José Claudio Pereira
CRC/RS 46.949
joseclaudio@dataconcontabilidade.cnt.br
Eonara do Carmo Cesa Paim
CRC/RS 56.102
narapaim@dataconcontabilidade.cnt.br
Como o varejo pode se adequar as exigências da LGPD?
Possuir medidas de transparência e um profissional responsável pela proteção dos dados são algumas das obrigações da lei
Desde 2020, já está em vigor a LGPD, Lei Geral de Proteção de Dados, que regula o tratamento de dados de pessoas físicas e determina como eles podem e devem ser tratados. Além de obrigações para os titulares (os donos desses dados), o regulamento estabelece encargos também para as empresas sobre como elas devem tratar essas informações, e com o setor de varejo não seria diferente.
Para esse setor especificamente, a lei pode ter um impacto positivo por possibilitar que empresas desenvolvam novas formas de prestar serviços para seus consumidores, ao passo que estabelece uma relação de confiança entre eles. A LGPD busca proteger dados que possam identificar ou tonar identificável uma pessoa física, dependendo do contexto em que estes dados estejam sendo analisados. A legislação não tem a intenção de proteger dados de pessoas jurídicas, contudo, quando estes estiverem diretamente relacionados a uma pessoa física, algumas informações podem ser consideradas dados pessoais e estarem resguardadas pela legislação.
A LGPD traz uma série de obrigações decorrentes do tratamento de dados pessoais. Para Fernando Bousso, sócio e head de privacidade e proteção de dados do Baptista Luz Advogados, de modo geral, as adaptações que devem ser adotadas pelas empresas prioritariamente são: “a implementação de medidas de transparência, a reavaliação da necessidade de coleta de todos os dados dos formulários em e-commerce e em loja; a nomeação de um encarregado de proteção de dados, que será o canal de contato entre a empresa, os titulares e a Autoridade Nacional de Proteção de Dados, o treinamento e conscientização dos colaboradores para a criação de uma cultura de privacidade e proteção de dados pessoais dentro da empresa, a revisão de contratos com fornecedores e parceiros para definição de responsabilidades relacionadas a eles, além da implementação de um programa de governança em privacidade e proteção de dados por meio da elaboração de documentos que orientem os colaboradores sobre como devem atuar nesses casos”.
No caso das lojas físicas, alguns exemplos de medidas que podem ser adotadas são a disponibilização facilitada de documentos de transparência, por meio de QRCode, link de acesso ou documento físico e o treinamento dos times que lidam diretamente com consumidores, tais como atendentes de SAC e de lojas para que saibam lidar com eventual requisição relacionada a dados pessoais. Ainda segundo Fernando, “desde que as bases de dados tenham se formado de forma lícita e que sejam adotadas as devidas medidas de segurança para utilizá-las, os varejistas poderão continuar utilizando-as. O que muda, especialmente para a comunicação com os clientes, é garantir que os titulares que serão contatados optem ou não por receber determinada comunicação de uma empresa, que tenham informações claras e acessíveis sobre como seus dados pessoais são tratados por ela”.
Tendo em vista os princípios trazidos pela legislação, uma das formas das empresas organizarem seus dados para que estejam em conformidade com a lei é definir níveis de acesso para a consulta à base de dados. A ideia é garantir que apenas aqueles colaboradores que realmente precisarem das informações para o exercício das suas funções possam consultá-las. Como os termos e uso de e-commerce estão mais relacionados a aspectos comerciais da utilização os serviços, o ideal – como boa prática e medida de transparência – é que as informações sobre o tratamento dos dados pessoais estejam em documento específico (aviso de privacidade). Isso inclui a finalidade específica do tratamento dos dados, informações sobre o uso compartilhado das informações, entre outros requisitos específicos exigidos por lei.
Os setores do varejo que têm forte atuação no ambiente online provavelmente serão os que sofrerão maior impacto com o início das sanções, em decorrência do alto volume de dados que transitam nesse ambiente, bem como pela maior exposição das práticas relacionadas à proteção de dados (aviso de cookies, política de privacidade, formulários etc.).
Só está atrasado quem ainda não começou o seu projeto de adequação à LGPD. De modo geral, tem-se notado um forte movimento do setor varejista em se adequar à lei, com revisão de formulários, atualização de plataformas, implementação de documentos de transparência, entre outras práticas que indicam que as empresas estão se preparando. A conformidade com a legislação é um processo contínuo, pois exige atualização e monitoramento constantes das empresas em relação às suas atividades de tratamento desses dados, dificilmente será possível afirmar que algum dia elas estarão 100% adequadas.