Mark Zuckerberg, fundador do Facebook, não tem muita habilidade para falar em público, especialmente quando se vê pressionado. Esse nervosismo ficou evidente em abril do ano passado, quando foi convocado pelo Congresso Americano para dar explicações sobre o vazamento de dados de usuários da rede social a partir da extinta agência de marketing digital Cambridge Analytica. Em um dado momento, o senador democrata Dick Durbin questionou se Zuckerberg se sentiria confortável em compartilhar o nome do hotel onde havia se hospedado na noite anterior. Ele ficou atônito por um instante, mas em seguida abriu um sorriso amarelo e respondeu um categórico “não”.

Quem assistia ao depoimento riu, mas Durbin manteve o semblante sério e se manteve firme no papel de inquisidor. “Se você trocou mensagens com alguém esta semana, poderia compartilhar conosco o nome das pessoas com quem conversou?”. Zuckerberg, desta vez mais confiante, afirmou que provavelmente não compartilharia tal informação. No fim, tudo não passou de uma armadilha de Durbin para constranger o dono da rede social. “Esse é o motivo pelo qual os usuários do Facebook estão preocupados com a violação de dados e a invasão de privacidade”, disse o senador. Zuckerberg não escondeu o desconforto. Afinal, o Herói de uma geração de jovens nerds confessou que não abre mão do direito à privacidade. E quem abriria?

A sabatina serviu de empurrão para uma discussão global sobre a importância da proteção de dados pessoais. O Brasil não ficou atrás. Por aqui, o assunto não só foi debatido como levou à aprovação, em agosto do ano passado, da Lei Geral de Proteção de Dados (LGPD). Para alguns, a medida foi uma vitória. Para outros, ela ainda não é clara. E quem lida com dados, como é o caso do Serviço de Atendimento ao Consumidor (SAC), está preocupado.

LGPD: A era do opt-in

Aprovada em agosto do ano passado, a Lei Geral de Proteção de Dados é apontada como uma das legislações mais importantes para a transformação da sociedade. Inspirada no Regulamento Geral sobre a Proteção de Dados (GDPR), em vigência desde 2016 na Europa, ela dita normas que passam a valer a partir de agosto de 2020. A lei brasileira defende a premissa de que os dados têm um dono e, como tal, dependem de uma autorização prévia e expressa dele para que possam ser usados por outras pessoas, empresas ou o próprio governo.

Essa obrigatoriedade é o ponto de partida para a primeira grande mudança no mundo corporativo, que passará a promover uma intensa troca de pedidos de “aceite” para o uso dos dados. “A lei vai estabelecer um novo momento nas empresas. Todas terão que realizar um minucioso mapeamento da jornada de relacionamento com o cliente”, alerta Topázio Neto, presidente da Flex Relacionamentos Inteligentes e diretor da Associação Brasileira de Telesserviços (ABT). “Viveremos uma era de ‘opt-in’ intenso entre consumidores e empresas”.

Mas como para toda regra há exceções, a lei prevê circunstâncias nas quais não será necessário pedir esse tipo de autorização. Uber e iFood, por exemplo, não precisarão de um aval prévio do cliente para informar o telefone, o nome e o endereço dele para um restaurante ou um motorista. Isso ocorre por dois motivos: primeiro, porque o consumidor autoriza o uso dos dados quando baixa o aplicativo. Depois, porque o uso sem autorização prévia é necessário para a fluidez do serviço prestado por esses aplicativos.

É hora de “minimalizar” 

A partir do ano que vem, o “opt-in” funcionaria como a unidade básica, a unidade celular, de um novo modo de relacionamento entre clientes e contact centers. Ou seja, um atendente humano ou um chatbot precisarão questionar o consumidor o tempo todo sobre o direito de acesso aos seus dados. Hoje, a situação é bem diferente. A coleta de informações se transformou em uma prática incontrolável e até mesmo inútil, principalmente porque os SACs se acostumaram a capturar e a armazenar dados que, no fim, apenas ocupam espaço nos bancos de dados. Isso tudo por causa do vácuo legislativo que existia até a aprovação da LGPD.

