Série LGPD: o cenário no Varejo
O Varejo é o primeiro a ser abordado na Série LGPD Aplicada por setores da economia, que se inicia hoje. Todos estão preocupados, alguns mercados mais do que outros, em razão do escopo de suas atuações e do nível de dependência dos dados dos clientes.
Assim, vou procurar tratar a Lei Geral de Proteção de Dados 13.709/2018 e 13.853/2019 (LGPD) de acordo com as preocupações mais importantes de cada segmento. Afinal, todos deverão estar preparados e em conformidade a partir de agosto de 2020.
Há dúvidas que ainda estão tirando o sono de departamentos jurídicos e de TI de empresas de variados setores da economia. Entre elas, como definir objetivamente o que é dado pessoal? De que maneira melhor informar as finalidades de tratamentos para os titulares que precisa ser clara e objetiva? Como capturar o consentimento expresso e gerar o registro adequado (evidência)? Como garantir o apagamento do dado pessoal e sua comprovação perante o consumidor?
Imagine essas questões no dia a dia do varejo? Como ficar restrito justo da matéria-prima que possibilita desenhar um atendimento personalizado, uma importante arma de atração?
Todos sabemos que dados são a alma dos negócios, ainda mais quando o assunto envolve o lema do comércio que é “conheça o seu cliente”. Quanto mais se sabe sobre o consumidor maior a chance de fidelização. O e-commerce, que acena com uma projeção de vendas perto de R$ 80 bilhões para este ano, segundo a Associação Brasileira de Comércio Eletrônico (ABComm), não depende mais apenas do consumidor para preencher um cadastro com seus dados pessoais e assim efetivar as vendas. Já faz uso de uma série de ferramentas que usam tecnologias digitais mais avançadas para conhecer os hábitos e comportamentos do cliente, que vão desde analisar a navegação de internet até o reconhecimento facial.
Mas como continuar a utilizar tudo isso agora com a nova lei de proteção de dados pessoais? Como aplicar todas as exigências da nova regulamentação e ainda assim preservar a boa experiência do usuário para evitar ruídos na relação seja ela do balcão virtual ao PDV?
Uma coisa é certa, o Varejo está correndo contra o relógio, pois precisa ajustar a sua documentação o quanto antes para capturar o consentimento na nova política de Privacidade e Proteção de Dados Pessoais tomando proveito das oportunidades de interação com os clientes e evitando aumentar o legado da base de dados que não está em conformidade com a LGPD. Ou seja, cada novo cadastro, cada nova venda, aquele cliente já deveria ser informado sobre como os dados pessoais são protegidos, se há compartilhamento com terceiros, se há internacionalização, para quais finalidades são tratados e quais são os direitos dos titulares.
O Varejo está correndo contra o relógio, pois precisa ajustar a sua documentação o quanto antes para capturar o consentimento na nova política de Privacidade e Proteção de Dados Pessoais
É isso que tem de ser tratado em linha com as exigências da LGPD, em que o consumidor estará mais empoderado sobre a utilização dos seus dados pessoais e terá direito a solicitar revogação de consentimento, apagamento e portabilidade. E terá de saber como eles estão sendo tratados e para quais objetivos. Também é ele quem poderá exigir que esses dados sejam deletados. E como comprovar essa ação? Certamente será uma mudança contundente na cultura e na governança dos dados pessoais nas empresas de Varejo.
E isso vale não somente para os ambientes virtuais, mas também para estabelecimentos físicos que coletam dados dos seus clientes. Sendo assim, irá exigir, portanto, uma adequação não somente tecnológica, mas estratégica de cada negócio. A conformidade exige muito além de implantação de antivírus ou firewall.
Deve-se pensar sobre onde colocar a informação para cumprir com o princípio da transparência, e assim evitar as elevadas multas previstas pela LGPD. Será que uma placa de aviso atrás do balcão do atendente é o suficiente? Ter um script para o atendente, ter uma testeira com QR Code de acesso à Política também podem ajudar para visualização no ambiente de loja. E quem lida mais com o público de aposentados, como gerar as evidências? Talvez ter uma versão impressa para consulta no balcão como se faz com o CDC?
Por certo, aquele que fornecer um software para o Varejo que possa além de pedir o CPF também solicitar ‘digite 1’ para dar o consentimento vai ajudar muito nesse registro de prova tão necessário.
A tecnologia é o meio que irá viabilizar a implementação das novas regras. Terão de se unir nessa jornada profissionais das áreas jurídica e de TI e, muitas vezes, uma alternativa, para que a companhia agilize o processo de conformidade e foque no negócio, é contar com Regtechs, startups que ajudam empresas públicas e privadas a se protegerem dos custos com multas e riscos de conformidade em várias exigências regulatórias.
