LGPD, ou Lei Geral de Proteção de Dados, foi aprovada em agosto de 2018.
Levou um tempo para ser implementada no país, mas já está em vigor.
Se trata de uma lei federal, com objetivo principal de garantir a privacidade dos dados do cidadão brasileiro com relação aos dados pessoais compartilhados por meio físico ou digital.
O que é LGPD?
Vamos começar do básico, ou seja, explicando o que é LGPD. A sigla significa Lei Geral de Proteção de Dados (LGPD).
Essa lei surgiu para garantir uma maior privacidade aos usuários e às empresas no que se refere à coleta, ao armazenamento, compartilhamento e manipulação dos dados pessoais de pessoas físicas.
A LGPD permite que as pessoas e as empresas fiquem mais tranquilas em relação à privacidade dos dados.
A lei define processos, regras e padrões que devem ser cumpridos para criar um ambiente digital com mais segurança e privacidade, principalmente considerando os processos referentes a:
- coleta e armazenamento de dados pessoais;
- administração das informações coletadas;
- compartilhamento dos dados pessoais;
- desenvolvimento e aplicação de práticas de segurança e privacidade de dados;;
- atualizações periódicas de processos internos e estratégias.
Quais são os princípios da LGPD?
Não basta saber o que é LGPD, ou seja, é bastante conveniente ir além do conceito.
Para garantir um tratamento eficiente de dados, é adequado seguir alguns princípios.
Esses princípios são conhecidos como os “Dez mandamentos da LGPD” ou o “Decálogo” da Lei Geral de Proteção de Dados. Estão descritos no artigo 6º da lei:
1. Finalidade
De acordo com a LGPD, a empresa deve ter propósitos bem definidos ao tratar de dados pessoais.
Deve esclarecer ainda suas intenções para o cliente, justificando e explicando a utilização dos dados pessoais.
Assim, por exemplo, quando a empresa coleta um endereço de e-mail com o objetivo exclusivo de remeter um boleto ou uma fatura para o cliente, esse e-mail não pode ser usado para o envio de promoções e ofertas.
2. Adequação
A LGPD define o princípio da adequação como a compatibilidade do tratamento com as finalidades informadas ao cliente, conforme o contexto do tratamento.
Isso significa que a empresa deve justificar e assegurar que os dados coletados tenham valor, sendo ajustados ao modelo de negócio da empresa.
Para entender melhor, considere que o dono de uma academia solicite informações sobre a religião ou posicionamento político do cliente no cadastro do consumidor.
A solicitação não é compatível com a natureza do negócio.
3. Necessidade
Esse princípio considera a responsabilidade da empresa sobre os dados submetidos a tratamento.
Quanto maior o número de dados tratados, maior a responsabilidade da organização sobre eles.
A cobrança tende a ser maior, e as multas em caso de erros também são mais altas.
A empresa deve garantir que, somente os dados fundamentais, para que o negócio colete e trate somente os dados necessários.
Em suma: a empresa deve se prender ao necessário e eliminar os excessos.
4. Livre acesso
Conforme dispõe a lei, o livre acesso é a garantia ao titular de verificação fácil e gratuita a respeito da forma e da duração do tratamento, e ainda sobre a integralidade dos dados.
A empresa deve desenvolver mecanismos para que o dono dos dados possa consultá-los gratuitamente.
A organização também deve evidenciar seus objetivos e o tempo pelo qual os dados serão usados.
5. Qualidade dos dados
Quanto à qualidade, a lei dispõe sobre a “ garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento”.
Para manter o respeito às normas da LGPD, é importante que a empresa mantenha a autenticidade de sua base de dados, e a mantenha atualizada.
6. Transparência
A transparência obriga as empresas a serem honestas com os donos dos dados.
Devem notificar aos titulares a respeito dos agentes de tratamento, os quais são as demais empresas que se envolvem no processo de tratar os dados.
7. Segurança
O princípio da segurança se refere à adoção de tecnologias, soluções e procedimentos que permitam proteção efetiva aos dados, evitando, acessos não autorizados (ataques de hackers, por exemplo) e situações ilícitas de perdas ou alterações de dados.
8. Prevenção
O princípio da prevenção trata da necessidade de se preparar para atuar com possíveis problemas que envolvem o tratamento dos dados de forma preventiva, ou seja, antes que eles apareçam.
De acordo com esse princípio, a empresa deve adotar medidas para prevenir os eventuais danos decorrentes do tratamento de dados pessoais.
