Depois de muitas idas e vindas a Lei Geral de Proteção de Dados foi aprovada pelo Senado. Confira as dicas de nossos especialistas para se adequar à LGPD

Depois de muitas idas e vindas, a Lei Geral de Proteção de Dados (LGPD) finalmente foi aprovada pelo Senado nesta quarta-feira (26 de agosto de 2020). Agora, a lei precisa ainda ser sancionada pelo Presidente, o que deve ocorrer em até 15 dias.

Mas precisamos considerar algumas ressalvas. Uma delas é que os comitês que são base da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por implementar e fiscalizar o cumprimento da lei, ainda não foram formados. As penalidades também só passam a ser aplicadas a partir de agosto do ano que vem.

Apesar disso, é preciso lembrar que o processo de adequação à nova lei pode levar tempo, afinal não toda a empresa precisa ser envolvida, como também os parceiros e fornecedores. E mais: outros órgãos (como o Procon) já estão levando a lei em conta para tomar decisões e desenvolver protocolos internos. Por isso, a melhor estratégia é correr atrás já.

Mas como otimizar esse processo de mudança e sair na frente não só na proteção dos dados, mas também na gestão desses insights do ponto de vista de negócios?

Nesse período de COVID-19, muitas empresas migraram pela primeira vez para o ecommerce ou aumentaram sua presença digital. Pensando nisso, reuni 5 dicas que podem ajudar ecommerces a guiar as iniciativas de conformidade com a LGPD.

Leia também: O ecommerce está preparado para a LGPD?

1. Entenda que toda empresa digital é uma empresa de dados

Em um primeiro momento, o gestor de um ecommerce pode pensar que a LGPD não o afeta diretamente, já que diz respeito a empresas de tratamento de dados. No entanto, ao ser capaz de registrar nome, endereço ou produtos mais procurados, por exemplo, qualquer loja online se torna uma empresa detentora de dados, com capacidade de analisá-los para aplicação em estratégias de negócios.

Ignorar a responsabilidade que vem com a gestão de dados pode ter consequências sérias para a empresa: US$ 3,86 milhões são gastos em média com brechas de segurança todos os anos, segundo a IBM. E há também impactos para os consumidores, que ficam de mãos atadas, sem conseguir proteger suas informações. De acordo com um estudo da Universidade de Maryland, empresas sofrem um ataque de hackers a cada 39 segundos.

A principal mudança que traz a LGPD é a de dar a consumidores mais controle sobre seus dados. Ela estabelece, por exemplo, que qualquer pessoa pode solicitar a empresas as informações que estão armazenadas sobre ela, assim como para quais instituições esses dados foram passados e com qual fim. Também será possível requisitar a correção de dados e até mesmo a exclusão daqueles que forem julgados como desnecessários ou excessivos.

Muitas empresas não têm um backoffice robusto o suficiente para administrar esses pedidos. É comum ver situações em que os dados não são armazenados corretamente e se perdem – o que torna impossível rastreá-los e alterá-los, caso estejam incorretos.

Por isso, Investir no backoffice no processo de adequação à LGPD deve ir além do foco em armazenamento e cruzamento de dados. Também devem ser levadas em consideração a estabilidade e escalabilidade de serviços de nuvem e a integração entre APIs e programas para tornar esse processo o mais fluído possível.

2. Antecipe-se olhando para o GDPR 

A LGPD foi inspirada no GDPR (Regulamento Geral de Proteção de Dados), adotado pelo Parlamento Europeu em 2018. Por isso, grandes, médios e pequenos ecommerces brasileiros estão atentos às novidades da União Europeia desde a implementação da lei.

A IAPP (International Association of Privacy Professionals) divulgou um relatório sobre o que mudou na Europa em um ano de GDPR.

Foram cerca de 280 mil denúncias de tratamento indevido de dados, que resultaram em 56 milhões de euros em multa.

