A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em setembro de 2020 e conseguiu modificar a relação que o setor de varejo possuía com as informações de seus clientes. E foi a partir deste ano, no dia 1 de agosto que as punições, para empresas que não seguirem as regras, entraram em vigor. Agora, empresas podem sofrer punições graves, incluindo multas, se não estiverem em conformidade com a lei.
Qualquer empresa que use dados pessoais de consumidores como uma base para criar um relacionamento com eles e para definir suas estratégias de vendas precisa ficar de olho. Hoje, existe a necessidade de adotar maiores padrões de compliance (conformidade) e de adaptar procedimentos de trabalho para se encaixar na lei.
A LGPD é positiva para o Brasil, pois a coloca em condição de igualdade perante outros mercados pelo mundo que já haviam definido uma forma mais adequada para gerir a segurança de dados e a privacidade de consumidores. Um exemplo são os países da União Europeia, que contam com a General Data Protection Regulation (GDPR).
Com a entrada em vigor da LGPD, as empresas tiveram que fazer com que as práticas de proteção de dados pessoais deixassem de ser apenas uma boa prática, para se tornar uma obrigação protegida por lei.
Com isso, além de encarar a força da transformação digital do comércio, o varejo tem a obrigação de elaborar procedimentos transparentes de manuseio e gestão segura de dados pessoais de seus clientes e colaboradores. Somente desta maneira as empresas poderão manter seus negócios, principalmente nos casos em que precisa dos dados para tomada de decisão.
Nesse artigo, iremos mostrar as principais dúvidas sobre LGPD e varejo e as suas respostas. Leia até o final e compartilhe com outras pessoas!
Ouça o Episódio #12 LGPD: E o Varejo com isso? (colocar link assim que sair o ep)
1. Afinal, o que é LGPD?
A Lei nº 13.709/18, também conhecida como Lei Geral de Proteção de Dados ou LGPD, entrou em vigor no Brasil em 18 de setembro de 2020. Ela tem como inspiração a GDPR, da União Europeia.
A LGPD foi elaborada para que fosse possível determinar diretrizes gerais e regras sobre a forma como é feito o armazenamento e tratamento de dados pessoais no país. Ela afirma que é preciso informar expressamente ao proprietário dessas informações, quais delas serão compartilhadas e qual finalidade disso.
2. O que são considerados dados pessoais?
Os dados pessoais são informações diversas sobre uma determinada pessoa ou sobre alguém, que torna o indivíduo identificável por meio dessas informações.
Existem diversos exemplos de dados pessoais, como:
- Interesses;
- Nome;
- Gostos;
- Identidade;
- Preferências culturais;
- CPF;
- IP;
- Endereço;
- Cookies de computador;
- Geolocalização;
- E-mail.
- Entre outros dados
3. E os dados sensíveis?
São informações que podem levar pessoas a uma situação de discriminação, se divulgadas. Portanto, oferecem um risco maior à segurança, à privacidade e à liberdade da pessoa. Exemplos:
- Dados médicos;
- Origem racial ou étnica;
- Convicções religiosas ou filosóficas;
- Opiniões políticas
- Filiação sindical;
- Questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.
4. Qual é a diferença entre encarregado, titular, operador e controlador de dados na lei?
Esses são diferentes sujeitos envolvidos na questão de dados, segundo a LGPD. É muito importante entender a importância de cada um deles. Vamos às definições:
Titular: é o dono dos dados pessoais. A LGPD deixou muito claro que as informações são pertencentes ao indivíduo. Sendo assim, ele passa a ter o poder de decisão sobre o que fazer com elas;
Controlador: ele é o responsável, no varejo, por tomar as decisões no que se refere ao tratamento de informações. O controlador define quais dados precisam ser analisados, coletados e a forma como eles serão utilizados. Ele se relaciona diretamente com o titular dos dados e precisa cuidar da segurança e privacidade das informações;
Operador: é quem faz o tratamento das informações para o controlador. Em geral, o operador é representado por empresas do setor de tecnologia que utilizam dados coletado no CRM e no e-commerce para realizar análises de informações para os varejistas; e
Encarregado: ele também é chamado de Data Protection Officer (DPO). É indicado pelo controlador para agir como aquele que será o canal de comunicação entre a Autoridade Nacional de Proteção De Dados (ANPD), os titulares e o controlador. Tem ainda como funções, orientar os colaboradores sobre as boas práticas da LGPD e receber e atender as demandas vindas dos titulares.
Com essas definições, podemos afirmar que o cliente é o titular dos dados, o varejista é o controlador e as empresas de tecnologia de processamento de dados são os operadores.
Talvez a maior diferença entre controlador e operador esteja na obrigação de definir uma base legal para realizar o tratamento de informações pessoais. Isso quer dizer fazer a análise da operação de tratamento, definir sua finalidade e quais dados serão tratados, além de tentar enquadrar as informações em uma das hipóteses que estão previstas nos artigos 7º (Dados Pessoais) ou 11º (Dados Pessoais Sensíveis) da LGPD.
