Atendimento ao cliente e LGPD: quando uma falha de autenticação vira incidente de dados

Atendimento ao cliente e LGPD: quando uma falha de autenticação vira incidente de dados

Atendimento ao cliente e LGPD: quando uma falha de autenticação vira incidente de dados

Em maio de 2026, a autoridade irlandesa de proteção de dados anunciou decisão envolvendo o Permanent TSB, um banco irlandês. Segundo a Data Protection Commission, agentes maliciosos, de posse de algumas informações de clientes, ligaram para o contact center da instituição se passando pelos titulares das contas.

Em três incidentes analisados, protocolos de segurança não foram seguidos de forma adequada. Os fraudadores conseguiram alterar dados das contas e obter informações adicionais. A decisão apontou falhas relacionadas à segurança do tratamento e à comunicação tempestiva dos incidentes, resultando em reprimenda e multas.

O caso é europeu, mas a lição é universal: atendimento ao cliente também é tratamento de dados pessoais. E pode ser uma das áreas mais sensíveis da empresa.

Nem todo incidente começa no servidor

Quando se fala em incidente de segurança, muita gente pensa em ransomware, invasão de sistemas ou vazamento massivo. Esses cenários existem, mas não são os únicos.

Um incidente também pode acontecer quando alguém acessa dados sem autorização por falha de procedimento. Isso pode ocorrer no telefone, no chat, no WhatsApp, no balcão de atendimento, no suporte técnico ou no e-mail.

Situações comuns incluem:

  • atendente confirmar dados pessoais sem validação suficiente;
  • alteração de e-mail, telefone ou endereço sem checagem adequada;
  • envio de segunda via, contrato ou relatório para pessoa errada;
  • compartilhamento de informações por canal inseguro;
  • redefinição de senha com perguntas fracas;
  • liberação de acesso por pressão ou engenharia social;
  • ausência de registro sobre quem consultou ou alterou dados.

A operação pode parecer simples, mas o risco é real.

Autenticação é parte da proteção de dados

A LGPD exige medidas de segurança técnicas e administrativas aptas a proteger dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas.

No atendimento, isso significa que a empresa precisa ter critérios claros para verificar identidade antes de consultar, alterar ou compartilhar dados pessoais.

A autenticação não deve ser improvisada por cada atendente. Ela precisa ser desenhada de acordo com o risco. Atualizar um e-mail de cadastro pode exigir um nível de validação. Alterar dados financeiros, liberar documento sensível ou acessar histórico de saúde pode exigir outro.

Também é importante evitar perguntas de autenticação baseadas em informações fáceis de descobrir, como CPF, data de nascimento, endereço antigo ou nome da mãe, quando essas informações circulam em bases vazadas ou podem ser obtidas por terceiros.

O papel do treinamento

Mesmo com boa tecnologia, o atendimento depende de pessoas. Por isso, treinamento é essencial.

O time precisa saber:

  • quais dados pode consultar;
  • em quais situações pode alterar cadastro;
  • o que nunca deve ser enviado por canal inseguro;
  • como agir diante de pressão, urgência ou comportamento suspeito;
  • quando escalar para supervisão;
  • como registrar uma tentativa de fraude;
  • como acionar o fluxo de incidente.

Treinamento não deve ser uma apresentação anual esquecida. Precisa estar conectado aos scripts reais, ferramentas usadas e situações do dia a dia.

Incidente identificado: e agora?

Quando há suspeita de acesso indevido, alteração não autorizada ou divulgação inadequada, a empresa precisa agir rápido.

O primeiro passo é conter o risco: bloquear acesso, reverter alteração, preservar logs, registrar evidências e entender o alcance do problema. Depois, é necessário avaliar quais dados foram envolvidos, quantos titulares podem ter sido afetados, qual o potencial de dano e se há obrigação de comunicação à ANPD e aos titulares.

No Brasil, a comunicação de incidente à ANPD depende da existência de risco ou dano relevante aos titulares, conforme a regulamentação aplicável. Em linhas gerais, quando a comunicação for devida, a empresa deve observar o prazo regulatório contado do conhecimento do incidente pelo controlador.

Por isso, o processo precisa estar pronto antes do problema acontecer.

O checklist mínimo para empresas com atendimento

Empresas que atendem clientes, pacientes, alunos, usuários ou colaboradores deveriam revisar:

  1. Scripts de autenticação
    As perguntas e etapas realmente reduzem risco ou só dão uma falsa sensação de segurança?
  2. Níveis de criticidade
    A empresa diferencia solicitações simples de solicitações que envolvem dados de maior risco?
  3. Permissões internas
    Todo atendente precisa acessar tudo? Há segregação por função?
  4. Logs e rastreabilidade
    É possível saber quem acessou, alterou ou enviou determinada informação?
  5. Treinamento contra engenharia social
    O time sabe identificar tentativas de fraude?
  6. Fluxo de incidente
    Existe canal interno para reportar suspeitas rapidamente?

Como a TOGETHER pode apoiar

A TOGETHER ajuda empresas a transformar proteção de dados em processo operacional. No atendimento, isso pode envolver revisão de scripts, definição de níveis de autenticação, treinamento de equipes, matriz de risco, política de acesso, plano de resposta a incidentes e atuação contínua do DPO as a Service.

A pergunta central é simples: se alguém tentar se passar por um cliente hoje, sua empresa conseguiria perceber, impedir e documentar a tentativa?

Compartilhe:

Linkedin

Quer saber mais?

Se inscreva em nossa newsletter e receba atualizações sobre privacidade.

Últimos posts

Privacidade

Contato

  • Av. Eng Luiz Carlos Berrini, n. 1681, Salas 111 e 112, Cidade Monções, São Paulo - SP - 04.571-011
  • (11) 98952-6265 / (11) 5178-3235

© 2026 TOGETHER | Todos os direitos reservados

Se interessou por nossas soluções?
Agende uma demonstração gratuita!

Agende uma demo