Entenda as peculiaridades, os pontos relevantes e as etapas principais para adequar o seu e-commerce aos padrões legais trazidos pela LGPD.
Sumário
Introdução
Desde que a Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor, passou a ser obrigatório que as empresas que tratem dados pessoais se adequem ao novo regramento legal, inclusive aquelas que funcionam em caráter exclusivamente eletrônico como os e-commerces.
A falta de conformidade com a lei pode gerar sérios danos e prejuízos para o negócio, tendo em vista que desde agosto de 2021 as sanções administrativas entraram em vigor em todo o território nacional.
Mas, antes de tudo, precisamos primeiro entender o fundamento desta lei e o seu impacto para o cenário empresarial.
Do que se trata a LGPD
A Lei nº 13.709/18 representa a Lei Geral de Proteção de Dados Pessoais que ficou comumente conhecida apenas pela sigla de LGPD.
Esta lei entrou em vigor no Brasil a partir de setembro de 2020, e teve como forte inspiração a legislação europeia sobre proteção de dados, o General Data Protection Regulation - GDPR.
A LGPD surgiu com o objetivo de ser uma lei geral para tratar sobre questões de privacidade e proteção de dados pessoais, uma vez que o Brasil não possuía uma legislação própria sobre o tema, apenas o Marco Civil da Internet citava algumas informações acerca de dados pessoais, mas não chegava a se aprofundar no tratamento de dados pessoais.
Com essa necessidade de ter um regulamento próprio, assim como a Europa, foi então elaborada a Lei Geral de Proteção de Dados Pessoais que tem como principal objetivo proteger os direitos dos titulares de dados e de trazer um regulamento unificado sobre como deve ocorrer a coleta e o tratamento de dados por parte das empresas e das organizações públicas.
A legislação aborda o assunto de forma detalhada e por isso utiliza algumas terminologias próprias, como:
Titular de dados – toda pessoa natural a quem se referem os dados pessoais que são objeto de tratamento de dados;
Tratamento de dados - toda a operação realizada com os dados pessoais, como: coleta, produção, recepção, classificação, utilização, acesso, armazenamento, eliminação etc.;
Encarregado de Dados – pode também ser sinônimo da sigla de DPO (Data Protection Officer), é a pessoa indicada pelo controlador e pelo operador para atuar como um canal de comunicação entre o controlador, os titulares dos dados e a ANPD;
Bases legais - são as justificativas para que o tratamento possa ocorrer, se não houver uma base legal que justifique a coleta dos dados então o tratamento é ilícito, ou seja, não deve ocorrer;
Controlador - o agente que decide iniciar um tratamento de dados e a quem competem as decisões essenciais a respeito deste tratamento, como a escolha da base legal, o prazo de duração e a escolha de quais dados coletar;
Operador - o agente que realiza o tratamento de dados em nome do controlador;
Dados pessoais - toda informação relacionada a pessoa natural identificada ou identificável;
Dados pessoais sensíveis - dados pessoais sobre origem racial, étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico, político, dado referente à saúde, a vida sexual, dado genético ou biométrico.
Para fiscalizar o cumprimento das determinações e diretrizes elencadas na LGPD, foi criada a Autoridade Nacional de Proteção de Dados - ANPD que além de supervisionar as empresas públicas e privadas, também é o órgão responsável por aplicar as sanções administrativas previstas nos artigos 52 a 54 da legislação.
Há, ainda, outros detalhes relevantes sobre a legislação que você pode entender melhor através deste artigo.
Por ser uma lei relativamente nova no ordenamento jurídico, é sempre recomendável que na contratação do serviço de adequação à LGPD seja priorizado um profissional especialista na área, para prevenir prejuízos ou até mesmo informações equivocadas.
Como deixar o seu e-commerce adequado à LGPD
Para que o seu e-commerce esteja adequado à LGPD é preciso primeiramente contratar o serviço de um profissional da área, seja ele um advogado ou apenas um consultor em proteção de dados.
A segunda etapa trata-se de entender que para uma empresa se manter efetivamente em conformidade com os padrões legais trazidos pela LGPD, é indispensável que se implemente um Programa de Privacidade e Proteção de Dados que, via de regra, possui 05 (cinco) fases essenciais.
Vamos então entender quais são essas fases presentes em um Programa de Adequação.
