Está em pleno vigor a Lei Geral de Proteção de Dados Pessoais – LGPD –, que impõe regras específicas sobre o tratamento de dados de pessoas físicas, em todo o território nacional, por empresas e serviços de todos os segmentos, públicos ou privados. Regulamentando o assunto sob uma nova visão – com enfoque principal na garantia da privacidade de dados pessoais, e na preservação dos direitos e liberdade de seus titulares -, o Brasil se coloca, com a adoção dessa lei, ao lado de mais de cem países desenvolvidos que já adotam há mais tempo normas de proteção aos seus cidadãos, como por exemplo Europa e Estados Unidos.
Medidas como essa tornaram-se urgentes, mundo afora, no combate à utilização indiscriminada de dados pessoais para fins e interesses indevidos, à revelia dos seus titulares; e tendo em vista a facilidade com que essas informações se disseminam sem controle no mundo digital.
O setor supermercadista está diretamente sujeito às regras dessa nova Lei 13.709, que foi aprovada em 2018, passou a ser válida a partir de agosto de 2020, e terá a aplicação de multas e penalidades por descumprimento às suas determinações a partir de agosto deste ano 2021. Só para se ter uma ideia do que significa isso, as multas previstas são de 2% sobre o faturamento bruto ou 50 milhões por incidente, no caso de violação ao direito garantido de privacidade a dados pessoais. Não é brincadeira.
O assunto é árido, a adaptação das empresas às regras é custosa e complicada, e a lei se arrasta por quatro anos desde a sua criação até conseguir colocar em prática as suas autuações, tendo em vista as dificuldades da sua implantação e atrasos pela pandemia. Mas ela está valendo – e há empresários que já adotaram as novas práticas, outros que estão implantando o sistema, e outros ainda que não sabem nem por onde começar. Por isso, vamos traduzir aqui em prosa fácil os ditames da nova LGPD, bem a tempo de o varejista se preparar para adequar os procedimentos da sua empresa frente aos desafios dessa questão.
Entendendo a LGPD
Para descomplicar o entendimento e abrangência da LGPD, valem aqui algumas considerações:
1) A lei se aplica a todo e qualquer tipo ou porte de empresa, pública ou privada, brasileira ou estrangeira no país, que ofereça serviços ou produtos de qualquer natureza, via qualquer meio (físico ou eletrônico), desde que, na realização das suas atividades, sejam coletados dados de pessoas naturais que sejam identificáveis em cadastros físicos ou virtuais.
2) Dados Pessoais são informações que permitem identificar, direta ou indiretamente, um indivíduo ou pessoa natural – tais como nome, RG, CPF, gênero, data e local de nascimento, telefone, e-mail, endereço residencial e comercial, imposto de renda, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer, cookies de sites de navegação do usuário, gravações de vídeo e áudio etc. Ou seja, qualquer informação que identifique um indivíduo em particular, e obtida através de qualquer sistema – eletrônico, manual ou biométrico. A LGPD aborda ainda outros tipos de dados: anonimizado (relativo a titular que não possa ser identificado); sensível (sobre raça ou etnia, convicções religiosas, opiniões políticas, vida sexual e outros passíveis de discriminação); criança e público.
3) Tratamento de Dados refere-se a toda e qualquer operação realizada com dados pessoais, relativa a 20 atividades citadas na lei:
- Acesso: ato de ingressar, transitar, conhecer ou consultar a informação, bem como a possibilidade de usar os ativos de informação de um órgão ou entidade;
- Armazenamento: ação ou resultado de manter ou conservar um dado;
- Arquivamento: ato ou efeito de manter registrado um dado, embora já tenha perdido a validade ou esgotado a sua vigência;
- Avaliação: analisar o dado com o objetivo de produzir informação;
- Classificação: maneira de ordenar os dados conforme algum critério estabelecido;
- Coleta: recolhimento de dados com finalidade específica;
- Comunicação: transmitir informações pertinentes a políticas de ação sobre os dados;
- Controle: ação ou poder de regular, determinar ou monitorar as ações sobre o dado;
- Difusão: ato ou efeito de divulgação, propagação e multiplicação dos dados;
- Distribuição: ato ou efeito de dispor de dados de acordo com algum critério estabelecido;
- Eliminação: ato ou efeito de excluir ou destruir dado do repositório;
- Extração: ato de copiar ou retirar dados do repositório em que se encontrava;
- Modificação: ato ou efeito de alteração do dado; .
