Ilustração de pasta azul e cor-de-rosa.
Conhecimentos

Como tornar o seu Chatbot compatível com o RGPD

Se lida com dados pessoais da UE, certifique-se de que o seu chatbot está em conformidade com o RGPD.
29 de maio de 2024
-
Atualizado em
Escrito por
Botpress
Botpress
Índice
Etapa 1. o título da etapa aparece aqui, como previsto
Resumo
  • O RGPD aplica-se a qualquer chatbot que recolha ou processe dados pessoais de utilizadores da UE, exigindo transparência, direitos do utilizador e salvaguardas rigorosas dos dados.
  • Deve informar claramente os utilizadores sobre os dados que o seu chatbot recolhe, porquê, como são armazenados ou partilhados e os direitos dos utilizadores para aceder ou eliminar os seus dados.
  • Os dados só podem ser tratados para os fins específicos declarados, com uma base jurídica como o consentimento, o cumprimento de um contrato ou interesses legítimos.
  • Os utilizadores devem poder exercer os direitos do RGPD - como aceder, corrigir ou apagar os seus dados - de preferência diretamente através de fluxos de chatbot.

Se está a pensar em implementar um chatbot numa empresa, este artigo é para si.

À medida que o GDPR(Regulamento Geral sobre a Proteção de Dados) lança a sua sombra sobre as empresas que lidam com os dados dos clientes, há um sentimento crescente de urgência em abordar os aspectos tecnológicos das empresas.

Uma pergunta frequente dos nossos clientes é: como é que o meu chatbot Botpress está em conformidade com o RGPD? Embora a conformidade com o GDPR possa ser complicada, estamos aqui para ajudar. 

Se o RGPD se aplica à sua empresa, aqui estão algumas dicas e truques para garantir a conformidade contínua do seu chatbot.

Criar IA Chatbots
Criar chatbots agênticos personalizados
Começar agora

Curso rápido sobre o RGPD

O que é o RGPD?

O GDPR é um regulamento da UE centrado na proteção de dados e na privacidade. Tem impacto nos indivíduos e nas empresas da UE e do Espaço Económico Europeu (EEE), incluindo a transferência de dados para fora da UE e do EEE.

O seu objetivo é dar às pessoas o controlo sobre os seus dados pessoais e proporcionar uma regulamentação unificada em toda a UE. Se a sua empresa opera nestas áreas, tem de estar em conformidade com o RGPD.

Imagem de encryptmylaptop.com

Não cumprir o RGPD tem um custo. Pode levar a sanções substanciais, que podem ir até 20 milhões de euros ou 4% do seu volume de negócios mundial no exercício financeiro anterior, consoante o valor mais elevado. 

O objetivo é poder demonstrar aos seus utilizadores que processará os seus dados exatamente como prometido. Isto irá definitivamente aumentar a confiança dos clientes no seu chatbots, o que poderá, em última análise, aumentar a rentabilidade e o sucesso da sua empresa.

O que são considerados dados pessoais?

Nos termos do RGPD, os dados pessoais são definidos como "qualquer informação relativa a uma pessoa viva identificada ou identificável". Isto inclui:

  • Números de telefone
  • Números de cartões de crédito
  • Números de pessoal
  • Dados da conta
  • Matrículas
  • Aparência
  • Números de clientes
  • Endereços

No entanto, a definição ao abrigo do RGPD é ampla - se não tiver a certeza se a informação deve ser considerada como dados pessoais, é melhor assumir que deve ser tratada como tal. 

1. Ser transparente

Se está a recolher dados de clientes através do seu chatbot - e estes dados são considerados dados pessoais ao abrigo do RGPD - tem de ser transparente com os utilizadores do chatbot. Tem de explicar "quem, o quê, onde, quando e porquê" da recolha dos seus dados.

Isto significa informar os seus utilizadores sobre os dados de clientes que recolhe, como os utiliza e com quem os partilha. Estes elementos devem ser sempre apresentados ao utilizador antes de recolher quaisquer dados de clientes.

Informar o utilizador antes da recolha

Deve fornecer um aviso claro e facilmente compreensível antes de gerir quaisquer dados dos clientes através do seu chatbot.

Muitas vezes, trata-se de pop-ups que explicam aos utilizadores que dados serão recolhidos, por que razão são recolhidos e quais os seus direitos em relação à recolha de dados pessoais. 

Exemplo de um pop-up RGPD da RetailNext.

Publicar uma declaração de privacidade pública

Deve também detalhar as suas práticas de tratamento de dados numa política ou declaração de privacidade em linha e actualizá-la sempre que necessário. Pode consultar a declaração de privacidade deBotpress como exemplo. 