A tecnologia é o meio que irá viabilizar a implementação das novas regras. Terão de se unir nessa jornada profissionais das áreas jurídica e de TI e, muitas vezes, uma alternativa, para que a companhia agilize o processo de conformidade e foque no negócio, é contar com Regtechs
Nesse novo desenho, há que se criar guardiões dos dados, apoiados em uma nova governança. Quem serão? CIOs? DPOs? É um movimento crítico, pois, afinal, a empresa que tem a posse dos dados dos seus clientes, por diferentes meios, sites de e-commerce, lojas físicas, mídias sociais, são responsáveis pela forma como vão tratar esses dados pessoais e sensíveis.
Dor no bolso e na sobrevivência
A violação das exigências da LGPD pode sair caro, não só no bolso, como na reputação, muitas vezes irrecuperável. No setor de Varejo, essas adequações são críticas, porque esses dados são necessários para efetivar as vendas.
A lei prevê a aplicação de multa de até 2% do faturamento anual da empresa, limitada a R$ 50 milhões por cada infração cometida. Assim, é muito importante estar em linha com o armazenamento adequados desses dados, e estar pronto para passá-los aos clientes, caso os solicitem, em até 15 dias, entre outras regras.
Na Europa, onde a lei de proteção de dados, que está mais amadurecida por ter entrado em vigor em maio do ano passado, o Regulamento Geral de Proteção de dados (GPDR, na sigla em inglês), pode afetar empresas e usuários que interagem com o continente europeu. E vem avançando.
Recentemente, seguindo as suas exigências, a Suprema Corte da União Europeia tomou a seguinte decisão: sites que usam plugins do Facebook serão corresponsáveis juntamente com a rede social pela transferência de dados das pessoas.
Assim, o que vai rolar daqui para frente na Europa é que todos os sites que transmitem dados sobre seus cidadãos de volta ao Facebook e outras redes sociais, mesmo pelo botão “curtir” e outros plugins, precisam obter permissão explícita da pessoa, que deve dar o seu consentimento para que os dados sejam coletados.
De acordo com o site CNET, “o tribunal estava analisando o caso da Fashion ID, uma varejista alemã de roupas on-line, que tinha o plug-in do botão ‘curtir’ instalado em seu site. Os dados dos visitantes do site estavam sendo transferidos de volta para o Facebook sem o seu conhecimento, mesmo que eles não tivessem clicado no botão ou não fossem membros da rede social, segundo a corte”.
Então, o Tribunal de Justiça da União Europeia decidiu que a Fashion ID e outros sites como ele não podem ser responsáveis pelo o que acontece com os dados depois de serem passados para o Facebook, mas são responsáveis por "operações envolvendo a coleta e divulgação por transmissão para o Facebook ". Portanto, todo o cuidado é pouco com o uso dos dados, e estar em conformidade é um movimento urgente e constante.
O próximo capítulo da Série LGPD Aplicada irá abordar o setor de Saúde. Aguardem!
*Patricia Peck é advogada especialista em Direito Digital e Proteção de Dados
English version
LGPD Series: The Retail Scenario
Retail is the first sector to be addressed in the LGPD Series Applied by Economic Sector starting today. Everyone is concerned about this topic, some markets more than others. This happens because of the scope of their actions and the level of dependence on customer data.
I will seek to address the Brazilian General Data Protection Act 13.709 / 2018 and 13.853 / 2019 (Lei Geral de Proteção de Dados - LGPD) according to the most important concerns of each segment. After all, everyone should be prepared and in compliance by August 2020.
Some concerns are keeping awake professionals in the legal and IT departments. Among them, how to objectively define what is given personally? How to inform the treatment purposes for the owners that need to be clear and objective? How to capture express consent and generate proper records (evidence)? How to ensure the deletion of personal data and its proof before the consumer?
Imagine these questions in Retail? How to stay tightly restricted from the raw materials that make it possible to design personalized service, an important weapon of attraction?
We all know that data is a business’ soul, especially when it comes to the "know your customer" trade motto. The more you know about the consumer, the greater the chance of customer loyalty. E-commerce, which beckons a projected sales of around R$ 80 billion for this year, according to the Brazilian Association of Electronic Commerce (ABComm), no longer depends only on the consumer to fill out a register with their data and thus make it effective. Sales. It already uses a range of tools that use the most advanced digital technologies to understand customer habits and behaviors, ranging from analyzing internet browsing to facial recognition.
