Como adequar o seu chatbot à LGPD?

Cada vez mais presente em websites e aplicativos, os chatbots permitem fornecer rapidamente respostas aos usuários. Chatbot ou simplesmente bot são robôs de conversação, ferramentas de comunicação que simulam a fala humana e são capazes de dialogar com usuários.

Estas ferramentas são amplamente utilizadas para trazer respostas de forma célere e interativa aos usuários. Contudo, não é incomum que dados pessoais sejam transmitidos por este meio. Assim, esta prática ensejará o tratamento de dados pessoais e deverá estar em conformidade com a legislação sobre proteção de dados pessoais.

Neste artigo realizaremos uma análise do cenário brasileiro e da lei 13.709/2018 (Lei Geral de Proteção de Dados Pessoais ou LGPD) e do cenário francês, diante das recomendações da Autoridade de Proteção de Dados francesa (CNIL).

Como coletar cookies necessários ao funcionamento do chatbot?

Para assegurar a continuidade técnica do chatbot ou para guardar um histórico da conversa entre as diferentes páginas do site onde o chatbot é inserido, um cookie, é frequentemente coletado e lido no terminal do usuário. O cookie visa permitir que o website reconheça o dispositivo do usuário e armazene algumas informações sobre suas preferências e ações passadas.

Ao contrário do cenário europeu, o Brasil não possui diretrizes específicas para a coleta de cookies. Deste modo, além de cumprir com os princípios da LGPD, será necessário enquadrar tal tratamento de dados pessoais em uma das hipóteses autorizativas estabelecidas nos artigos 7º e 11º da LGPD.

Na Europa, as boas práticas relacionadas à coleta de cookies determinam que o usuário deve ser informado sobre a existência e a finalidade dos cookies; e deve ter seu consentimento coletado antes do cookie ser armazenado em seu dispositivo. No mais, é preferível que este consentimento seja granular para cookies não essenciais, especialmente para aqueles que são mais intrusivos.

Especificamente sobre o tema do chatbot, a CNIL estabelece que, quando o cookie é coletado anteriormente à ativação do chatbot é necessário obter o consentimento do usuário, o qual deve ser livre, específico, informado e inequívoco.

No entanto, quando o cookie é coletado a partir da ativação do chatbot pelo usuário – por exemplo, ao clicar na janela de conversação do chatbot ou quando ele clica num botão que explicitamente acarreta a abertura do chatbot – a coleta do consentimento não é necessária. Entende-se que  a coleta do cookie é estritamente necessária ao fornecimento de um serviço de comunicação online, que será realizado mediante demanda expressa do usuário e, portanto, não requer a coleta do consentimento.

Essa exceção só é válida se o rastreamento do cookie for utilizado apenas para o fornecimento do chatbot. Qualquer outra finalidade atrelada à utilização do cookie, ensejará nova análise para enquadramento em base legal apropriada.

Por quanto tempo posso armazenar os dados coletados pelo chatbot?

A Lei Geral de Proteção de Dados Pessoais (lei 13.709/2018) estabelece que os dados pessoais devem ser armazenados pelo período necessário para atingir a finalidade de tratamento, definida pelo Controlador de dados.

Neste caso, será necessário analisar as hipóteses e finalidades para as quais os dados pessoais serão tratados e entender quando poderão ser eliminados. Por exemplo, uma interação para auxílio à realização e uma compra não é o mesmo que a coleta de reclamação sobre o pedido pelo usuário. Além disso, cada empresa pode estar submetida a regulamentações próprias que estabelecem prazos distintos de armazenamento.

Uma conversa com um chatbot pode ser utilizada para a tomada de decisões automatizadas que podem afetar um indivíduo?

Sobre esse tema, a CNIL estabelece que um diálogo com um chatbot sem intervenção humana não deverá, por si só, realizar decisões importantes que afetem o  indivíduo em questão, como por exemplo, a recusa de concessão de crédito online, a aplicação de tarifas mais elevadas ou a impossibilidade de se candidatar à uma vaga de emprego.

O diálogo com o chatebot poderá, entretanto, permitir que o usuário se inscreva em um processo mais amplo e que compreenderá uma intervenção humana significativa na tomada de decisão.

No Brasil, a LGPD concede aos titulares o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses. No mais, estabelece o dever aos Controladores de fornecer informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada.

O que fazer em uma situação de coleta de dados pessoais sensíveis

Além de estabelecer uma gestão de zona de comentários livres e comentários, as empresas devem ter uma atenção particular ao tratamento de dados pessoais sensíveis, como por exemplo, dados relacionados à saúde, opiniões políticas, raça ou etnia etc. As bases legais para tratamento destes dados são mais restritivas e estão previstas no artigo 11º da LGPD.

Caso o tratamento dos dados pessoais sensíveis gere riscos às liberdades civis e aos direitos fundamentais dos titulares de dados, recomenda-se, a elaboração de um relatório de impacto à proteção de dados pessoais.

O que fazer se a coleta não é previsível

Os chatbots podem propor um modo de escrita livre, de forma que, podem ser levados a coletar dados pessoais sensíveis diretamente ou de qualquer outra natureza fornecidos pelos usuários sem que o Controlador ou o Operador tenham previsto ou desejado realizar esta coleta.

Nesses casos a CNIL estabelece que as organizações não são obrigadas a recolher o consentimento prévio dos usuários.

As organizações deverão, entretanto, criar mecanismos que permitam minimizar os riscos às liberdades e direitos dos titulares, tais como: (i) disponibilizar, antes de qualquer utilização do chatbot, um aviso orientando os usuários a não comunicar dados pessoais sensíveis e (ii) criar um sistema de eliminação de dados excessivos, imediato ou menos regular, vez que a retenção desses dados pessoais sensíveis não é pertinente à finalidade de tratamento.

Se a sua empresa utiliza ferramentas ou aplicações de chatbot e possui dúvidas em como adequá-los à LGPD, considere submetê-los à análise de um advogado especialista. O nosso escritório possui profissionais preparados para assessorar a sua empresa na adequação à LGPD. Em caso de dúvidas sobre proteção de dados ou direito digital, procure o Chenut Oliveira Santiago.