Saiba tudo sobre a LGPD – e como seu chatbot pode se adequar a essa nova lei

O enredo da Lei Geral da Proteção de Dados (LGPD) parece estar chegando a um desfecho! Criada em agosto de 2018, a lei que versa sobre a segurança de informação dos cidadãos estava prevista para entrar em vigor em 14 de agosto de 2020. No entanto, a Câmara dos Deputados aprovou em 25 de agosto a Medida Provisória 959 que empurrava a vigência da lei para dezembro de 2020. 

A matéria, porém, foi encaminhada ao Senado e, na votação do dia 26 de agosto, a Casa derrubou a decisão de adiamento, permitindo a vigência imediata da LGPD. 

Mas se você pensa que acaba por aí, calma que tem mais! O texto vai agora para sanção ou veto presidencial, o que deixa mais uma vez em aberto quando de fato a lei vai começar a valer. O que sabemos até o momento, com certeza, é que as penalizações previstas pelo não cumprimento da LGPD passarão a valer somente em agosto de 2021.  

Com tantas idas e vindas, é natural ficar confuso sobre o início da vigência da LGPD, deixando para depois a adequação à lei, já que as sanções são apenas para o outro ano. Não caia no erro de pensar assim!

Se sua empresa ainda não havia tomado medidas para se adaptar à LGPD, é urgente que você mexa os pauzinhos para adequar-se às exigências da lei, independentemente se você é uma PME ou uma multinacional.

Claro que a sua empresa deve empregar ações de segurança digital para estar de acordo com a legislação, mas é igualmente importante tomar essas medidas para transmitir tranquilidade e proteção aos seus clientes e, em especial, manter a credibilidade em torno do nome da sua empresa.

Há quem compare o valor dos dados pessoais como o sendo “novo petróleo”, e cada vez mais essa ideia se fortalece entre a opinião pública, e não só entre techies, o que indica que a preocupação com o uso de dados ficará ainda mais em evidência quando as pessoas estiverem totalmente informadas e familiarizadas com a LGPD.  

A segurança de dados é um tema de bastante interesse da Nama, inclusive discutimos o assunto associado à inteligência artificial no e-book Insegurança Artificial, na 7ª edição da série Hey, AI – você pode fazer download aqui. Com o intuito de discutir a possibilidade de tornar tecnologias mais segura, hoje destrinchamos a LGPD e o seu impacto entre chatbots.

‍

O que é a LGPD?

A LGPD é a lei brasileira que padroniza normas e práticas para proteger os dados de cidadãos brasileiros ou de qualquer pessoa que esteja em território nacional. Ela define regras para recolhimento, utilização e armazenamento de informações, garantindo a proteção dos dados dos cidadãos e estabelecendo obrigações a detentores de bases de dados, como empresas e órgãos governamentais.

A grande inspiração da LGPD foi o GDPR (Regulamento Geral sobre a Proteção de Dados), da União Europeia, que foi aprovado em maio de 2018 e, igualmente à lei brasileira, tem aplicabilidade extraterritorial, o que fez que algumas empresas brasileiras já se adequassem aos requisitos europeus. Ou seja, a LGPD já nem é uma novidade para algumas companhias.

A legislação faz importantes definições, estabelecendo o que são os dados pessoais e definindo também o que são dados sensíveis – estes últimos, inclusive, exigem ainda mais atenção no seu tratamento. Entenda a diferença:

‍

Dados pessoais – são informações que identificam uma pessoa direta ou indiretamente, como nome, RG, CPF, data e local de nascimento, telefone, endereço, retrato fotográfico, dados bancários, endereço de IP, cookies, etc.

Dados sensíveis – se tratam de dados sobre crianças e adolescentes e informações que revelam origem racial, étnica, religiosa, opiniões políticas, filiação sindical, biometria e dados sobre a saúde ou vida sexual das pessoas.

