O varejo é um dos setores que trabalham diretamente com os consumidores e utilizam dados pessoais para desenvolver as suas atividades, por isso precisa adequar-se à Lei Geral de Proteção de Dados (LGPD), em vigor desde 18 de setembro, e cumprir rigorosamente todas as suas determinações.
Isso significa garantir que a coleta, o armazenamento e o uso de dados estejam protegidos, por sistemas e pessoas, contra o uso inadequado e, especialmente, o vazamento, o que, se ocorrer, pode ocasionar sanções administrativas por parte da Autoridade Nacional de Dados (ANPD) e ações judiciais, movidas tanto por consumidores quanto por entidades de defesa de consumidores e entidades de defesa de titulares de dados pessoas.
Ação típica do varejo, o envio de informações sobre promoções aos consumidores, seja por e-mail ou whatsapp, pode continuar continuar sendo realizado, mas sem revelar os e-mails de outros eventuais destinatários, o que caracterizaria vazamento de dados. Além disso, as lojas devem utilizar sistemas de proteção e protocolos rígidos de acesso aos dados por parte dos funcionários.
“Uma falha humana que gere vazamento de dados, por exemplo, pode acarretar sanções à empresa, por isso todos os cuidados devem ser adotados”, enfatiza o vice-presidente jurídico da Associação Comercial, Industrial e de Serviços de Novo Hamburgo, Campo Bom e Estância Velha/RS (ACI-NH/CB/EV), Adriano Kalfelz Martins.
Empresas em geral
Ainda que estejam sujeitas a sanções administrativas apenas a partir de agosto de 2021, empresas já estão enfrentando ações civis públicas por parte de consumidores individuais, de entidades de defesa do consumidor e de entidades de defesa de titulares de dados desde que a Lei Geral de Proteção de Dados (LGPD) entrou em vigor.
O advogado Márcio Cots, sócio do Cots Advogados, escritório especializado em direito dos negócios digitais com sede em São Paulo, enfatiza que as empresas em geral – especialmente aquelas que mantêm relações comerciais com consumidores, como lojas e promotoras de eventos, por exemplo – precisam seguir as normas de coleta, armazenagem e tratamento (uso) de dados pessoais, isto é, informações que permitem identificar uma pessoa, como nome, CPF, gênero, cor, raça e religião. E as que não o fizerem, além de multa administrativa a partir de agosto de 2021, estão sujeitas a ações judiciais, como as que já se verificam em todo o país.
A LGPD amplia as questões relacionadas à privacidade pessoal, já previstas na Constituição Federal, no Código de Defesa do Consumidor (CDC) e no Marco Civil da Internet. “A diferença é que a LGPD padroniza e deixa mais claro o que deve e o que pode ser feito”, explica Cots. Ao contrário do Código de Defesa do Consumidor, que regula as relações de consumo, a LGPD regulamenta as relações que envolvem uso de dados pessoais, definindo padrões para coleta, armazenamento e uso, tanto de dados off-line (físicos) quanto online (digitais), assim como sanções às empresas que não os observarem.
Proteção contra excessos
Conforme Martins, os desafios de uma sociedade digital impõem a regulamentação do uso de dados pessoais, como a LGPD, que são muitos importantes para as pessoas e podem causar prejuízos quando utilizados de forma inadequada e ilícita, como ocorre com frequência. “Era necessária uma proteção contra os excessos que acontecem”, enfatiza.
Márcio Cots enfatiza que a adequação à LGDP é a dor que as empresas estão sentindo no momento, especialmente aquelas que não tomaram providências nos últimos dois anos, pois a LGPD foi promulgada em 18 de agosto de 2018 e somente entrou em vigor em setembro último. Em outras palavras, havia tempo para fazerem a adequação com tranquilidade.
A falta de recursos para a adequação é a principal dificuldade enfrentada pelas empresas atualmente, mas há outra. Além da discrepância muito grande nos valores cobrados por empresas especializadas, há um número reduzido de profissionais especializados no mercado. “Poucos conhecem, efetivamente, o que precisa ser feito e há visões distintas entre os consultores que tratam do tema”, alerta.
O que fazer?
Conforme Márcio, o ideal é iniciar com um diagnóstico dos processos de tratamento de dados pessoais na empresa, especialmente naquelas que mantêm negócios com consumidores e utilizam os dados deles, como bancos, estabelecimentos de varejo, promotores de eventos e até mesmo indústrias que mantêm seus próprios e-commerces, para fazer vendas.
O porte da empresa também é determinante para a adoção de cuidados relacionados a coleta, armazenamento e uso de dados pessoais, pois envolve um grande número de clientes e de colaboradores, cujos dados precisam ser protegidos e usados em acordo com o perfil de negócio e as determinações da LGPD.
As empresas devem também mapear o fluxo de informações, identificar possíveis impactos e fazer a adequação de documental, alterando processos internos e utilizando sistemas para proteger os dados de colaboradores e consumidores. Marcio recomenda também treinamento da equipe que será responsável por coletar, manter e usar os dados e definir protocolos rígidos a serem observados, para garantir que não haja vazamento e evitar sanções e ações judiciais. “O processo de adequação demora de seis meses a dois anos”, explica.
Proteção de dados pessoais
A LGPD, como o nome diz, faz referência à proteção de dados pessoas físicas e não de pessoas jurídicas. “Quem não tem venda direta ao consumidor precisa ‘unicamente’ preocupar-se com a segurança dos dados dos seus colaboradores internos”, explica Adriano Martins.
Os dados dizem respeito a qualquer pessoa identificada ou identificável e as empresas, cada vez mais, devem buscar manter as informações dos colaboradores que são relevantes para o desenvolvimento de suas atividades, eliminando excessos, isto é, informações desnecessárias, que podem variar conforma empresa, os dias de trabalho e o segmento de atuação. Além disso, têm que atender às solicitações de colaboradores sobre o que é feito com os seus dados pessoais e respondê-las, devendo, se for o caso, excluir aquelas que não são essenciais.
Conforme Márcio, as empresas precisam entender a dinâmica da LGPD, através de palestras, por exemplo, que possui alguns pilares, como privacidade e proteção, e bases legais que viabilizam a utilização de dados pessoas, como legitimidade, proteção de crédito e consentimento, por exemplo.
No que diz respeito ao consentimento, Adriano Kalfelz Martins explica que ele pode ser dado por escrito ou gravado pelo trabalhador da empresa, não podendo ser genérico, o que o torna nulo. Tem que ser específico e tem prazo de vigência indeterminado, desde que atenda ao propósito. O consentimento pode ser suspenso a qualquer momento pelo titular dos dados.