9. Não discriminação
É vedado o tratamento de dados com a finalidade de discriminar ou estimular abusos contra os titulares dos dados.
Nesse caso, os dados sensíveis são o principal foco, ou seja, aqueles que definem a etnia da pessoa, suas preferências políticas, convicções religiosas, opção sexual, filiação a sindicatos ou dados sobre a saúde do titular dos dados.
10. Responsabilização e prestação de contas
Esse princípio fala sobre o cumprimento da LGPD, considerando evidências e provas que confirmem que são tomadas medidas para assegurar a proteção dos dados.
O texto de lei dispõe, sobre a responsabilização e prestação de contas, o seguinte:
“Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”.
Quem fica responsável pela fiscalização?
A LGPD determina que problemas de segurança envolvendo dados pessoais, como os vazamentos, devem ser relatados à Autoridade Nacional de Proteção de Dados (ANPD).
Vale lembrar que além da ANPD, o próprio titular dos Dados Pessoais pode entrar com uma ação na justiça com base na LGPD solicitando ressarcimento dos danos causados por um vazamento de dados, por exemplo.
Nesse sentido, é conveniente nomear um profissional responsável para definir e gerenciar tudo que esteja relacionado à LGPD.
Esse profissional é chamado de Encarregado de Dados Pessoais ou Data Protection Officer (DPO). Em português, temos Diretor de Proteção de Dados.
Para exercer suas funções, o DPO deve ter conhecimento profundo da lei e assegurar garantir que a empresa cumpra todas as regras.
Enfim, o DPO se responsabilizará por gerenciar toda a companhia para garantir maior transparência, de forma que os dados permaneçam sempre protegidos.
Como a empresa pode ser prejudicada se não cumprir a lei?
Caso a empresa não cumpra a Lei Geral de Proteção de Dados, ela está passível de ser penalizada de diferentes formas.
Algumas podem ser leves, outras podem ser rigorosas. Confira:
Advertência
Uma medida inicial do órgão de fiscalização é emitir uma advertência que define um prazo para que a empresa regularize sua situação conforme a LGPD.
Se a infração não for corrigida, o órgão tomará medidas mais severas.
Multas
As empresas que não cumprirem as determinações depois da advertência estarão sujeitas ao pagamento de multa simples.
Essa multa pode chegar a 2% em cima do faturamento.
O limite é de R$ 50 milhões.
Existe também a multa diária, cujo valor também pode alcançar os 50 milhões de reais.
O valor da multa está relacionado à gravidade da infração da empresa e aos prejuízos causados aos donos dos dados.
Se a infração causar muitos danos e/ou danos muito graves, a multa aplicada será maior.
Não podemos esquecer da decisão judicial por parte do juiz em uma possível ação judicial feita pelo Titular dos Dados lesado por um vazamento de dados.
O juiz pode definir o valor de indenização baseando-se na LGPD, no Marco Civil da Internet e no Código de Defesa do Consumidor
Publicização da infração
Quando a ANPD confirma que a empresa está fazendo o tratamento de dados de maneira irregular, ela torna a infração pública.
É um problema que pode comprometer a imagem da empresa, gerando má impressão para os clientes e para os colaboradores.
Bloqueio de dados pessoais
Constatada a irregularidade da empresa em relação à LGPD, os dados pessoais dos sistemas serão bloqueados até que a organização se regularize.
Em outras palavras, as atividades empresariais que precisam dessas informações para que sejam executadas poderão sofrer paralisação temporária, o que gera diretamente improdutividade do setor de Recursos Humanos e, consequentemente, de toda a empresa.
Eliminação de dados pessoais
Em situações ainda mais graves, em que a empresa não se ajustar, será realizada a eliminação dos dados armazenados nos sistemas da empresa.
Dessa forma, as operações necessárias para manter o negócio funcionando não poderão ser desenvolvidas normalmente, o que vai provocar sérios transtornos para a empresa.
Isso porque será necessário reiniciar, do zero, o armazenamento dos dados dos colaboradores.
Quais são os passos para colocar o LGPD em prática na sua empresa?
Agora que você já sabe o que é LGPD, sente-se preparado para as mudanças?
Como adaptar o e-commerce às exigências da lei?
De maneira geral, a primeira regra para adaptar a empresa a ela é ler suas normas com atenção, certificando-se de tirar qualquer dúvida junto a um profissional da área jurídica e da área de segurança da informação
Após fazer isso, é possível aplicar algumas dicas práticas que ajudam a se manter dentro da lei — enquanto explora todo o potencial dos dados. Saiba quais são elas!
