Sob a influência em diversos aspectos da General Data Protection Regulation (GDPR), regulamentação europeia de proteção de dados, à partir de agosto de 2020 entrará em vigor a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), passando então a surtir efeitos tanto no que diz respeito à Pessoa Jurídica, quanto à Pessoa Física.
Esta lei possui amplo alcance, fazendo com que as empresas, independentemente do ramo de atuação, comecem a estruturar uma linha de planejamento sobre a forma de tratamento dos dados pessoais de seus clientes e colaboradores, a fim de evitar infrações e prejuízos, à partir de agosto deste ano.
Embora a necessidade de proteção à privacidade já esteja devidamente norteada em nossa Constituição Federal, bem como no Código Civil e no Código de Defesa do Consumidor, a LGPD surge como forma de embasar não apenas a proteção dos dados mas, sobretudo, esmiuçar devidamente suas particularidades de forma a manter preservada a privacidade dos usuários e colaboradores, bem como seus respectivos poderes de escolha.
A proteção e o sigilo dos dados dos usuários e todos os colaboradores envolvidos em uma empresa surgem apenas como plano principal revelando assim, por meio de uma análise mais aprofundada, a necessidade de que todos tenham ciência do tratamento adotado para as informações prestadas, bem como do seu destino.
Neste sentido, é necessário que os varejistas em geral, tais como supermercados, lojas, incluindo restaurantes, hotéis e outros prestadores de serviço, dentro outros setores, independentemente de seu porte no mercado, se enquadrem às determinações da referida lei, especialmente diante da pluralidade de perfil de seus clientes, contribuindo, por conseguinte, na pluralidade de informações ligadas às marcas e aos produtos, constantemente.
Outrossim, o mesmo hábito de tratamento constante dos dados deve ser realizado entre seus colaboradores, independentemente da linha de atuação e seus fornecedores.
Em função dos avanços tecnológicos, como algoritmos de inteligência artificial, dados de localização e georreferenciamento, bem como reconhecimento facial, dentre outros, é possível, por exemplo, examinar os perfis de comportamento de seus clientes e definir hábitos de compra, sem se limitar a estudos e técnicas psicológicas para identificar o índice de gasto de determinado grupo de consumidores e frequentadores casuais, tornando possível, por conseguinte, obter resultados mais precisos, assertivos e automáticos.
A LGPD, através do artigo 5º, prescreve um conceito aberto a respeito de dados pessoais, considerando assim em seu inciso I, toda e qualquer informação relacionada a pessoa natural identificada ou identificável, ou seja, informações como nome, endereço, telefone, profissão, dentre outros, que são capazes de identificar a pessoa natural ou torná-la identificável, automaticamente.
Seguindo a linha de raciocínio, o artigo 5º, inciso II, trouxe catalogado os dados considerados pessoais sensíveis, quais sejam aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
No que diz respeito aos dados obtidos dos consumidores e frequentadores esporádicos do estabelecimento de varejo, além das plataformas de ecommerce, a atenção à LGPD não se limita em proteger as informações básicas, mas também, preservar toda e qualquer informação que possa ser extraída de sua rotina e comportamento, de onde seja possível identificar um dado.
Deste modo, entende-se que o maior propósito a ser atingido pela aplicabilidade da Lei Geral de Proteção de dados é a privacidade do indivíduo, bem como seu poder de decisão, diante do destino de seus dados.
Na mesma linha de raciocínio, a Lei Geral de Proteção de Dados não se limita apenas a gerir a relação de transparência junto aos seus clientes, colaboradores e fornecedores, mas também impõe penalidades àquelas empresas que não implementam procedimentos de segurança para proteger os dados pessoais, desde a imposição de um advertência até a imposição de uma multa na proporção de 2% sobre faturamento anual da empresa, podendo chegar a R$ 50 Milhões.
No que diz respeito ao inciso X do artigo 5º, entende-se como tratamento de dados pessoais toda operação realizada com os dados pessoais, quais sejam, a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Destaca-se, ainda sobre este aspecto, que não se trata de rol taxativo podendo, por conseguinte, ser ampliado, de acordo com a necessidade.
Ademais, o artigo 6º da LGPD também aponta diversos princípios que devem ser utilizados como orientação, onde destacam-se os seguintes, que devem ser adaptados à rotina das redes de varejo:
NECESSIDADE: Estabelecendo a limitação do tratamento ao mínimo necessário do dado pessoal para a realização de suas finalidades, com as devida amplitude dos dados pessoais pertinentes.
TRANSPARÊNCIA: Garantindo aos titulares, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento;
QUALIDADE: garantindo aos titulares, exatidão, clareza, relevância e atualização dos dados;
ADEQUAÇÃO: Sintonia do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento adotado.
No que diz respeito à rotina e desenvolvimento da base de dados de clientes dos estabelecimentos varejistas, a LGPD manifesta-se como forma de aprimoramento da coleta de dados.
Isto porque a referida lei torna clara a necessidade de conciliar os instrumentos trazidos pelos avanços tecnológicos para melhorar a qualidade de captação dos dados (consumidores assíduos, pontuais, colaboradores e fornecedores).
