Você já deve ter ouvido falar sobre a Lei Geral de Proteção de Dados, conhecida como LGPD (Lei Federal 13.709/2018) e as consequências que trará para o cotidiano das pessoas e das empresas. Se não ouviu falar, corra pra entender, pois as mudanças nas relações entre as pessoas e os detentores de bancos de dados vão mudar, e muito.
Depois de idas e vindas, adiamentos, indefinição sobre a vigência e projetos de lei que pretendiam e pretendem alterar seus dispositivos, aparentemente, depois do Senado Federal vetar a prorrogação de vigência para maio de 2021 – o que precisa ser sancionado pela Presidência da República – o texto legal com seus princípios, normas e orientações deve entrar em vigor neste mês de setembro no Brasil. E isso vai impactar as empresas, especialmente as destinadas ao comércio eletrônico (e-commerce).
Assim, se VOCÊ é empresário deste ramo, leia este texto que, certamente, dará uma noção clara dos desafios que estão por vir; mas não se aflija, estamos aqui para te ajudar a entender e a iniciar um planejamento para a adequação do SEU negócio às normas da LGPD.
É um caminho longo, complexo, mas que pode ser trilhado de forma gradual, trazendo segurança à empresa, aos clientes – na qualidade de titulares dos dados pessoais – e ao crescimento do plano de negócios.
Sou empresário de e-commerce: o que preciso saber?
Primeiramente o empresário de comércio eletrônico deve estar ciente que ele é, pela definição legal, um “controlador” e sua equipe “operadora” de dados pessoais (artigo 5º, incisos VI e VII). Mas como assim? Na essência uma empresa de comércio eletrônico é uma controladora de dados pessoais de seus clientes, captados por vários canais e armazenados em sistemas, servidores e arquivos, sobre os quais tem responsabilidade perante os titulares.
Mas o que é um dado pessoal?
Segundo a definição do artigo 5º, inciso I, da LGPD, “é toda informação relacionada a pessoa natural identificada ou identificável”; exemplificativamente: nome, RG, CPF, endereço, nacionalidade. Toda empresa de comércio eletrônico capta estes dados para cadastro já no início da relação, tornando-se um “agente de tratamento”, e, portanto, subordinado à LGPD.
Ocorre que além dos dados pessoais, existem os dados pessoais sensíveis, definidos no inciso II, do artigo 5º, como sendo o “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”. E não raras vezes a empresa coleta dados desta natureza para melhorar a experiência do consumidor, entender seu perfil e oferecer-lhe outros produtos e serviços, atraindo maiores e mais extensas responsabilidades.
A lei tratou esses dados como sensíveis, pois têm impacto no cotidiano das pessoas; relacionamentos com bancos, seguradoras, planos de saúde dentre outros serviços “de massa” são norteados por grandes bancos de dados – chamados de Big Data – e operados por sistemas dotados de inteligência artificial; estes sistemas são robotizados e, se não treinados adequadamente, podem apresentar respostas distorcidas, preconceituosas e excludentes, o que pode gerar danos materiais e morais aos seus titulares.
Mas o que eu, dono de empresa de e-commerce, tenho a ver com isso?
Tudo! Ao deter dados pessoais e dados pessoais sensíveis de seus consumidores e realizar operações de tratamento, que por definição do artigo 5º, inciso X, da LGPD, é “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”, o empresário de comércio eletrônico é responsável desde a coleta do dado até sua eliminação, ou seja, de toda vida útil da informação dentro do negócio.
Diante deste cenário as empresas de e-commerce precisam se adequar às normas da LGPD, que prevê, em seu artigo 6º, os princípios que norteiam a relação titular-controlador/operador; inicialmente o controlador deve demonstrar para qual finalidade detém o dado e que o tipo de tratamento dado à informação é adequado às finalidades informadas ao titular.
Mas de qual “informação ao titular” estamos falando?
Sabe aquela “Política de Privacidade” que é obrigatória para toda e qualquer empresa, especialmente no ambiente on-line? É lá que devem estar todas as informações, de forma clara, de fácil leitura e transparentes, informando o titular de que os dados serão coletados de tal forma, armazenados de tal forma e utilizados de tal forma; sem isso, a empresa está desconforme à LGPD e atrai para si responsabilidades perante os titulares de dados.
