“Vem aí a LGPD!” “Vem aí a LGPD!” Soam os alarmes, vemos os profissionais de Direito ajeitando os óculos e trazendo pilhas de artigos e legislação, os artigos em blogs não se adequam ao nosso negócio… O que fazer agora? Para que lado nos viramos? Para o lado do E-goi, claro! Nesse artigo compartilhamos toda […]
“Vem aí a LGPD!” “Vem aí a LGPD!”
Soam os alarmes, vemos os profissionais de Direito ajeitando os óculos e trazendo pilhas de artigos e legislação, os artigos em blogs não se adequam ao nosso negócio… O que fazer agora? Para que lado nos viramos?
Para o lado do E-goi, claro! Nesse artigo compartilhamos toda a informação sobre a LGPD, o seu impacto no varejo e nas lojas online. Por isso, guarde bem este artigo, coloque a estrelinha ali em cima no seu navegador e, sempre que precisar, é só fazer CTRL+F (ou COMMAND+F)!
Contents
- Afinal o que é a LGPD?
- O varejo online está preparado para a mudança?
- Como superar este choque de informação?
- Como vou contactar a minha base de dados?
- Socorro! Meus consentimentos são anteriores ao LGPD! Tenho que pedir de novo?
- Como deixar os dados em conformidade com a lei?
- É o Super Homem? Não! É o E-Goi!
Afinal o que é a LGPD?
A Lei Geral de Proteção de Dados (LGPD) surge como consequência da transição digital que estamos assistindo e que tem ganho uma velocidade cada vez mais difícil de acompanhar. Tendo por base o GDPR (Regulamento Geral de Proteção de Dados), adotado no continente europeu em 2018, o principal foco do LGPD é o de garantir que os direitos fundamentais de liberdade e privacidade sejam respeitados na atmosfera digital, assim como o livre desenvolvimento da pessoa jurídica.
Se estamos falando de transição digital, de preservação e respeito pelos dados individuais, sem dúvida nenhuma, o varejo online é um dos setores com maior impacto com esta lei. Vender em uma atmosfera digital implica acompanhar a jornada do seu cliente que, em geral, é baseada em análise de dados de perfil do mesmo. É normal, que em campanhas de marketing, como por exemplo nas redes sociais ou em e-mail marketing, seja habitual usarem critérios como localização, idade, preferências, entre outros comportamentos de consumo.
Por isso, se tem uma loja online, é importante se adaptar com esta transição legal, para não correr o risco de sofrer penalizações como multas. E a verdade é que não há muito tempo! Inicialmente prevista para entrar em vigor em 14 de agosto de 2020, a LGDP passa a valer em agosto deste ano.
Há três dimensões importantes no âmbito da coleta de dados, integrada na LGPD:
- Dados pessoais: informações genéricas, como nome, idade e localização geográfica;
- Dados sensíveis: como o nome sugere, tratam-se de informações mais delicadas, como ideologia política, religião, dados genéticos, orientação sexua, entre outras;
- Dados anonimizados: abrangem aqueles de um titular que não pode ser identificado;
O varejo online está preparado para a mudança?
Bom, a verdade é que o cenário não é muito animador. Sabe aquele amigo sensato que diz as verdades, mas depois dá bons conselhos? Bom, somos nós. Por isso, agora aguenta coração!
A Associação Brasileira das Empresas de Software (ABES) desenvolveu, em parceria com a consultora Ernst and Young (EY), o Índice LGPD ABES, que permite verificar o encaixe legal das empresas em relação à nova lei. Numa amostra de 2050 empresas de diferentes áreas, apenas cerca de 36% dos negócios do varejo estão em conformidade com as exigências legais.
Em um panorama geral, apenas 39,45% dos critérios do LGPD são cumpridos. Estar de acordo com a lei é um desafio de todos os segmentos e áreas de um negócio, como recursos humanos, vendas, marketing, quadros superiores, mas acima de tudo o departamento jurídico e TI, que precisam de retificar que existam processos claros e recursos adequados para melhor coleta e gestão de dados, estando em conformidade com a lei e evitando ataques informáticos.
