Ir para o conteúdo principal
lgpd
Voltar

Como a LGPD vai impactar o varejo brasileiro

A Lei Geral de Proteção de Dados (LGPD), sancionada em agosto do ano passado, entrou em vigor em 18 de setembro de 2020 e trouxe alterações que terão impacto direto sobre as empresas que dependem do uso de dados pessoais para desempenhar suas atividades. Com a transformação digital do varejo e a utilização cada vez maior de dados para definir como abordar cada cliente de forma personalizada, o setor precisará mudar processos de trabalho e adotar novos padrões de compliance para lidar com a complexidade da lei.

Inspirada na regulamentação europeia sobre proteção de dados (GDPR), a LGPD tem o objetivo de garantir o direito dos consumidores à privacidade de seus dados e estabelecer regras claras para o uso dessas informações pelas empresas. Mas o que muda com a entrada em vigor da LGPD?

 

O que a LGPD determina?

A legislação define que os controladores e/ou operadores de dados são os responsáveis diretos em caso de danos ao titular dos dados ou a terceiros. Isso significa que se houver um vazamento dos dados armazenados pelo varejista sobre um cliente, a empresa é legalmente responsável pelos danos, podendo ser processada pelos consumidores.

Assim, sua loja pode sofrer um processo legal se, por exemplo, os dados de um cliente forem encontrados em um mailing vendido na Rua Santa Ifigênia (tradicional reduto do comércio de eletrônicos em São Paulo). Até agora, a legislação era omissa a respeito da responsabilidade legal. Como consequência, a LGPD faz com que o varejo tenha de criar uma estrutura bem definida de armazenamento e segurança dos dados de seus clientes.

A LGPD coloca o Brasil em posição de igualdade em relação a outros países que possuem um tratamento bem definido sobre a privacidade e a segurança dos dados (como a União Europeia) e mostra que é preciso ter bom senso e transparência no uso das informações dos consumidores.

 

De boa prática para obrigação legal

Com a entrada em vigor da LGPD, a adoção de medidas de proteção dos dados pessoais dos clientes deixou de ser uma boa prática de mercado para se transformar em uma obrigação legal. Isso fará com que a governança digital corporativa deixe de ser algo desejável para se tornar fundamental para que as empresas possam, nos próximos anos, crescer de forma sólida e pautada em bons princípios de negócios.

A partir de 2020, os CIOs do varejo brasileiro precisarão assumir uma nova função legal: guardiões dos dados dos clientes. Toda empresa precisará ter um Data Protection Officer (DPO), responsável pelo cumprimento da legislação e pela intermediação dos contatos com a Agência Nacional de Proteção de Dados (ANPD). Por isso, o DPO precisa conhecer a fundo a LGPD, deve ter experiência em governança e precisa entender de segurança da informação.

Essa é uma atribuição que, ao lado da reputação da empresa na mídia digital, da segurança cibernética e do compliance de dados, vai exigir um alinhamento de toda a empresa para que possa ser desenvolvida corretamente. Embora o DPO seja o executivo responsável pelos dados, todos os colaboradores da empresa são responsáveis pelo cumprimento das boas práticas de gestão e segurança das informações.

 

O que muda com a LGPD?

A Lei Geral de Proteção de Dados (LGPD) traz uma série de mudanças na gestão dos dados pelas empresas, estabelece sanções e cria uma agência responsável pelo cumprimento da legislação.

Aprovada em agosto de 2018, mas sancionada somente no final de agosto de 2020, a LGPD já está em vigor. Punições pelo não cumprimento da lei, porém, só serão aplicadas a partir de 1º de agosto de 2021. Dessa forma, empresas que ainda não se dedicaram à adequação de suas estruturas de dados têm um prazo adicional para realizar as mudanças necessárias

 

A Agência Nacional de Proteção de Dados (ANPD)

Uma das novidades da LGPD é a criação da Agência Nacional de Proteção de Dados (ANPD), órgão da Presidência da República que vai fiscalizar o cumprimento da legislação. O decreto de criação da ANPD foi publicado no fim de agosto, logo após o Senado aprovar a entrada imediata em vigor da LGPD.

Entre suas tarefas, a agência vai fiscalizar o cumprimento da lei, elaborar as diretrizes do Plano Nacional de Proteção de Dados e aplicar sanções às empresas que não cumprirem a LGPD a partir de agosto do ano que vem. A criação da ANPD dá segurança jurídica às empresas e estabelece um órgão que pode solucionar quaisquer dúvidas sobre a aplicação da lei.

