Logo E-Commerce Brasil

Como a LGPD impacta as estratégias do seu e-commerce?

Por: Gustavo de Andrade Silva

Graduado em ciência da computação pela UNESP com graduação sanduiche nos Estados Unidos no New York Institute of Technology e Endicott College, MBA em Marketing pela USP, mestre e doutorando em ergonomia pela UNESP. Atua como gerente de marketing da Alternativa Sistemas, empresa fornecedora de ERP para e-commerce. Tem experiencia com tecnologia aplicada a negócios e trabalhou em empresas no Brasil, Estados Unidos e Alemanha.

A sociedade sempre encontra novas maneiras de inovar e causar revoluções que impactam as formas de produção, meios de trabalho e a economia como um todo. E essas transformações também modificam os meios de regulação e os impactos do direito sobre o aspecto social.

Com a Terceira Revolução Industrial, mais conhecida como Revolução Informacional, a tecnologia passou a ser o centro das atenções da sociedade, relativizando distâncias e tornando possível a efetividade de conceitos que até a década de 90 eram mais teóricos do que práticos, como é o caso da globalização e da internacionalização dos mercados.

Com o advento da internet e a sua popularização, os acontecimentos causados em qualquer ponto do globo passaram a ter impactos mundiais em questão de segundos. Neste contexto, quem tem a informação antes consegue prever cenários com mais certeza e fica à frente na corrida competitiva: a informação passou a ser o petróleo de nossa era.

E em um mundo em que os dados são tão valiosos, a sua proteção também deve ser. Pensando nisso, países de todo o mundo passaram a adotar sistemas de regulação do uso de dados pessoais por parte das empresas e governos, com a intenção de proteger o cidadão comum — naturalmente mais vulnerável — do uso indiscriminado de suas informações pessoais.

Essa proteção parece existir como uma extensão dos direitos humanos dentro do mundo da tecnologia, mas na verdade só afirma que os direitos ditos fundamentais serão sempre presentes na sociedade, independente se essa sociedade se encontra no mundo “real” ou “virtual”.

O Brasil não ficou de fora desse movimento — embora tenha se atrasado um pouco — e em agosto de 2018 assinou a Lei 13.709 ou Lei Geral de Proteção de Dados, popularmente chamada de GDPR brasileira em menção ao regulamento de proteção aos dados da União Europeia.

Essa lei, que passou a ter validade a partir de agosto de 2020, tem como principal objetivo a proteção da privacidade e segurança dos dados pessoais dos cidadãos, já que tais informações são acessadas por diversas empresas na realização de qualquer transação comercial.

E a partir da LGPD as empresas vão precisar adaptar a sua forma de fazer negócios às novas regras, pois as sanções no caso de descumprimento vão desde advertências até pesadas multas que podem chegar até a um total de 50 milhões de reais.

Além de proteger o cidadão, a LGPD também traz mais segurança jurídica ao mercado quanto ao uso de dados. Se antes o tratamento de informações pessoais era uma terra sem lei, o movimento mundial de regular esses dados colocou todos os “pingos nos is” e pretende deixar o mercado virtual global mais seguro e protegido.

Apesar de lei só começar a aplicar sanções agosto de 2021, é muito importante que a sua empresa já se prepare de forma estratégica para as mudanças da nova lei. Lembrando que o regulamento europeu já está valendo e que suas normas são aplicadas a qualquer empresa que faça negócios com países da União Europeia — ainda que a empresa seja de outro país. Por isso, vamos levantar 5 pontos de atenção em que a LGPD influencia na sua estratégia empresarial:

1 – Como a minha empresa é vista pela LGPD?

A LGPD explica o papel de 4 diferentes atores nas relações existente no tratamento de dados:

  1. i) o titular, que é a pessoa física dona dos dados pessoais utilizados na transação. Esses dados podem ser informações sobre cartão de crédito, CPF, RG, endereço etc.;
  2. ii) o controlador, que é a empresa ou pessoa física (no caso de MEI) que coleta os dados pessoais e é responsável por tomar todas as decisões que envolvem as informações. Por exemplo, é a empresa que decide qual a finalidade do tratamento e por quanto tempo os dados serão armazenados. Pode ser uma empresa virtual de roupas, uma franquia de alimentos, ou um aplicativo de música, ou seja, qualquer empresa que realize transações comerciais quaisquer, de produtos ou serviços;
  3. iii) o operador, que é a empresa ou pessoa física que realiza o tratamento de dados pessoais de acordo com as instruções do controlador. Por exemplo, a empresa fornecedora do ERP que cuida das operações da empresa, ou a empresa da nuvem onde os dados ficam armazenados;
  4. iv) o encarregado, que é a pessoa indicada pelo controlador e pelo operador para ficar responsável pela comunicação entre as partes, das quais: o controlador, o operador, o titular e a autoridade nacional. Esse agente também tem a responsabilidade de centralizar as informações e reportar aos titulares e a autoridade nacional no caso de algum incidente envolvendo o tratamento.

