A Lei Geral de Proteção de Dados (LGPD) regulamenta o tratamento de dados e uso de informações pessoais colhidas pelas empresas, especialmente na internet. Com entrada em vigor prevista para o mês de agosto (com sanções aplicáveis a partir de agosto de 2021), a lei terá um grande impacto sobre a operação das empresas. Um impacto que não tem recebido a atenção devida do varejo.
Da coleta à classificação dos dados, passando pelo seu processamento, armazenamento, uso e compartilhamento com terceiros, a LGPD cria uma série de regulamentações e exige que as empresas sigam padrões e processos rígidos ao lidar com as informações de seus clientes. “Os dados são um recurso valioso para as empresas e a LGPD aumenta a importância de ter uma cultura de documentação das informações e uso ético dos dados dos clientes”, afirma Luiza Amorim, Corporate Lawyer na VETX.
Em parceria com a Codeby, a VTEX promoveu um webinar para falar sobre a LGPD, seus impactos sobre o e-commerce e como adequar a operação à nova legislação. “Todo mundo vai precisar se adequar à LGPD e, por isso, é preciso treinar pessoas, criar processos e implementar a cultura de que os dados são dos usuários e, por isso, precisam ser resguardados”, afirma Fellipe Guimarães, CEO na Codeby.
Confira os principais pontos do webinar:
A Lei Geral de Proteção de Dados (LGPD) é uma legislação que regulamenta a proteção dos dados pessoais. “Na maioria das vezes, a gente não questiona muito o que é feito com nossos dados na internet. A Constituição Federal de 1988 diz que temos o direito à privacidade e a LGPD vem para dizer o que as empresas podem ou não fazer com os dados dos clientes e quais informações podem ser guardadas”, afirma Luiza Amorim, Corporate Lawyer na VTEX.
O texto da LGPD foi aprovado em 2018, mas entra em vigor em agosto deste ano. Sanções para as empresas só serão aplicadas em 2021, mas desde já é preciso se adaptar. “O recado mais importante que podemos passar é que as empresas precisam se adequar à lei antes que ela entre em vigor, para que fiquem tranquilas sobre isso e possam fazer as mudanças com cuidado”, diz.
A LGPD define alguns conceitos importantes para o dia a dia da operação de uma empresa. Em primeiro lugar, os dados pessoais são as informações que tornam uma pessoa identificável, como o nome e o CPF. Já dados anonimizados são aqueles que não podem ser identificados. Dados sensíveis, por sua vez, são aqueles especialmente protegidos por leis, como etnia, posição política, convicção religiosas e dados genéticos. “Cada tipo de dado deve ser gerenciado de forma diferente, pois tem características diferentes”, diz Luiza.
A LGPD também definiu controladores e operadores de dados. Os primeiros são os que tomam decisões referentes ao tratamento dos dados, enquanto os operadores são quem realizam o tratamento dos dados em nome do controlador. No e-commerce, o controlador do dado do cliente é o varejista, enquanto a VTEX é o operador. “Cada um deles tem responsabilidades diferentes, mas todos precisam seguir as normas e informar claramente ao cliente quem tem acesso aos seus dados”, explica.
Pela lei, todo banco de dados deve ser protegido. A questão é que até mesmo uma planilha em Excel é visto como um banco de dados pela lei. Além disso, a LGPD protege até mesmo as informações pessoais contidas em e-mails. “Isso mostra o quanto a lei é ampla e como as empresas precisam revisar todas as suas políticas de uso de dados para estar em conformidade”, analisa Luiza.
Com a entrada em vigor da LGPD, será preciso apontar uma pessoa como responsável pela gestão dos dados pessoais dos clientes. O Data Protection Officer (DPO) fiscalizará e organizará as atividades relacionadas ao uso de dados na empresa, orientará os colaboradores e controlará a documentação relacionada ao tratamento dos dados dos clientes. Sua atuação será fiscalizada pela Autoridade Nacional de Proteção de Dados (ANPD), agência do governo que será criada para garantir o cumprimento da lei.
O DPO precisa ter conhecimentos de TI, legislação e negócios, para orientar as equipes, promover treinamentos e garantir o uso e tratamento correto dos dados. “É um profissional multidisciplinar que terá uma função importante na criação de uma cultura de dados na empresa e, como consequência, na aceleração da transformação digital”, explica Luiza.
No dia a dia, é preciso estar atento a alguns pontos importantes para que a operação da empresa esteja alinhada à LGPD e utilize de forma correta os dados de seus clientes.