Ter flexibilidade de adaptação ao novo enquadramento jurídico implica adotar processos transparentes, caso contrário poderá ser multado com um valor de até 2% do faturamento total da pessoa jurídica, podendo chegar até aos R$ 50 milhões.
Como superar este choque de informação?
Com a nossa ajuda, claro! Depois da verdade difícil de engolir, chegou a hora de ser o amigo que coloca a mão no seu ombro e dá conselhos sensatos. Bom, então para fazer o tratamento certo no momento de coleta de dados, é necessário entender quais são as diferentes partes envolvidas neste processo:
- Titular: é a pessoa que detém os dados que uma empresa pretende recolher. A LGPD define claramente que os dados pertencem à pessoa individual, que, por isso, passa a ter o poder de decidir o que será feito com as suas informações.
- Controlador: é quem toma as decisões sobre tratamento de dados, definindo quais os dados que precisam ser coletados, analisados e manejados. O controlador tem relacionamento direto com o titular e é o responsável pela privacidade e segurança dos dados.
- Operador: é a empresa que realiza o tratamento das informações em nome do controlador. Normalmente, são empresas de tecnologia que usam os dados coletados no e-commerce ou no CRM para realizar a interpretação de dados para o varejista. A LGPD afirma que é preciso informar ao titular dos dados, expressamente, quais informações serão compartilhadas com o operador e qual a sua finalidade.
- Encarregado: também conhecido como Data Protection Officer (DPO), é indicado pelo controlador para atuar como canal de comunicação entre controlador, titulares de dados pessoais e a Autoridade Nacional de Proteção De Dados (ANPD). O DPO é também responsável por recepcionar e atender as demandas dos titulares, orientar funcionários e contratados da empresa sobre as boas práticas relativas à proteção de dados, além de interagir com a ANPD.
Traduzindo isto para a realidade do varejo, o consumidor neste caso é o titular dos dados. É ele quem decide que dados pretende compartilhar com o negócio, sob o seu consentimento. O varejista é o controlador, pois em última análise é quem dá a cara no relacionamento com o cliente e toma decisões importantes no que diz respeito à listagem de informações que devem ser coletadas, e claro, garantir que este processo seja o mais transparente possível, mantendo um bom nível de experiência de utilizador. Se porventura a sua empresa é cliente E-goi, então é por lei considerado controlador da sua base de dados através da sua conta E-goi.
As empresas de tecnologia que processam os dados em nome do controlador são os operadores (olhe a E-goi aqui!). É por isso que ser cliente E-goi une o melhor de dois mundos: consegue controlar sua base de dados, através de processos automáticos e em conformidade com a lei.
Se a sua cabeça está dando um nó, não se preocupe, nós já lemos, já interiorizamos e somos capazes de transmitir toda a informação que precisa!
Um dos principais exemplos de diferenciação entre o controlador e o operador está na obrigatoriedade de definição de uma base legal para o tratamento de dados pessoais, ou seja, analisar a operação de tratamento, sua finalidade, quais são os dados tratados e enquadrá-los dentro de uma das hipóteses autorizadoras previstas no artigo 7º (para Dados Pessoais) ou 11º (para Dados Pessoais Sensíveis) da LGPD.
Sendo o E-GOI um operador, não tem que se preocupar com essa parte, já que asseguramos o enquadramento legal necessário para seguir com a sua atividade.
Como vou contactar a minha base de dados?
Uma forma de legitimar o tratamento dos dados pessoais presentes em tais bases de dados é entrar em contato com os consumidores e solicitar o seu consentimento para o uso dos dados, sempre explicando para quais atividades eles serão utilizados.
No que se refere ao comportamento de consumo, a LGPD também impacta. A tendência é que as pessoas se tornem mais seletivas ao compartilhar dados e façam isso apenas com as empresas que mais confiam.
Para o comércio varejista, será importante engajar os consumidores e mostrar que as lojas são confiáveis e respeitam a privacidade de cada um. Somente a partir daí é possível considerar que as estratégias de venda e relacionamento não serão afetadas.
Estar de olho nas tendências de varejo e o comportamento de consumo, bem como conhecer as legislações que impactam no dia a dia do comércio, é essencial para o varejista.
Vou deixar de rastrear informação, é isso?