5. É possível utilizar as antigas bases de dados, recolhidas antes da lei, para se comunicar com o consumidor?
A LGPD impactou as atividades de marketing de varejo, pois sempre foi comum construir uma base de dados para que se pudesse comunicar com os consumidores. No entanto, hoje elas precisam ser revistas. Isso para saber se o tratamento a essas informações está sendo feito conforme a finalidade específica que permite seu uso, conforme a adequação com a lei.
Uma maneira de tornar legítimo o tratamento das informações pessoais que constam destas antigas bases é fazer contato com os clientes e pedir suas autorizações para usar esses dados. Mas é preciso ainda explicar para quais atividades eles vão ser usados.
6. Como deixar as informações em conformidade com a LGPD?
O setor de varejo precisa ter bastante atenção quanto à governança e à segurança das informações de seus clientes, devido à entrada em vigor da LGPD. Se for escolhido consentimento dos consumidores como base legal para utilização dos dados, as formas dessa gestão devem permitir que se registre qualquer atividade de tratamento e ainda o exercício de direito dos proprietários da informação.
Os titulares de dados possuem alguns direitos. É importante conhecer alguns deles:
- Revogar o consentimento do uso de dados;
- Confirmar que existe o tratamento de informações por parte da empresa;
- Ser informado sobre com quem os dados foram compartilhados;
- Poder acessar as suas informações;
- Eliminar informações pessoais tratadas com o consentimento do proprietário;
- Corrigir dados desatualizados, inexatos ou incompletos;
- Portabilidade de informações;
- Poder eliminar, bloquear ou deixar anônimo os dados em desconformidade, excessivos ou desnecessários.
7. A lei só trata das informações que são coletadas pela internet?
A LGPD não se aplica somente a dados coletados pela internet. Ela tem a ver com qualquer tipo de operação de tratamento de informações pessoais que foram coletadas no Brasil. E não importa se isso aconteceu off-line ou on-line.
Sendo assim, mesmo que o consumidor preencha fichas de papel em uma loja física, é preciso estar em conformidade com o que diz a LGPD. Isso também vale para contratação de serviços, preenchimento de cadastro nas redes sociais, compras, aplicativos etc.
8. É preciso que eu faça um ajustamento nos termos de uso do meu site?
Sim. Se uma empresa de varejo deseja usar os dados dos clientes em personalização do relacionamento ou campanhas de marketing, por exemplo, é possível escolher a base legal de consentimento para que essas informações sejam tratadas. Isso é feito através de manifestação por escrito ou outro meio qualquer que demonstra que o uso foi autorizado.
Sendo assim, é muito importante que as empresas varejistas revejam sua política de privacidade e seus termos de uso dos sites. Isso vai fazer com que fique transparente a explicação sobre como acontecerá o tratamento das informações pessoais dos clientes.
9. Como fazer minha empresa se enquadrar na LGPD?
Vários fatores são relevantes para que uma empresa de varejo se adeque a LGPD. Entre eles estão a quantidade de bancos e sistemas de dados pessoais, o seu tamanho, o seu número de colaboradores, a quantidade de processos desse tratamento de informações pessoais, etc.
Para que uma empresa varejista consiga se adequar a LGPD, ela precisa dar os seguintes passos:
- Conscientizar toda a empresa sobre a questão;
- Fazer o mapeamento de dados;
- Produzir matrizes de responsabilidades, fluxos e mapas para a gestão de informações;
- Identificar quais são as bases legais para fazer o tratamento de dados pessoais;
- Alterar ou criar termos de uso, contratos e políticas de informações pessoais;
- Nomear um DPO;
- Desenvolver um Plano de Gerenciamento de Crise para entrar em vigor no caso de acontecer algum vazamento de dados;
- Criar sistemas para gerir pedidos de titulares; de autoridades e de consentimento;
- Treinar suas equipes e de terceiros que façam o tratamento de informações pessoais;
- Revisar e auditar.
Se sua empresa ainda não começou a se adequar à LGPD, é muito importante que você comece os procedimentos o quanto antes. Em geral, esses procedimentos costumam levar entre seis e doze meses para se completar e a LGPD já entrou em vigor, juntamente com suas sanções.
As sanções variam. Podem ser aplicadas multas diárias no valor de 2% do faturamento, até a suspensão das atividades da empresa! Por essa razão, é fundamental que haja a adaptação à lei.
Além da sua empresa estar em compliance com a LGPD, a plataforma que você utiliza que operam dados dos seus clientes também precisa estar em conformidade com a legislação.
Gostou do conteúdo? Agora que você tirou as principais dúvidas sobre LGPD para o varejo, leia outros artigos em nosso blog.
A GS é uma empresa de inteligência com foco no aumento do faturamento para o varejo e a indústria. Visite nossas redes sociais e esteja por dentro de informações relevantes sobre o mercado!