Compliance de voice AI: LGPD, GDPR e PCI para dados de chamada

Voice AI herda toda obrigação de proteção de dados de telecom, mais várias específicas de IA. A voz do cliente é dado biométrico tanto no GDPR quanto na LGPD. O arquivo de áudio, a transcrição, o prompt do LLM e a saída do modelo são todos dados pessoais sujeitos a consentimento, minimização e regras de retenção. Adicione PCI-DSS para agentes que lidam com pagamento e HIPAA para saúde e a superfície de compliance fica grande rápido. Este post caminha pelos frameworks que se aplicam, o que eles exigem na prática e como desenhar um deployment de voice AI que fica em compliance sem paralisar o produto. A maior parte do trabalho é técnica (criptografia, redação, controle de acesso), mas uma parte relevante é processual (consentimento, disclosure, retenção).

Os frameworks de compliance que se aplicam

Um deployment típico de voice AI em 2026 precisa atender vários frameworks ao mesmo tempo:

• LGPD (Lei Geral de Proteção de Dados): governa dado pessoal de residentes brasileiros
• GDPR: governa dado pessoal de residentes da UE e da maioria dos serviços direcionados à UE
• PCI-DSS: governa armazenamento e processamento de dado de cartão, aplica sempre que o agente toca em número de cartão
• HIPAA: governa informação de saúde protegida em contextos de saúde nos EUA
• Regulação local de telecom: por país, cobre regras de caller ID, disclosure de gravação, consentimento para ligação de marketing

A maioria dos deployments acerta pelo menos dois. Um contact center brasileiro atendendo pagamentos Visa está em LGPD e PCI-DSS no mínimo. Um na UE adiciona GDPR. O desenho de compliance precisa cobrir a união dos requisitos.

LGPD: dado de voz de residentes brasileiros

A LGPD se aplica a qualquer voice AI processando dado pessoal de residentes brasileiros, não importa onde o processamento acontece. O framework espelha princípios do GDPR: base legal para tratamento, minimização de dados, transparência, limites de retenção, direitos do titular (acesso, correção, deleção).

Para voice AI especificamente, as obrigações chave são:

• Base legal: consentimento explícito ou legítimo interesse com teste de balanceamento documentado
• Disclosure: o titular precisa saber que está interagindo com agente de IA e que dado está sendo coletado
• Retenção: gravação de voz e transcrição têm prazos de retenção ligados à finalidade do tratamento
• Direitos do titular: clientes podem pedir acesso, correção ou deleção dos dados de voz
• Regras de transferência internacional aplicam quando dado de voz sai do Brasil

Penalidades da LGPD incluem multa de até 2% do faturamento (limitada a R$ 50 milhões por infração) além de sanções reputacionais e operacionais. A ANPD sinalizou fiscalização ativa sobre tratamento por IA.

GDPR: consentimento explícito e proteção de biométrico

O GDPR trata gravação de voz e voiceprint biométrico como dado sensível que exige consentimento explícito e proteção rigorosa. A base legal para tratamento de voz tipicamente se apoia em:

• Consentimento explícito com mecanismo opt-in registrado no início da interação
• Legítimo interesse com teste de balanceamento documentado mostrando que o interesse do cliente não é sobreposto
• Necessidade contratual quando a chamada faz parte de uma relação ativa de serviço que o cliente iniciou

As penalidades mordem. Multas do GDPR chegam a €20 milhões ou 4% do faturamento global, o que for maior. A voz de uma criança capturada numa chamada é dado pessoal capturado sem consentimento válido, o que gera violação automática que já foi base de multas milionárias.

PCI-DSS: redação e controle de acesso para fluxos de pagamento

Qualquer voice AI que pega número de cartão dispara PCI-DSS. O framework exige:

• Minimização de dados: capture e armazene só o mínimo necessário, idealmente zero após a transação
• Controles de acesso fortes com acesso baseado em papel a qualquer dado de cartão retido
• Criptografia: armazenamento usa AES-256, trânsito usa TLS 1.2 ou superior
• Redação: o Primary Account Number (PAN) e os códigos de segurança (CVV) precisam ser removidos de transcrição e áudio antes de armazenar

Voice AI de produção que lida com pagamento tipicamente pausa a gravação durante o turno do número de cartão, captura os dígitos via DTMF ou serviço tokenizado de captura e redige o PAN de qualquer transcrição antes de cair no banco.

Disclosure obrigatório: o agente precisa se anunciar

Entre LGPD, GDPR e a maioria das leis estaduais americanas, um agente de voz de IA precisa se identificar claramente como sistema automatizado no começo da chamada. O cliente precisa saber que está falando com máquina e que dado está sendo coletado. Pular isso é o erro mais comum em deployments iniciais de voice AI e o mais fácil de corrigir.

O disclosure não precisa ser robótico. "Oi, aqui é a assistente automática da Acme, e a ligação está sendo gravada para qualidade do serviço" cumpre a regra e soa como diálogo natural. O que não funciona é uma voz educada fingindo ser humana enquanto extrai dado pessoal.

Criptografia, retenção e os detalhes chatos que importam

A base técnica é igual em todos os frameworks:

• Criptografia em trânsito: TLS 1.2 ou superior protege o stream de voz entre cliente, agente e armazenamento
• Criptografia em repouso: AES-256 protege gravações, transcrições e qualquer dado derivado
• Controles de acesso: baseados em papel, auditados, com separação de funções para operações sensíveis
• Políticas de retenção: ligadas à base legal do tratamento; áudio tipicamente tem retenção mais curta que transcrição; ambas mais curtas que registros de negócio como CDRs
• Direito de deleção: clientes podem pedir apagamento, que precisa propagar por armazenamento de áudio, transcrições, embeddings e qualquer cache de LLM

Documentação de compliance também importa. Um Data Processing Addendum (DPA) com todo vendor de voice AI, registros de consentimento, registros de teste de balanceamento de legítimo interesse e procedimentos de resposta a incidente são esperados tanto por procurement corporativo quanto por reguladores em auditoria.

Onde o SipPulse AI se encaixa

O SipPulse AI foi construído com esses frameworks em mente. A plataforma suporta TLS 1.2+ para todo transporte, AES-256 em repouso, controles de acesso baseados em papel e janelas de retenção configuráveis para áudio e transcrição. Deployments com consciência de PCI podem rotear o turno do número de cartão por captura DTMF para que o PAN nunca entre no contexto do LLM nem na transcrição.

O disclosure obrigatório de sistema automatizado vem embutido na estrutura de prompt de novos agentes e você customiza a mensagem por idioma e marca. Para deployments brasileiros, a inteligência de áudio do Pulse Precision Pro ship redação de PII ajustada para CPF, CNPJ e outros identificadores locais.

Fornecemos Data Processing Addendum mediante solicitação e tratamos compliance como requisito de deployment, não retrofit pós-lançamento. Fale com o time para caminhar pelo framework específico que se aplica ao seu deployment.

Leia também

• Inteligência de áudio para QA automatizado de contact center
• Voice AI vs URA: análise de ROI para contact centers
• Conectando agentes de voz à telefonia com SIP trunks

Conclusão

Compliance de voice AI não é opcional nem negociável. LGPD, GDPR e PCI-DSS cada um carrega penalidade real, e o trabalho técnico (criptografia, redação, controle de acesso, retenção) é bem entendido. A pergunta de produto é se o seu fornecedor de voice AI trata compliance como capacidade de primeira classe ou como conversa pós-venda. Fale com o time sobre deployar voice AI no seu workload regulado.