Em pouco mais de um ano entra em vigor a Lei Brasileira de Proteção de Dados, também conhecida como a GDPR (General data Protection Regulation) brasileira.

Veja a seguir tudo o que você precisa saber para adaptar a sua loja virtual ou empresa física às novas regras e evitar multas e prejuízo à sua imagem pública.

O que é a Lei Brasileira de Proteção de Dados

A Lei Geral de Proteção de Dados (nº 13.709/2018) tem o objetivo de garantir mais privacidade e transparência quanto ao uso de dados pessoais coletados pelas empresas e pelo poder público.

A nova legislação estabelece os deveres de quem coleta a informação, direitos do cidadão e penalidades aplicáveis no caso de descumprimento.

Ilustração de um homem de costas olhando para dados em uma tela

Dados pessoais dos clientes deverão ser preservados e protegidos

Da forma como ocorre hoje, uma pessoa pode preencher o cadastro em uma loja e ter seus dados compartilhados com empresas parceiras, sem nem se dar conta disso. Com a entrada em vigor da LGPD, todos terão de concordar claramente em ceder suas informações e poderão retirar o consentimento – integral ou parcial – quando desejarem.

Mais do que isso: poderão questionar uma empresa sobre o porquê de solicitar informação desnecessária, como o endereço quando a compra foi feita em uma loja física.

Há exceções

Há alguns casos que dispensam consentimento, entre eles:

  • cumprimento de uma obrigação legal

  • formalização de contratos a pedido do titular

  • proteção ao crédito

Já a administração pública está autorizada a tratar as informações necessárias para a execução de políticas públicas, pesquisas, ações de segurança e procedimentos de saúde, por exemplo.

Dados pessoais e sensíveis

Para compreender a lei, é importante saber, afinal, de que tipo de dados estamos falando. A LGPD traz uma diferenciação entre dado pessoal e dado pessoal sensível.

Dado pessoal: informação relacionada à identificação da pessoa, como número de um documento e endereço.

Dado pessoal sensível: refere-se à origem racial ou étnica, religião, posicionamento político, dados sobre saúde, vida sexual, genéticos ou biométricos.

A lei protege o titular em ambos os casos, sendo que os dados sensíveis são mais preservados para evitar discriminação.

O que as empresas precisam fazer

A lei trata de todas as empresas que coletam dados pessoais e/ou sensíveis dos seus clientes, independentemente do porte, setor ou forma de atuação (online ou física). Portanto, quem ainda não deu atenção para isso tem de começar a se preparar.

“Para evitar uma infração à lei é importante ter atenção ao que realmente precisa ser armazenado. Não se pode armazenar informações que permitem a identificação de um usuário se essa informação não for realmente fundamental para seu uso na empresa.” alerta Diego Nogare, Chief Data Officer da Lambda3, empresa de consultoria em soluções digitais.

Hacker com capuz em fundo digital

Empreendedor deve proteger dados contra hackers

“Lembrando que, se você for tomar alguma decisão que utilizará os dados do cliente, ele deve autorizar de forma explícita seu consentimento”. Segundo Nogare, é possível deixar uma micro ou pequena empresa aderente à lei sem quebrar nenhum artigo e sem gastar dinheiro. “Uma parte da adequação pode ser resolvida somente alterando a forma como os dados do cliente são tratados”.

Outra parte pode precisar de soluções computacionais, e os sistemas de e-commerce e CRM do mercado já estão aderindo à lei.

Veja algumas medidas necessárias:

  • Verifique onde, quando e como sua empresa recolhe dados pessoais de clientes

  • Restrinja o acesso aos locais de armazenamento dos dados, e crie uma senha para cada pessoa

  • Estabeleça uma política de conduta para funcionários que acessam informações pessoais

  • Veja se a plataforma do seu site permite que o cadastro edite seus próprios dados

  • Se você ainda não tem antivírus, firewall e criptografia, essa é a hora de se ajustar. Estes têm papel essencial na prevenção de roubos e vazamentos de dados

E a maquininha de cartão?