 

Quais são as consequências do descumprimento da LGPD?

O texto da LGPD prevê uma série de consequências para as empresas que não se adequarem à legislação. Como as sanções se aplicam ao descumprimento de qualquer norma prevista na LGPD, é importante se atentar tanto aos princípios da lei quanto a dispositivos mais objetivos.

O primeiro tipo de sanção que a ANPD pode aplicar sobre uma empresa que descumpra a LGPD é a Advertência, que vem acompanhada com um prazo para que medidas de correção sejam tomadas. Quando essa correção não acontece, a empresa passa a estar sujeita a uma Multa Simples, cujo valor pode chegar a até 2% do faturamento da empresa (limitado a R$ 50 milhões) por infração. A LGPD também tem a modalidade de Multa Diária, com os mesmos valores.

Vale destacar que ainda não está claro o que a ANPD irá considerar como uma infração, mas é possível pensar em cada incidente de descumprimento ou em cada dispositivo da lei violado em um incidente. Dessa forma, dependendo da gravidade do descumprimento da lei, a empresa pode sofrer penalidades financeiras bastante significativas.

A LGPD conta com outros tipos de sanções: o bloqueio dos dados pessoais referentes à infração e a eliminação desses dados. Embora sejam casos mais extremos, eles podem significar uma paralisação parcial dos negócios e a perda de competitividade no mercado. O que aconteceria se sua empresa não pudesse utilizar dados de alguns ou todos os seus clientes em suas estratégias de negócios?

 

Quais são os direitos dos titulares dos dados?

A LGPD define regras importantes sobre os direitos das pessoas sobre seus dados. Em primeiro lugar, a legislação deixa claro que os dados não pertencem à empresa controladora ou operadora das informações, e sim aos indivíduos. Dessa forma, um dado coletado por sua empresa e operado pela Propz continua pertencendo ao consumidor final.

O fato de a pessoa física ser considerada a real dona de seus dados muda a dinâmica da interação com o consumidor e exige aprovação do cliente para a coleta, uso e compartilhamento de suas informações. Além disso, gera uma série de importantes direitos da pessoa física:

 

1)     Confirmação da existência do tratamento: é o direito garantido ao titular dos dados (a pessoa física) de confirmar se a empresa (seja ela controladora ou operadora) está realizando o tratamento de seus dados pessoais. A resposta pode ser simplificada (“sim” ou “não”) ou completa, com indicação da origem dos dados, a existência ou não do registro, os critérios usados e a razão para o uso dos dados da pessoa.

2)     Acesso aos dados: a LGPD garante ao titular dos dados o direito de obter uma cópia de seus dados pessoais.

3)     Correção de dados: é garantido ao titular o direito à correção de dados incompletos, inexatos ou desatualizados.

4)     Anonimização, bloqueio e eliminação de dados: o titular dos dados tem o direito de pedir a anonimização, bloqueio ou eliminação de seus dados pessoais tratados pelas empresas, caso eles sejam desnecessários ou excessivos para a finalidade.

5)     Portabilidade dos dados: o titular dos dados tem o direito de solicitar o compartilhamento dos dados fornecidos à empresa. Esses dados deverão ser transferidos em um formato estruturado, que possa ser utilizado por um terceiro.

6)     Eliminação de dados tratados: pela LGPD, a pessoa pode solicitar que seus dados pessoais tratados sejam eliminados da base de dados de uma empresa. A exceção fica para os dados necessários ao cumprimento de obrigações legais ou regulatórias.

7)     Saber com quem seus dados estão sendo compartilhados: a lei garante às pessoas físicas o direito de saber com quem seus dados estão sendo compartilhados. Isso significa que os termos e condições dos contratos não podem mais conter frases genéricas, como “parceiros terão acesso a seus dados pessoais”, ou “suas informações serão compartilhadas com terceiros”.

8)     Possibilidade de não consentimento: as empresas precisam dar aos usuários informações sobre a possibilidade de não oferecer consentimento quanto ao uso dos dados e informar sobre as consequências desse não-consentimento.

9)     Revogação do consentimento: o consentimento dado pelo usuário pode ser revogado a qualquer momento, mediante procedimento gratuito e facilitado.

 

Como preparar a empresa para a LGPD?

