No comércio online, mais do que em qualquer outro segmento, o uso da tecnologia é essencial para ser mais estratégico, oferecer experiências de compra de forma personalizada, aumentar a lucratividade e superar a concorrência. De acordo com a 5ª edição do estudo Transformação Digital no Varejo Brasileiro, realizado pela Sociedade Brasileira de Varejo e Consumo (SBVC), em parceria com o Oasis Innovation Space, 74% dos varejistas apontam o aumento da receita como o principal benefício da transformação digital. O estudo também mostra que 64% dos entrevistados pretendem investir mais em tecnologia. Esta, por sua vez, possibilita a coleta de dados que podem ser mapeados para melhorar a experiência de consumo, mas, por outro lado, muitas vezes também são compartilhados sem o conhecimento do titular dos dados, o que não é mais permitido após a Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/18.
Em maio de 2023, a Autoridade Nacional de Proteção de Dados (ANPD) divulgou a lista de processos de fiscalização em andamento e, gigantes como WhatsApp, Telegram, TikTok e até o Ministério da Justiça e Segurança Pública entraram na lista. Embora seja apenas um processo fiscalizatório, que implica tão somente na verificação se a LGPD está sendo cumprida – como já expliquei em outro artigo – é natural que o mercado direcione as suas atenções para as iniciativas da ANPD, principalmente por receio de multas, que podem chegar a R$ 50 milhões por infração e problemas com a imagem da empresa.
Além disso, com o constante crescimento do e-commerce, é possível que os grandes varejistas online sejam os próximos na mira da fiscalização. Por isso, elenquei algumas práticas específicas para o varejo online se adequar às regras da LGPD e evitar problemas jurídicos. Mas, antes, vamos retomar os princípios básicos da Lei.
O principal objetivo da LGPD é oferecer mais segurança, privacidade e liberdade ao titular dos dados coletados e, para cumpri-lo, a Lei é composta de diversas regras que se resumem aos dez seguintes fundamentos:
1. Finalidade e tratamento
É necessário que o motivo da coleta de dados, bem como o tratamento e o armazenamento, seja informado de forma clara para o cliente, não sendo permitido o uso para outros motivos, tampouco o compartilhamento com terceiros. Por exemplo, se os dados foram coletados para envio de boleto, eles não podem ser utilizados para envio de promoções. Independentemente de qual seja o motivo, o cliente precisa consentir com a coleta e o tratamento informado.
2. Adequação
Os dados devem ser coletados de acordo com a finalidade e a natureza do negócio. Por exemplo: não faz sentido um e-commerce que vende utensílios domésticos solicitar informações sobre o posicionamento político.
3. Necessidade
Tem relação com o item anterior e também com a responsabilidade do lojista. Quanto maior a quantidade de dados armazenados, maior a complexidade e o custo para tratá-los e armazená-los, além de aumentar chance de problemas de vazamento e, consequentemente, sanções jurídicas.
4. Acesso
Pela lei, titular deve ter acesso aos seus dados a qualquer momento, de forma gratuita e fácil, bem como à integralidade dos dados, a finalidade e o tempo de uso.
5. Qualidade
É obrigatório que o lojista mantenha a autenticidade da base de dados e possua todas as atualizações de segurança para garantir a proteção das informações e o cumprimento do tratamento dos dados de acordo com a necessidade informada no ato da coleta.
6. Transparência
Os titulares devem saber quais empresas estão envolvidas no tratamento dos dados e qual a sua participação neste processo.
7. Segurança
É essencial que os lojistas utilizem tecnologias que garantam a proteção dos dados, evitando invasões, acessos não autorizados, perdas e alteração dos dados.
8. Prevenção
A Lei também exige que medidas preventivas sejam adotadas para evitar danos aos titulares dos dados.
9. Cuidado extra com os dados sensíveis
A Lei prevê que é proibido o tratamento de dados pessoais sensíveis sem o consentimento do titular dos dados. São considerados dados pessoais sensíveis: raça e etnia, preferências políticas e religiosas, vida sexual, informações sobre saúde e filiação a sindicatos.
10. Prestação de contas e responsabilidade
O estabelecimento deve comprovar que adota medidas eficazes para o cumprimento da LGPD, sendo responsável pelos dados por ele coletados.
Os princípios acima resumem as regras da LGPD e valem para qualquer tipo de empresa. No caso do e-commerce, a adoção de algumas ações específicas podem ser cruciais para a eficiência e crescimento do negócio, aliados ao cumprimento da LGPD. São elas:
1. Criar políticas de governança, compliance e segurança para tratamento dos dados;
2. Compreender integralmente o fluxo de informações e processos da empresa para realizar as correções necessárias;
3. Mapear dados antigos dos clientes e adequá-los à LGPD. É importante ressaltar que, mesmo que estes tenham sido coletados antes da vigência da Lei, eles precisam receber o tratamento adequado, pois ainda estão armazenados na empresa;
4. Criar um comitê para cuidar especificamente do tratamento de dados, principalmente para lidar com incidentes e questionamento de titulares de dados;
5. Nomear um profissional responsável pelo tratamento de dados, o chamado Data Protection Officer (DPO) ou Encarregado de Proteção de Dados. Este profissional precisa ter conhecimento profundo da LGPD e seus desdobramentos. Deverá ser o responsável pelo cumprimento da Lei em todos os processos da empresa. Além disso, a Lei determina que o seu contato deve ser público e, preferencialmente, no site da empresa, conforme o inciso 1º, do Art. 41, Seção II da LGPD;
6. Ter atenção extra com os dados sensíveis e evitar coletá-los, caso não tenha necessidade para o seu negócio;
7. Fazer parcerias e negócios somente com empresas que cumpram a LGPD para evitar problemas jurídicos indiretos;
8. Treinar e conscientizar todos os funcionários e colaboradores sobre a importância da LGPD, bem como os riscos para a empresa em caso de não cumprimento das regras;
9. Investir em tecnologias altamente seguras, além de selos de segurança e certificação que atestem o empenho da empresa em mitigar os riscos, além de oferecer mais credibilidade aos usuários;
10. Revisar todos os contratos para adequá-los à LGPD e às novas políticas da empresa;
11. Sempre informar o consumidor sobre a coleta, o tratamento e o prazo de utilização dos dados de cadastro para compras, promoções, formulários ou lista de desejos, deixando clara a utilização de cada um. Lembrando que o titular dos dados tem o direito de não aceitar o compartilhamento de suas informações com o estabelecimento;
12. Atualizar a política de privacidade do site e utilização de cookies de acordo com as normas da LGPD;
13. Criar procedimentos para atender titulares que quiserem informações sobre os seus dados ou ainda realizar alterações ou excluí-los;
14. Tenha uma assessoria jurídica especializada para acompanhar a implementação de todas estas medidas e evitar erros e lacunas durante o processo.
Embora pareça trabalhosa, a adequação à LGPD é bastante benéfica para ambos os lados. Os lojistas online podem coletar e tratar os dados de forma mais organizada e até econômica, uma vez que tendem a não coletar informações desnecessárias para o negócio, que apenas inflam os bancos de dados gerando mais custos de armazenamento.
Além disso, é uma oportunidade para se adequar às práticas ESG – uma tendência do mercado mundial – principalmente no que se refere a uma governança mais estruturada e eficiente. Tudo isso sem abrir mão da estratégia e da oferta de experiências de consumo personalizadas, mas agora com maior credibilidade e segurança para os consumidores.
Tem alguma dúvida? Nós da Maragno Advogados teremos prazer em ajudar. Entre em contato.
Artigo escrito por: Paula de Maragno, Sócia Fundadora da Maragno Advogados.