Além disso, a LGPD define quais são os quesitos sobre os quais os dados devem ser tratados, conforme constam na legislação:

1. Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; 
2. Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
3. Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
4. Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
5. Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
6. Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
7. Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
8. Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
9. Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
10. Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

‍

Por fim, a LGPD estabelece quem são os agentes do tratamento de dados e suas funções:

• Controlador: toma as decisões sobre o tratamento
• Operador: realiza o tratamento em nome do controlador
• Encarregado: interage com os cidadãos e a autoridade nacional

Para entender a diferença entre as funções, basta pensar que o controlador seria um banco que contrata uma empresa de call center, a qual teria função de operadora. Já o encarregado, também chamado de Data Protection Officer (DPO) seria o funcionário do banco cuja atividade garantir que as regras da LGPD sejam seguidas à risca.

Ou seja, embora à primeira vista pareça tranquilo a adaptação à lei, na verdade é importante estar de olho nesses requisitos específicos para que você não ache que está de acordo com a legislação quando não está.

Se você tem dúvida sobre qual nível de adequação à LGPD a sua empresa se encontra, este teste pode servir de termômetro para medir o nível de maturidade do seu negócio em relação à segurança.

‍

‍

‍

Consentimento: por que esta palavra é tão importante quando se trata de LGPD?

O consentimento é a base da LGPD, por isso sempre quando você escutar falar da lei, também escutará falar dessa palavra.

A legislação determina que sempre que houver a coleta de dados, o usuário deve assinalar de forma explícita se concorda com o tratamento dos seus dados. Mas, para que ele tenha possibilidade de avaliar se cede ou não, sua empresa deve apresentar informações, como quais dados serão coletadas e qual a finalidade da coleta.

Há casos, como a execução de política pública ou prevenção de fraudes, que é possível a dispensa de consentimento, mas no geral, para transações comerciais, você precisará que a pessoa aceite ceder seus dados. Também é direito das pessoas revogar o consentimento, solicitando que seus dados sejam deletados ou transferidos para outra base de dados.

Por fim, no caso de dados de menores de idade, o consentimento deve vir por parte de um dos pais ou responsáveis.

Por que essa lei é importante?

Este cuidado no trato de dados pessoais se tornou uma pauta importantíssima no Brasil e no mundo afora, especialmente depois que a GDPR foi implementada na Europa.

Com isso, a entrada em vigor da LGPD coloca o Brasil no rol de países que se adequaram à proteção da privacidade de seus cidadãos, o que acaba por trazer um ganho comercial muito grande ao país.

Além disso, empodera o cidadão a questionar o uso de seus dados, fazendo com que as pessoas se mantenham informadas sobre o desenrolar de novas tecnologia e dos paradigmas criados com a evolução delas.

‍

‍

‍

Para chatbots: como será a influência da LGPD?

Pode ser que uma tendência a partir de agora seja uma forte movimentação para a criação de “bots privacy-first” (mas calma, a alcunha e a previsão são nossas, não estamos antecipando nada!). Afinal, os chatbots – em especial aqueles com função de atendimento ao consumidor – costumam pedir informações aos usuários para que consigam dar suporte às suas demandas.

Isso quer dizer que, além de se preocupar com tom de voz e fluxos conversacionais, um outro elemento terá prioridade durante os brainstorms: a privacidade de dados. Até porque será necessário reestruturar os diálogos para que as interações comuniquem os usuários sobre a coleta e o tratamento de dados, de maneira clara e transparente.

O consentimento, como vimos, é o principal mote da LGPD, e para que ele ocorra, você terá que dar todas as informações para a pessoa concordar ou não com o fornecimento de seus dados.

Abaixo, separamos um guia das ações que podem ser empregadas nos seus chatbots para estarem em compliance com a legislação de proteção de dados.

1. Atualize a sua política de privacidade

Na política de privacidade, comunique com clareza quais são as informações que serão coletadas, com qual finalidade, por quanto tempo serão armazenadas e com quem serão compartilhadas. Também é importante que se descreva quais são as etapas caso o usuário mude de ideia em relação ao consentimento e queira declinar do compartilhamento dos seus dados.

2. Insira o consentimento na interação

Normalmente, se debate de que forma o chatbot dará boas-vindas; agora é hora de discutir de que maneira o chatbot pedirá consentimento para a coleta de dados. O ideal é que no começo da interação o assistente informe o usuário sobre o tratamento de suas informações pessoais, ofereça a possibilidade de consentir e também o convide para ler a política de privacidade completa. Para que o usuário possa consentir sobre o uso de seus dados, é importante que ele esteja informado sobre o uso deles. Ou seja, se você vai usá-los para melhorar a relação entre humanos e máquina, o usuário precisa saber que isso acontecerá.