- Processamento: ato ou efeito de processar dados visando organizá-los para obtenção de um resultado determinado;
- Produção: criação de bens e de serviços a partir do tratamento de dados;
- Recepção: ato de receber os dados ao final da transmissão;
- Reprodução: cópia de dado preexistente obtido por meio de qualquer processo;
- Transferência: mudança de dados de uma área de armazenamento para outra, ou para terceiro;
- Transmissão: movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos; e
- Utilização: ato ou efeito do aproveitamento dos dados.
4) Nominações:
- Titular é aquele a quem o dado pessoal está relacionado;
- Controlador é o agente, físico ou jurídico, a quem competem as decisões sobre o tratamento de dados do titular;
- Operador é quem realiza o tratamento de dados em nome do controlador;
- Encarregado de dados (DPO – Data Protection Officer) é o profissional responsável pela proteção de dados dentro da empresa, garantindo a segurança das informações, tanto dos clientes quanto da própria organização.
Ou seja, a implementação da nova lei impõe uma cultura diferente no relacionamento entre empresas e titulares de dados pessoais, onde direitos e obrigações das partes têm que ser revistos e bem entendidos.
Direitos do titular dos dados
Toda pessoa natural tem agora, no Brasil, assegurada a titularidade de seus dados pessoais e garantidos os seus direitos fundamentais – de liberdade, intimidade e privacidade, nos termos do artigo 17 da LGPD. Bem como o titular dos dados pessoais tem direito a obter do controlador, a qualquer momento e mediante requisição, as seguintes informações:
- Confirmação da existência de tratamento;
- Acesso aos dados mantidos pelo controlador;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
- Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa;
- Eliminação dos dados pessoais quando revogado o consentimento dado pelo titular;
- Informação com quem o controlador realizou compartilhamento de seus dados;
- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; e
- Revogação do consentimento.
Obrigações das empresas
As empresas, por sua vez, devem trabalhar com a adoção de políticas que tenham como padrão a privacidade do titular dos dados. Ao coletar dados para os seus cadastros, devem declarar e deixar bem claros os objetivos e finalidades dessa ação ao titular, que poderá ou não concordar com o procedimento.
Partindo desse princípio básico, há a necessidade da implantação de um novo sistema de gestão – a nível estratégico, tático e operacional – para se administrar e tratar o novo banco de dados pessoais segundo os padrões da LGPD.
É recomendado que essa adequação seja feita com o respaldo de assessorias jurídica, tecnológica e de marketing; bem como ser implementada em parceria com colaboradores, diretores, fornecedores, distribuidores e clientes/consumidores, para um alinhamento de todos à nova cultura de política de privacidade.
Veja as regras que as empresas devem adotar:
Identificação e Inventário de dados pessoais: Identificação dos dados (pessoal, sensível, criança, público, anonimizado); dos departamentos; meios (físico ou digital); e operadores internos e externos para mensuração de exposição da empresa à LGPD.
Auditoria sobre o Tratamento: Vinculação das 20 atividades de tratamento de dados (coleta, controle, eliminação etc.) aos princípios gerais previstos no Art. 6º da LGPD, mediante revisão e criação de documentos (contratos, termos, políticas) para uso interno e externo.
Gestão do Consentimento e Anonimização: Controle do consentimento e anonimização para atender possível solicitação do titular e da ANPD.
Gestão dos Pedidos do Titular: Criação de banco de dados para controle dos pedidos dos titulares dos dados (acesso, confirmação, anonimização, consentimento, portabilidade etc.).
Relatório de Impacto: Atendimento à ANPD e demais órgãos do Sistema Nacional de Proteção do Consumidor que poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais.
Segurança dos Dados: Adoção das medidas de segurança da informação aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.
Governança do Tratamento: Criação de regras de boas práticas e de governança que estabeleçam procedimentos, normas de segurança, ações educativas e mitigação de riscos no tratamento de dados pessoais.
