Você já deve ter visto ou ouvido sobre esta sigla por aí. Mas você sabe como ela funciona e a importância de enquadrar o seu negócio a essa lei?
A Lei Geral de Proteção de Dados – LGPD, Lei 13.709/18 está em vigor desde 18/09/2020, com penalizações sendo aplicadas acerca do não cumprimento das normas desde agosto de 2021 (lei nº 14.010). A partir de então, todas as empresas tiveram que se adaptar às mudanças definidas por tais leis.
A LGPD estabelece regras para coleta e tratamento de informações de pessoas físicas por empresas e instituições públicas, objetivando a garantia do direito à privacidade do indivíduo, o que afeta, em maior ou menor escala, todas as empresas, já que dificilmente haverá alguma organização que não lide com dados pessoais relacionados a funcionários, clientes, fornecedores, etc., seja diretamente ou através de terceiros sob sua ordem.
Os primeiros passos para realizar a adequação é conhecer a LGPD e compreender o que são dados pessoais. Compreender o que é tratamento de dados, perceber como assegurar a proteção de dados dos clientes e reconhecer as sanções no caso de não cumprir com a LGPD são algumas das práticas necessárias para garantir a aplicação de uma rotina de boas práticas da LGPD na empresa.
Minha loja se enquadra na LGPD?
A LGPD é uma lei que se aplica a qualquer pessoa, física ou jurídica, pública ou privada, que faça o tratamento de dados pessoais, inclusive aqueles coletados antes do início da obrigatoriedade da lei. Caso sua empresa trate informações de pessoas físicas, ela deve se adequar à lei.
Como assim? Se você vende online, por exemplo, você precisará seguir as normas definidas pela nova lei. Isso porque, quando um cliente realiza uma compra em um site, são coletadas informações pessoais, além de dados de cartões de crédito.
E, se você ainda não tem uma loja online, mas pede dados como: nome, CPF, data de nascimento, endereço, telefone, entre outros dados dos seus clientes, você também precisa se preparar.
Depois de conhecer detalhes da LGPD, é o momento de reunir todas as fontes de dados que a sua empresa possui. Lembre-se de se cercar por todos os lados: veja quais são os dados dos clientes, colaboradores e fornecedores. A partir disso, avalie qual o ciclo de vida de cada um deles, as falhas no processo de tratamento e os riscos de vazamento. Em equipe, trace estratégias a fim de que as informações sejam acessadas apenas por pessoas autorizadas e para as finalidades permitidas na LGPD.
É importante demonstrar a finalidade, forma e duração do tratamento, como nos casos de:
- Cadastros de clientes
- Identificação de informações de contato do controlador
- Informações acerca do uso compartilhado de dados
- Responsabilidades dos agentes que irão realizar o tratamento
- Direitos do titular: explicar para o cliente sobre seu direito de acesso, atualização, etc.
Os documentos oficiais que estabelecem normas e diretrizes para a sua empresa devem ser revisados pelo departamento Jurídico ou por uma consultoria especializada (de preferência), garantindo assim que todos os tópicos estejam em conformidade com a nova lei. Não se esqueça de incluir nessa lista também os documentos digitais.
Importante ponderar:
- Avaliação de legitimidade
Existe uma situação concreta? O interesse da empresa é legítimo, lícito, adequado e proporcional?
- Teste de necessidade
Existe alguma outra base legal na LGPD que seria mais adequada? Apenas os dados estritamente necessários para atingir a finalidade pretendida estão sendo processados?
- Regra de balanceamento
O uso dos dados está dentro da legítima expectativa do usuário? Os direitos e liberdades fundamentais dos usuários estão sendo observados?
Dados pessoais X Dados sensíveis
No artigo 5° da LGPD é definido o que se entende como dado pessoal/sensível. É importante dedicar tempo à leitura dos conceitos e suas diferenças, bem como suas peculiaridades.
Toda informação, ou conjunto de informações, relativa à pessoa física identificada ou identificável é considerada um dado pessoal. Entretanto, esta definição possui uma segmentação, que é o dado pessoal sensível.
O dado sensível é caracterizado como toda informação que pode acarretar prática discriminatória, por isso, eles possuem uma proteção maior na LGPD.
Exemplos:
- Dados pessoais: é toda e qualquer informação relacionada à pessoa natural identificada ou identificável. Entre os exemplos de dados pessoais podemos citar o nome, RG, CPF, e-mail, telefone fixo e celular, endereço residencial, etc.
- Dados pessoais sensíveis: é todo dado pessoal que pode gerar qualquer tipo de discriminação, tais como origem racial ou étnica, convicção religiosa, opinião política, dado referente à saúde ou à vida sexual e dado genético ou biométrico.
Não são considerados dados pessoais aqueles relativos à uma pessoa jurídica, como CNPJ, razão social, endereço comercial, entre outros.
Consentimento explícito do consumidor
Com a LGPD em vigor, o usuário precisa autorizar o uso de suas informações, e elas só poderão ser usadas para a finalidade com que foram coletadas. Por exemplo: você pediu os dados alegando que seriam usados apenas para o envio do produto e comunicação sobre a entrega. Logo, você não poderá usar o telefone que o cliente forneceu para enviar mensagens de promoções.
Sendo assim, será preciso detalhar para todos os clientes que estejam na sua base qual será a finalidade dos dados coletados. Utilizar os dados para sugerir produtos ou compartilhar bases de contato com terceiros está proibido!
Como se preparar?
- Tenha a autorização dos termos de uso de forma bem clara, simples e acessível para o seu cliente, evitando ambiguidades ou brechas que possam prejudicar seu negócio no futuro.
- Os “termos e condições” de uso são sua principal proteção para tratar os dados de acordo com a lei. Certifique-se que eles sejam revisados por um advogado.
Criação de canais de resposta rápida após “retirada da autorização de uso” pelo cliente
Outra novidade introduzida pela LGPD, que antes não era aplicada, é o direito dado ao dono da informação de questionar qualquer serviço de e-commerce sobre quais dados pessoais ele armazena. Além disso, agora o seu cliente pode exigir que as informações dele sejam editadas ou excluídas, bem como a portabilidade dos dados.
Como se preparar?
- Prepare a equipe de atendimento da sua loja para atender às dúvidas dos clientes sobre o acesso e uso dos dados.
- Defina de que forma o cliente poderá solicitar a remoção de seus dados e como ele saberá quais informações você têm sobre ele. Para isso, você pode criar um destaque no Instagram, explicando como funciona esse processo. Uma dica é solicitar a remoção apenas via e-mail. Lembrando que, após o pedido do cliente, é necessário que você realmente remova as informações dele da sua base de clientes.
Depois de ter seguido os passos mais importantes e necessários, comece a olhar para o futuro próximo. Pense como sua empresa pode oferecer produtos, levando em conta a privacidade dos dados. Essa prática, aliás, deve ser integrada à cultura organizacional da empresa: é fundamental que todo o time se habitue a considerar as novas regras no desenvolvimento de novos processos ou produtos.
Sendo assim, é muito importante que a sua loja esteja adequada a todas essas regrinhas e que ela tenha uma plataforma com muita segurança, para que você não tenha que se preocupar mais tarde.