LGPD no contexto dos chatbots

lgpd take test capa post

A LGPD é uma das mais completas legislações em termos de proteção de dados do mundo. Entenda os impactos dessa lei para os chatbots neste post da especialista em segurança da informação da Take, Samantha Nunes.
 
Já parou para pensar na quantidade de dados que compartilhamos diariamente nos diferentes serviços que utilizamos? Fala-se muito que os dados são a moeda da sociedade, como pode ser bem representado pela imagem criada por David Parkins para o The Economist: the world’s most valuable resource is no longer oil, but data.

lgpd e chatbots take test
Fonte: The Economist
Em meio a este cenário, cresce a preocupação com a segurança da informação, principalmente depois de grandes vazamentos de dados. E para ser possível garantir a segurança de dados pessoais, estão sendo criadas legislações definindo que as empresas que tratarem dados pessoais de alguma forma devem fazê-lo de forma lícita, leal e transparente.
Empresas e usuários que se preocupam com os dados pessoais que são processados não vão ter interesse em parcerias com empresas que não possuem o mesmo nível de cuidado e transparência. Para que isso aconteça, é necessário ter regras unificadas que sejam claras para empresas e consumidores. Portanto, no Brasil foi criada a Lei Geral de Proteção de Dados (LGPD), lei nº 13.709, sancionada dia 14 de agosto de 2018, que entrará em vigor em agosto de 2020.
Esta lei se baseia em princípios que regulam a proteção dos dados pessoais, garantindo direitos aos cidadãos e estabelecendo regras claras sobre o tratamento de dados realizados por órgãos públicos ou privados.

Mas o que são dados pessoais?

Dados pessoais podem ser considerados como qualquer informação relacionada à pessoa natural identificada ou identificável. Identificada entende-se por um único dado em que é possível identificar uma pessoa (como CPF, RG e outros). Já identificável é considerado quando é possível identificar uma pessoa processando dados em conjunto.
Dados pessoais podem ser classificados como sensíveis se, caso divulgados, possam causar danos, como: dados referentes à saúde, vida sexual, dados genéticos ou biométricos, convicção religiosa, origem racial ou étnica, opinião política e outros. Esse tipo de dado deve ter um nível de proteção mais elevado.  Além disso, é necessário observar os dados de crianças e adolescentes, que exigem consentimento específico de pais ou responsáveis legais.
Esta lei estabelece princípios que as instituições devem seguir para garantir a conformidade — demonstrados na imagem abaixo:lgpd e chatbots take test
Já os titulares dos dados têm direitos que estão demonstrados na imagem abaixo:
lgpd e chatbots take test
Não estar em conformidade com a lei pode trazer, além do prejuízo financeiro, impacto para a reputação da organização com a publicização da infração, o bloqueio ou a eliminação dos dados pessoais referentes ao caso que estiver sendo apurado.

Onde os chatbots entram no contexto da LGPD?

Inseridos nesse contexto, os chatbots, que a cada dia se tornam uma ferramenta importante presente na comunicação entre empresa e pessoas, como qualquer outra ferramenta dentro da organização também estão sujeitos à LGPD — uma vez que podem processar dados pessoais. Para implementação de projetos de chatbots, temos diversos desafios, como:

  • Como conseguir o consentimento do usuário sem prejudicar sua experiência?
  • Como proceder em caso de decisões automatizadas?
  • A análise de dados é fundamental para a evolução dos serviços, então qual a melhor forma de realizá-la?

Para estes e outros desafios, criamos um checklist para apoiar na análise sobre a conformidade de um chatbot com a LGPD.

Quais dados pessoais estão sendo processados?

É necessário ter um mapa dos dados no qual seja possível compreender todo o ciclo de vida do dado. São avaliadas questões como:

  • Origem do dado
  • Tipo do dado (pessoal, pessoal sensível, de criança ou adolescente)
  • São processados anonimizados?
  • Quanto aos princípios de proteção de dados
  • Quanto à base legal
  • Quanto à manipulação (onde, como e por quanto tempo os dados são armazenados)
  • Quem tem acesso aos dados
  • Transparência
  • Direitos do titular do dado
  • Quanto à eliminação
  • Quanto a medidas de segurança
  • Quanto a governança e boas práticas

Foi levado em consideração a minimização de dados?  