Quer seja através dos aplicativos, quer seja através das compras realizadas de forma online, facilitando e otimizando a vida do consumidor, os varejistas estão, cada vez mais, atentos ao movimento crescente no mundo digital, ampliando a visão das relações convencionais para torná-las cada vez mais positiva e personalizada. Ou seja, conhecer o hábito de consumo do seu cliente é uma informação vital para a operação do varejista.
À partir de então, é essencial coletar e tratar o maior número possível de dados para entender o perfil do consumidor e melhorar o avanço de serviços prestados pelo varejista, mas sem ferir a relação de privacidade e transparência com o seu cliente.
Daí a necessidade do processo de filtragem de captação de dados por parte do varejista, entendendo a razão e a necessidade de obtê-los, ante o real propósito que a empresa deseja alcançar.
Ademais, será necessário que o varejista também realize treinamento adequado aos seus colaboradores, de acordo com a função que exerce, para garantir a execução dos procedimentos e segurança na captação e no tratamento dos dados dos clientes.
Sobre este ponto é válido reprisar ainda a necessidade de adequar o funcionamento do escritório aos princípios mencionados, especialmente o princípio da adequação.
Assim, listamos alguns cuidados que o varejista deverá se atentar:
(i) Segurança na captação dos Dados do Cliente: Certifique-se que o responsável por receber os dados do cliente esteja devidamente treinado e saiba a importância de preservar a sua privacidade. Esta coleta de informação poderá ser feita de forma automática, em plataformas de ecommerce, ou mesmo junto à operadora do caixa físico do varejista. Essa informação não pode cair em mãos erradas. Logo, o varejista deverá se precaver, operacional e tecnologicamente, para que não ocorra uma fraude ou uma infração à privacidade dos dados, no ato da captação desses dados.
(ii) Selecione e trate apropriadamente os dados, de acordo com o seu impacto: Se são apenas dados empresariais, não haverá impacto para a LGPD. Entretanto, se envolve o processamento de dados cadastrais de clientes, além dos dados pessoais normais, tais como o nome e demais identificadores, é possível que sejam também fornecidos dados pessoais sensíveis (dados de menores de idade ou de saúde, por exemplo). Neste caso, o tratamento destas informações merece um cuidado muito maior. No caso, sugerimos que apenas alguns poucos profissionais tenham autorização de processar informações que contenham dados pessoais e dados pessoais sensíveis.
(iii) Utilize um software de auditoria: O monitoramento e a rastreabilidade da informação é essencial. Identificar onde e como um dado foi violado é um requisito da LGPD, pois a lei exige que as empresas adotem critérios de proteção para os dados pessoais. Assim, utilize um sistema que permita identificar e registrar quem teria processado um dado de forma equivocada ou que possa ter violado uma premissa de privacidade.
(iv) Indique um Encarregado de Dados: Conhecido também como Data Protection Officer (DPO), a LGPD exige que todas as empresas selecionem e apontem um profissional que seja o responsável por se relacionar não só com o cliente (titular dos dados), como também com a Agência Nacional de Proteção de Dados (ANPD). Não há uma orientação de qual qualificação este profissional deveria ter, mas sugere-se que tenha capacidade técnico-regulatória e componha um Conselho de Segurança, com colaboradores de diversas áreas da empresa, que irão lhe assessorar neste delicado posto.
(v) Formalize Políticas de Segurança: Regule a forma como os dados são captados e tratados dentro da empresa, junto a clientes e colaboradores. Todo este processamento e tratamento dos dados deverá estar escrito, formalizado e esclarecido junto aos clientes e colaboradores, para evitar infrações à lei e manter a transparência com os clientes.
(vi) Treinamento: Traga a preocupação e o cuidado de preservar as informações e os dados pessoais do cliente para todos os colaboradores, prestadores de serviço e fornecedores. Para tanto, capacite a sua equipe, para que ninguém possa alegar que você negligenciou a respeito da privacidade dos dados, desde a operadora do caixa até a alta gestão, além dos seus fornecedores. Faça com que todos estejam alinhados no que se refere à proteção dos dados do cliente. Lembre-se que segurança tem como base pessoas, processos e tecnologia.
(vii) Seguro contra Ataques Cibernéticos: Por fim, ninguém está alheio a uma invasão ou um ataque cibernético. Assim sendo, sugerimos fortemente a contratação de uma apólice de seguros, a fim de prevenir grandes perdas no caso de uma infração à privacidade que tenha sido causada, muitas vezes, por um descuido de um colaborador, ao abrir um e-mail malicioso de forma desavisada. Sugerimos também que a seguradora escolhida também ofereça um atendimento de resposta a incidentes, muito importante no caso de infração.
Decerto, a LGPD trará grandes mudanças positivas na estrutura de relacionamento entre os varejistas e seus clientes, colaboradores e fornecedores, pois irá otimizar as relações de forma atender melhor as demandas, dentro do perfil de cada um, bem como trará grandes oportunidades de crescimento e transparência, especialmente diante das condutas preventivas que precisam ser adotadas antes que a LGPD entre em vigor, como forma de minimizar ou até mesmo prevenir a incidência das severas penalidades, além da perda da reputação, cujo valor é inestimável e, muitas vezes, irrecuperável.