Em tese, a nova lei irá coibir práticas como a obrigatoriedade do uso do CPF nas farmácias, por exemplo, para a cessão de descontos em medicamentos. De acordo com Vitor Morais de Andrade, coordenador do curso de direito da PUC e sócio do escritório LTSA, entraremos em uma nova era de coleta e armazenamento de dados. Em vez de “estocarmos” dados inúteis, teremos informações que terão um único propósito: o objetivo do seu uso. “Todo o mercado começa a trabalhar com dados de melhor qualidade, ou seja, a coleta de informações terá relevância para os negócios. Em contrapartida, as empresas deverão descartar dados que não tenham relação com suas rotinas”, explica Andrade. Alguns especialistas chamam esse princípio de “minimalização” dos dados. Ou seja, as companhias terão acesso apenas a informações que sejam adequadas, pertinentes e, de fato, necessárias para a prestação do serviço.

À primeira vista, não parece um grande desafio, mas o que fazer quando a conversa foge do script e o consumidor passa a fornecer dados como sua opção sexual ou mesmo uma doença preexistente – informações consideradas sensíveis e altamente protegidas pela LGPD? A mudança, portanto, passa não apenas pelo treinamento da equipe de atendimento como pela classificação dos diferentes tipos de dados e a decisão, por parte da empresa, de qual rumo seguir em cada caso.

O dono dos dados

Outro ponto importante da LGPD é a definição a respeito do controlador de dados e suas responsabilidades. A lei introduziu um dualismo entre as funções de controlador e operador. O primeiro decide, efetivamente, o que fazer com as informações (seria uma espécie de “dono dos dados”). Já o operador seria responsável apenas pelo tratamento deles. Hoje, especialistas entendem que as empresas que lidam diretamente com o consumidor – caso de bancos e varejistas – assumem o papel de controladores. Dessa forma, elas assumem a responsabilidade sobre os dados e exercem poder sobre o operador. A propósito, o encarregado de gerenciar essas informações já teria nome dentro das empresas: Chief Security Officer (CSO), uma espécie de gestor de segurança de dados.

A partir dessa lógica, o papel de operador caberia às empresas de contact center. É o que defende Danilo Doneda, coautor do texto que deu origem à LGPD e uma das maiores autoridades em proteção de dados. “O contact center recebe informações dos seus clientes (empresas), ou seja, ele é um operador que recebe ordens de um controlador”, explica Doneda. “Ele pode até tratar o dado de um consumidor, mas sempre mediante a ordem de um banco, por exemplo. É o banco que repassa os dados dos consumidores para o contact center”.

Exemplo disso é o que vem acontecendo na Teleperformance, uma das líderes no fornecimento de experiências multicanais para o consumidor. CEO da empresa, Fabricio Coutinho afirma que a companhia começou a repensar sua estratégia como operadora há três anos. A empresa reviu processos, adquiriu novas tecnologias e entrou em “compliance” com a GDPR antes mesmo de ela entrar em vigor. Uma das principais medidas foi optar por não armazenar dados de “clientes de clientes”. “Essas informações nem ficam conosco; são armazenadas nos nossos clientes. Assumir esse papel foi importante para nos adequarmos, desde já, à nova lei”, explica Coutinho.

O posicionamento deu tão certo que a companhia recebeu um reconhecimento da autoridade francesa de proteção de dados. “Foi um processo longo, que durou três anos e demandou novos processos e investimentos em tecnologia. Não foi fácil chegar aqui, mas foi compensador”, diz Coutinho. Ao que tudo indica, empresas do setor seguirão os passos da Teleperformance. Segundo Doneda, esse é um caminho com menos riscos para as empresas de relacionamento. Mas isso não elimina a possibilidade de algumas assumirem uma função híbrida, atuando como operadora e controladora ao mesmo tempo. O risco é maior? Sim. Mas as oportunidades também.

Uma nova rotina

O trâmite dentro das empresas (sejam elas de contact center ou não) também deve mudar. Há quem diga que o atendimento e outros setores das companhias serão submetidos a um treinamento para entender o “bê-á-bá” do tratamento de dados. Chatbots ou outros modelos automatizados de relacionamento deverão ocupar o primeiro nível de atendimento, diminuindo, assim, o risco de problemas com o “opt-in” e até mesmo de coleta de dados desnecessários.

