Em setembro de 2020 entrou em vigor a lei n° 13.709/18 com o objetivo de garantir a segurança e transparência do tratamento e uso de dados pessoais de clientes fornecidos a empresas privadas e governos. A LGPD (Lei Geral de Proteção de Dados Pessoais) se baseia na lei europeia GDPR (General Data Protection Regulation) e, além de determinar o que se pode ou não sobre o uso de dados pessoais do clientes, prevê punições como sanções administrativas e multas de até R$50 milhões para o descumprimento, conforme a gravidade da falta cometida.
A partir de então, as empresas precisam deixar clara e discriminada toda e qualquer forma de uso dos dados que os clientes fornecem, seja o cadastro realizado em loja física ou virtual. Com isso, a LGPD classifica os dados em três esferas para as determinações da lei: dados pessoais (nome, idade, RG, CPF, endereço etc.), dados sensíveis (origem racial ou étnica, religião, ideologias etc.) e dados anonimizados (quando a informação era originalmente de uma pessoa, porém passou por etapas que garantissem sua desvinculação a esse indivíduo).
Coincidentemente a LGPD entrou em vigor em plena pandemia (já havia sido criada 2 anos antes, para que as empresas pudessem se adequar), momento no qual vivemos muitas transformações no setor, como a adoção do e-commerce como principal forma de manter ativas as operações comerciais durante períodos de isolamento social e fechamento do comércio não essencial. O ano de 2020 finalizou com mais de 1,3 milhão de lojas virtuais no Brasil, conforme pesquisa feita pela PayPal e BigData Corp.
Dados de clientes são comumente usados para ações de CRM (Customer Relationship Management), dentro do funil de conversão de compra – com base na análise dessas informações acompanha-se jornada de compra e perfis de consumidores. Porém, a partir de então, o cliente precisa consentir a coleta desses dados mediante à informação completa de como serão usados, efeitos das ações que serão realizadas com a base. Inclusive, dados que já existiam nas bases das empresas antes da lei entrar em vigor precisam ter autorização de uso dos clientes para novas ações. A empresa precisa fazer a gestão desses consentimentos de uso dos dados, além dos pedidos de edição e exclusão pelos titulares.
Pela lei, as empresas agora estão obrigadas a ter programas de Governança, Risco, Compliance e Segurança de Dados desenvolvidos e implementados, além de ter definido um mecanismo de tratamento de dados e estratégia de gestão de crise, ter sistema e banco de dados certificados, e ainda definir um funcionário encarregado por ser responsável pela segurança dos dados em nome da empresa (o chamado Data Protection Officer).
Apesar de mais de um ano em vigor, as aplicações das sanções só puderam iniciar após 1° de agosto de 2021, quando foram publicadas as diretrizes que orientaram o cálculo do valor-base das multas (conforme estabelecido nos artigos 52, 53 e 54 da lei). Portanto, a partir dessa data, a ANPD (Autoridade Nacional de Proteção de Dados) iniciou oficialmente as fiscalizações em busca de irregularidades por parte das empresas.
Caso ainda tenha dúvidas na implementação da LGPD em seu negócio, a entidade citada acima apoia as empresas fornecendo informações sobre a aplicabilidade da lei da forma correta.
2 comentários