 

O interessante é que a LGPD em sua última atualização permitiu que a figura do encarregado — correspondente ao Data Protection Officer (DPO) na União Europeia — fosse desempenhada não só por pessoa física (como previa a primeira versão da lei), mas também por pessoa jurídica. Isso permitiu que empresas e grupos de trabalho ofereçam este tipo de serviço, e até mesmo abrindo a possibilidade para o encarregado ser um robô.

Deste ínterim, compreendidos os 4 atores em atuação dentro do tratamento é possível compreender onde a sua loja se encaixa. Lembrando que raramente uma loja vai ser somente controladora ou somente operadora.

Por exemplo, uma loja virtual pode ser controladora em relação aos dados de seus clientes, mas é operadora em relação aos dados de seus funcionários. Afinal, realiza diretamente o tratamento destes dados, ainda que os dados dos clientes sejam tratados por uma empresa parceira.

De qualquer forma, é importante ter em mente que essa estrutura não se aplica só aos negócios virtuais. Portanto, se a sua empresa é física ou é uma indústria também está submetida às regras da LGPD.

2 – Quais os impactos da LGPD na minha visão de negócio?

As duas principais intenções da LGPD são muito claras: proteger a privacidade dos cidadãos e garantir a segurança digital das transações. Neste sentido, as empresas precisarão modificar a sua visão empresarial sobre os dados e adotá-los como um ativo de negócios com risco calculado, como outro qualquer.

A partir da LGPD, uma preocupação passa a ser obrigatória: disponibilização de produtos/serviços privacy by design e security by design. Ou seja, desde a concepção do produto/serviço a privacidade e a segurança das informações envolvidas na operação devem ser estudadas e manuseadas de maneira estratégica e em todas as etapas.

Isso implica que as empresas apliquem medidas de compliance com enfoque na prevenção de riscos em relação aos dados em tratamento. Para isso, a LGPD aponta que a adoção de códigos de conduta, políticas de governança e a implementação de sistemas de segurança das informações são essenciais.

Uma dica interessante neste sentido, é que a sua empresa contrate um parceiro para avaliar as suas operações e analisar o que está ou não de acordo com as novas regras — e já inicie um programa de compliance voltado para a LGPD. Dessa forma a sua empresa terá tempo hábil para se preparar à vigência do regulamento.

São diversas as auditorias espalhadas pelo Brasil que prestam esse tipo de serviço, mas é importante escolher esse parceiro com cuidado. Afinal, não são poucos os casos de empresários que contratam o serviço e recebem um “plano geral de ação”. Tenha em mente que cada caso é um caso. Por isso mesmo a consultoria deve analisar a sua situação individual antes de traçar um plano de ação.

3 – Como a LGDP modifica a minha estrutura operacional?

Conforme pontuado, a LGPD traz algumas obrigações com a sua aplicação, dentre elas se destaca a garantia do consentimento dos titulares frente ao tratamento dos dados. Isso significa que, a partir da LGPD, toda e qualquer operação que a sua empresa realizar que envolva o manuseio de dados pessoais de seus clientes deverá obrigatoriamente garantir que os titulares consentem o uso das informações.

Por exemplo, se a sua empresa tem um site que recolhe os cookies dos usuários visitantes, esse site deve conter um termo de aceitação em que se explica o que é recolhido e para que, com espaço para o usuário aceitar ou não que as informações sejam tratadas.

Isso não significa que a sua empresa não poderá mais trocar um serviço ou produto em troca das informações dos usuários. Mas, sim, que a partir da nova lei essa troca deverá ser clara e evidente para o usuário e ele deverá consenti-la (sem erro) de forma explícita. Também é importante apontar que esse consentimento pode ser revogado a todo e qualquer momento pelo titular.

Da mesma forma, o titular pode pedir à sua empresa para verificar os dados em tratamento e corrigi-los se achar necessário. Todas essas situações modificam os processos internos da sua empresa, já que podem afetar diretamente uma transação.

Por isso é importante já ir adaptando os processos às novas obrigações, para evitar que sanções sejam aplicadas. Da mesma maneira, a sua empresa precisa garantir que os seus fornecedores e parceiros também adotam a mesma política de compliance.

Essa situação acontece porque a responsabilidade é solidária entre as empresas no caso de algum incidente envolvendo o tratamento de dados. Por exemplo, digamos que a sua empresa utiliza uma transportadora “x” para realizar as entregas. Então, o sistema dessa transportadora é atacado e todos os dados dos seus pedidos — como nome e endereço de clientes — são furtados. Neste caso, a sua empresa responde solidariamente pelo incidente.