Além da finalidade e da adequação, o controlador de dados pessoais deve demonstrar a necessidade deste armazenamento, garantir o livre acesso do titular às informações, de forma gratuita, sobre quais dados a empresa detém, por quanto tempo e para que; deve, ainda, garantir a qualidade dos dados demonstrando ao titular a clareza, relevância e atualização dos dados, sempre compatíveis com a necessidade e cumprindo a finalidade informada, além de ter canais de comunicação que demonstrem a transparência e a segurança dos dados, garantir que toma medidas de prevenção de danos por vazamento destes dados, responsabilizando-se pelos mesmos, devendo prestar contas ao titular e não usar os dados de forma discriminatória.
E não é só!
Existem requisitos legais específicos para operações de tratamento de dados pessoais. Não é lícito deter dados de pessoas naturais sem a observância deste regramento.
O artigo 7º estabelece hipóteses onde o tratamento pode ser realizado; no caso das empresas de comércio eletrônico, devem ser demonstrados, no mínimo, o atendimento a 05 (cinco) requisitos, cumulados ou não:
I) consentimento do titular;
II) cumprimento de obrigação legal ou regulatória do controlador;
III) quando necessário para a execução de contrato de que o titular seja parte;
IV) para exercício regular de direitos em processo judicial, administrativo e arbitral; e,
V) quando necessário para atender aos interesses legítimos do controlador.
Se a empresa não tiver uma “política de privacidade” clara e adequada e não demonstrar esses requisitos, responde pela detenção dos dados e seu compartilhamento; todo e qualquer dano gerado ao titular por uso indevido dos seus dados, desde que demonstrado que o dado foi “vazado ou entregue” pela empresa, atrai o dever de indenizar danos materiais e morais. E isso é grave, muito grave, pois interfere na privacidade, intimidade e imagem da pessoa natural.
E isto é só o começo das responsabilidades e obrigações do controlador. Deverá demonstrar à “ANPD – Agência Nacional de Proteção de Dados” que tem uma política adequada e implementada de proteção de dados, através de relatórios específicos que podem ser solicitados a qualquer momento; além disso, está sujeita aos controles do PROCON, do Ministério Público e de portais como “Reclame Aqui” e outros que podem impactar na imagem da companhia.
Também deverá nominar e informar à Agência quem é o encarregado de proteção de dados (DPO na sigla em inglês – Data Protection Officer). É isso mesmo: dentro da empresa deverá ser nomeado e informado quem é o encarregado por prestar as informações solicitadas pelos titulares e à ANPD, exigindo treinamento e adequação de todo o RH da empresa. E isso leva tempo. Muito tempo.
Além de tudo isso deverá estar “em conformidade” com a LGPD para transmissão de dados aos grandes portais de vendas pela internet – os marketplaces – pois os dados são compartilhados; todo o qualquer incidente de vazamento nesta comunicação é de responsabilidade de ambas as partes perante o titular e, caso a empresa não cumpra as “políticas de privacidade de dados” destes marketplaces, pode haver sanções, multas e até suspensão e eliminação da empresa destes ambientes, o que é um prejuízo incalculável aos negócios.
Desta forma é emergencial que o empresariado que atua no comércio eletrônico inicie um planejamento e coloque em execução um plano de gestão de dados pessoais, com orientações à equipe, criação de uma mentalidade (mind-set) corporativa onde todos os colaboradores que tem acesso ao banco de dados esteja treinado para fazer uma gestão adequada, identificando os fluxos destes dados, compilando em um mapeamento claro (data mapping) e demonstrando os titulares a segurança deste armazenamento, conforme os princípios, finalidades e requisitos da LGPD.
Na MOSP Advogados temos um núcleo especializado em implantação e gerenciamento de projetos de adequação de empresas de e-commerce à LGPD. Quer saber mais? Entre em contato pelos nossos canais e nos siga em nossas redes sociais, onde estamos, sempre, dando dicas e informações sobre a lei, seus impactos e interferências nas atividades empresariais.
