Logo E-Commerce Brasil

E-commerce e LGPD: 5 perguntas para saber se o negócio está em conformidade com a lei

Por: Fernando Santos

Especialista em data protection & compliance e head de soluções na Certsys. Especializado em LGPD e privacidade de dados, tem amplo conhecimento na descoberta e segurança de dados pessoais e sensíveis em ambientes de alto volume. Com experiência em projetos estratégicos e transformação digital, atuou em demandas para Caixa Econômica Federal; Junta Comercial do Estado de São Paulo (JUCESP); Sebrae e Prefeitura e São Bernardo do Campo. Formado em Gestão de TI pelo Centro Universitário Eniac, é certificado em privacidade de dados e especialista em soluções de descoberta de dados pela EXIN, CDO (Chief Digital Officer) pela FIA e, atualmente, cursa MBA em Gestão Estratégica de Negócios pela Faculdade de Informática e Administração Paulista (FIAP).

Certamente, o e-commerce é um dos setores mais impactados pela Lei Geral de Proteção de Dados (LGPD). Por suas plataformas passam, de forma direta e indireta, informações pessoais de clientes que, muitas vezes, são usadas como cookies para acompanhar a jornada do comprador e o direcionamento de ofertas para cada tipo de perfil.

A tecnologia elevou as possibilidades de marketing no meio digital e a lei não entra como inimiga para retroceder os avanços destes negócios. O papel da LGPD é oferecer diretrizes focadas na proteção de dados pessoais, usados para fins comerciais. E isso inclui conscientizar os titulares (pessoas físicas, donas das informações) e as empresas sobre o valor desses dados. Nenhuma companhia é proibida de tratar dados pessoais, o que muda com a lei é que a empresa precisa informar o usuário, de maneira clara e objetiva, quais as intenções de usar suas informações, além de reforçar todo o aparato jurídico.

Com o crescente número de ataques, o comércio eletrônico torna-se um alvo muito vantajoso por deter dados pessoais de seus clientes e dados bancários, como números de cartões de crédito ou débito. Para quem possuí um e-commerce é necessário estar atento e em conformidade para atuar de forma proativa frente às vulnerabilidades não somente quando é explorada por hackers.

Consciência teórica é diferente de consciência prática. O primeiro passo para garantir a privacidade dos dados pessoais é ter uma estrutura eficiente de cibersegurança. Sabemos que, culturalmente, as empresas só investem neste quesito quando estão frente à uma ameaça real ou já sofreram algum tipo de ataque.

Por isso, convido você, que tem um negócio ligado ao setor de e-commerce, para fazer cinco perguntas de “autoconhecimento”, nas quais estão objetivadas para descobrir o nível de adequação à LGPD. Vamos as questões:

  1. Quais são os dados tratados? São pessoais ou sensíveis, tipo RG, CPF, conta bancária, número do cartão de crédito?
  2. Quando um cliente registra um dado na plataforma para receber promoções e cupons de descontos, eu tenho o direito de uso destes dados por qual motivo, finalidade e por quanto tempo?
  3.  Eu sei onde estão armazenados os dados, seja de forma física ou lógica?
  4. Existem cópias destes dados em outros lugares?
  5. Os dados dos meus clientes estão seguros? Corro risco de vazamentos ou acessos indevidos?

Pois bem, se a empresa responder as cinco perguntas acima (e evidenciar cada resposta) ela está no caminho certo em relação ao tratamento correto da privacidade de dados. É importante ressaltar que a privacidade não é um projeto a ser executado apenas uma vez. Exige-se um trabalho contínuo com novos processos criados e assistidos por uma empresa especializada. Tais medidas devem seguir em conformidade e atendimento aos princípios de finalidade, necessidade, transparência, segurança e documentação da LGPD.

Ao solicitar nome, endereço, CPF, e-mail, dados do cartão de crédito para a realização de compra, esses dados só poderão ser tratados para esse fim exclusivo. Caso o e-commerce tenha interesse em enviar mailing de ofertas para o cliente, é mandatório checar o consentimento do usuário. Assim como não pode reutilizar dados registrados no sistema antes da lei para qualquer objetividade comercial. De maneira prática, se quiser mandar ofertas por e-mail, solicite o consentimento do cliente.

Para este tipo de ação de marketing, a companhia precisa apenas do nome e do e-mail do cliente. Não cabe pedir o CPF, o endereço residencial e, muito menos, os dados do cartão. Insumos deste tipo devem ser restritos apenas durante o processamento da compra.

Diante de consumidores cada vez mais empoderados e atentos quanto ao uso correto dos dados pessoais, ninguém quer fidelizar laços com um e-commerce que não se preocupa com a segurança. Além de fortalecer o negócio, aplicar as medidas protetivas de privacidade torna-se um grande atrativo para todos os lados: investidores, parceiros, fornecedores e clientes. Unir experiência e proteção ao consumidor são os novos ativos do valor corporativo frente à era em que os dados ganham ares estratégicos, sendo considerados o novo petróleo para as empresas! E no e-commerce há uma jazida imensa!