Plano de Comunicação – Incidente de Segurança: Comunicação aos órgãos fiscalizatórios (ANPD, Procon, Senacon) e à imprensa sobre incidente de segurança que acarrete risco ou dano.
Validação do término do tratamento: Adoção das providências necessárias à eliminação dos dados tratados e verificação de eventual conservação dos dados com a elaboração de documentos que evidenciem a eliminação.
Certificação: Certificação por auditoria especializada das práticas relacionadas à LGPD.
Data Protection Officer (Encarregado):
Identificação do encarregado (Pessoa Física ou Jurídica) e sua capacitação para exercer as atividades previstas na LGPD.
Fiscalização e penalidades
Para garantir o cumprimento da LGPD pelas empresas e segmentos de todo o país, foi criada a ANPD – Autoridade Nacional de Proteção de Dados -, que tem o poder de fiscalizar e autuar em casos de infrações. As possíveis sanções, nesses casos, são:
- Advertência, com prazo para adoção de medidas corretivas;
- Multa simples, de até 2% do faturamento no seu último exercício, limitada a R$ 50 milhões por infração;
- Multa diária;
- Publicização da infração, após devidamente apurada e confirmada a sua ocorrência;
- Bloqueio dos dados a que se refere a infração até a sua regularização;
- Eliminação dos dados pessoais a que se refere a infração.
É bom frisar que estar em conformidade com a LGPD é um cuidado necessário para se evitar penalidades administrativas, processos judiciais e desgastes na imagem pública da empresa. Dessa forma, no caso de vazamento de dados a empresa deverá informar a ANPD e os titulares afetados.
LGPD e o Setor Supermercadista
Vimos até aqui que as novas regras impostas pela LGPD impactam diretamente na gestão do setor supermercadista. Isso porque a administração dessas empresas, de pequeno, médio ou grande porte, já depende fortemente de bancos de dados complexos para o seu bom andamento – seja para compra e venda de produtos; controle de estoques; fornecedores; colaboradores; distribuidores; e-commerce e toda a cadeia de atividades que envolve o negócio no seu todo.
Além disso, e principalmente, os serviços prestados pelo segmento são voltados a um numeroso e volátil público consumidor, atendido ininterruptamente nas suas necessidades básicas de abastecimento. Por isso mesmo, a estrutura de um banco de dados com o cadastro de clientes já é, por si só, de extrema complexidade, importância e relevância.
Posto que é em cima desses dados que os supermercados se debruçam para montar estratégias de venda; conhecer o perfil do seu consumidor e seus hábitos de compra; manter o canal aberto de relacionamento através dos serviços eletrônicos; divulgar promoções; fidelizar clientes; e também ter garantias jurídicas quanto aos pagamentos.
Enfim, o banco de dados pessoais – desde colaboradores, fornecedores até clientes – dos supermercados é uma espinha dorsal do negócio. E reestruturar tudo isso é como mexer em um vespeiro. Não é mesmo fácil, visto as exigências burocráticas da lei e o investimento que tem que ser feito para isso. Mas acredite, pode ser compensador!
As vantagens de se cumprir a lei
O que parece ser um limão, pode na verdade ser uma limonada. Porque ao realizar as adequações legais exigidas pela LGPD – para a formatação de um banco de dados pessoais de forma consistente, documentada e transparente -, os supermercados também irão, sem dúvida, agregar valores às suas empresas.
Nesse sentido, fica clara uma escalada de ganhos nos seguintes termos: de certificação de qualidade nos serviços; de atualização, organização e limpeza nos cadastros da empresa, com o descarte de informações inúteis; de credibilidade junto aos clientes, funcionários e parceiros; de segurança jurídica na operação de dados; de maior competividade no mercado; de conquista de práticas inovadoras; de contribuição social à proteção da privacidade dos cidadãos; enfim, na obtenção de um passaporte carimbado para o futuro.
Futuro esse mais fácil de ser acessado quando já existe, em relação à LGPD, toda uma tecnologia à disposição – com programas de adequação, softwares específicos e plataformas disponíveis -, e a assessoria de profissionais especializados para consultorias no assunto.
Portanto, é só encarar de frente. Porque habilidades, ferramentas e coragem o supermercadista já tem de sobra para vencer mais esse desafio.