04/12/2020
O que o varejo precisa fazer para se adaptar à LGPD?

A Lei Geral de Proteção de Dados (LGPD) já está em vigor e tem um profundo impacto sobre o relacionamento com os clientes. Saiba como se adaptar à nova lei
Em vigor desde o mês de setembro, a Lei Geral de Proteção de Dados (LGPD) mudou o relacionamento do varejo com as informações dos consumidores. Toda empresa que utiliza os dados pessoais dos clientes como base para o relacionamento e para a definição de suas estratégias de negócios precisa estar atenta: é preciso adaptar processos de trabalho e adotar padrões mais elevados de compliance para lidar com a lei.
A LGPD coloca o Brasil em igualdade em relação a outros mercados que definiram um modelo de gestão da privacidade e segurança de dados, como a União Europeia (que conta com a GDPR). A lei faz com que medidas de proteção de dados pessoais deixem de ser uma boa prática e se tornem uma obrigação legal. Isso faz com que, em meio à transformação digital do varejo, seja preciso estabelecer processos claros de gestão e manuseio de dados. Somente assim será possível ter negócios movidos a dados.
Confira a seguir algumas das principais dúvidas sobre a LGPD e como ela impacta do varejo:
O que é a LGPD?
A Lei Geral de Proteção de Dados (LGPD), ou Lei nº 13.709/18, entrou em vigor em 18 de setembro deste ano. Inspirada na legislação europeia, General Data Protection Regulation (GDPR), a LGPD foi criada para instituir regras e diretrizes gerais sobre o tratamento de dados pessoais no Brasil.
O que são dados pessoais?
Dados pessoais podem ser definidos como as informações relacionadas a uma pessoa identificada ou identificável. Exemplos de dados pessoais são nome, RG, CPF, endereço, geolocalização, e-mail, cookies, IP, preferências culturais, gostos e interesses.
Qual a diferença entre titular, controlador, operador e encarregado dos dados?
Para realizar o tratamento adequado dos dados, o varejo precisa entender quais são as diferentes partes envolvidas na LGPD. São elas:
- Titular: é o indivíduo, dono de seus dados pessoais. A lei define claramente que os dados pertencem ao indivíduo, que, por isso, passa a ter o poder de decidir o que será feito com as informações.
- Controlador: é quem toma as decisões sobre tratamento de dados, definindo quais informações precisam ser coletadas, analisadas e como serão usadas. O controlador tem relacionamento direto com o titular e é o responsável pela privacidade e segurança dos dados.
- Operador: é a empresa que realiza o tratamento dos dados em nome do controlador. Normalmente, são empresas de tecnologia que usam os dados coletados no e-commerce ou no CRM para realizar a análise de dados para o varejista. A LGPD afirma que é preciso informar ao titular dos dados, expressamente, quais dados serão compartilhados com o operador e com qual finalidade.
- Encarregado: também conhecido como DPO (sigla para Data Protection Officer), é indicado pelo controlador para atuar como canal de comunicação entre controlador, titulares de dados pessoais e a Autoridade Nacional de Proteção De Dados (ANPD), além de recepcionar e atender as demandas dos titulares, orientar funcionários e contratados da empresa sobre as boas práticas relativas a proteção de dados e interagir com a ANPD.
Na relação entre cliente e varejista, o consumidor é o titular dos dados, o varejista é o controlador e empresas de tecnologia que processam os dados em nome do controlador são os operadores. Dessa forma, a Linx atua, na maioria dos casos, como operadora dos dados que são controlados pelo varejo.
Um dos principais exemplos de diferenciação entre o controlador e o operador está na obrigatoriedade de definição de uma base legal para o tratamento dos dados pessoais, ou seja, analisar a operação de tratamento, sua finalidade, quais são os dados tratados e enquadrá-los dentro de uma das hipóteses autorizadoras previstas no artigo 7º (para Dados Pessoais) ou 11º (para Dados Pessoais Sensíveis) da LGPD.
