Uma novidade este ano no mercado brasileiro de robôs de conversação é que eles precisam se adequar à Lei Geral de Proteção de Dados (LGPD), caso contrário, as empresas podem ser multadas pela Autoridade Nacional de Proteção de Dados (ANPD) a partir de agosto de 2021. 

Segundo a edição deste ano do Mapa do Ecossistema Brasileiro de Bots, cujo relatório integral será divulgado durante o Super Bots Experience, no fim do mês, 53% dos desenvolvedores de robôs de conversação que atuam no Brasil afirmam que todos os seus bots estão adequados à lei e 35% declaram que a maioria está. Apenas 3% informam que cerca de metade está aderente à lei; outros 3% dizem que poucos estão; e 6% não souberam responder. A pesquisa foi feita entre junho e julho de 2021 com 96 empresas que desenvolvem e comercializam robôs de conversação ou fornecem soluções para os mesmos.

“Toda interface com tratamento de dados pessoais de titulares precisa informar isso. Não importa se é a recepção de um prédio, uma página na web, um telefonema atendido por uma URA, ou um chatbot”, explica Patrícia Peck, CEO e sócia-fundadora do escritório Peck Advogados, em conversa com Mobile Time.

Rafael Pellon, do Pellon de Lima Advogados: “A empresa tem que informar que está coletando dados e que a continuidade da conversa significa o consentimento”

“Se o bot está fazendo coleta de dados no chat, tem que botar um aviso: ‘a sua conversa está sendo gravada, confira nossos termos de uso e politica de privacidade’, e fornecer o link etc. A empresa tem que informar que está coletando dados e que a continuidade da conversa significa o consentimento”, recomenda outro advogado especializado em direito digital, Rafael Pellon, do Pellon de Lima Advogados.

Embora a maioria dos desenvolvedores acreditem que seus bots estão cumprindo a LGPD, é fundamental uma análise jurídica caso a caso, para evitar multas e danos à reputação da empresa. “Se os chatbots não estiverem de acordo com os princípios e diretrizes da LGPD e, por algum motivo, utilizarem ou tratarem os dados pessoais indevidamente e sem o consentimento do titular, ou alterando a finalidade inicialmente informada sem a nova autorização expressa do usuário, serão responsabilizados e multados por essa infração. Por essa razão, novas formas de conversação devem ser estruturadas e muito bem desenvolvidas comunicando os titulares dos dados pessoais sobre qual a finalidade do tratamento de dados que serão realizados pela empresa, de uma forma simples, com palavras de fácil compreensão e de forma absolutamente transparente”, aconselha, por sua vez, Diego Martinez, head da área de compliance e DPO do escritório Guimarães & Vieira de Mello Advogados.

Pontos de atenção

A LGPD prevê, em seu artigo 7, que o tratamento de dados é permitido quando necessário para o cumprimento de um contrato do qual o consumidor seja parte. Isso, teoricamente, libera a coleta e o tratamento de dados pelos robôs de SAC, ou seja, para atendimento a clientes. Porém, a lei também estabelece que a comunicação sobre tratamento de dados seja feita de forma transparente e ostensiva. Por isso, os especialistas recomendam que os bots reforcem a informação sobre a política de tratamento de dados, ainda que a empresa tenha conseguido o consentimento do consumidor em outro canal ou de outra forma, como na assinatura do contrato. Vale lembrar que cabe à empresa provar que tem o consentimento do titular para a coleta e o tratamento dos seus dados pessoais.

Tanto bots receptivos quanto ativos precisam se adequar à LGPD. Martinez lista uma série de cuidados: “Várias recomendações e cuidados devem ser tomados para estarem em conformidade com a LGPD, como manter sempre atualizada a política de privacidade, fortalecer as melhores práticas de segurança da informação, envio de autorização sobre o consentimento do tratamento de dados de acordo com a finalidade informada pela empresa, sempre de forma clara e de fácil entendimento, cuidado no tratamento de dados desde a sua entrada até a sua exclusão e descarte de forma segura; análise, identificação e mapeamento dos riscos na coleta e tratamento dos dados pessoais; segregação de funções e acesso restrito ao dados pessoais dos usuários; possuir um plano de contingência; dentre outros cuidados inerentes ao programa de adequação à LGPD.” 

A atenção deve ser redobrada no tratamento de dados pessoais classificados pela lei como sensíveis. É o caso dos dados de saúde, por exemplo. Uma mera confirmação de um exame médico, se enviada por mensagem para a pessoa errada, pode resultar em multa.

Patrícia Peck, do Peck Advogados: “Toda interação com o bot é uma evidência. Fica registrada ali a conformidade ou a desconformidade (à LGPD)”

A lei exige também que as empresas divulguem os contatos do seu encarregado pelo tratamento de dados, conhecido como DPO (Data Protection Officer). Isso deve ser feito preferencialmente no sítio eletrônico da empresa, mas se o seu principal canal de contato com os consumidores for um bot, é recomendável que essa informação esteja disponível no fluxo de conversa com o robô.

Por fim, Peck alerta: ”Toda interação com o bot é uma evidência. Fica registrada ali a conformidade ou a desconformidade. Se não e tiver em conformidade com a lei, a empresa estará sujeita a penalidades”. Na sua opinião, os bots ainda não entraram na era da LGPD. 

Super Bots Experience

O relatório integral do Mapa do Ecossistema Brasileiro de Bots 2021 será divulgado em primeira mão durante o Super Bots Experience, evento online que reunirá dezenas de representantes do setor, incluindo executivos de empresas como WhatsApp, Google, Facebook, TIM, Raízen, Bradesco, Itaú, ao longo de quatro dias de debates e palestras, entre 24 e 27 de agosto. Patrícia Peck, do escritório Peck Advogados, é uma das palestrantes confirmadas, em uma sessão sobre a adequação dos bots à LGPD. A programação completa e mais informações estão disponíveis em www.botsexperience.com.br.