A minimização de dados se refere a coletar dados limitados ao que é necessário às finalidades para as quais são tratados.

É dado ao titular do dado o acesso aos dados pessoais armazenados?

lgpd e chatbots take test

São utilizados boas práticas e governança para garantir a segurança da informação?

É necessário garantir que as boas práticas de segurança da informação estão sendo utilizadas, por exemplo: garantir a disponibilidade, integridade e confidencialidade dos dados, prevenção à fraude e ataques, criptografia, controle de acesso, análises, testes de segurança, auditorias, processos de governança, gestão de riscos e procedimento de respostas a incidentes.
Essas são algumas questões que devem ser levadas em consideração. Para quem precisa de orientação, a ISO 27002 é um ótimo ponto de partida para compreender melhor sobre a gestão de segurança da informação.

Você tem o consentimento do titular dos dados para processar dados pessoais?

Adquirir consentimento dos usuários no contexto de uma conversa é um grande desafio, pois é necessário passar informações claras sobre os dados que serão coletados e como será o processamento na linguagem do usuário e sem prejudicar sua experiência no chatbot.
No início de uma conversa, deve ser fornecida aos usuários uma mensagem clara, transparente e de fácil compreensão para que o titular dos dados possa entender quais dados são coletados e como ele será processado pelo bot e organização.

Não trabalhar na experiência do usuário para garantir o consentimento pode resultar na desistência do uso do chatbot.

Portanto, estamos passando por uma evolução dos contratos, e uma das formas pode ser através do Legal Design Thinking, em que temos a aplicação dos princípios do Design Thinking na elaboração de um contrato, com a participação de áreas como UX design, Jurídico e outras que podem participar da construção da solução.
Como é uma conversa, temos espaço por exemplo para usar storytelling, quadrinhos, imagens e outras ferramentas para explicar as partes mais importantes da proteção de dados que precisamos ressaltar para os usuários e fornecer um link para o documento completo — lembrando que é necessário estudar como expor as informações e obter o consentimento dos usuários e não utilizar caixas de seleção pré-marcadas para coletar o consentimento. lgpd e chatbots take test

São fornecidas informações claras e suficientes aos usuários sobre os dados processados?

Considerando o princípio da transparência, é necessário que as informações referentes aos dados que são coletados durante a conversa sobre o tratamento desses dados, tempo de retenção e outras questões sejam passados para o titular dos dados de forma clara e objetiva.

Existe uma política de privacidade de dados?

A política de privacidade dos dados deve estar disponível para consulta dos titulares dos dados sempre que necessário. Um exemplo de como isso pode ser utilizado é através das opções de Menu Persistente, mas isso pode variar dependendo do canal de publicação do chatbot.lgpd e chatbots take test

É dada ao usuário a possibilidade de excluir dados pessoais armazenados?

É importante deixar claro para o titular dos dados qual é o procedimento para solicitação de exclusão de dados e quais são os dados que poderão ser excluídos. Para os dados que forem determinados que não podem ser excluídos, são necessárias justificativas.
lgpd e chatbots take test

É dada ao usuário a possibilidade de atualizar os dados pessoais armazenados?

Além de ter acesso aos dados armazenados, é necessário fornecer a opção de atualização dos dados pessoais.

As conversas ficam armazenadas em locais com controle em que apenas pessoas autorizadas tem acesso?

É importante garantir que quem tem acesso às informações do chatbot são apenas pessoas autorizadas com o mínimo de privilégio para que possa realizar as tarefas necessárias.

O processamento dos dados está limitado apenas ao propósito acordado?

Com base em princípios como adequação, necessidade e finalidade, é importante garantir que o processamento dos dados está de acordo com o que foi definido e informado ao usuário.

Utiliza privacy by design?