Ser data-driven
Uma gestão data-driven é aquela orientada por dados.
Por mais tecnológica que essa ideia seja, o simples fato de que seus clientes precisam cadastrar seus dados no seu site para fazer um pedido já faz com que você precise adequar o e-commerce à LGPD.
Então, mesmo que você não use um sistema tecnológico para acompanhar seus leads e compradores, já é provável que você deva ficar de olho no que diz a Lei Geral de Proteção de Dados.
Porém, se você ainda não automatizou processos ou investiu em inovação para nortear sua gestão por dados, é hora de prestar atenção.
Quanto mais informações concretas um negócio usa, mais se torna provável de que ele formule estratégias e ofereça ao público exatamente o que ele busca, aumentando o sucesso e a receita do empreendimento.
Com os clientes exigentes da atualidade, é uma excelente ideia ser assertivo nas ações formuladas.
Como todos os setores passaram por uma forte transformação digital nos últimos anos — acelerada pela pandemia — é provável que seus concorrentes já orientem sua gestão de forma data-driven.
E os resultados não comprovam o contrário: 80% das organizações que inovaram na pandemia melhoraram no mercado.
Pedir consentimento ao cliente
Após fixar uma gestão orientada por dados como o centro da formulação das suas estratégias, é hora de aplicar, de fato, a LGPD no dia a dia.
Para isso, é interessante começar informando claramente ao cliente que sua empresa respeita a legislação. Assim, coletará apenas os dados fundamentais ao seu crescimento — e com consentimento.
É possível fazer isso por e-mail, por exemplo.
Porém, a melhor forma, sem dúvidas, é criar uma política voltada, em específico, para a lei.
Isto é, que informe seus clientes minuciosamente do uso dado aos seus dados e, de preferência, do processo feito por seu e-commerce para coletar, tratar e armazenar as informações.
Ter cuidado com a manipulação de dados sensíveis
Lembra do princípio da LGPD de não discriminação?
Ele se alia diretamente aos chamados “dados sensíveis”.
São aqueles que:
- expõem a orientação sexual do titular;
- relevam sua origem racial e étnica;
- tratam de possíveis filiações sindicais;
- falam de saúde, genética ou dados biométricos;
- informam convicções políticas ou religiosas.
Ou seja, toda e qualquer informação que possa deixar o cliente passível de sofrer qualquer tipo de abuso por parte de terceiros.
É fundamental atentar de modo especial a esses dados.
Afinal, eles são os maiores alvos das multas e sanções sofridas por vazamentos.
Porém, não se esqueça da importância de respeitar e proteger todo e qualquer dado, combinado?
Criar políticas de segurança da informação
Além das políticas que clarificam a transparência do uso de dados na LGPD por seu e-commerce, também é essencial criar políticas de segurança.
Elas devem não só informar ao público seu compromisso com a proteção de seus dados, mas também ser a base para que a equipe trabalhe com segurança.
Isso permite que todos estejam na mesma página.
Por fim, é igualmente importante investir em tecnologias que garantam a segurança dos dados, como:
- selos de segurança;
- boas hospedagens do site;
- scanners de vulnerabilidade;
- protocolos de segurança SSL e HTTPS, entre outros.
Adotar as medidas adequadas
Quando se trata de LGPD e e-commerce, todo time precisa estar ciente da relevância do tema.
Portanto, é fundamental investir em treinamentos adequados e que informem aos colaboradores quais passos devem ser seguidos.
Além disso, como você já percebeu ser importante investir em uma gestão orientada por dados, é relevante que toda a empresa desenvolva essa mentalidade.
Sendo assim, é uma boa ideia fazer do data-driven uma cultura empresarial, em vez de apenas uma regra a ser seguida. Isso deixará todos os colaboradores menos propensos a erros e falhas na proteção de dados.
Definir um colaborador como encarregado
Outra maneira simples de garantir que todos respeitem os dizeres da LGPD é contratar uma pessoa específica para gerir essa parte.
Considerando que o respeito à privacidade dos compradores é imprescindível para que eles confiem em você e no seu e-commerce, essa contratação funcionará quase como um investimento.
Cuidar dos dados que estavam armazenados antes
Se você já usava dados na sua gestão antes de a lei ser sancionada, não se engane.
Até mesmo as informações captadas previamente devem estar adequadas à legislação.
Sendo assim, não deixe de se certificar de que tudo seja mapeado e devidamente categorizado, conforme os princípios da Lei Geral de Proteção de Dados.
