Há dúvidas que ainda estão tirando o sono de departamentos jurídicos e de TI de empresas de variados setores da economia. Entre elas, como definir objetivamente o que é dado pessoal? De que maneira melhor informar as finalidades de tratamentos para os titulares que precisa ser clara e objetiva? Como capturar o consentimento expresso e gerar o registro adequado (evidência)? Como garantir o apagamento do dado pessoal e sua comprovação perante o consumidor?
Imagine essas questões no dia a dia do varejo? Como ficar restrito justo da matéria-prima que possibilita desenhar um atendimento personalizado, uma importante arma de atração?
Todos sabemos que dados são a alma dos negócios, ainda mais quando o assunto envolve o lema do comércio que é “conheça o seu cliente”. Quanto mais se sabe sobre o consumidor maior a chance de fidelização. O e-commerce, que acena com uma projeção de vendas perto de R$ 80 bilhões para este ano, segundo a Associação Brasileira de Comércio Eletrônico (ABComm), não depende mais apenas do consumidor para preencher um cadastro com seus dados pessoais e assim efetivar as vendas. Já faz uso de uma série de ferramentas que usam tecnologias digitais mais avançadas para conhecer os hábitos e comportamentos do cliente, que vão desde analisar a navegação de internet até o reconhecimento facial.
Mas como continuar a utilizar tudo isso agora com a nova lei de proteção de dados pessoais? Como aplicar todas as exigências da nova regulamentação e ainda assim preservar a boa experiência do usuário para evitar ruídos na relação seja ela do balcão virtual ao PDV?
Uma coisa é certa, o Varejo está correndo contra o relógio, pois precisa ajustar a sua documentação o quanto antes para capturar o consentimento na nova política de Privacidade e Proteção de Dados Pessoais tomando proveito das oportunidades de interação com os clientes e evitando aumentar o legado da base de dados que não está em conformidade com a LGPD. Ou seja, cada novo cadastro, cada nova venda, aquele cliente já deveria ser informado sobre como os dados pessoais são protegidos, se há compartilhamento com terceiros, se há internacionalização, para quais finalidades são tratados e quais são os direitos dos titulares.
O Varejo está correndo contra o relógio, pois precisa ajustar a sua documentação o quanto antes para capturar o consentimento na nova política de Privacidade e Proteção de Dados Pessoais
É isso que tem de ser tratado em linha com as exigências da LGPD, em que o consumidor estará mais empoderado sobre a utilização dos seus dados pessoais e terá direito a solicitar revogação de consentimento, apagamento e portabilidade. E terá de saber como eles estão sendo tratados e para quais objetivos. Também é ele quem poderá exigir que esses dados sejam deletados. E como comprovar essa ação? Certamente será uma mudança contundente na cultura e na governança dos dados pessoais nas empresas de Varejo.
E isso vale não somente para os ambientes virtuais, mas também para estabelecimentos físicos que coletam dados dos seus clientes. Sendo assim, irá exigir, portanto, uma adequação não somente tecnológica, mas estratégica de cada negócio. A conformidade exige muito além de implantação de antivírus ou firewall.
Deve-se pensar sobre onde colocar a informação para cumprir com o princípio da transparência, e assim evitar as elevadas multas previstas pela LGPD. Será que uma placa de aviso atrás do balcão do atendente é o suficiente? Ter um script para o atendente, ter uma testeira com QR Code de acesso à Política também podem ajudar para visualização no ambiente de loja. E quem lida mais com o público de aposentados, como gerar as evidências? Talvez ter uma versão impressa para consulta no balcão como se faz com o CDC?
Por certo, aquele que fornecer um software para o Varejo que possa além de pedir o CPF também solicitar ‘digite 1’ para dar o consentimento vai ajudar muito nesse registro de prova tão necessário.
A tecnologia é o meio que irá viabilizar a implementação das novas regras. Terão de se unir nessa jornada profissionais das áreas jurídica e de TI e, muitas vezes, uma alternativa, para que a companhia agilize o processo de conformidade e foque no negócio, é contar com Regtechs, startups que ajudam empresas públicas e privadas a se protegerem dos custos com multas e riscos de conformidade em várias exigências regulatórias.
A tecnologia é o meio que irá viabilizar a implementação das novas regras. Terão de se unir nessa jornada profissionais das áreas jurídica e de TI e, muitas vezes, uma alternativa, para que a companhia agilize o processo de conformidade e foque no negócio, é contar com Regtechs
Nesse novo desenho, há que se criar guardiões dos dados, apoiados em uma nova governança. Quem serão? CIOs? DPOs? É um movimento crítico, pois, afinal, a empresa que tem a posse dos dados dos seus clientes, por diferentes meios, sites de e-commerce, lojas físicas, mídias sociais, são responsáveis pela forma como vão tratar esses dados pessoais e sensíveis.
Dor no bolso e na sobrevivência
A violação das exigências da LGPD pode sair caro, não só no bolso, como na reputação, muitas vezes irrecuperável. No setor de Varejo, essas adequações são críticas, porque esses dados são necessários para efetivar as vendas.
A lei prevê a aplicação de multa de até 2% do faturamento anual da empresa, limitada a R$ 50 milhões por cada infração cometida. Assim, é muito importante estar em linha com o armazenamento adequados desses dados, e estar pronto para passá-los aos clientes, caso os solicitem, em até 15 dias, entre outras regras.
Na Europa, onde a lei de proteção de dados, que está mais amadurecida por ter entrado em vigor em maio do ano passado, o Regulamento Geral de Proteção de dados (GPDR, na sigla em inglês), pode afetar empresas e usuários que interagem com o continente europeu. E vem avançando.
Recentemente, seguindo as suas exigências, a Suprema Corte da União Europeia tomou a seguinte decisão: sites que usam plugins do Facebook serão corresponsáveis juntamente com a rede social pela transferência de dados das pessoas.
Assim, o que vai rolar daqui para frente na Europa é que todos os sites que transmitem dados sobre seus cidadãos de volta ao Facebook e outras redes sociais, mesmo pelo botão “curtir” e outros plugins, precisam obter permissão explícita da pessoa, que deve dar o seu consentimento para que os dados sejam coletados.
De acordo com o site CNET, “o tribunal estava analisando o caso da Fashion ID, uma varejista alemã de roupas on-line, que tinha o plug-in do botão ‘curtir’ instalado em seu site. Os dados dos visitantes do site estavam sendo transferidos de volta para o Facebook sem o seu conhecimento, mesmo que eles não tivessem clicado no botão ou não fossem membros da rede social, segundo a corte”.
Então, o Tribunal de Justiça da União Europeia decidiu que a Fashion ID e outros sites como ele não podem ser responsáveis pelo o que acontece com os dados depois de serem passados para o Facebook, mas são responsáveis por “operações envolvendo a coleta e divulgação por transmissão para o Facebook “. Portanto, todo o cuidado é pouco com o uso dos dados, e estar em conformidade é um movimento urgente e constante.
*Patricia Peck é advogada especialista em Direito Digital e Proteção de Dados e será key Note Speaker na 10ª edição do Security Leaders São Paulo.
Faça agora sua inscrição e não perca a oportunidade de discutir sobre como se preparar para a LGPD.