Diretora jurídica da Serasa Experian, Vanessa Butalla destaca ainda outra mudança no universo do SAC. Segundo ela, empresas de contact center podem não armazenar dados, mas, como a informação transita em seus corredores, a especialista defende medidas preventivas para evitar que um dado circule entre diferentes pontos de atendimento. “Suponhamos que o cliente se relacione com a empresa A, que faz parte de um grande conglomerado, do qual faz parte a empresa B. Uma não poderá ter acesso ao dado da outra, mesmo que essas informações sejam armazenadas dentro de uma mesma empresa ou grupo econômico”, alerta Vanessa.

A gravação é outro ponto de atenção, segundo especialistas do setor. A LGPD confere poderes ao consumidor quanto a decidir sobre o destino dos seus dados. À primeira vista, a lei de dados poderia confrontar, por exemplo, o decreto do SAC, que obriga a gravação de todas as ligações dos setores regulados, caso de bancos, seguradoras, teles e companhias aéreas, entre outros. No entanto, executivos do setor garantem que não há conflito entre as leis. Nesse caso, o que vale é o decreto do SAC, principalmente porque a LGPD afirma que o tratamento de dados vai ocorrer com ou sem o consentimento do consumidor na hipótese do cumprimento de uma lei. “A autoridade policial pode pedir essa gravação; afinal, ela é de uso interno e pode ser usada como prova em um processo. Eu não vejo conflito, desde que se preserve a confidencialidade da gravação”, explica Patricia Peck, sócia da Peck Advogados e especialista em direito digital.

Outro procedimento que passará a fazer parte da rotina de diversas empresas (incluindo os contact centers) é o envio de um relatório sobre o uso de dados de clientes para a Autoridade Nacional de Proteção de Dados – uma espécie de agência reguladora sobre o tema ligada à Presidência da República. Ele será assinado por um representante – muito provavelmente, um Chief Security Officer. “Empresas serão obrigadas a mostrar relatório de como trabalham com os dados dos clientes. É como se fosse a apresentação de um imposto de renda pessoa jurídica”, afirma Braulio Lalau de Carvalho, CEO da Orbitall.

Novas oportunidades

Ao mesmo tempo em que a LGDP traz desafios, ela dissemina oportunidades. “As empresas poderão, por exemplo, ofertar serviços de compliance relacionados à proteção de dados”, explica Morais. Outro papel que elas devem assumir é o de fornecedoras de tecnologias para proteção de dados. “A maioria das empresas não utiliza criptografia, por exemplo; um erro que pode resultar em uma punição pesada segundo a LGPD”, diz Mauro Nakamura, arquiteto de soluções da Wittel. Segundo ele, oito em cada dez teles no Brasil não possuem criptografia no áudio. “É uma chance de entrarmos nesse mercado”, afirma.

Outras empresas, como a Nice, estão desenvolvendo soluções pensadas de acordo com a nova lei, como um software de gravação para contact centers que permite centralizar e organizar as atividades de captura, retenção, identificação e recuperação das interações em qualquer que seja o canal. “Essa ferramenta ajuda na rotina de vendas ao fornecer, por exemplo, ‘disclaimers’ (avisos legais), informando ao atendente em tempo real o que pode ou não ser dito”, explica André Fernandes, head de engenharia de soluções para a América Latina da Nice. A ferramenta, diz ele, também permite investigar o que foi dito pelo cliente a partir da gravação.

O mercado discute ainda a possibilidade de robôs assumirem a tarefa de tratar dados, usando tecnologias como a biometria para confirmar a identidade de uma pessoa a partir do seu dispositivo móvel. “Os humanos entrariam em uma etapa mais complexa desse relacionamento, mas a ideia é que os robôs tragam o máximo de informações”, acredita Carvalho, da Orbitall. Outro exemplo de ferramenta ajustada para a LGPD é o speech analytics, uma ideia não necessariamente nova, mas que ganhou novos contornos. “A ferramenta poderia ajudar a descartar o que não tem relação com o negócio”, afirma Nakamura.

Diante de mudanças bruscas e do olhar atento das autoridades para o uso dos dados, o mercado precisa se preparar para a revolução que está por vir e que irá transformar, impreterivelmente, a relação entre empresas e consumidores. Que essa transformação sirva de exemplo a Zuckerberg.