Conscientize a empresa sobre a nova lei
Todos na empresa devem compreender o que é LGPD.
Porém, a explicação não pode ser simplista ou apenas conceitual.
O mais importante é que os profissionais saibam como as mudanças influenciam na rotina de trabalho.
Eles devem identificar as práticas que devem ser aplicadas e as práticas que devem ser evitadas.
Não se pode esquecer que é uma mudança cultural, sendo necessário que toda a empresa esteja em sintonia.
Ainda que os gestores conheçam bem e pratiquem a nova lei, só serão obtidos resultados reais se todos participarem das mudanças.
O processo se inicia pelos gestores, mas todos devem ter consciência da relevância do assunto para que a empresa seja bem-sucedida em suas estratégias.
Invista em uma cultura de conformidade e inovação
Muito importante também é desenvolver uma cultura que valoriza a conformidade e a governança.
Caso a empresa não se mostre disposta a se ajustar às práticas de LGPD, a adoção de práticas não vai funcionar efetivamente.
Como já falamos, a transformação deve começar nos mais altos cargos da companhia.
A conduta dos gestores contribui para motivar todos os funcionários a atuarem com maior transparência, cumprindo todas as regras definidas pela Lei Geral de Proteção de Dados.
A partir da implementação dessa nova cultura, a adaptação torna-se mais fácil e, consequentemente, os efeitos são mais efetivos e duradouros.
Crie um comitê de implementação e Gestão de Privacidade
Outro passo recomendado é delegar profissionais para cuidar da segurança dos dados armazenados pela organização. Já falamos acerca da importância do DPO.
Conheça o fluxo de informações da empresa
Outro passo necessário é ter uma visão precisa sobre o fluxo de informações da companhia.
Isso significa compreender bem como funcionam os processos.
Certas questões devem ser respondidas, como:
- onde ficam armazenados os dados coletados?
- quais são os padrões de segurança e privacidade adotados?
- quem tem acesso aos dados?
- o que está sendo feito corretamente e o que não está sendo feito da forma certa?
Respondendo essas e outras questões ajuda a identificar erros e a fazer correções em cada etapa, evitando que qualquer falha passe sem ser notada.
Controle o tempo de uso dos dados
O tempo de uso dos dados coletados é outro ponto imperativo quando falamos em LGPD.
Ao solicitar autorização do cliente sobre os dados, é fundamental manter a transparência.
O cliente deve saber por quanto tempo seus dados ficarão armazenados e ter certeza de que, depois desse tempo, eles serão excluídos.
Reveja as cláusulas e os documentos
Caso algum de seus fornecedores não esteja adequado às mudanças geradas pela LGPD, as ações dele podem se tornar uma responsabilidade da empresa, ou seja, graves problemas podem surgir por causa disso.
Para continuar em conformidade com a LGPD, a empresa deve reavaliar os contratos e se certificar de que os fornecedores e outros parceiros também estão cumprindo a LGPD.
Recomenda-se revisar todas as cláusulas dos contratos vigentes e todos os documentos relacionados às operações da empresa.
Geralmente, esse trabalho exigirá muito tempo e dedicação, mas se torna uma medida importante para que não venham a ocorrer transtornos no futuro.
Mantenha organizados os documentos com dados pessoais
Os documentos que contêm os dados pessoais, descritos na lei, devem ser organizados conforme as determinações da LGPD.
Assim, a empresa se previne contra possíveis e inesperados entraves.
Crie um canal de contato com os clientes
É fundamental manter a transparência também no contato com os clientes, ou seja, de forma externa.
Isso é bastante compreensível, já que, como donos dos dados, os clientes devem ficar bem informados sobre tudo que diz respeito a eles.
Assim, a empresa deve ter um canal para que os clientes entrem em contato com praticidade e eficiência.
O contato pode ser para pedir esclarecimentos, solicitar a exclusão dos dados ou outro motivo.
Manter esse canal de comunicação aberto vai proporcionar benefícios para o negócio.
Tome as ações necessárias quando ocorrerem vazamentos
Com a Lei Geral de Proteção de Dados implementada e um comitê organizado, as possibilidades de que venham a acontecer problemas diminuem.
Mas eles podem aparecer sim.
Daí a relevância de contar com um grupo de profissionais prontos para agir prontamente em situações complicadas, principalmente diante de vazamento de dados.
As ações devem considerar desde a comunicação com os clientes prejudicados até soluções de natureza técnica para diminuir os impactos.
