O que o varejo precisa fazer para se adaptar à LGPD?

A Lei Geral de Proteção de Dados (LGPD) já está em vigor e tem um profundo impacto sobre o relacionamento com os clientes. Saiba como se adaptar à nova lei.

Em vigor desde o mês de setembro, a Lei Geral de Proteção de Dados (LGPD) mudou o relacionamento do varejo com as informações dos consumidores. Toda empresa que utiliza os dados pessoais dos clientes como base para o relacionamento e para a definição de suas estratégias de negócios precisa estar atenta: é preciso adaptar processos de trabalho e adotar padrões mais elevados de compliance para lidar com a lei.

A LGPD coloca o Brasil em igualdade em relação a outros mercados que definiram um modelo de gestão da privacidade e segurança de dados, como a União Europeia (que conta com a GDPR). A lei faz com que medidas de proteção de dados pessoais deixem de ser uma boa prática e se tornem uma obrigação legal. Isso faz com que, em meio à transformação digital do varejo, seja preciso estabelecer processos claros de gestão e manuseio de dados. Somente assim será possível ter negócios movidos a dados.

Confira a seguir algumas das principais dúvidas sobre a LGPD e como ela impacta do varejo:

O que é a LGPD?

A Lei Geral de Proteção de Dados (LGPD), ou Lei nº 13.709/18, entrou em vigor em 18 de setembro deste ano. Inspirada na legislação europeia, General Data Protection Regulation (GDPR), a LGPD foi criada para instituir regras e diretrizes gerais sobre o tratamento de dados pessoais no Brasil.

O que são dados pessoais?

Dados pessoais podem ser definidos como as informações relacionadas a uma pessoa identificada ou identificável. Exemplos de dados pessoais são nome, RG, CPF, endereço, geolocalização, e-mail, cookies, IP, preferências culturais, gostos e interesses.

Qual a diferença entre titular, controlador, operador e encarregado dos dados na LGPD?

Para realizar o tratamento adequado dos dados, o varejo precisa entender quais são as diferentes partes envolvidas na LGPD. São elas:

Titular

É o indivíduo, dono de seus dados pessoais. A lei define claramente que os dados pertencem ao indivíduo, que, por isso, passa a ter o poder de decidir o que será feito com as informações.

Controlador

É quem toma as decisões sobre tratamento de dados, definindo quais informações precisam ser coletadas, analisadas e como serão usadas. O controlador tem relacionamento direto com o titular e é o responsável pela privacidade e segurança dos dados.

Operador

É a empresa que realiza o tratamento dos dados em nome do controlador. Normalmente, são empresas de tecnologia que usam os dados coletados no e-commerce ou no CRM para realizar a análise de dados para o varejista. A LGPD afirma que é preciso informar ao titular dos dados, expressamente, quais dados serão compartilhados com o operador e com qual finalidade.

Encarregado

Também conhecido como DPO (sigla para Data Protection Officer), é indicado pelo controlador para atuar como canal de comunicação entre controlador, titulares de dados pessoais e a Autoridade Nacional de Proteção De Dados (ANPD), além de recepcionar e atender as demandas dos titulares, orientar funcionários e contratados da empresa sobre as boas práticas relativas a proteção de dados e interagir com a ANPD.

Na relação entre cliente e varejista, o consumidor é o titular dos dados, o varejista é o controlador e empresas de tecnologia que processam os dados em nome do controlador são os operadores. Dessa forma, a Linx atua, na maioria dos casos, como operadora dos dados que são controlados pelo varejo.

Um dos principais exemplos de diferenciação entre o controlador e o operador está na obrigatoriedade de definição de uma base legal para o tratamento dos dados pessoais, ou seja, analisar a operação de tratamento, sua finalidade, quais são os dados tratados e enquadrá-los dentro de uma das hipóteses autorizadoras previstas no artigo 7º (para Dados Pessoais) ou 11º (para Dados Pessoais Sensíveis) da LGPD.