Não, nada disso! Quando falamos que o processo tem que ser transparente, é mesmo verdade. Você pode continuar a rastrear dados, desde que comunique à sua audiência qual a finalidade da coleta dos mesmos.
De acordo com a LGPD, você precisará de uma base legal adequada (por norma o consentimento do próprio cliente) ou uma razão legalmente aprovada antes de coletar e armazenar dados pessoais. Uma maneira de implementar isso é criando um aviso de “Consentimento de rastreamento” em seu site que afirma quais informações estão sendo coletadas e como essas informações serão usadas com base no consentimento que você está solicitando. As informações neste aviso devem usar linguagem clara e simples, aconselhar a capacidade de retirar o consentimento a qualquer momento e conter um botão ou caixa de seleção que o contato deve clicar afirmativamente para dar seu consentimento.
Tenha em mente que, além de criar um método adequado para coletar consentimento (se você estiver processando com base no consentimento), você também precisará cumprir com outros requisitos da LGPD, incluindo disponibilizar um aviso de privacidade compatível aos seus contatos que torna muito claras as práticas de processamento de dados e está alinhado com os requisitos da LGPD, incluindo os requisitos de aviso prévio nos artigos 13 e 14.
Socorro! Meus consentimentos são anteriores ao LGPD! Tenho que pedir de novo?
Tenha calma (colocamos de novo a mão no seu ombro). Na maioria dos casos, não necessita de novas exceções. No entanto, há uma exceção – se pediu consentimento para coletar dados a fim de enviar um tipo de conteúdo diferente do que está enviando verdadeiramente (por exemplo, o cliente se cadastra apenas para receber informações e curadoria de conteúdo, mas depois recebe campanhas de marketing, promoções, etc.).
De acordo com o CAPEM (código de autorregulamentação para a prática de e-mail marketing), o nº5 do art. 8º explica que o processo de uso do recurso para envio de mensagens pelo visitante para um destinatário de seu relacionamento não gera relacionamento entre o responsável do site e este destinatário.
Mesmo sem o consentimento de acordo com o novo quadrante legal, as diretrizes da LGPD permitem que os dados sejam tratados quando existe um legítimo interesse por parte do consumidor. Um contrato onde esteja descrito o âmbito e tratamento dos dados é também suficiente de acordo com o LGPD.
Por isso, pode respirar! Nem tudo é tão ruim como parece!
Como deixar os dados em conformidade com a lei?
Ainda que a base legal escolhida para o uso dos dados seja o consentimento, os sistemas de gestão das informações precisam permitir o registro de todas as atividades de tratamento e o exercício dos direitos dos titulares. Entre esses direitos estão:
- A confirmação da existência do tratamento;
- O acesso aos dados;
- A correção de dados incompletos, inexatos ou desatualizados;
- A anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou em desconformidade;
- A portabilidade dos dados;
- A eliminação dos dados pessoais tratados com o consentimento do titular;
- A informação das entidades com quem os dados do titular foram compartilhados;
- A revogação do consentimento.
É importante por isso referir ainda que esta coleta se estende para lá da loja online: redes sociais, aplicativos, entre outros. Recomendamos assim criar internamente um mapeamento dos dados, com os pontos de interseção com a audiência, identificando todas as bases legais para o tratamento dos dados que pretende recolher. Pode também criar mapas, fluxos e matrizes de responsabilidades para a gestão dos dados.
O consentimento deve ser muito claro quanto ao âmbito, tema, tempo e tudo o que faça sentido informar. Deixamos algumas recomendações no momento em que pede informações à sua audiência:
- Caso tenha intenção de ceder os seus dados a terceiros, seja claro sobre quais as entidades ou empresas com as quais estará compartilhando os dados pessoais;
- Se o seu público-alvo forem menores de idade, não esqueça de solicitar autorização a pelo menos um dos responsáveis legais antes de pedir o consentimento (art. 14º);
- Garanta que guarda toda a informação relativa ao momento em que o consentimento é dado (data/hora, IP, dados fornecidos, etc). Se usa o E-goi, não precisa se preocupar, pois essas informações são registradas automaticamente;
- Atualize os seus termos e condições do serviço para esclarecer os seus clientes sobre a forma como os seus dados são tratados e qual a sua finalidade;
- Em caso de dúvida, peça uma consultoria jurídica para aconselhamento legal.