Primeira fase: treinamento corporativo no e-commerce
A primeira etapa de uma adequação à LGPD é feita através da propagação da importância da LGPD para todo o interno corporativo, de forma que todos os funcionários, independentemente da posição ocupada, possam entender a privacidade e a proteção de dados como um todo.
A parte de incluir toda a equipe corporativa em uma adequação à LGPD possibilita que haja uma maior interação entre os setores, além de que é necessário conhecer a lei para depois trabalhar a favor dela e das suas diretrizes.
Esta etapa pode ser realizada através de treinamentos corporativos, que podem acontecer de forma periódica ou a cada número específico de semanas ou meses.
Como o treinamento conta com a participação de todos, ele é um ótimo aliado para a empresa começar a cultivar uma cultura de proteção de dados de forma interna, aumentar as competências da sua equipe sobre o tema e de buscar capacitar seus colaboradores para diminuir os impactos causados em uma hipótese de incidente de segurança.
Segunda fase: mapeamento de dados
A segunda fase para realizar a adequação no seu e-commerce é feita através de um mapeamento dos dados, ou seja, deve ser analisado e traçado um caminho de forma detalhada sobre quais dados dos usuários o seu site coleta, para qual finalidade, onde eles são armazenados, se são compartilhados com outros setores ou outras empresas (muito comum no caso de fornecedores ou terceirização), além de toda a vida útil do dado pessoal na empresa até a sua efetiva eliminação.
Esta etapa é importante para que seja possível entender se está havendo uma coleta excessiva de dados pelo seu e-commerce, além de ser possível verificar se há realmente justificativa para cada coleta de dados pessoais.
Falamos de dados coletados em excesso quando os dados não possuem uma justificativa e uma necessidade de estarem armazenados no banco de dados da empresa. A LGPD elenca em seu artigo 6º todos os princípios que devem fundamentar as atividades de tratamento de dados e, entre eles, temos os princípios da finalidade, da adequação e da necessidade, que são fundamentais para caracterizarmos um caso de coleta de dados em excesso.
O grande problema em coletar dados em excessos é que esses dados podem se transformar em um grande arquivo tóxico para a empresa futuramente, principalmente se estivermos diante de uma hipótese de incidente de segurança.
Além disso, também é extremamente importante realizar o mapeamento de dados e verificar se todos os princípios elencados pela LGPD estão sendo realmente cumpridos, inclusive para que depois seja definida uma base legal para cada atividade de tratamento realizada pelo e-commerce.
Não havendo uma base legal que se adeque a atividade de tratamento realizada pela empresa, muito provavelmente estamos diante de uma finalidade que não acompanha os padrões legais, portanto o tratamento deve ser interrompido por ter a característica de ilicitude.
Inclusive, se tratando de bases legais é extremamente relevante que quando o e-commerce utilizar a base legal do consentimento para o tratamento de dados pessoais, que este fornecimento e coleta do consentimento possa ser feito de uma forma em que seja possível registrar essa ação, que ela fique armazenada dentro do banco de dados do provedor do site, além de que seja possível ao titular entrar em contato com a empresa, ou o seu Encarregado de Dados, para solicitar a revogação do seu consentimento quando assim o desejar.
Outra parte extremamente relevante nesta etapa do mapeamento de dados é a de verificar a categoria dos dados que estão sendo coletados, lembrando-se sempre que existem 3 (três) categorias diferentes de dados pessoais: dados pessoais comuns ou cadastrais, dados pessoais sensíveis e dados pessoais de crianças ou adolescentes. Para cada categoria de dados pessoais deve ser feito um procedimento diferente e específico, definido na própria LGPD.
A vida útil dos dados coletados também é relevante, uma vez que a LGPD proíbe o tratamento de dados sem que haja um prazo determinado de duração, não podendo ser permanente com a justificativa de um evento que seja futuro e incerto. Por exemplo: coletar determinados dados pessoais com a justificativa de que quando a empresa for realizar o recrutamento de RH já tenha esses dados em seu banco de dados.
A empresa só pode realizar tal coleta utilizando esta justificativa quando o recrutamento for um evento concreto, real. A mera hipótese de algo não serve como fundamento e não é vista como adequada perante à LGPD por não cumprir o princípio da necessidade, tendo em vista que segundo a legislação os dados coletados devem se limitar naqueles estritamente necessários para o cumprimento da finalidade da atividade de tratamento.