Esta prática define que a questão de segurança da informação e proteção de dados, levando em consideração princípios da proteção de dados e direitos dos titulares dos dados, bem como boas práticas e outros requisitos definidos pela LGPD, estarão presentes nas discussões desde o início dos projetos.
Dessa forma, o incentivo às discussões sobre quais dados serão tratados e como serão protegidos fica mais frequente, demonstrando cada vez mais preocupação das organizações com essa questão.

Utiliza privacy by default?

Esta prática define que, por padrão, o controlador de dados deve garantir que apenas os dados necessários para a finalidade definida devem ser processados.

Existe um processo de gerenciamento de risco?

É importante garantir que a organização está tomando as medidas necessárias para garantir a segurança das informações e preservar a integridade e a confidencialidade dos dados que você gerencia.  

São mantidos registros que demonstrem a adequação das operações de tratamento aos princípios estabelecidos pela LGPD?

É importante manter uma relatório de impacto para a proteção de dados, contendo os riscos, a evolução, o plano de ação e quais as atividades que estão sendo implementadas com o objetivo de garantir a proteção de dados pessoais.

Os terceiros que prestam algum tipo de serviço relacionado ao chatbot estão em conformidade?

É necessário garantir a proteção de dados em todo o ciclo de vida desse dado. Portanto, isso envolve também operadores que prestam algum tipo de serviço relacionado ao tratamento de dados pessoais, sendo importante avaliar se os terceiros também estão em conformidade com a lei geral de proteção de dados.

Decisão automatizada

Para atividades que envolvem decisões automatizadas dentro do chatbot, é importante levar em consideração que os usuários têm direito de solicitar uma revisão. Dessa forma, é importante que exista um canal de comunicação com atendimento humano onde o usuário possa solicitar informações a respeito dos critérios para as decisões automatizadas.

Análise de dados

A análise de dados permite tomar decisões e reagir de forma mais ágil com base em comportamentos no chatbot. Considerando isso, quanto mais dados o bot coletar, pode-se alcançar um melhor resultado. No entanto, para fazer essas análises é necessário ter em mente os princípios da proteção de dados.
Uma das ações que podem ser realizadas é a anonimização da base primária. Dessa forma, ao gerar uma base secundária anonimizada, os dados podem ser analisado sem problemas. Outro ponto importante é ter um controle de acesso implementado de forma que somente pessoas autorizadas tenham acesso às informações do bot.
lgpd e chatbots take test

Trabalhar a cultura de segurança da informação e proteção de dados entre os colaboradores

É importante ter um cronograma de treinamentos sobre segurança da informação e proteção de dados para todos os colaboradores. Além disso, é necessário ter outros canais de comunicação com os funcionários para enviar dicas e artigos importantes para complementar e apoiar o conhecimento sobre segurança da informação.
Estar em conformidade com a LGPD até agosto de 2020 é um desafio para todos, mas precisamos ser proativos com relação às ações necessárias, e o mais importante: continuar com a atenção aos pontos tratados na lei para todos os projetos posteriores.
De forma geral, temos obrigações com relação a:

  1. Conseguir provar que o consentimento foi obtido em conformidade com a LGPD
  2. Manter relatórios de impactos de proteção de dados
  3. Manter registros das operações de tratamentos de dados pessoais que forem realizados
  4. Comunicar os titulares dos dados em caso de alteração na finalidade do processamento para um novo consentimento

Com a LGPD, contamos com uma das mais completas legislações em termos de proteção de dados, que vem abrindo discussões quanto à preocupação com dados pessoais tanto em empresas quanto entre consumidores. As organizações estão repensando diversas questões importantes, como: os dados coletados são realmente necessários? O que deve ser feito para protegê-los? Como são processados? Quem deve ter acesso a eles?
Assim, projetos que estiverem em conformidade com a LGPD vão se diferenciar no mercado, demonstrando a preocupação das organizações com a proteção de dados e a transparência com relação aos dados coletados e processamento realizado. Isso faz com que não somente outras empresas, mas também os próprios usuários, ao compreender mais sobre o que está sendo feitos com seus dados, confie mais nos serviços.

Referências: GOV BR, Automated – Medium, Milene Spolador – Pulse, Clickatell, BotsCrew, Chatbots Magazine – Medium, Christoph Rumpel
Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Talvez você goste desses conteúdos também: