Conheça a Lei Geral de proteção de dados e seus impactos no E-commerce e demais relações digitais.

Como a LGPD nº13.709/2018 unificou dispositivos de proteção e privacidade a usuários.

Com a popularização do comércio digital, especialmente após o início da pandemia, a segurança e privacidade deste meio passou a ser discutida com muito mais preocupação pela sociedade em geral.

Um dos assuntos mais citados, e de fato, importante para a questão, é a Lei Geral de Proteção de Dados, ou LGPD, que entrou em vigor em agosto de 2020.

Mas as sanções estão previstas para começarem a ser aplicadas a partir de agosto de 2021.

A ABComm – Associação Brasileira de Comércio Eletrônico – aponta um avanço do número de compras pela internet em 2020 que corresponde ao aumento de 56,8% no faturamento dos comércios eletrônicos, além da projeção de 26% de crescimento no e-commerce brasileiro em 2021, consequência das lojas que se manterão nas plataformas digitais no futuro, mesmo com o fim da pandemia.

Com tanta movimentação no ambiente digital, a lei passou a ser indispensável para garantir ainda mais a segurança e privacidade ao consumidor.

Os principais pontos afetados pelas normas de proteção de dados (informações captadas dos usuários) são:

  • Mudança na comunicação e no marketing digital: o usuário precisa estar ciente de como seus dados serão utilizados nas estratégias de comunicação e marketing;
  • Mudança no formato de captura e tratamento: todo o processo precisará ser adequado às normas da LGPD desde o fornecimento dos dados;
  • Impacto nas ferramentas de gestão de dados: todas as soluções tecnológicas precisarão atender às normas de segurança e transparência, além de oferecer facilidade de acesso pelo proprietário do dado e órgão fiscalizador.

Aspectos da LGPD 13.709/2018

Direitos ao cliente virtual já eram previstos em diversas normativas, como no Código de Defesa do Consumidor, em dispositivos no Decreto do E-commerce e no próprio Marco Civil da Internet.

Porém, a Lei Geral de Proteção de Dados se fez necessária para uma cobertura mais ampla e clara, uma vez que a ideia de invasão de privacidade está diretamente ligada à utilização de dados, cujo uso indiscriminado tem deixado os consumidores reféns de ações não autorizadas.

A LGPD veio para unificar mais de 40 estatutos diferentes que regem nossos dados pessoais, divulgados dentro ou fora da internet, e colocou o Brasil junto a mais de 100 países que já vem tratando com rigor essa narrativa.

A atenção à proteção de dados é tendência mundial e na Europa já vigora desde maio de 2018 a GDPR, lei similar que serviu de inspiração para a brasileira, cujo objetivo é regularizar o uso que pessoas jurídicas fazem dos dados coletados na interação com seu consumidor, quer seja em momento de compra ou não.

Importante destacar que a afinidade entre a LGPD e GDPR é importante para o comércio que trabalha com exportação, em especial à União Europeia, uma vez que a lei do país entrangeiro está muito mais próxima de ser atendida.

A proteção cuida para que os dados sejam recepcionados, armazenados, classificados, reproduzidos e processados sob regras, responsabilidade e boas práticas que atendam à necessidade de privacidade e segurança do cliente.

A LGPD 13.709/2018 normatiza essencialmente o consentimento do consumidor em relação ao uso de seus dados, fazendo com ele tenha o controle total do que será feito, ou não, com eles.

O artigo 5º, XII esclarece que “Para os fins desta lei, considera-se consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados para a finalidade determinada”.

O controle do consumidor, atribuído pela lei, permite que o mesmo receba informações sobre o que será feito com seus dados, realizar correções e atualizações, solicitar portabilidade e inclusive cancelar seu consentimento a qualquer momento.

Esclarece também conceitos como:

  • Dados pessoais: são os dados genéricos como nome, idade e localização geográfica;
  • Dados sensíveis: são subjetivos e envolvem informações genéticas, orientação e preferência sexual e ideologias entre outras.
  • Dados anonimizados: são os de propriedade de alguém não identificado.
  • Tratamento: é tudo que é feito com os dados dos usuários.

Penalizações

Previstas para entrar em vigor em agosto de 2021, as sanções e penalizações serão aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD).

Todas as empresas devem se adequar, independente de serem marketplaces, lojas virtuais ou até mesmo lojas físicas.

A punição pelo descumprimento da Lei 13.709/2018 varia de acordo com a gravidade e pode ter como consequência a suspensão das atividades parcial ou totalmente, publicitação da infração e multas que poderão chegar até 2% do faturamento diário ou a R$50 milhões.

Os fatores que serão avaliados para a atribuição de gravidade são:

  • a gravidade e a natureza das infrações e dos direitos pessoais afetados;
  • a boa-fé do infrator;
  • a vantagem auferida ou pretendida pelo infrator;
  • a condição econômica do infrator;
  • a reincidência;
  • o grau do dano;
  • a cooperação do infrator;
  • a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;
  • a adoção de política de boas práticas e governança;
  • a pronta adoção de medidas corretivas; e
  • a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Já as multas e penalidades previstas estão no artigo 52, que pode ser consultado aqui:

  • advertência, com indicação de prazo para adoção de medidas corretivas;
  • multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • multa diária, observado o limite total a que se refere o inciso II;
  • publicitação da infração após devidamente apurada e confirmada a sua ocorrência;
  • bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • eliminação dos dados pessoais a que se refere a infração;
  • suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
  • suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Embora o limite da multa pela LGPD seja de R$50 milhões, os prejuízos institucionais podem ser muito piores. Por isso, se seu negócio se encaixa na aplicação da lei, cuide de adequá-lo o quanto antes, uma vez que a mesma já está em vigor desde agosto de 2020.

A lei deve ser respeitada por agentes de tratamento, que são os sites e empresas que realizam coleta de dados. Porém, existem exceções:

  • Pessoa natural ao utilizar os dados para fins particulares e não econômicos;
  • Pessoa que utilizar os dados para fins jornalísticos, artísticos ou acadêmicos;
  • Agente de segurança pública ou defesa nacional que utilize dados para cumprir a lei.

Conhecendo os principais pontos sobre aquisição e tratamento de dados.

Coleta

Toda interação digital, quer seja para receber um material promocional ou realizar uma compra, pede o cadastramento de certas informações.

Esses são os dados que serão trabalhados pela empresa em ações voltadas principalmente para o marketing e que receberam mais proteção com a LPGD.

Portanto, dados são as informações necessárias para identificar e realizar entregas a um consumidor como nome, e-mail, telefone, CPF e endereço.

Conforme explicado na introdução, existem também os chamados dados sensíveis que são dados genéticos, de posicionamento ideológico ou político, de saúde, religião, raça, gênero ou orientação sexual.

Por exporem ainda mais a pessoa, esses dados mereceram uma atenção especial da lei.

Tratamento

Tratamento é toda a ação que será realizada após a coleta: cadastro, armazenamento, transferência, utilização e até cancelamento.

Basicamente a lei trata sobre o consentimento que o usuário oferece para esta manipulação e existem diversas autorizações para esta finalidade.

As mais utilizadas pelo e-commerce (o segmento mais impactado pela lei) são estas abaixo, que veremos em mais detalhes no próximo tópico:

  • Consentimento: o proprietário das informações deve autorizar de forma clara, registrada e para qual fim específico permite o uso dos seus dados e a qualquer momento também pode revogar a autorização;
  • Contrato: nas lojas online o contrato costuma ser o Termo de Uso;
  • Legítimo interesse: o proprietário dos dados deve estar realmente interessado em receber comunicação da empresa não ligada à compra realizada.

A LGPD também exige pessoas responsáveis por cada etapa de tratamento dos dados, os agentes de tratamento:

Controlador: responsável pela captação dos dados e decisão de qual será seu tratamento;
Operador: responsável pelo tratamento dos dados em nome do controlador;
Encarregado: é o responsável pela comunicação entre controlador, titular dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Características definidas pela lei sobre o consentimento do cliente.

O usuário deve ter conhecimento claro sobre como seus dados serão utilizados, detendo todo o poder sobre a autorização desse uso, assim como mudança ou cancelamento a qualquer momento.

Trata-se de transparência, autonomia e proteção à privacidade.

Como é feito hoje, o simples “OK” de consentimento de rodapé, não será mais suficiente se não esclarecer de forma detalhada e clara qual vai ser o tratamento dos dados.

No e-commerce, o espaço ideal para esses esclarecimentos deve estar em “Política de Privacidade” ou em “Termos de Condições de Segurança”, como está denominada em alguns sites.

Políticas de Privacidade

É na Política de Privacidade que se encontram os direitos, garantias, formas de uso, dados recolhidos, processamento e descarte de dados.

Normalmente, em algum momento da navegação, pede-se o OK sobre estes termos para que o usuário possa avançar no processo.

Porém, o modelo atual deve ser revisto, de preferência por um advogado especializado, para se certificar (e adequar) que todos os aspectos exigidos pela lei estejam atendidos.

Estes são alguns conceitos importantes sobre a Política de Privacidade:

  • Consentimento: a Política de Privacidade é o vínculo jurídico contratual estabelecido entre o e-commerce e seus usuários. Para ser válido, precisa ter o conhecimento e aceitação do usuário.
  • Consentimento válido: a lei define no artigo 5º, XII que “Para os fins dessa lei, considera-se: consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.
  • Informações necessárias: para consentir, o usuário precisa estar plenamente ciente sobre o tratamento de seus dados e isso exige informações detalhadas que incluem a identidade do e-commerce, os responsáveis pelo tratamento e o destino desse tratamento, ficando proibido pela LGPD o uso para fins não previstos.
  • Aceitação: o silêncio não pode mais ser considerado como “aceite”, devendo a autorização do usuário ser obrigatoriamente fornecida por um clique ou assinatura eletrônica. O consentimento deve ser expresso e se houver qualquer alteração na Política de Privacidade deverá ser renovado.

Principais passos para adequar um e-commerce à LGPD.

Para quem ainda não arrumou a casa, esta é a hora de proteger o e-commerce para casos de eventuais disputas:

PEÇA SEMPRE O CONSENTIMENTO DO CLIENTE E CERTIFIQUE-SE QUE ELE RECEBEU TODAS AS INFORMAÇÕES OBRIGATÓRIAS PELA LGPD.

Lembrando, somente poderá ser feito o que foi aceito pelo usuário na Política de Privacidade, Termos de Condições de Segurança ou documento semelhante.

No modelo de negócio jurídico firmado entre plataforma e cliente, as informações sobre o que vai ser feito, como vai ser feito e por quem vai ser feito o tratamento dos dados devem estar claras e detalhadas.

Na prática, durante a navegação, facilite a leitura e a aceitação deste documento. Lembre-se que essa é também a sua garantia, portanto use os serviços de um advogado para a sua revisão e adequação à lei.

EXPLIQUE AO USUÁRIO COMO FUNCIONAM COOKIES, LISTAS DE DESEJO E OUTRAS FERRAMENTAS DE CAPTAÇÃO DE DADOS.

Todos os que navegam na página precisam estar cientes – e aceitar – sobre quais momentos, como e para que os seus dados estão sendo capturados e tratados.

Para isso a A LGPD determina que as lojas on-line expliquem aos seus usuários:

  • Como funcionam os dados coletados pelos cookies e o que será feito com eles;
  • Sobre o objetivo e o que será feito com os dados coletados para cadastro na loja;
  • O que será feito com os dados coletados através das listas de desejo;
  • Qual a finalidade e uso dos dados coletados via formulário.

COLETE APENAS OS DADOS NECESSÁRIOS E NÃO COMPARTILHE-OS COM PARCEIROS SEM A AUTORIZAÇÃO EXPRESSA DO USUÁRIO.

Um dos pilares da lei é o princípio da necessidade.

Portanto, a coleta de informações não necessárias às transações estão inadequadas.

Por exemplo, solicitar endereço físico quando o produto será entregue digitalmente.

Outra prática proibida é o compartilhamento de dados com parceiros sem a autorização do proprietário da informação.

Esse perfil normalmente era obtido durante a navegação do usuário para a sugestão de novos produtos e serviços.

INFORME CLARAMENTE COMO O USUÁRIO PODE CONSULTAR, ALTERAR OU CANCELAR SUA ACEITAÇÃO AOS TERMOS DE USO DOS DADOS.
Para que problemas não ocorram, devem ser criados protocolos de atendimento para tais solicitações, assim como preparar os canais de comunicação para absorver demandas deste tipo.

As empresas têm por lei que atender às solicitações dos usuários num prazo máximo de 15 dias.

ATENÇÃO REDOBRADA AO USO DE DADOS SENSÍVEIS.

Tais dados estão protegidos para qualquer tipo de uso discriminatório e em caso de menores de idade o consentimento dos pais ou responsáveis é obrigatório.

Aproveite para realizar uma varredura do que é realmente importante para o seu negócio e descarte dados sensíveis que possam trazer complicações futuras.

PREPARE-SE COM AÇÕES DE CONTINGÊNCIA EM CASO DE VAZAMENTO DE DADOS, DETERMINANDO PROCEDIMENTOS E RESPONSABILIDADES.

Nomeie um encarregado de prestação de contas à ANPD, capacitado a lidar com incidentes e dúvidas de colaboradores, fornecedores, parceiros e clientes.

Todos os vazamentos e problemas de segurança devem ser comunicados ao órgão fiscalizador.

Para garantir que seu negócio não tenha a imagem afetada por vazamentos, que trazem insegurança e abandono de clientes, monte um plano de ação para agir com rapidez quando necessário.

Uma equipe composta por gerente de projeto, advogado e TI, são alguns dos especialistas que devem constar no plano de ação.

INVISTA EM POLÍTICAS DE SEGURANÇA DIGITAL.

O que sempre foi importante, passa a ter mais peso ainda.

Políticas de segurança atuais devem ser revistas e adequadas à LGPD, como política de privacidade, de incidentes cibernéticos, de coleta de dados com consentimento, de remoção de cadastro e termos de uso.

Conte com departamentos jurídicos e consultorias de proteção especializadas e não meça esforços nesta questão.

SEJA TRANSPARENTE E MOSTRE OS BENEFÍCIOS DO CONTROLE DE DADOS AO SEU USUÁRIO.

A lei veio para proteger o consumidor e sua privacidade.

A partir do momento que o mesmo sentir-se respeitado em seu direito e devidamente informado, poucos se recusarão a aceitar os termos.

Explicar que o e-commerce usa as informações com responsabilidade e está buscando experiências cada vez melhores, que trarão benefícios para ambos os lados, deixará o consumidor apto a autorizar de bom grado.

Conclusão

O comércio eletrônico veio para ficar e crescerá cada vez mais.

Afinal, quem não quer a praticidade de ter produtos e serviços 24h por dia, com preços mais acessíveis, sem a necessidade de deslocamento ou enfrentar filas e aglomerações?

Para que esse setor cresça de maneira responsável, oferecendo segurança ao consumidor, empresas devem estar atentas não só a aplicação das leis, mas também a criarem modelos de inovação que tragam ainda mais autoridade e credibilidade a seus negócios.

Promover o uso inteligente dos dados, respeitando os direitos de uso e privacidade, é importante tanto para empresas quanto para os proprietários dos mesmos.

Adequar-se a LGPD trará ainda mais avanços ao setor.

A lei já está em vigor, não deixe para a última hora.

Acesse-a aqui para mais informações jurídicas e ajude a compartilhar este conteúdo caso ele lhe tenha sido útil.

Deixe um comentário