E não apenas para grandes multinacionais: um café na Áustria foi penalizado por vigilância ilegal por vídeo e, em Portugal, um hospital que não soube repassar aos pacientes suas informações foi multado em 400 mil euros.

Por outro lado, os pedidos de exclusão de informações não decolaram. Um estudo da SmartyAds mostra que o número de solicitações não foi significativo, e 88% dos usuários que diziam temer pelos seus dados mudaram de ideia com a transparência envolvida na nova regulamentação.

3. Contrate Data Protection Officers

Com tantas mudanças dentro das empresas, é imprescindível eleger um profissional capacitado para supervisionar a gestão e segurança dos dados. Na Europa, esse profissional recebeu o nome de Data Protection Officer (DPO). A IAPP aponta que 375 mil empresas registraram o cargo no continente.

Na prática, o DPO é o profissional responsável pela coleta, manuseio e armazenamento dos dados, estruturando um programa de compliance alinhado com a LGPD com foco na maior segurança das informações.

Ele deve trabalhar de maneira integrada com o departamento de TI para criar mecanismos que protejam o acervo do acesso de pessoas não autorizadas, eliminando toda e qualquer brecha de segurança.

Leia também: LGPD: entenda quais são os impactos para dados de pagamento

Entre as funções desse profissional estão a governança, a gestão e a transparência dos dados. A governança prevê a criação de processos para organizar e tratar as informações de maneira sistemática, designando previamente quem vai lidar com que.

Já a gestão contempla ações de acompanhamento e controle para garantir que o que foi previsto no plano será executado de forma segura. Por fim, a transparência prevê que a organização certifique-se de ter sempre o consentimento dos usuários para coletar suas informações.

4. Seja transparente com seus clientes 

Muitos consumidores não entendem ao certo para que suas informações são utilizadas. De acordo com a Kaspersky, 93% dos brasileiros fornecem dados pessoais a empresas de mídias sociais ou em compras no ecommerce, mas 35% diz não saber como proteger sua privacidade.

A partir de agosto de 2020, varejistas serão obrigados a deixar claro o uso de cada dado pedido e não poderão utilizá-lo para nenhuma outra finalidade. Na prática, isso quer dizer que se o cliente for informado que seu endereço será utilizado apenas para o processo de entrega, a informação não poderá fazer parte do planejamento de distribuição de mídia da empresa, por exemplo.

A transparência vai além de esclarecer os uso daquela informação, ao compreender também comunicar critérios e procedimentos usados em decisões automatizadas.

Essas iniciativas aumentam a confiança dos consumidores ao comprar no ecommerce e, indiretamente, também favorece os varejistas. Atualmente apenas 20% dos brasileiros se sentem completamente seguros ao realizar compras online, segundo pesquisa do SPC Brasil e da Confederação Nacional de Dirigentes Lojistas.

5. Escolha parceiros em compliance com a LGPD

O que deve estar sempre no radar durante esse momento de adaptação à LGPD e daqui para frente é que a regulamentação também se aplica a parceiros de trabalho, como escritórios jurídicos, empresas de TI e processadores de pagamentos. 

Caso um parceiro não esteja de acordo com a lei, toda a cadeia pode ser comprometida e penalizada.

Para os fornecedores financeiros, a adequação costuma ser mais simples pela natureza dos dados envolvidos, que por serem altamente sensíveis já recebiam tratamento com transparência e segurança.

Lembrando que tanto o GDPR quanto a LGPD consideram o uso de dados na proteção contra a fraude como “legítimo interesse”, o que significa que nesse caso a autorização prévia do consumidor não é exigida.

Por ser uma empresa global, a Adyen já trabalha em conformidade com o europeu GDPR e também em compliance com o PCI DSS 3.2 como provedor de serviços de nível 1, o principal padrão de segurança do setor de pagamentos. Confira nossa Política de Privacidade para obter mais informações.

Cassia Pinheiro 
Head of Risk and Compliance Latam at Adyen
LinkedIn: https://www.linkedin.com/in/cassiapinheiro/