Para incorporar a LGPD aos processos de negócios da empresa, o varejo precisa:

 

Atualizar suas plataformas de defesa

Muitas vezes, as mudanças só são realizadas quando oferecem um risco financeiro claro. Por isso a LGPD define multas significativas para os casos de vazamentos de dados. As adequações necessárias para armazenar e lidar com os dados pessoais de forma segura e sigilosa fazem com que o varejo precise adotar, como padrão, o uso de criptografia na coleta, armazenamento e compartilhamento interno e externo (quando autorizado pelo cliente) das informações.

A necessidade de atualização constante dos recursos de criptografia e defesa contra invasões fará com que a manutenção dos dados da empresa em um backup em nuvem, 100% criptografado, se torne o padrão nos sistemas de segurança corporativos.

 

Coletar e tratar dados dos clientes de forma consciente

A LGPD determina que as empresas devem informar aos clientes as finalidades específicas do tratamento de dados, bem como a forma como esse tratamento será feito e por quanto tempo as informações serão armazenadas e utilizadas. As empresas também precisarão indicar quem é o controlador dos dados, se haverá uso compartilhado das informações e quais são os direitos do titular (o consumidor) sobre esses dados.

Isso faz com que as empresas, antes de saírem coletando qualquer informação para posteriormente definir como utilizá-la, definam políticas de captura e utilização dos dados, o que contribui para um uso mais consciente das informações dos clientes. Também é de se esperar que haja uma valorização do uso dos dados coletados, devido à definição de uma estratégia, a partir do board das empresas, quanto à utilização das informações.

 

Rever as práticas de opt-in de suas bases de dados

A LGPD vale para todos os dados armazenados pela empresa, e não somente para os que serão coletados a partir de agora. Isso significa que todas as bases de informação atualmente existentes em seu negócio precisam respeitar as normas da nova legislação.

Dessa forma, as bases de dados precisam ser revistas, para que seja possível garantir que 100% dos registros existentes foram coletados com autorização dos clientes. Na maioria absoluta das empresas, em algum momento algum dado foi coletado sem um opt-in explícito, uma vez que as políticas de uso de dados eram mais frouxas no passado. Como consequência, a melhor prática a ser adotada para garantir que todo o seu banco de dados esteja aderente à LGPD é atualizar a formalização do opt-in de todos os seus clientes e sempre manter a opção de opt-out à disposição dos usuários.

 

O consumidor é rei de seus dados

Um dos pilares centrais da LGPD é o consentimento do proprietário dos dados a respeito do uso de suas informações. Toda movimentação de seus dados deve ser autorizada expressamente pelo cliente. A forma como os dados serão usados precisará ser definida com antecedência, explicada para o consumidor e este deverá consentir previamente com esse uso. Como consequência, deverá haver uma moralização do uso de dados dos consumidores, já que não será possível monetizar as informações dos consumidores sem a autorização dos usuários.

Com a entrada em vigor da LGPD, os consumidores poderão saber quais dados as empresas possuem sobre eles, como pretendem utilizá-los e se querem compartilhá-los com parceiros de negócios. Um aspecto positivo da nova lei será o aumento do envolvimento do próprio consumidor com o tema, aumentando a visibilidade das questões relacionadas à privacidade e à segurança das informações.

 

A Propz e a LGPD

A Propz está trabalhando para adequar seus processos de coleta e manuseio de dados para atender a todos os requisitos da LGPD. Na empresa, foi criado um grupo de trabalho envolvendo profissionais das áreas de TI, jurídico, financeiro, RH, Marketing e Administrativo, acompanhado e gerenciado por um Process Management Officer (PMO). Dessa forma, o status de todas as atividades vem sendo acompanhado e controlado, com armazenamento das informações de evolução do projeto e revisão de todo o conteúdo.

Nesse processo de adequação às exigências da LGPD, todos os contratos entre parceiros e fornecedores estão sendo revistos, para a inclusão de cláusulas que envolvam a segurança e proteção dos dados.

 

A adaptação à nova legislação brasileira de proteção de dados não será necessariamente custosa para o varejo, mas certamente será trabalhosa. Para que as empresas estejam aderentes à LGPD, elas precisam definir uma estratégia de coleta, tratamento e uso das informações. Isso reforçará a importância de uma mudança de cultura, mas trará como benefício a aceleração da transformação digital do varejo brasileiro.

Powered by Rock Convert
Compartilhe

Fale com a gente.

Agende uma conversa