Uma dica é criar um check-list de compliance antes de contratar um fornecedor ou fechar negócios com um parceiro. Agindo assim, a sua empresa fica protegida dos erros alheios.

Lembrando que as sanções vão desde advertências a multas altíssimas, que podem chegar à R$ 50 milhões. Além dos danos legais, no caso de um escândalo envolvendo incidente de dados, a sua empresa ainda sofre com o prejuízo da imagem da marca perante os clientes, o que pode trazer prejuízos ainda mais preocupantes.

4 – A LGPD impacta a minha estratégia de marketing?

Sim, mas nem tanto. Isso quer dizer que a sua estratégia de marketing deverá ser feita de maneira mais responsável, garantindo que a transparência, uso ético das informações, minimização do uso de dados e aceite do usuário frente ao uso das informações estejam presentes em todas as etapas. Porém, isso não impacta na maneira de se utilizar os dados em si.

Se a sua empresa já adota esses princípios éticos na hora de desenvolver uma estratégia ou campanha, fique tranquilo(a). Todavia, se a sua empresa não tem muito controle sobre as informações que coleta — e realiza a coleta e armazenamento de informações de forma desregrada ou sem propósito —, é bom se preparar para se adaptar às mudanças.

Isso porque, no mercado atual, o marketing é um setor que baseia seu trabalho e desenvolvimento a partir do uso de dados. A partir das informações coletadas, os profissionais de marketing conseguem traçar perfis de consumidores, direcionar campanhas e conteúdo, criando estratégias de negócio.

Com as novas regras, o uso dos dados informações não poderá mais ser indiscriminado e nem utilizado em excesso. Se uma informação é coletada ela deverá ter uma razão clara, com a finalidade ou propósito do tratamento compartilhados com o usuário de forma transparente.

Neste sentido, também é preciso muito cuidado na criação dos perfis dos usuários. Afinal, a separação de grupos e o tratamento diferenciado desses grupos poderá trazer problemas se não forem feitos de forma ética, plural e responsável. Podendo o usuário até mesmo processar uma empresa se ela utilizar as suas informações de forma discriminatória ou que o prejudique de qualquer maneira.

Essa consideração é bastante relevante no caso de empresas que fornecem serviços de saúde e realizam o tratamento de dados sensíveis. Essas empresas não serão impedidas pela nova lei de continuar coletando as informações de saúde de seus clientes ou mesmo compartilhá-las com outras empresas quando necessário — ainda que seja para obter alguma “vantagem econômica”. A diferença é que a partir da vigência da lei, o tratamento deste tipo de dados não poderá ser usado para realizar análise de risco de clientes ou contratação de serviços, nem para negar a possibilidade deste cliente ter um beneficiário específico, por exemplo.

Isso muda um pouco o funcionamento de negócios e o marketing é diretamente afetado nessas situações. Isso porque a “perfilação” de público-alvo deverá ser feita de forma ética e ponderada, para evitar desvios e situações de discriminação qualquer.

De forma geral, para que a sua equipe de marketing esteja preparada para a LGPD e interessante responder a algumas perguntas:

  • A lista de e-mails está atualizada com o consentimento de todos os usuários?
  • Nosso modus operandi é data-driven ou data-hungry, ou seja, nós aplicamos uma política de minimização dos dados?
  • O site da empresa está com os termos de uso e privacidade atualizados?
  • Na hora de criar campanhas segmentadas nossa empresa age de forma ética e moral?
  • Nossa preocupação com a “consciência digital” é trazida para dentro da empresa?

São diversos os desafios que a sua empresa pode enfrentar para se adaptar à LGPD. Por isso, quanto antes você começar a se preparar para as mudanças, menos problemas enfrentará no futuro. Neste contexto, é importante conhecer bastante sobre o tema e encontrar o parceiro ideal para realizar uma análise factual da sua situação empresarial.

Ademais, ter um ERP na sua operação auxilia no processo de adequação, controle e consulta aos dados para atender a lei. Por isso, adotar um sistema de gestão como um ERP é estratégico para garantir uma gestão de segurança otimizada e eficaz.

Fonte de informações: Leis “Lei 13. 709/2018” e “Lei 13.853/19”; Livros “#Direito Digital” e “Proteção de Dados Pessoais – Comentários à Lei 13.709/2018” da Dra. Patrícia Peck, head of Digital Law do PG Advogados; Artigo “Regulamentação da proteção de dados pessoais no Brasil: breve histórico, impactos legais e realidade brasileira” de Larissa Carolina Lotufo da Costa e Vinicius Lotufo da Costa.