5 fatos que o e-commerce precisa saber para se adaptar à LGPD

5 fatos que o e-commerce precisa saber para se adaptar à LGPD

por 02/07/2020

Você atua em e-commerce? Já ouviu falar da Lei Geral de Proteção de Dados (LGPD)? Veja aqui algumas informações importantes para se adaptar.

Apesar da complexidade em definir a data final para a implementação oficial da Lei Geral de Proteção de Dados (LGPD), muitos órgãos de fiscalização, como o Procon, já estão utilizando a lei como base para algumas de suas decisões. Ainda que não esteja em vigor, a lei foi protocolada no legislativo em 2018 e influencia decisões do judiciário desde então.

Mas como otimizar esse processo de mudança e sair na frente não só na proteção dos dados, mas também na gestão desses insights do ponto de vista de negócios?

Nesse período de COVID-19, muitas empresas migraram pela primeira vez para o e-commerce ou aumentaram sua presença digital. Pensando nisso, reuni 5 fatos que podem ajudar e-commerces a guiar as iniciativas de conformidade com a LGPD.

  • Toda empresa digital é uma empresa de dados

Em um primeiro momento, o gestor de um e-commerce pode pensar que a LGPD não o afeta diretamente, já que diz respeito a empresas de tratamento de dados. No entanto, ao ser capaz de registrar nome, endereço ou produtos mais procurados, por exemplo, qualquer loja online se torna uma empresa detentora de dados, com capacidade de analisá-los para aplicação em estratégias de negócios.

Ignorar a responsabilidade que vem com a gestão de dados pode ter consequências sérias para a empresa: US$ 3,86 milhões são gastos em média com brechas de segurança todos os anos, segundo a IBM. E há também impactos para os consumidores, que ficam de mãos atadas, sem conseguir proteger suas informações. De acordo com um estudo da Universidade de Maryland, empresas sofrem um ataque de hackers a cada 39 segundos.

A principal mudança que traz a LGPD é dar a consumidores mais controle sobre seus dados. Ela estabelece, por exemplo, que qualquer pessoa pode solicitar a empresas as informações que estão armazenadas sobre ela, assim como para quais instituições esses dados foram passados e com qual fim. Também será possível requisitar a correção de dados e até mesmo a exclusão daqueles que forem julgados como desnecessários ou excessivos.

Muitas empresas não têm um backoffice robusto o suficiente para administrar esses pedidos. É comum ver situações em que os dados não são armazenados corretamente e se perdem – o que torna impossível rastreá-los e alterá-los, caso estejam incorretos. Por isso, Investir no backoffice no processo de adequação à LGPD deve ir além do foco em armazenamento e cruzamento de dados. Também devem ser levadas em consideração a estabilidade e escalabilidade de serviços de nuvem e a integração entre APIs e programas para tornar esse processo o mais fluído possível.

  • Olhe para além do Atlântico

A LGPD foi inspirada no GDPR (Regulamento Geral de Proteção de Dados), adotado pelo Parlamento Europeu em 2018. Por isso, grandes, médios e pequenos e-commerces brasileiros estão atentos às novidades da União Europeia desde a implementação da lei.

A IAPP (International Association of Privacy Professionals) divulgou um relatório sobre o que mudou na Europa em um ano de GDPR. Foram cerca de 280 mil denúncias de tratamento indevido de dados, que resultaram em 56 milhões de euros em multa. E não apenas para grandes multinacionais: um café na Áustria foi penalizado por vigilância ilegal por vídeo e, em Portugal, um hospital que não soube repassar aos pacientes suas informações foi multado em 400 mil euros.

Por outro lado, os pedidos de exclusão de informações não decolaram. Um estudo da SmartyAds mostra que o número de solicitações não foi significativo, e 88% dos usuários que diziam temer pelos seus dados mudou de ideia com a transparência envolvida na nova regulamentação.

  • Contrate Data Protection Officers

Com tantas mudanças dentro das empresas, é imprescindível eleger um profissional capacitado para supervisionar a gestão e segurança dos dados. Na Europa, esse profissional recebeu o nome de Data Protection Officer (DPO). A IAPP aponta que 375 mil empresas registraram o cargo no continente.

Na prática, o DPO é o profissional responsável pela coleta, manuseio e armazenamento dos dados, estruturando um programa de compliance alinhado com a LGPD com foco na maior segurança das informações. Ele deve trabalhar de maneira integrada com o departamento de TI para criar mecanismos que protejam o acervo do acesso de pessoas não autorizadas, eliminando toda e qualquer brecha de segurança.

Entre as funções desse profissional estão a governança, a gestão e a transparência dos dados. A governança prevê a criação de processos para organizar e tratar as informações de maneira sistemática, designando previamente quem vai lidar com que. Já a gestão contempla ações de acompanhamento e controle para garantir que o que foi previsto no plano será executado de forma segura. Por fim, a transparência prevê que a organização certifique-se de ter sempre o consentimento dos usuários para coletar suas informações.

  • Clientes merecem transparência e clareza na comunicação

Muitos consumidores não entendem ao certo para que suas informações são utilizadas. De acordo com a Kaspersky, 93% dos brasileiros fornecem dados pessoais a empresas de mídias sociais ou em compras no e-commerce, mas 35% diz não saber como proteger sua privacidade.

A partir de agosto de 2020, varejistas serão obrigados a deixar claro o uso de cada dado pedido e não poderão utilizá-lo para nenhuma outra finalidade. Na prática, isso quer dizer que se o cliente for informado que seu endereço será utilizado apenas para o processo de entrega, a informação não poderá fazer parte do planejamento de distribuição de mídia da empresa, por exemplo. A transparência vai além de esclarecer os uso daquela informação, ao compreender também comunicar critérios e procedimentos usados em decisões automatizadas.

Essas iniciativas aumentam a confiança dos consumidores ao comprar no e-commerce e, indiretamente, também favorece os varejistas. Atualmente apenas 20% dos brasileiros se sentem completamente seguros ao realizar compras online, segundo pesquisa do SPC Brasil e da Confederação Nacional de Dirigentes Lojistas.

  • Parceiros podem te levantar ou te afundar

O que deve estar sempre no radar durante esse momento de adaptação à LGPD e daqui para frente é que a regulamentação também se aplica a parceiros de trabalho, como escritórios jurídicos, empresas de TI e processadores de pagamentos. Caso um parceiro não esteja de acordo com a lei, toda a cadeia pode ser comprometida e penalizada.

Para os fornecedores financeiros, a adequação costuma ser mais simples pela natureza dos dados envolvidos, que por serem altamente sensíveis já recebiam tratamento com transparência e segurança. Lembrando que tanto o GDPR quanto a LGPD consideram o uso de dados na proteção contra a fraude como “legítimo interesse”, o que significa que nesse caso a autorização prévia do consumidor não é exigida.

*Autora: Cássia Pinheiro, Head de Risco e Compliance da Adyen para a América Latina