But how to continue to use it all now with the new personal data protection law? How to apply all the requirements of the new regulation while preserving the good user experience to avoid noise in the relationship between the virtual desk and the POS?
One thing is for sure: Retail is ticking the clock because it needs to adjust its documentation as soon as possible to capture consent in the new Privacy and Personal Data Protection policy by taking advantage of customer interaction opportunities and avoiding increasing legacy database that is not LGPD compliant. This means each new registration, each new sale, customers should already be informed about how personal data is protected, if there is sharing with third parties, if there is internationalization, for what purposes are treated and what are the rights of the holders.
This is what needs to be addressed in line with LGPD requirements, where consumers will be more empowered about the use of their data and will be entitled to request consent revocation, deletion, and portability. And user will need to know how data are being treated and for what purposes. It is also the customer who may require this data to be deleted. And how to prove this action? It will certainly be a dramatic change in the culture and governance of personal data in Retail businesses.
And this is true not only for virtual environments but also for physical establishments that collect data from their customers. Therefore, it will require, not only a technological but a strategic adaptation of each business. Compliance requires far beyond antivirus or firewall deployment.
One must think about where to put the information to comply with the principle of transparency, and thus avoid the high penalties provided by the LGPD. Is a warning sign behind the clerk's desk enough? Having a script for the attendant, having a QR Code brow for Policy access can also help for viewing in the store environment. And who deals more with retirees, how to generate the evidence? Maybe have a print version for the counter consultation as with CDC?
Of course, anyone who provides Retail software that may not only ask for the Brazilian document but also ask for 'enter 1' to give consent will greatly assist in this much-needed evidence record.
Technology is the means that will enable new rules implementation. Professionals from the legal and IT fields will have to come together on this journey and often an alternative for the company to streamline the compliance process and focus on the business is Regtechs, startups who help public and private companies protect themselves, fines costs and compliance risks in various regulatory requirements.
In this new design, data guardians must be created, supported by new governance. But who? CIOs? DPOs? This is a critical move because, after all, the company that owns its customers' data, through different means, e-commerce sites, physical stores, social media, is responsible for how they will treat this personal and sensitive data.
Survival
Violation of LGPD requirements can be costly, not only in your pocket but in your often unrecoverable reputation. In the Retail industry, these adjustments are critical because this data is required to effect sales.
The law provides for a fine of up to 2% of the company's annual revenue, limited to $ 50 million for each offense committed. It is therefore very important to be in line with the proper storage of this data and be ready to pass it on to customers if they request it within 15 days, among other rules.
In Europe, where the data protection law, which is most mature in force in May last year, the General Data Protection Regulation (GPDR) may affect companies and users who interact with the European continent. And it has been advancing.
Recently, following its demands, the EU Supreme Court has made the following decision: web sites that use Facebook plugins will be co-responsible with the social network for the transfer of people's data.
So what's going to happen going forward in Europe is that all sites that transmit data about their citizens back to Facebook and other social networks, even via the like button and other plugins, need to get explicit permission from the person, who must give your consent for the data to be collected.
According to CNET, “The court was looking at the case of Fashion ID, a German online clothing retailer, which had the Like button plugin installed on its website. The data of visitors to the website was being transferred back to Facebook without their knowledge, even if they hadn't clicked the button or weren't members of the social network, the court found.”
So the European Court of Justice ruled that Fashion ID and other sites like it cannot be responsible for what happens to the data after it is passed to Facebook, but are responsible for "transactions involving the collection and disclosure by broadcast to Facebook ". Therefore, any little care should be taken with the use of data, and compliance is an urgent and constant move.
The next chapter of the LGPD Series will address the Healthcare sector.
*Patricia Peck is a lawyer specializing in Digital Law and Data Protection
Ouvidoria| Customer Experience| Customer Service |
2 aPriscila Costa Dario
Innovation | Process Improvement | Product Management | Project Management
4 aJohny Wellington A.
Executiva de negócios sênior
4 aIla Moreira
Gerente Jurídica | Gestão Jurídica | Coordenação Jurídica | Jurídico Interno | Advogada Corporativa Generalista | Direito Civil e Processual Civil
5 aExcelente matéria! Patricia Peck Pinheiro, PhD
DPO Certified | GRC Certified | CCSA Certified | CISO Cetified | LGPD | Contratações Públicas e Transparência | Auditor de TI | Mestrando em Ger. de Projetos | Pós-graduando em Privacidade e Prot. Dados Pessoais
5 aPrezada Patrícia, parabéns pela iniciativa! Gostaria que você também abordasse o impacto da LGPD com a transparência pública da LAI. Seria muito interessante l!