É o Super Homem? Não! É o E-Goi!
Se já é cliente E-goi, não se preocupe! Somos mestres do estudo de LGPD e por isso mesmo asseguramos que sua loja online se encontra de acordo com as referências atuais legais. A E-goi deixa ao seu dispor todas as ferramentas necessárias para que os seus clientes e usuários possam exercer seus direitos, de acordo com o Art. 18 sobre os dados dos quais você é responsável na qualidade de controlador.
- Direito à confirmação da existência de tratamento e do acesso aos dados: os seus clientes têm o direito de conhecer todos os dados coletados sobre elas e qual o seu tipo de utilização ou tratamento. Pode exportar as bases de dados dos seus clientes em CSV.
- Direito à correção de dados incompletos, inexatos ou desatualizados: os seus clientes podem solicitar que as suas informações sejam atualizadas ou corrigidas. O E-goi pode inserir automaticamente botões no cabeçalho e no rodapé do seu e-mail, através dos quais os contatos que recebem o e-mail podem facilmente editar a subscrição.
- Direito à anonimização, bloqueio ou eliminação de dados: os seus clientes podem solicitar que as suas informações sejam bloqueadas ou eliminadas. Ou seja, que qualquer informação até esse momento sobre a pessoa, seja eliminada. Se usa o E-goi, basta seguir este guia.
- Direito à portabilidade dos dados a outro fornecedor de serviço ou produto: os seus clientes podem solicitar que as suas informações sejam transmitidas para outra organização ou para um concorrente. Pode exportar as bases de dados dos seus clientes em CSV.
- Direito à revogação do consentimento: as pessoas envolvidas podem solicitar que o seu consentimento seja revogado “por procedimento gratuito e facilitado” (art 8.ª). O E-goi pode inserir automaticamente botões no cabeçalho e no rodapé dos seus e-mails, através dos quais os seus usuários ou clientes podem facilmente remover-se, ou seja, revogar o seu consentimento.
A E-goi está mais do que capaz de agilizar todo este processo legal. Já contamos com bastante experiência desde o RGPD em 2018 na Europa. Toda a nossa equipe técnica tem um grau de proteção de dados pessoais adequado ao previsto na lei, mesmo que os dados pessoais dos seus clientes sejam transferidos para um país europeu fora do Brasil, como é o caso de Portugal. Como diz o sábio: “Don’t worry!”
No caso de uma loja online, a autorização para envio de comunicações (ex: e-mails de bloqueio de conta, informações de pagamento, expedição de encomendas, etc) é obrigatória caso pretenda utilizar o serviço.
Os conteúdos informativos, promocionais ou de marketing, não serão, nesse exemplo, de subscrição obrigatória para utilização do serviço, mas são um outro tipo de consentimento que deve ser solicitado separadamente e de forma opcional.
Há, contudo, duas situações que o E-goi não consegue fazer automaticamente e seu negócio precisa resolver. Se sua empresa processa muitos dados pessoais por dia, deve nomear um encarregado (seu ou consultor externo) para proteger os mesmos. Este consultor deve ter acesso a especialistas ou serviços de cibersegurança e vai ser responsável por assegurar que toda a coleta e tratamento de dados cumpre com as diretrizes da LGPD. Só duas coisas, para casos muito específicos. Por norma, seria ideal nomear o seu gestor de marketing ou de TI.
Visto que um contato tem o seu direito de pedir para ser removido de sua base de dados, conforme indica a LGPD, terá que ser você mesmo a fazer isso. Uma vez que você é o controlador de sua base de dados, terá de ser você mesmo a remover o contato.
Por isso, se já usa o E-goi, fique tranquilo! Somos os verdadeiros mestres da proteção de dados (e de multas também!)
Para além do RGPD na Europa e a LGPD no Brasil, temos inúmeras outras normas internacionais de segurança, privacidade e consentimento de dados pessoais.
Se ainda não usa, o que está esperando? Entre em contacto com a nossa equipe! Run Forrest, Run!