A Lei Geral de Proteção de Dados (LGPD) traz novos parâmetros para a coleta e uso de dados nas empresas. É hora de estruturar processos e criar uma nova governança para as informações
Desde o mês de setembro, todas as empresas que atuam no Brasil precisam cumprir os requisitos da Lei Geral de Proteção de Dados (LGPD). Inspirada na GDPR, a legislação europeia de proteção e privacidade das informações, a LGPD coloca o consumidor como proprietário de seus dados e estabelece limites para coleta e uso desses dados pelas empresas.
Isso não significa que a coleta e o uso dos dados dos consumidores para atividades comerciais estejam proibidos a partir de agora. O que a LGPD traz é critérios claros a respeito de com quem compartilhar os dados e em que situações. A análise de dados, por exemplo, continua permitida, mas é preciso obter uma autorização formal do cliente para que as informações sejam coletadas, processadas e utilizadas na empresa.
Isso faz com que a concretização da proteção de dados exija muito mais atenção das empresas. Não é mais possível usar informações que venham de uma base de dados qualquer. Para compartilhar dados com um parceiro de negócios, por exemplo, é preciso ter o consentimento do cliente.
O que a LGPD determina
A LGPD cria uma série de mudanças nas empresas no que se refere à coleta, gestão e armazenamento dos dados dos clientes. Além disso, estabelece multas que podem chegar a 2% do faturamento das empresas e cria a Agência Nacional de Proteção de Dados (ANPD), autoridade que será responsável pelo cumprimento da legislação.
O primeiro ponto relevante da lei é que ela determina que os dados não pertencem às empresas que controlam ou operam essas informações, e sim aos indivíduos. Como as pessoas físicas passam a ser consideradas as donas de seus dados, é preciso obter sua autorização para uso e também ter recursos para excluir os dados quando isso for solicitado. O titular dos dados (o indivíduo) tem o direito de ter uma cópia das informações que a empresa tem sobre eles, solicitar a anonimização, bloqueio ou eliminação desses dados ou ainda sua portabilidade para um terceiro.
Ao mesmo tempo, as empresas são consideradas responsáveis por quaisquer danos que possam ser causados pelo mau uso dos dados dos clientes. Por isso, a LGPD obriga as empresas a rever toda sua estrutura de segurança da informação, desenvolver uma sólida governança de dados e criar processos claros de proteção.
Consequências na relação com os clientes
A LGPD tem um grande impacto sobre o relacionamento das empresas com os consumidores. Nas empresas, a LGPD exige uma série de adequações de tecnologias e processos para viabilizar, por exemplo, a anonimização dos dados ou a garantia de que esses dados estão sendo usados de acordo com os termos e condições definidos.
Uma consequência importante é uma mudança de abordagem em relação ao uso dos dados. Em um passado recente, a ideia era que o big data capturasse toda informação possível e que, posteriormente, a empresa tratasse esses dados para aproveitá-los como considerasse melhor. Com a LGPD, as empresas precisam deixar claro quais dados estão coletando e com que finalidade.
Tecnologicamente, aumenta a importância de estruturar um data lake para usar os dados coletados com mais flexibilidade. Com isso, a LGPD deverá acelerar ainda mais a transformação digital do varejo, criando empresas mais ágeis e preparadas para lidar com as mudanças do mercado.
Como as empresas devem se preparar para a LGPD
A aprovação da LGPD pelo Congresso veio com um prazo, válido até 31 de agosto de 2021, para a adequação das empresas à legislação. Embora punições só venham a ocorrer a partir do ano que vem, é importante adaptar os processos de negócios, a arquitetura de TI e a governança de dados para essa nova realidade.
A complexidade da adaptação à LGPD depende do tamanho da empresa e do nível atual de sua governança de dados. Mas, de forma geral, é preciso estar atento aos seguintes aspectos:
Faça a lição de casa
Identifique quais dados dos clientes estão sendo armazenados (endereço, dados pessoais, dados financeiros), qual o perfil do seu público (crianças, adultos) e de que forma eles são tratados (se são anonimizados ou não). Também identifique quais os operadores internos e externos que têm acesso a esses dados, para que seja possível medir o grau de exposição da empresa a vazamentos.
Como os dados são tratados?
Os artigos 5º e 6º da LGPD trazem parâmetros muito claros de como os dados devem ser coletados, controlados, tratados, compartilhados e eliminados. Revise os documentos existentes (contratos, termos, políticas) e crie outros documentos que sejam necessários para adequação à lei.
Mapeie o uso de dados na empresa e entenda que bases legais são aplicáveis
A LGPD possui 10 bases legais para sua aplicação e, por isso, é importante entender quais se aplicam em seu negócio. Os dados dos titulares podem ser tratados nas seguintes situações:
1) Mediante o consentimento do titular;
2) Para cumprir uma exigência legal ou regulatória;
3) Pela administração pública, para a execução de políticas públicas;
4) Para a realização de estudos, garantida a anonimização dos dados pessoais;
5) Para a realização de contratos que envolvam o titular;
6) Para o exercício de direitos em processos judiciais;
7) Para a proteção da vida ou proteção física do titular;
8) Para cuidados com a saúde;
9) Quando necessário para atender a interesses legítimos do controlador ou de terceiros;
10) Para a proteção do crédito
Caso os dados dos titulares não se enquadrem em nenhuma dessas categorias, eles não poderão ser coletados, analisados ou utilizados pela empresa.
Estabeleça a governança
Crie regras de boas práticas e de governança para que a empresa tenha procedimentos, normas de segurança, ações de treinamento e conscientização dos colaboradores e mitigação de riscos. Estabeleça controles e mecanismos de checagem da aderência à LGPD.
Invista na segurança dos dados
Adote medidas de segurança da informação para proteger os dados pessoais dos clientes. Seja em acessos não autorizados ou em situações ilícitas que envolvam sua empresa ou os parceiros, a responsabilidade pelo que acontece com os dados dos clientes passa a ser sua.
Para lidar com as exigências trazidas pela LGPD, o varejo precisa adaptar sua estrutura de dados, estabelecer processos e sistemas de segurança da informação e, principalmente, criar uma cultura de gestão e uso de dados. A partir de agora, fica claro que as informações coletadas e utilizadas nas empresas pertencem aos clientes. Pela LGPD, as empresas são as guardiãs dos dados. Saber administrar essa confiança é um fator a mais no relacionamento com os consumidores.