidade: [link]. Responda SIM para prosseguir." Simples, rastreável, válido.

Dados sensíveis: atenção redobrada

A LGPD tem uma categoria especial de dados que exige proteção adicional: saúde, orientação sexual, dados biométricos, origem racial, convicção religiosa, dados de crianças. Para negócios como clínicas, academias ou qualquer empresa que atende menores, isso é crítico.

Um agente de IA que atende uma clínica, por exemplo, pode receber informações de saúde dos pacientes. Esses dados exigem consentimento específico para saúde, armazenamento segregado e controles de acesso mais rígidos. O parceiro que implementa o agente precisa entender isso — não só o desenvolvedor.

Conformidade com LGPD não é sobre evitar coletar dados. É sobre coletar os dados certos, com a base legal certa, com transparência e segurança técnica adequada.

Segurança técnica: o que exigir do seu fornecedor

A LGPD exige que o controlador (sua empresa) implemente medidas técnicas e organizacionais adequadas para proteger os dados. Na prática, ao contratar uma solução de IA para atendimento, pergunte:

• Os dados são criptografados em trânsito (TLS) e em repouso?
• Os logs de conversa ficam armazenados por quanto tempo e onde?
• Quem tem acesso aos dados das conversas dentro da empresa fornecedora?
• Existe um processo de resposta a incidentes de segurança?
• O contrato prevê responsabilidades como operador de dados?

Se o fornecedor não souber responder essas perguntas, é um sinal de alerta. Qualquer agência séria de IA tem essas respostas documentadas.

Direitos dos titulares: seu agente precisa suportar isso

A LGPD garante ao cliente o direito de saber quais dados você tem sobre ele, corrigir informações incorretas, solicitar a exclusão e revogar o consentimento. Seu agente de IA (ou a operação ao redor dele) precisa ter um fluxo para atender essas solicitações:

• Um canal claro para o cliente pedir acesso ou exclusão dos dados.
• Prazo de resposta definido (a lei não fixa, mas 15 dias é uma referência segura).
• Processo interno para localizar e apagar dados quando solicitado.

Isso não precisa ser feito pela IA em si — pode ser um processo manual acionado pela equipe —, mas precisa existir e estar documentado.

O DPO e quando você precisa de um

Empresas que tratam dados em larga escala ou de forma sistemática precisam nomear um Encarregado de Proteção de Dados (DPO). Para a maioria das PMEs que usam IA no atendimento, a obrigação não é automática, mas nomear um responsável interno (mesmo que não seja o DPO formal) para cuidar das questões de privacidade é uma boa prática que reduz riscos significativos.

Para entender como implementar IA no atendimento sem cair nos erros mais comuns, leia os erros mais frequentes ao implementar IA no atendimento. E se você está começando a avaliar a tecnologia, entenda o que é um agente de IA antes de tomar qualquer decisão.

Checklist rápido de conformidade

• Mapeei quais dados pessoais meu agente coleta e armazena.
• Tenho base legal definida para cada tipo de tratamento.
• Meus contratos com fornecedores de IA preveem responsabilidades de operador.
• O agente ou a operação tem fluxo para atender direitos dos titulares.
• Dados sensíveis têm proteção adicional.
• O consentimento coletado é livre, informado, inequívoco e específico.
• Tenho uma política de privacidade atualizada que cobre o uso de IA.

Fazer isso bem desde o início custa muito menos do que remediar uma autuação. E o cliente que sabe que seus dados estão protegidos confia mais — e confia mais compra mais. Veja também como a IA no WhatsApp funciona para entender o fluxo técnico completo.