A declaração de privacidade deve incluir:

  • Que informações são recolhidas do utilizador
  • Por que razão está a tratar os seus dados pessoais (ou seja, a finalidade da recolha de dados)
  • Como armazena e transfere dados pessoais
  • Como protege e trata os seus dados pessoais
  • Os direitos de privacidade dos utilizadores

A transparência sobre a utilização e o tratamento dos dados dos clientes fomenta um sentimento de confiança e boa vontade, o que conduz a relações mais fortes e duradouras com os clientes e, em última análise, a uma empresa mais sustentável e respeitável. 

Um exemplo da Botpress Declaração de privacidade.

2. Ser sincero

Os dados só devem ser tratados para os fins declarados. Isto inclui estar atento para que a sua empresa e os seus empregados apenas tratem os dados dos clientes para os fins declarados.

Por exemplo, se declarar que irá utilizar os dados dos clientes para enviar comunicações comerciais, treinar algoritmos, análise de dados para melhorar produtos, apoio técnico, serviço ao cliente ou personalização de serviços, só poderá utilizar os dados para esses fins e nada mais. 

3. Ser inteligente

O tratamento de dados só deve ser efectuado com uma justificação legal adequada.

Dê um passo atrás e avalie internamente a sua base jurídica para o tratamento dos dados dos clientes. Esta análise é exigida pelo RGPD. 

Só pode gerir os dados dos clientes se uma ou mais das seguintes condições estiverem reunidas: 

  • Baseia-se no consentimento explícito do utilizador do chatbot
  • Faz parte de um contrato com o utilizador e o tratamento é indispensável
  • Está a cumprir uma obrigação legal
  • Trata-se de salvaguardar os interesses vitais do utilizador (leia-se: situação de vida ou de morte!)
  • Está a desempenhar uma tarefa de interesse público
  • Faz parte da sua autoridade oficial
  • Para prosseguir interesses legítimos (a menos que esses interesses sejam ultrapassados pelos interesses ou direitos e liberdades fundamentais dos utilizadores) 

As razões mais comuns para o tratamento dos dados dos clientes são o consentimento, a execução de um contrato ou interesses legítimos.

4. Ser orientado para o cliente

Deve permitir que os utilizadores exerçam os seus direitos de privacidade dos dados.

Um dos itens da lista de verificação do RGPD para o sítio Web chatbots consiste em garantir que os utilizadores do chatbot possam exercer um ou mais dos vários direitos de privacidade de dados que lhes são concedidos ao abrigo do RGPD. 

Os utilizadores do chatbot devem poder aceder aos dados dos clientes que o chatbot recolheu sobre eles, corrigi-los, restringir o seu tratamento e opor-se ao mesmo, solicitar a eliminação dos seus dados ou obtê-los num formato portátil. 

Idealmente, os utilizadores podem exercer estes direitos diretamente através do fluxo de conversação do chatbots , através de um processo interativo de perguntas e respostas. Felizmente, o Botpress oferece essa possibilidade. 

Implantação de agentes de IA?
Leia o nosso projeto de implementação de agentes de IA
Ler agora

5. Ser humano

Tente demonstrar que as decisões automatizadas têm envolvimento humano.

Os chatbots desenvolvidos pelo Botpress utilizam tecnologia de IA. Especificamente, são agentes de IA alimentados por LLMs.

A menos que estejam reunidas determinadas condições, não pode estruturar o seu chatbot de forma a que a IA tome decisões críticas apenas sobre um utilizador: as decisões tomadas sobre os utilizadores não podem produzir efeitos legais ou afetar significativamente o utilizador. 

Isto significa que a supervisão humana deve estar presente em qualquer fase da implementação de um chatbot que utilize IA agêntica para garantir a conformidade com o RGPD. É essencial que possa demonstrar aos utilizadores que o envolvimento humano desempenhou um papel na formação destas decisões.

6. Ser avesso a registos

Avalie o tipo de registos que está a manter através do seu chatbot. Tem registos de erros? Registos de acesso? Registos de auditoria de segurança? 

Imagem de referência para Marcador de ficheiros de registo.

Se o fizer, determine se esses registos contêm dados de clientes, como endereços IP, informações de identificação ou nomes completos. Se a resposta for "sim", poderá ter de implementar um processo para eliminar estes dados dos clientes. O RGPD proíbe-o de manter e conservar estes dados sem uma justificação adequada.

Quando a conservação for injustificada, apagar todos os dados pessoais obtidos através de registos.

Em Botpress, eliminamos automaticamente os dados pessoais obtidos através de registos após um período de tempo explicitamente definido.

7. Ser seguro

Para além de todos os outros elementos, deve também certificar-se de que implementa medidas técnicas, organizacionais, físicas e administrativas para proteger as informações processadas através do seu chatbot. 