Terceira fase: análise de conformidade e análise de riscos
É possível perceber que todas as informações mapeadas em um primeiro momento serão utilizadas para verificar o nível de conformidade do e-commerce com os padrões legais exigidos.
Esta atividade de verificar o que está em conformidade, apontar o que está em desconformidade e apresentar possíveis soluções para adequar cada atividade de tratamento com o que determina a LGPD, é chamada de análise de conformidade e tem como objetivo verificar todas as inadequações da empresa.
Já a análise de riscos é voltada em determinar todas as atividades de tratamento que possam impactar significativamente os titulares dos dados, portanto o foco é em verificar os riscos de determinados tratamentos de dados, apontar possíveis mitigações ou soluções que possam eliminá-los e a depender do seu impacto como, por exemplo, riscos aos direitos e garantias individuais do titular, deverá então ser elaborado um Relatório de Impacto à Proteção de Dados (RIPD) pelo profissional responsável.
É durante esta fase que será feita uma análise de como o e-commerce lida e trata realmente os dados pessoais, sempre comparando a realidade da empresa com as exigências trazidas pela LGPD.
Precisamos diferenciar que na análise de conformidade o foco é em analisar as inadequações da empresa que podem, posteriormente, trazer riscos ao próprio e-commerce e/ou aos titulares. Já na análise de riscos o foco é somente voltado aos titulares, sequer mencionando o impacto no negócio.
A depender do e-commerce serão verificados todos os seus meios de tratamento de dados, isso quer dizer o site, a plataforma de hospedagem, o aplicativo (se for o caso), o uso de softwares e automações (se for o caso também).
É necessário que seja avaliado o e-commerce como um todo, para que para cada desconformidade, inadequação, ou riscos aos titulares, seja ao menos proposta uma solução mitigatória ou de eliminação pelo profissional responsável.
Quarta fase: implementação
Após esta etapa, inicia-se uma quarta fase que correspondente ao momento de elaborar os documentos necessários para comprovar a adequação, tornar as informações públicas para os usuários que visitam a plataforma do e-commerce, bem como para que seus clientes e parceiros saibam como os dados serão coletados e quais exigências precisarão cumprir a partir deste momento.
Nesta etapa estamos falando da elaboração dos documentos entregáveis, como: a Política de Privacidade, o Aviso de Privacidade, os Termos de Uso, a Política de Cookies, o Termo de Coleta e Descarte dos Dados, o Código de Boas Práticas, o Registro das Operações de Dados Pessoais (ROPA), entre outros necessários.
Estes documentos precisam ser elaborados de forma cuidadosa e particular para que tanto o usuário quanto o consumidor tenham total conhecimento como os seus dados estão sendo tratados, por isso nesta etapa evidenciamos muito o princípio da transparência com o princípio do livre acesso para os titulares dos dados.
Já as exigências se justificam pela ótica da adequação em cascata, ou pelo efeito dominó trazido pela própria adequação da empresa. Ou seja, um e-commerce que se empenhou em implementar um Programa de Privacidade e Proteção de Dados, que efetivamente entendeu a importância da LGPD e o quanto os dados pessoais e a sua proteção impactam no seu negócio, não vai querer, de forma alguma, manter relações comerciais com parceiros, fornecedores e terceirizados que também não estejam no mesmo nível de conformidade.
Para além do simples efeito cascata do querer, a própria LGPD impõe que a responsabilidade civil entre o controlador e o operador é solidária, conforme se verifica da leitura do artigo 42. Assim, não há por quê um e-commerce em adequação se arriscar juridicamente em manter relações comerciais com quem não esteja também em conformidade.
Quinta fase: monitoramento
Após concluída todas as fases anteriores chega o momento de finalizar o serviço da adequação pelo profissional de proteção de dados, mas a obrigação do e-commerce em manter o Programa de Privacidade em pleno funcionamento se mantém.
Isso significa que o trabalho exercido pelo profissional possui um prazo de duração, mas o mesmo não se aplica ao Programa de Privacidade implementado, isto é, o Programa continua funcionando e deve ser monitorado pela empresa periodicamente, para que ajustes necessários sejam feitos a depender das mudanças realizadas pelo negócio: nova atividade de tratamento, nova contratação de parceiro, nova equipe de colaboradores etc.