No caso da maquininha de cartão, os dados das transações são armazenados com os fabricantes do equipamento, com o adquirente e com o gateway de pagamento, e não com o vendedor.

De acordo com o especialista, a única preocupação do empresário deve ser a de verificar se o contrato possui uma cláusula explícita neste sentido.

É preciso nomear responsáveis

Isso não é tudo. Para se adaptar à nova legislação, o empreendedor terá de indicar três responsáveis:

  • Um controlador (a quem competirá tomar decisões)

  • Um operador de proteção de dados, que terá a função de receber reclamações, orientar funcionários da empresa, enfim, gerenciar a comunicação relacionada às informações armazenadas

  • Um encarregado, que fará a comunicação entre o controlador, os titulares dos dados e a entidade fiscalizadora, a Autoridade Nacional de Proteção de Dados (ANPD)

O controlador e o operador podem ser pessoas físicas ou jurídicas. A lei não detalha exigências sobre essas funções, e tampouco impede que uma mesma pessoa ocupe duas delas. Por exemplo: o empreendedor pode ser tanto o controlador quanto o encarregado.

Multa pode ser alta

Caso os dados sejam violados, o controlador deverá informar a ANPD e o titular, indicando os riscos e as medidas tomadas a respeito.

Quem causar algum tipo de prejuízo a uma pessoa por descumprimento da LGPD poderá sofrer as seguintes penalidades:

  • Advertência

  • Exclusão dos dados em questão ou bloqueio até a regularização

  • Divulgação da infração, desde que devidamente comprovada

  • Multa simples de até 2% do faturamento da pessoa jurídica de direito privado excluídos os tributos, até o limite total de R$50 milhões por infração

  • Multa diária, observado o limite total acima

Vale lembrar que, mesmo que não haja cobrança de multa, a simples divulgação do vazamento de dados pode prejudicar a imagem ao seu negócio.

A lei brasileira é igual à europeia?

A legislação brasileira foi criada na sequência da GDPR europeia, em vigor desde maio de 2018.

O apelo por uma regulação exclusiva foi intensificado no país após escândalos envolvendo vazamentos de milhões de informações pessoais de usuários do Facebook e suspeitas de abusos por parte de empresas.

Ambas são parecidas e têm o mesmo objetivo. No entanto, a lei europeia é mais detalhada. Também é mais dura quanto à multa, que pode chegar a 4% do faturamento.

A vantagem para os e-commerces brasileiros é que muitas empresas e fornecedores em atuação aqui no país e com clientes na Europa já se adequaram às normas europeias.

Não deixe para a última hora

A LGPD exige das empresas uma nova postura quanto aos dados pessoais de terceiros mantidos sob sua responsabilidade.

E é importante ressaltar que ela não impacta apenas quem busca por soluções para vender na internet, mas qualquer negócio que tenha acesso ou colete dados de clientes.

A adequação leva algum tempo e pode exigir investimento do empresário, dependendo das ferramentas em uso e das informações já armazenadas.

Por isso, apesar dela só entrar em vigor em agosto de 2020, deixar para a última hora pode ser um mau negócio.

Em equipes maiores, é muito importante que todos estejam treinados e conscientes do seu papel e das possíveis consequências do tratamento inadequado de dados pessoais.

Diego Nogare, Chief Data Officer da Lambda3

Contrate uma empresa para fazer uma varredura mais completa na parte de software e processos. O resultado dessa análise vai apontar os pontos de risco.

– Diego Nogare, Lambda3

Em equipes menores, ou se você é microempreendedor individual, as adaptações devem ser mais simples. Em caso de dúvida, consulte seus fornecedores e serviços de apoio ao empreendedor.

Saiba os aspectos legais para abrir a sua loja virtual