Dessa forma, caberá ao controlador a definição de uma base legal adequada.
Posso continuar usando minhas bases de dados para me comunicar com os clientes?
A LGPD tem um impacto importante sobre o marketing de varejo. As bases de dados construídas com o objetivo de manter a comunicação entre os varejistas e seus consumidores precisam ser revisitadas com o objetivo de avaliar se o tratamento dos dados está sendo realizado para as finalidades específicas que justifiquem o seu uso e de acordo com a base legal adequada.
Uma forma de legitimar o tratamento dos dados pessoais presentes em tais bases de dados é entrar em contato com os consumidores e solicitar o seu consentimento para o uso dos dados, sempre explicando para quais atividades eles serão utilizados.
Como deixar os dados em conformidade com a lei?
Com a LGPD, o varejo deve estar mais atento do que nunca à segurança e à governança dos dados dos seus clientes. Além disso, caso a base legal escolhida para o uso dos dados seja o consentimento, os sistemas de gestão das informações precisam permitir o registro de todas as atividades de tratamento e o exercício dos direitos dos titulares. Entre esses direitos estão:
* A confirmação da existência do tratamento;
* O acesso aos dados;
* A correção de dados incompletos, inexatos ou desatualizados;
* A anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou em desconformidade;
* A portabilidade dos dados;
* A eliminação dos dados pessoais tratados com o consentimento do titular;
* A informação das entidades com quem os dados do titular foram compartilhados;
* A revogação do consentimento.
A LGPD trata apenas de dados coletados pela internet?
A lei se aplica a qualquer operação de tratamento de dados pessoais coletados dentro do país, não importando se tenham sido coletados online ou offline. Por isso, até mesmo o preenchimento de fichas nas lojas físicas precisa atender aos parâmetros da LGPD. O mesmo vale para cadastros preenchidos em redes sociais, aplicativos, compras e contratação de serviços, entre outros.
Preciso ajustar os termos de uso do meu site?
O consentimento dos consumidores também causa dúvidas sobre a LGPD e confunde as empresas. Para as finalidades de varejo, como o uso dos dados pessoais para campanhas de marketing e para a personalização do relacionamento com os consumidores, é possível a escolha da base legal do consentimento, pelo controlador/varejista, para que tais dados sejam tratados. Esse consentimento é fornecido mediante a manifestação por escrito ou por qualquer meio que demonstre a autorização.
Nesse sentido, é importante rever os termos de uso e a política de privacidade do seu site, para que conste de forma transparente a explicação sobre a finalidade do tratamento dos dados pessoais.
Quais são os passos para minha empresa se adequar à LGPD?
A adequação do varejo à LGPD depende de uma série de fatores, como o tamanho da empresa, a quantidade de processos de tratamento de dados pessoais, o número de funcionários e a quantidade de sistemas e bancos de dados pessoais, entre outros. Os passos para implementação da LGPD são, basicamente, os seguintes:
* Conscientização da empresa sobre o tema.
* Mapeamento dos dados.
* Produção de mapas, fluxos e matrizes de responsabilidades para a gestão dos dados.
* Identificação das Bases Legais para o tratamento dos dados pessoais.
* Criação ou alteração das políticas, contratos e termos de uso dos dados pessoais.
* Nomeação do DPO.
* Desenvolvimento de um Plano de Gerenciamento de Crises, que entrará em vigor caso ocorram vazamentos de dados.
* Criação de sistemas de gestão dos pedidos dos titulares; das autoridades e do consentimento.
* Treinamento das equipes próprias e de terceiros que tratam os dados pessoais.
* Auditoria e revisão.
É importante começar o mais rápido possível, já que esse processo costuma levar entre seis e doze meses e as sanções previstas na LGPD entram em vigor em agosto de 2021.
Quer saber como a Linx pode ajudar o seu negócio? Clique aqui.