Banco de dados de e-commerce: pontos relevantes
Quando falamos de banco de dados precisamos ficar atentos, mas se tratando de e-commerce a atenção precisa ser redobrada, tendo em vista se tratar de dados armazenados de forma digital.
Para conceituar, o banco de dados representa a estrutura onde os dados pessoais ficam armazenados, podendo ser em suporte eletrônico ou físico. No caso dos e-commerce estamos diante de um banco de dados eletrônico.
Como o banco de dados passa a conter informações pessoais de cada titular, fica evidente a necessidade de áreas como: segurança da informação, tecnologia da informação e o compliance digital.
O banco de dados do e-commerce deve ser o mais seguro possível de invasões onlines, principalmente as mais recentes como ataques de ransomware, phishing ou pharming.
Além disso, o acesso ao banco de dados deve ser controlado mediante senha, e só deve haver autorização de acesso para aquele profissional que precise realmente ter contato com tais informações, tendo em vista a própria necessidade em desempenhar a sua função ou trabalho.
Do contrário permanece a regra de que há hierarquia no acesso ao banco de dados e as informações coletadas e armazenadas pelo e-commerce, inclusive sendo esta uma forma de mitigação de riscos para evitar prejuízos de forma intencional, ou para prevenir possíveis incidentes de segurança como acesso não autorizado e vazamento de dados.
Com relação ao banco de dados, também se torna necessário fazer uma análise dos principais riscos que aquele armazenamento pode trazer para a empresa, seja porque o seu local de armazenamento é inadequado, seja pelo excesso de informações ali contidas ou, até mesmo, pelo suporte utilizado como, por exemplo, a utilização de software que não segue os padrões exigidos pela LGPD no tocante à proteção de dados e requisitos mínimos de segurança e confidencialidade.
De qualquer forma, torna-se relevante elaborar um Plano de Ação para caso de incidente de segurança, para que de uma forma mais rápida e consistente a empresa e seus funcionários saibam como agir nestes momentos delicados. É pela análise do banco de dados que se é possível elaborar procedimentos sobre o que deve ser feito e por quem em casos urgentes e imediatos.
Sanções administrativas da LGPD
Para o e-commerce que não estiver adequado à LGPD as sanções administrativas são aplicadas assim como no caso das empresas físicas.
As sanções estão dispostas nos artigos 52 a 54 da legislação e preveem advertências com prazo para adoção das medidas corretivas, mas também a aplicação de multa diária até o montante de 2% do faturamento da empresa, limitada no total de R$ 50 milhões de reais por infração cometida, a necessidade de publicização da infração após a confirmação da sua ocorrência, além da possibilidade de bloqueio ou eliminação dos dados pessoais, podendo chegar até mesmo na suspensão do exercício de atividades de tratamento de dados.
A ANPD já se manifestou no sentido que não pretende instaurar no Brasil uma cultura de “indústria de multas”, portanto as sanções são aplicadas gradativamente indo das mais brandas até as mais severas.
Além disso, é importante ressaltar que a aplicação das sanções administrativas pela ANPD não exclui outras responsabilizações que podem surgir. Neste caso temos os órgãos de defesa do consumidor, como o Procon, a atuação ativa do Ministério Público, além da aplicação do Código Civil e de outras legislações correlatas ao tema.
Disposições finais
Estas são pontuações relevantes sobre como deve ser a adequação de um e-commerce em relação à LGPD. Sempre se atente ao fato de que um Programa de Privacidade e Proteção de Dados é feito por etapas e cada uma delas possui uma justificativa para ocorrer e possui funções já delimitadas.
Atualmente a adequação à LGPD tem perdido o seu caráter de diferencial, para ocupar agora um viés de urgência, sobretudo porque as sanções administrativas já estão sendo aplicadas e os titulares de dados já estão atentos com relação a isso, inclusive já havendo denúncias diretas no próprio órgão fiscalizador – a ANPD.
Por isso, sempre recomendamos que para ter uma maior segurança jurídica ao adequar o seu e-commerce à LGPD que busque sempre o serviço de um profissional qualificado na área.
━━━
Este conteúdo foi útil para você? Então não esqueça de clicar no ❤.
Ainda ficou com alguma dúvida? Entre em contato conosco através do e-mail: contato@taiscastro.adv.br.
Taís Castro - Advogada e Consultora em Proteção de Dados.
Comments