A LGPD não proíbe o uso de IA no atendimento, mas exige que a empresa saiba exatamente onde os dados pessoais entram, são processados e ficam armazenados. Quando o agente conversacional trata CPF, endereço, dado de saúde ou financeiro, o nível de cuidado sobe.
Checklist mínimo
- Base legal definida para cada tipo de tratamento (execução de contrato, legítimo interesse, consentimento).
- Mascaramento automático de dados sensíveis em logs e prompts.
- Política clara sobre retenção: por quanto tempo a conversa fica armazenada e quem acessa.
- Trilha de auditoria por conversa: quem (humano ou IA) disse o quê, quando e com base em qual fonte.
- Contratos com fornecedores de modelo deixando explícito que os dados não são usados para treinamento.
- Canal funcional para titulares exercerem direitos (acesso, correção, exclusão, portabilidade).
O ponto cego mais comum
Bases de conhecimento. Muita empresa joga PDFs internos com dados de clientes dentro de uma base vetorial sem perceber que aquilo virou tratamento de dado pessoal. Antes de subir um documento para o agente consultar, passe pelo mesmo crivo de privacidade que você passaria para publicar no site.
“Privacidade por design não é compliance, é vantagem competitiva. Cliente bem tratado, em todos os sentidos, volta.”