Os usuários do site precisam dar um OK para que a empresa possa usar seus dados. “A captação do consentimento é a base da utilização de dados. É por isso que temos visto cada vez mais sites apresentando um pop up para informar aos usuários que cookies estão sendo coletados, por exemplo”, explica Fellipe Guimarães, CEO da Codeby. De acordo com o executivo, quando o usuário dá o consentimento, a empresa passa a ser a controladora do dado. “No momento do consentimento, é preciso deixar explícito para que os dados serão usados e com quem serão compartilhados. Essa, a partir de agora, é uma exigência legal”, diz.
É preciso ter um cuidado especial com operações omnichannel, que coletam informações dos clientes também no meio físico. “Essas informações também são protegidas na LGPD. Quanto mais claro isso estiver na empresa, melhor para a adequação à lei”, acrescenta Guimarães.
O controlador dos dados precisa ser capaz de fornecer rapidamente todos os dados que ele possui sobre o cliente. Isso é mais complexo do que parece. “A lei diz que todos os dados referentes aos clientes devem estar disponíveis para eles. Isso inclui, por exemplo, os dados coletados via Analytics ou as interações nas plataformas de e-mail marketing”, explica Guimarães.
Pela LGPD, as empresas precisam ter um formulário de exclusão de dados que possa ser facilmente acessado pelo cliente e que permita que o usuário seja “esquecido”. Esses dados também precisam ser deletados da base dos parceiros de negócios. “Pela LGPD, o usuário é o dono do dado, isso fica muito claro, e ele tem todo o direito de não permitir que uma empresa tenha suas informações”, comenta o executivo. “Todos na empresa precisam estar atentos a isso”, completa.
Não se trata apenas das políticas de privacidade, mas também de como a empresa coleta e armazena cookies, como trata os dados e captura informações. Tudo precisa estar muito claro para o cliente, em uma linguagem acessível. “Se não estiver claro para o cliente qual é a política da empresa, ele pode ter de acessar o SAC para perguntar, e isso é algo que a empresa não irá querer que aconteça”, comenta Guimarães. Para ele, Facebook e Google são exemplos de empresas que informam bem aos usuários quais são as políticas e quais foram as alterações mais recentes. “Isso cria uma relação mais transparente com os clientes”, diz.
Ataques cibernéticos são cada vez mais comuns. Por isso, as empresas precisam ter uma postura ativa na prevenção. “Reveja periodicamente quem tem acesso aos dados dos clientes. Altere as senhas, elimine senhas muito óbvias. Crie na empresa uma cultura que dificulte a quebra de senhas”, recomenda.
A segurança dos dados não pode estar limitada a você. Seus parceiros de negócios também devem levar a questão a sério. “Todo o ecossistema precisa estar atento à segurança das informações. O prejuízo financeiro e à imagem das empresas pode ser gigantesco”, afirma.
A documentação é a principal prova de que a empresa implementou processos e mecanismos para evitar vazamento de dados. É importante ter uma cultura de documentar o que acontece e manter essa documentação atualizada. “É algo que não se costuma fazer no Brasil, e é algo extremamente importante. O DPO precisa estar muito atento a isso, atualizando sempre os registros para que seja possível saber o que melhorar na gestão dos dados dos clientes”, explica Guimarães.
A revisão dos contratos com parceiros e prestadores de serviços é muito importante para garantir a adequação à LGPD. “Os contratos precisam deixar claro qual é o papel de cada parceiro na proteção dos dados dos clientes”, diz Luiza Amorim, da VTEX. Ela recomenda que esse processo seja iniciado o mais rápido possível, pois abrange todo o ecossistema de negócios.
Todas as empresas precisam se adequar à LGPD, treinando pessoas, criando processos e implementando a cultura de que os dados pertencem aos usuários e precisam ser protegidos. “É preciso criar um mindset de que o tratamento correto dos dados dos clientes é uma forma de agregar valor à empresa. Os dados são um ativo superimportante para o relacionamento com o cliente e, por isso, sua proteção deve ser levada muito a sério”, completa Luiza.
Em tempos de avalanche de informações, misturada a um cenário e contexto inéditos, a VTEX elaborou uma série de conteúdos didáticos e direcionados para ajudar você a navegar em meio ao atual momento do mercado. A série VTEX Masterclass terá mais de 30 webinars ao longo do ano, para que você possa obter, em primeira mão, insights e conteúdos relevantes para direcionar o seu negócio rumo à era digital.
Embarque nessa jornada definitiva rumo à transformação digital.