Dessa forma, caberá ao controlador a definição de uma base legal adequada.

Posso continuar usando minhas bases de dados para me comunicar com os clientes?

A LGPD tem um impacto importante sobre o marketing de varejo. As bases de dados construídas com o objetivo de manter a comunicação entre os varejistas e seus consumidores precisam ser revisitadas com o objetivo de avaliar se o tratamento dos dados está sendo realizado para as finalidades específicas que justifiquem o seu uso e de acordo com a base legal adequada.

Uma forma de legitimar o tratamento dos dados pessoais presentes em tais bases de dados é entrar em contato com os consumidores e solicitar o seu consentimento para o uso dos dados, sempre explicando para quais atividades eles serão utilizados.

Como deixar os dados em conformidade com a lei?

Com a LGPD, o varejo deve estar mais atento do que nunca à segurança e à governança dos dados dos seus clientes. Além disso, caso a base legal escolhida para o uso dos dados seja o consentimento, os sistemas de gestão das informações precisam permitir o registro de todas as atividades de tratamento e o exercício dos direitos dos titulares. Entre esses direitos estão:

• A confirmação da existência do tratamento;
• O acesso aos dados;
• A correção de dados incompletos, inexatos ou desatualizados;
• A anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou em desconformidade;
• A portabilidade dos dados;
• A eliminação dos dados pessoais tratados com o consentimento do titular;
• A informação das entidades com quem os dados do titular foram compartilhados;
• A revogação do consentimento.

A LGPD trata apenas de dados coletados pela internet?

A lei se aplica a qualquer operação de tratamento de dados pessoais coletados dentro do país, não importando se tenham sido coletados online ou offline. Por isso, até mesmo o preenchimento de fichas nas lojas físicas precisa atender aos parâmetros da LGPD. O mesmo vale para cadastros preenchidos em redes sociais, aplicativos, compras e contratação de serviços, entre outros.

Preciso ajustar os termos de uso do meu site?

O consentimento dos consumidores também causa dúvidas sobre a LGPD e confunde as empresas. Para as finalidades de varejo, como o uso dos dados pessoais para campanhas de marketing e para a personalização do relacionamento com os consumidores, é possível a escolha da base legal do consentimento, pelo controlador/varejista, para que tais dados sejam tratados. Esse consentimento é fornecido mediante a manifestação por escrito ou por qualquer meio que demonstre a autorização.

Nesse sentido, é importante rever os termos de uso e a política de privacidade do seu site, para que conste de forma transparente a explicação sobre a finalidade do tratamento dos dados pessoais.

Quais são os passos para minha empresa se adequar à LGPD?

A adequação do varejo à LGPD depende de uma série de fatores, como o tamanho da empresa, a quantidade de processos de tratamento de dados pessoais, o número de funcionários e a quantidade de sistemas e bancos de dados pessoais, entre outros. Os passos para implementação da LGPD são, basicamente, os seguintes:

• Conscientização da empresa sobre o tema;
• Mapeamento dos dados;
• Produção de mapas, fluxos e matrizes de responsabilidades para a gestão dos dados;
• Identificação das Bases Legais para o tratamento dos dados pessoais;
• Criação ou alteração das políticas, contratos e termos de uso dos dados pessoais;
• Nomeação do DPO;
• Desenvolvimento de um Plano de Gerenciamento de Crises, que entrará em vigor caso ocorram vazamentos de dados;
• Criação de sistemas de gestão dos pedidos dos titulares; das autoridades e do consentimento;
• Treinamento das equipes próprias e de terceiros que tratam os dados pessoais;
• Auditoria e revisão.

É importante começar o mais rápido possível, já que esse processo costuma levar entre seis e doze meses e as sanções previstas na LGPD entram em vigor em agosto de 2021.

Quer saber como a Linx pode ajudar o seu negócio? Clique aqui.