Isto pode significar garantir que o utilizador:

  • Encriptar os dados dos clientes em repouso e em trânsito
  • Anonimizar ou pseudonimizar os dados dos clientes
  • Gerir adequadamente o acesso dos seus empregados aos dados dos clientes com base na necessidade de os conhecer
  • Ter cópias de segurança adequadas, entre outras considerações

Todas estas são medidas adequadas para proteger os dados que lhe são confiados - variam consoante a finalidade do seu chatbot e os dados que recolhe.

Para outros exemplos, pode consultar o Anexo 2 do Acordo de Processamento de Dados de Botpresspara obter uma lista das medidas de segurança que implementamos quando constrói um chatbot com a nossa ajuda.

Exemplo de um Acordo de processamento de dados de Botpress.

Criar chatbots compatíveis

Garantir que o seu chatbot está em conformidade com o RGPD não é apenas importante por razões legais ou financeiras. Estabelecer a confiança e a transparência com os seus utilizadores é essencial para a imagem pública da sua empresa e para as relações individuais com os seus clientes. Em caso de dúvida, certifique-se de que os seus produtos e serviços seguem uma lista de verificação do RGPD para garantir a conformidade.

Temos todo o gosto em ajudá-lo a garantir que o seu chatbot de IA está em conformidade com os regulamentos necessários. Muitos recursos de conformidade com o GDPR são incorporados diretamente em Botpress para que você possa se concentrar na criação de bots.

Para quaisquer questões, pode contactar-nos através de [email protected].

Criar IA Chatbots
Criar chatbots agênticos personalizados
Começar agora

FAQs

1. A conformidade com o RGPD é obrigatória para as empresas de fora da UE que utilizam chatbots?

Sim, a conformidade com o RGPD é obrigatória para as empresas não pertencentes à UE se o seu chatbot processar dados pessoais de residentes da UE ou visar utilizadores da UE de alguma forma. Isto aplica-se independentemente da sede da empresa, ao abrigo do âmbito extraterritorial do RGPD (artigo 3.º).

2. Como posso realizar uma avaliação de impacto sobre a proteção de dados (DPIA) para o meu chatbot?

Para realizar uma AIPD para o seu chatbot, identifique quais os dados pessoais que estão a ser recolhidos, avalie os riscos para a privacidade do utilizador e documente as salvaguardas técnicas e organizacionais em vigor (como encriptação ou controlos de acesso). A DPIA deve seguir um formato estruturado e ser concluída antes da implementação, se o processamento for de alto risco.

3. Como posso garantir que o meu chatbot não regista dados sensíveis durante a depuração ou a análise?

Para garantir que o seu chatbot não regista dados confidenciais, configure o registo para excluir o conteúdo da mensagem, mascarar ou redigir campos (por exemplo, nomes, e-mails, dados médicos) e restringir o acesso aos registos através de RBAC (controlo de acesso baseado em funções). As ferramentas de depuração devem ser testadas em ambientes anónimos e os registos devem ser regularmente eliminados ou encriptados.

4. Preciso de localizar o meu chatbot para diferentes regiões com leis de dados diferentes?

Sim, é necessário localizar o tratamento de dados do seu chatbot para cumprir as leis específicas da região, como o GDPR (UE), CCPA (Califórnia) ou LGPD (Brasil). Isso pode envolver o ajuste de políticas de retenção de dados, mecanismos de consentimento e gerenciamento de direitos do usuário para cada jurisdição atendida pelo seu chatbot.

5. A definição de perfis de utilizadores em tempo real através de LLMs é considerada compatível com o RGPD?

A definição de perfis de utilizadores em tempo real por parte LLMs só pode estar em conformidade com o RGPD se cumprir critérios rigorosos: consentimento explícito do utilizador, transparência e o direito de optar por não tomar decisões automatizadas (artigo 22.º). Se a definição de perfis afetar os direitos dos utilizadores ou o acesso aos serviços, é legalmente exigida uma análise humana e divulgações pormenorizadas.

Relacionadas

25 milhões de dólares para construir a camada de infra-estruturas para agentes de IA

Por
Sylvain Perron

11 erros mais comuns dos chatbots (de especialistas em IA)

Por
Sarah Chudleigh

As 7 melhores ferramentas de automatização do marketing por correio eletrónico (e como as utilizar)

Por
Aryan Kargwal
Construa
melhor
com a Botpress
Iniciar
Uma ilustração de livros, uma planta e um computador portátil numa mesa.
Todos os sistemas operacionais
SOC 2
Certificado
RGPD
Em conformidade
© 2025
Hub
Integrações
Canais
LLMs
Recursos
Fale com Vendas
Documentação
Contrate um Especialista
Vídeos
Histórias de clientes
Referência da API
Blogue
Status
v12 Recursos
Comunidade
Suporte da Comunidade
Torne-se um Parceiro
Torne-se um Embaixador
Torne-se um Afiliado
Empresa
Sobre
Carreiras
Notícias e imprensa
Legal
Privacidade