Mudanças para o comércio eletrônico
Em relação ao e-commerce especificamente, é importante atualizar a Política de Privacidade de Dados, o que vai proporcionar mais transparência no processo de tratamento dos dados pessoais.
Caso o empreendedor sinta dificuldades para fazer o documento, existe a possibilidade de elaborar um termo personalizado em um sistema específico, como um gerador de política de privacidade.
Segue aqui a sugestão do nosso site: Gerador de Política de Privacidade.
Outras ferramentas que podem otimizar a experiência de navegação do cliente são os cookies, os quais facilitam o acesso do usuário ao conteúdo.
Em algumas páginas, aparece uma mensagem no rodapé sobre o uso de cookies por meio de links para a página de Política de Privacidade.
É uma maneira objetiva de explicar para o usuário que o e-commerce coleta cookies.
Confira abaixo algumas ações direcionadas que vão ajudar:
Sobre o cadastro dos clientes
Na maior parte das lojas virtuais, o cliente deve, obrigatoriamente, se cadastrar para efetivar alguma compra.
Por segurança, convém deixar claro para o usuário o motivo pelo qual ele deve se cadastrar antes de concluir a transação.
Uma dica que muitas lojas virtuais estão seguindo é fazer parcerias com certas empresas para diminuir os riscos de fraudes, como o PagSeguro e empresas dedicadas a proteger sites.
Sobre a lista de desejos e os formulários
A lista de desejos é uma ferramenta útil para compreender o perfil de consumidor.
Serve, portanto, tanto para o cliente quanto para a empresa.
Mas é fundamental explicar como esse recurso é usado na página.
O mesmo procedimento deve se repetir nos formulários, de forma que o cliente tenha conhecimento sobre a finalidade e o tratamento que seus dados receberão.
Sobre a pesquisa de informação
O cliente tem direito de pedir informações sobre a situação de seus dados pessoais, podendo verificar a finalidade e, ainda, o anonimato ou a exclusão deles.
A empresa deve responder ao pedido do cliente em um prazo de, no máximo, de 15 dias.
As lojas virtuais devem, de preferência, criar protocolos para essa situação, ou seja, para quando os clientes desejem consultar seus dados.
Na prática, o que mudou com a LGPD em vigor?
Antes da legislação, os clientes não tinham conhecimento completo sobre o que eles estavam compartilhando.
As empresas, por sua vez, não sabiam como usar aqueles dados de forma que os clientes tivessem uma boa experiência com a marca.
Entenda o que é e como melhorar a experiência de compra do seu e-commerce.
Para uso pessoal ou profissional, uma só pessoa tem potencial para gerar milhares de dados todos os dias.
Para onde vão os dados do cliente? Como eles podem ser utilizados?
Falhas no armazenamento podem levar ao vazamento desses dados. Isso gerava muitos impactos negativos na vida do usuário.
Além disso, a empresa podia perder alguns documentos relevantes para ela, comprometendo seus negócios.
A credibilidade da empresa ficava abalada porque passava a imagem de uma empresa que não tinha capacidade para administrar os dados de seus clientes e seus próprios dados.
Agora, a LGPD impede a utilização indevida dos dados cadastrados do cliente.
Essa preocupação é ainda maior quando estão envolvidos dados sensíveis, como etnia, religião, posicionamento político, opção sexual, dados de saúde e outros.
Uma diferença é que, a partir da LGPD, sempre que o cliente se cadastrar, a empresa tem a obrigação de especificar como os dados cadastrados serão usados.
Outra mudança é que o dono dos dados tem o direito de requerer a proteção de seus dados e o direito de se certificar se a empresa tem seus dados em algum cadastro. Assim, podemos resumir as mudanças da seguinte forma:
- para as empresas: proteção garantida pra os dados da empresa e dos clientes;
- para os clientes (pessoas físicas): proteção garantida aos dados pessoais e sensíveis cadastrados pela empresa.
Depois de todas as explicações, esperamos que você tenha tirado suas principais dúvidas sobre o que é LGPD e como ela influencia o relacionamento da empresa com seus clientes.
É importante conhecer como ela funciona e as consequências da não adequação a ela.
A LGPD, como vimos, é aplicável tanto para lojas físicas quanto para lojas virtuais.
Gostou de saber um pouco mais sobre a Lei Geral de Proteção de Dados?
Que tal conhecer um pouco sobre as diferenças entre SEO e Mídia paga? Confira no vídeo:
