OAV9F60

LGPD, o E-Commerce e a Aplicação dessa Nova Realidade nas Empresas

Como consultora de implementação de projetos digitais precisei estudar bastante para orientar e oferecer um bom leque de soluções aos nossos clientes. Há diversas formas de abordar o tema e procurarei ser bastante específica nesse artigo em relação a alguns dos cuidados necessários para o e-commerce e como lidar com as alterações nos processos das empresas.

A Lei Geral de Proteção de Dados (LGPD) é uma lei absolutamente necessária. No Brasil não estávamos acostumados a pensar nos dados pessoais como informações que devem ser tratadas com o sigilo necessário. Esse tipo de conceito já está amplamente difundido na Europa e nos Estados Unidos. Em resumo, a LGPD regulamenta o uso e a transferência de dados, assim como define regras para a segurança, transparência, confidencialidade, privacidade e proteção dos dados e informações pessoais durante a coleta, o armazenamento e o tratamento dos dados por empresas e órgãos públicos. Dessa forma, passa a ser responsabilidade das organizações e dos seus parceiros a aplicação das medidas relacionadas à proteção dos dados pessoais que fluem dentro das organizações.

Em um estudo divulgado em 2018 pelo Instituto Ponemon sobre o custo da violação de dados, verifica-se que o Brasil é o país com as maiores chances do mundo (43%) de sofrer uma violação dos dados, enquanto no resto do mundo essas chances estão em torno de 27%. Se aplicarmos ao problema o fato de que levamos, em média, 240 dias para identificar uma violação e que, para cada violação, são necessários em média 100 dias para contenção do dano, conseguimos estimar o tamanho do problema.

Nem todas as empresas conseguem mapear com detalhes os dados que possuem de seus clientes, tampouco conseguem disponibilizar instrumentos adequados para eles escolherem como querem que seus dados sejam utilizados pela empresa. A maioria das companhias também não consegue especificar como e porque coletam cada dado, como o armazenam, por quanto tempo o guardam, com quem o compartilham, tampouco conseguem garantir que os firewalls e os processos relacionados à segurança das informações dos clientes que transacionam dentro da empresa estão adequados. Dessa forma, a adequação à LGPD não é apenas mais um item a ser implementado pela empresa, trata-se de uma verdadeira alteração na cultura organizacional em relação a como tratar os dados que circulam em todos os processos da companhia.

COMO A LGPD SE RELACIONA COM O E-COMMERCE?

A LGPD está relacionada à proteção dos dados e à necessidade de solicitar o consentimento do usuário para obter e trabalhar com os seus dados pessoais. Dessa forma, os e-commerces devem se adaptar à nova legislação e tomar as seguintes medidas:

  1. Solicitar o consentimento explícito do consumidor, informando-lhe com clareza de que modo seus dados serão utilizados. Para isso, o ideal é que a empresa inclua a autorização do uso dos dados na jornada do consumidor, por meio de pop-up ou aceite nos termos de privacidade e condições de uso.
  2. Responder com agilidade aos consumidores que solicitarem a “retirada da autorização do uso” ou os que quiserem “maiores detalhamentos” sobre seus dados, sendo necessário preparar adequadamente a equipe de atendimento e os procedimentos internos para aplicar as alterações necessárias e fazer valer a vontade dos clientes.
  3. Tomar cuidados especiais com: (1) dados sensíveis tais como origem racial ou étnica, convicção religiosa, opiniões políticas, orientação sexual ou outras referentes à saúde; (2) dados de menores de idade. Essas informações não podem ser utilizadas de forma discriminatória ou, no caso de menores, sem o consentimento dos pais. Para isso, é necessário fazer um diagnóstico completo dos dados que a empresa já possui e adequá-los à lei.
  4. Em caso de vazamento de dados, avisar a sociedade e informar imediatamente às autoridades competentes (Autoridade Nacional de Proteção de Dados – ANPD) em tempo hábil, as quais deverão indicar os próximos passos e como deverá ser divulgado à imprensa. Dessa forma, é importante que a empresa elabore um plano de contingência para gerenciar esse tipo de crise. A depender de como a empresa lidar com essa situação sua reputação pode ser fortemente impactada. Nomear um Data Protection Officer (DPO) também é fundamental para que as contas sejam prestadas à ANPD e os procedimentos internos sejam realizados adequadamente.
  5. Revisar todos os procedimentos relacionados aos dados dos clientes, em todos os departamentos.

MAS POR ONDE COMEÇAR?

O primeiro passo do projeto é contratar uma consultoria jurídica especializada em adequação para a LGPD. Essa consultoria deverá revisar todos os processos da empresa e especificar informações tais como:

  • Inventário dos dados pessoais com enquadramento dos embasamentos legais.
  • Classificação dos dados em pessoais (relacionados à pessoa natural) e dados sensíveis (de origem racial ou étnica, convicções religiosas, opiniões políticas ou referentes à saúde – entre outros)
  • Especificação das regras para uso e coleta de dados pessoais para a empresa.
  • Especificação dos direitos do titular dos dados (a pessoa), obrigações do controlador dos dados (a empresa), as possibilidades de consentimento e toda análise de conformidade da documentação aplicável.
  • Especificação dos dados que: (1) identificam o cliente, ou seja, RG, CPF e (2) dos dados identificáveis, ou seja, os dados que oferecem informações sensíveis que permitam chegar ao indivíduo
  • Documentação das atividades e definição dos novos processos.
  • Elaboração do relatório diagnóstico com indicação dos gaps e do plano de ação.
  • Revisão de documentos (contratos, normas, políticas e procedimentos).
  • Orientação sobre o Data Protection Officer (DPO).
  • Orientação sobre Autoridade Autoridade Nacional de Proteção de Dados (ANPD).
  • Orientação sobre implementação da Governança de Dados Pessoais.

No entanto, temos percebido que, na prática, após todo o levantamento realizado pelos escritórios jurídicos, muitas empresas têm dificuldade em aplicar as alterações de processos no dia-a-dia, uma vez que, como dissemos, também deve ser considerada uma mudança cultural na forma de tratar os dados. Assim, algumas perguntas costumam ficam no ar: Como pegar o consentimento do cliente de forma integrada ao meu sistema? Como garantir que o processo determinado pelo escritório jurídico será realizado? Como automatizar esses novos processos?

A boa notícia é que o trabalho jurídico pode ser feito em parceria com empresas especializadas em automatização e monitoramento dos processos. Algumas dessas empresas oferecem até camadas de inteligência artificial embarcada e a especialização jurídica no combo. Empresas como Bidweb, Privally, Onetrust e MD2 oferecem soluções interessantes para compor a camada de organização necessária para fazer o projeto perpetuar em todos os departamentos mapeados. Algumas delas já oferecem soluções para integrar em seus sistemas o portal de consentimento que deverá ser disponibilizado ao cliente para ele fazer o gerenciamento dos seus dados. Dessa forma, a empresa consegue garantir que a comunicação com o cliente seja clara e objetiva, e que os processos dentro da empresa ocorrerão conforme o recomendado, sendo capazes de especificar em uma eventual auditoria, como, quando e qual dado foi alterado na empresa e por quem. Sistemas para controle de logs tornam-se centrais nessa estratégia.

Além disso, é importante especificar que a camada de proteção propriamente dita poderá exigir o desenvolvimento de camadas de proteção adicionais aos sistemas caso a empresa não possua firewalls adequados para proteger-se de possíveis invasões maliciosas.

Entender que um projeto de LGPD é um projeto de adequação dos processos da companhia é o primeiro passo para uma adequação bem sucedida. Ademais, se a empresa já possuir um departamento de compliance bem estruturado, possivelmente poderá fazer as adequações necessárias sem a necessidade de contratação de ferramentas adicionais.

Vale lembrar que a LGPD não é uma “inventividade” brasileira ou uma mera burocracia, mas sim um padrão internacional que foi incorporado na nossa legislação. Estávamos bem atrasados em relação aos outros países na forma de tratarmos dados pessoais que devem ser processados com extremo zelo pelas organizações e a LGPD é uma atualização muito positiva nesse sentido.

Por Adriana Ortiz

Adriana Ortiz é Administradora com MBA em Gestão e Engenharia de Produtos e Serviços pela USP, Green Belt pela Fundação Vanzolini e fornece consultoria especializada para implementação de projetos digitais, com profundo enfoque na personalização do atendimento online pela Driven.CX e é fundadora da Plataforma de Terapia Online Live Together. Conhecedora das principais soluções tecnológicas para o mercado de e-commerce e ferramentas de gestão operacional, já prestou consultoria para grandes empresas como Volkswagen, Ferreira Costa, Zamboni, Salon Line, Cooperativa Primato e Bartofil, idealizando e implementando projetos omnichannel em mercados B2B, B2C e B2B2C e aplicando ferramentas Agile e Lean no gerenciamento dos projetos.

LinkedIn: https://www.linkedin.com/in/adrianasousaortiz/

WhatsApp: +55 11 98701-1950

Referências:

Carolina Noronha. Infográfico | Como preparar meu e-commerce para a Lei Geral de Proteção de Dados Pessoais (LGPD)?. Blog Flexy. Agosto de 2020
Cost of data Breach. Ponemon Institute, 2018.
Ademilson Lubke Sanches. Construindo uma jornada para a LGPD. CleverIS Security LA. 2020

Tags: No tags
5

Add a Comment

Your email address will not be published. Required fields are marked *