Como preparar meu e-commerce para a Lei Geral de Proteção de Dados Pessoais (LGPD)?

Atualização: após sanção do presidente, LGPD começa a vigorar nesta sexta, 18/09.

Toda vez que você faz um cadastro em um estabelecimento comercial, seja físico ou virtual, acaba fornecendo diversas informações pessoais como: nome, telefone, idade, e-mail e endereço. Você se sente seguro em fornecer esses dados? Tem ideia do que é feito com eles depois de efetuar a compra? Difícil ter certeza, certo? Porém, em 2018 foi  sancionada uma lei que pretende determinar como os dados de cidadãos podem ser coletados e tratados, além de prever punições para possíveis transgressões: a Lei Geral de Proteção de Dados Pessoais (LGPD).

Inspirado na General Data Protection Regulation, conjunto europeu de regras sobre privacidade, a LGPD traz à tona a importância da honestidade no tratamento dos dados pessoais dos consumidores, exigindo bom senso e transparência de quem lida com eles e procurando penalizar excessos e abusos por meio da definição da responsabilidade e do dever de indenizar.

Mesmo destinada a todos os tipos de empresas, sem dúvidas, o e-commerce será um dos mercados mais impactados, já que sua atuação se baseia basicamente na análise de dados sobre o perfil e a jornada do consumidor. Uma loja virtual sabe onde você mora, sua idade, seus gostos pessoais, o quanto costuma gastar online e até as informações do seu cartão de crédito. Além disso, com as facilidades trazidas pela tecnologia, que tornou instantânea a produção, troca e proliferação de dados, é impossível desvincular a imagem dos dados pessoais dos meios digitais. Por isso, é preciso se preparar!

A LGPD foi aprovada em 2018 e estava prevista para entrar em vigor no dia 14 de agosto deste ano. No entanto, uma medida provisória emitida em abril sugeriu o adiamento da vigência da lei para 2021 por conta da pandemia da COVID-19 que, segundo as autoridades, atrapalhou a adaptação das empresas às novas normas.

Porém, em 26/08 a MP 959/2020 foi aprovada pelo Senado sem o artigo 4º do texto, justamente aquele que visava adiar o início da vigência da nova lei de proteção de dados para o começo do ano que vem. A MP transformou-se então no PLC (Projeto de Lei de Conversão) 34/2020 que foi encaminhado para a Casa Civil. O projeto foi sancionado pelo presidente e o texto publicado na edição desta sexta-feira, 18/09, do Diário Oficial da União.

A lei entra então em vigor mas, de qualquer forma, as penalizações ligadas ao não cumprimento das normas somente poderão ser aplicadas a partir de agosto de 2021 (lei nº 14.010). Até lá, as empresas que ainda não aplicaram as mudanças precisarão fazê-las e estabelecer regras corporativas.

O que muda e como preparar a minha empresa?

Qualquer informação que identifique uma pessoa como: o nome e sobrenome, CPF e RG, além de dados como raça, religião, sexualidade e opinião política que são tidos como dados “sensíveis” receberão proteção. A Lei Geral de Proteção de Dados Pessoais (LGPD) não impõe a confidencialidade ou impossibilidade total de manipulação dos dados. O que é necessário é uma estrita proteção e a necessidade de se pedir o consentimento de pessoas físicas.

Dentre as  principais exigências trazidas pela lei estão:

1- Consentimento explícito do consumidor.

O usuário deve autorizar o uso de suas informações e elas só poderão ser usadas para a finalidade com que foram coletadas. Será preciso detalhar toda a base, para quê ela será usada e se será compartilhada por outra empresa. Utilizar os dados para sugerir produtos ou compartilhar bases de contato com terceiros está vetado!

• Prepare-se:
  • Inclua a autorização do uso na jornada do consumidor de forma clara, acessível e simples, evitando ambiguidades ou brechas que podem prejudicar sua operação no futuro.
  • Defina como ele será introduzido no seu site: por um pop-up, pdf, antes ou depois do cadastro? Quantos cliques serão necessários?
  • Os “termos e condições” de uso são sua principal proteção para tratar os dados de acordo com a  lei. Certifique-se que eles sejam revisados por um advogado.
  • A privacidade deve ser tratada como prioridade na construção de qualquer sistema.

2- Criação de mecanismos de resposta rápida após “retirada da autorização de uso” pelo consumidor.

Outra novidade introduzida pela LGDP, que antes não era aplicada, é o direito dado ao titular da informação de questionar qualquer serviço de e-commerce sobre quais dados pessoais ele armazena. Além disso, ele pode exigir que as mesmas sejam editadas ou excluídas, bem como a portabilidade dos dados.  

• Prepare-se:  
  • Prepare a equipe de atendimento para atender às dúvidas dos clientes sobre o acesso e uso dos dados.
  • Defina de que forma o cliente poderá solicitar a remoção de seus dados e como ele saberá quais informações você tem sobre ele.

3 – Manipulação de dados sensíveis (financeiros, políticos, religiosos) e de menores de idade devem ter cuidados ainda mais estritos.

O uso de informações como crenças religiosas, posicionamentos políticos, características físicas, condições de saúde e vida sexual serão mais restritivos. Nenhuma organização poderá fazer uso deles para fins discriminatórios. No caso de usuários menores de idade, o projeto de lei deixa claro: só poderão ser mantidas as informações com o consentimento dos pais ou responsáveis.

• Prepare-se:
  • Faça um diagnóstico das informações que sua loja já possui: quais são os tipos de dados pessoais que sua empresa tem em mãos? Qual o grau de sensibilidade deles, qual a origem e com quem já foram compartilhados?  

4- Obrigação de informar à Sociedade e às Autoridades em caso de vazamento de dado.  

Vazamentos ou problemas de segurança que comprometem dados pessoais deverão ser relatados às autoridades competentes em tempo hábil. Após análise da situação, as autoridades indicarão os próximos passos, como determinar que o problema seja divulgado à imprensa.

• Prepare-se:
  • Crie políticas e procedimentos a fim de viabilizar o atendimento desta norma e de minimizar impactos em sua imagem.
  • Será preciso nomear algum profissional de Proteção de Dados, encarregado de prestar contas para o órgão fiscalizador (Autoridade Nacional de Proteção de Dados) e lidar com possíveis incidentes e dúvidas de funcionários, clientes e fornecedores.

5. Aplicação de práticas sólidas de segurança da informação.

As lojas virtuais precisarão ter um olhar amplo considerando não apenas uma atribuição de tecnologia da informação, mas incluindo todos os departamentos como RH, jurídico, financeiro, vendas. Será preciso revisar e desenhar  do zero as políticas de proteção de dados.

• Prepare-se:
  • Revise todos os documentos que a empresa já possui e aqueles que precisará criar do zero: política de privacidade, de incidentes cibernéticos, de coleta de dados com consentimento, de remoção de cadastro e os termos de uso.
  • Defina quem vai validar as políticas criadas: o time jurídico ou uma consultoria de proteção?
  • Lembre-se: os próprios dados dos colaboradores merecem atenção, principalmente em empresas de grande porte.

Leia também: 5 fatores que garantem a segurança de um sistema de e-commerce

A vigoração da Lei Geral de Proteção de Dados Pessoais é, definitivamente, um marco para o comércio brasileiro, principalmente o eletrônico. Algumas práticas já eram comuns e existiam regras esparsas, no entanto, a LGPD consolida este cenário criando leis específicas, mecanismos de controle e punições severas. Já começou a corrida das empresas para se adaptar às mudanças. O prazo para se preparar foi estendido, por isso, não há mais desculpas. Dúvidas? Entre em contato aqui.