Também é importante inserir um fluxo que leve a informações sobre a política de proteção de dados. Durante a conversa, ao acionar o comando “privacidade”, o usuário deve ser encaminhado a uma interação que esclareça suas eventuais dúvidas em relação ao uso de seus dados pessoais.

3. Crie um fluxo para exclusão de dados

Com a vigência da LGPD, provavelmente as pessoas estarão mais atentas ao uso de seus dados por empresa. Com isso, é importante que você dê, ao final da conversa, a possibilidade de a pessoa reivindicar a exclusão dos dados fornecidos durante a interação.

4. Cheque possíveis brechas de informação

Para os chatbots que já estão ativos, é importantíssimo que sua empresa reveja todo o fluxo de interação para identificar se o chatbot se adequa às determinações da LGPD ou se há brechas de coleta indevida de dados, já que há sistemas que armazenam IPs, IDs e outros recursos de identificação.

5. Práticas de segurança de dados

Certamente, você se preocupa com os dados da sua empresa, dos seus funcionários e dos seus clientes. Se ainda não trabalha com a encriptação de dados, talvez seja a hora de fortalecer as suas iniciativas de cibersegurança.

6. Crie planos de contingência

Às vezes sua empresa pode se proteger um monte e mesmo assim ser vítima de algum tipo de incidente de segurança – afinal, sabemos que se a tecnologia fica mais complexa, o mesmo acontece com o desenvolvimento de golpes.

Por isso é importante que sua empresa tenha um guia que dê direcionamentos e defina responsáveis para executá-los caso haja algum tipo de vazamento. Ao definir um plano de contingência, você consegue agir rapidamente frente a falhas e minimizar os impactos que podem causar no seu negócio.

‍

‍

Se minha empresa não fizer nada disso, quem vigiará as regras da LGPD?

A Autoridade Nacional de Proteção de Dados (ANPD) é um órgão previsto na LGPD que servirá como uma instituição fiscalizadora para garantir que a legislação seja cumprida. Além da função de fiscalizar, será tarefa da ANPD a regulamentação e a orientação sobre como aplicar as regras definidas pela lei.

Aliás, você deve ter percebido que estamos falando da ANPD no futuro. Isso porque o órgão ainda não existe. A expectativa é que passe a ser estruturado nos próximos meses, com a criação de um regimento interno e outras regras as quais possam basear a aplicação de possíveis sanções.

Entretanto, ainda é uma incógnita se o órgão e toda documentação que lhe cabe estarão prontos em agosto de 2021, quando começam a valer as punições por violação da LGPD. É possível que outros órgãos, como Procons e Ministérios Públicos, garantam o cumprimento da lei até a ANPD ser devidamente estruturada.

‍

Quando mexe no bolso: a violação da LGPD e a possibilidade de multas

Já que estamos falando do órgão regulador, cabe especialmente falar das sanções que as empresas podem sofrer caso não cumpram ou violem as determinações da LGPD.

‍

Segundo a LGPD determina, as falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil, chegando na cifra limite de R$ 50 milhões por infração. Mas não quer dizer que a sua empresa ficará à mercê do pagamento de milhões caso haja algum tipo de penalização.

Assim que a ANPD estiver estruturada, é possível que autoridade defina níveis de penalidade segundo o tipo de gravidade. Além disso, antes de chegar ao momento da aplicação de multas, caberá a agência emitir alertas e orientação, sendo a penalização financeira o último recurso.

Proteja-se enquanto é tempo

Se você ainda não se adequou à LGPD, agora mais do que nunca é a hora. Reveja com urgência todos os seus processos de coleta de dados para fazer as modificações que coloquem sua empresa no patamar exigido pela legislação. Mesmo que a ANPD não tenha previsão de ser criada, não use isso como uma desculpa para postergar a adaptação, já que, sobre a penalização, a sorte pode não funcionar a seu favor.

‍