LGPD em e-commerce: conheça as leis e saiba como se adequar
A Lei Geral de Proteção de Dados foi criada em 2018 e entrou em vigor em 2020, trazendo uma mudança de paradigma em como as empresas coletam, administram, armazenam e interpretam os dados dos seus clientes. Com o desenvolvimento da tecnologia e o uso de dados para venda de produtos online ou publicidade na internet, a justiça passou a se preocupar nas práticas de coleta e o tratamento de dados quando um cliente se cadastra em uma loja física ou virtual, e entender e se adequar a essa lei é vital para a sobrevivência do seu e-commerce.
O que é LGPD?
Até o ano de 2018, o Brasil não tinha disposições sobre os cuidados e segurança necessários para a coleta de dados, que, desde a revolução digital, se tornaram cada vez mais importantes nas relações entre empresas e clientes, assim como parte vital das estratégias de marketing digital.
A lei entrou em vigor em setembro de 2020 impondo diversos ajustes para lojas físicas e virtuais, regulamentando o tratamento de dados pessoais por empresas públicas e privadas e estabelecendo regras para a proteção desses dados – que podem vir de clientes, fornecedores e funcionários da empresa. Em resumo, a lógica da lei é que todo o dado coletado pela empresa é colocado “sob a guarda” dessa empresa, que tem o dever de administrá-lo respeitando o direito à privacidade da pessoa que o forneceu.
O objetivo desta lei é trazer segurança e transparência do tratamento dos dados pessoais fornecidos por pessoas para empresas. Hoje, os dados valem muito dinheiro – há quem afirme que são mais valiosos do que petróleo! – e são coletados o tempo todo. Por exemplo: quando você faz um cadastro em uma farmácia, seus dados podem ser usados por aquela farmácia para refinar o que ela sabe sobre você (como jornada de compra e preferências, ajustando assim as ofertas), mas também se tornam parte do valor e do portfólio de bens daquela empresa, e, até a LGPD, eles poderiam ser vendidos para outras empresas sem implicações legais claras.
A partir da lei, torna-se extremamente importante que as empresas informem ao cliente o motivo pelo qual precisam coletar esses dados e listem todos os usos possíveis das informações do cliente. A LGPD apresenta disposições sobre dados pessoais (nome, idade, endereço); dados sensíveis (como religião, orientação afetiva, ou ideologias); dados anonimizados, do que deve ser feito com os dados fornecidos pelos clientes. A lei tem o intuito de proteger os direitos à liberdade e privacidade na internet.
Como funciona a LGPD nas empresas?
Quando dizemos que essa lei regulamenta o uso de dados pessoais, isso significa que ela dispõe sobre as seguintes ações: coleta de dados em mídia física e virtual; uso de dados; classificação de dados; administração e manutenção do banco de dados da empresa; processamento de dados; correção de dados; transmissão de dados; transferência de dados e exclusão de dados.
Desde o momento em que a empresa coleta dados até a forma que ela opta por excluí-los pode ser um risco para o cliente que os forneceu, e, por conta disso, de responsabilidade da empresa.
A lei prevê que a coleta de dados só pode ocorrer com o consentimento do cliente e que a empresa deve deixar claro ao consumidor os efeitos de quaisquer medidas adotadas, inclusive do uso de inteligência artificial. Caso as empresas não cumpram as regulamentações legais, dependendo do acordo, elas enfrentam penalidades que variam dependendo da gravidade da infração. As sanções administrativas previstas na LGPD variam desde uma advertência até multa no valor de até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração.
E para quais empresas a LGPD se aplica?
Em princípio, todas as empresas que recolhem e tratam dados pessoais devem estar sujeitas à lei. Isso vale desde o mercadinho de bairro que faz uma lista de transmissão com os telefones dos clientes, até as multinacionais que aplicam cookies nos websites para entender o comportamento do cliente nas suas páginas, passando por laboratórios e consultórios médicos que guardam informações de saúde dos clientes, ou varejos que possuem clubes de vantagens associados ao CPF de cada pessoa. Todas as empresas que coletam e usam dados pessoais para fins comerciais, que processam esses dados coletados nacionalmente; e também empresas que oferecem processamento de dados no Brasil precisam se adequar à lei.
Dados da consultoria ICTS Protiviti no site da LGPD Brasil demonstram que o país ainda não está totalmente adaptado à LGPD. 84% das empresas brasileiras ainda precisam cumprir as regras de LGPD. Atualmente, as mais adaptadas são as do setor financeiro, onde 31,8% das empresas estão em conformidade. Em segundo lugar, o setor de serviços com 19,6% e o comércio varejista com 17,9% em último lugar. A média nacional foi de 5,2%.
O que é LGPD no marketing digital?
Uma vez que a lei decide o que pode e o que não pode ser usado em relação ao uso de informações pessoais fornecidas pelos clientes e prevê penalidades por não conformidade, ela mexe no cerne das estratégias da gestão de e-commerce e marketing digital.
Em meio à crescente transformação digital e aumento significativo do e-commerce no país, muitas lojas, sejam pequenas ou grandes, estão coletando dados dos seus clientes como CPF, dados de pagamento, endereço e preferências em geral. Vale destacar que a LGPD foi sancionada no ano de início da pandemia de Covid, trazendo consigo inúmeras mudanças para o comércio em todas as suas esferas e, talvez o mais importante, a transformação digital do comércio. De acordo com uma pesquisa realizada pelo PayPal em colaboração com a BigData Corp, havia mais de 1,3 milhão de lojas virtuais no país somente em 2020. Nesse contexto, os dados são a base para apoiar o marketing digital, monitorando o caminho e o perfil de compra do consumidor. Por isso, não é uma opção estar alheio às disposiçõe da LGPD. Sugerimos que primeiro você leia e conheça a lei, e comece com os seguintes passos:
Passos para começar a aplicar a LGPD no seu e-commerce
Começar a aplicar a LGPD em seu e-commerce é menos complicado do que parece. Reunimos, aqui no blog da Kangu, um passo a passo para te ajudar.
1. Peça a permissão do cliente
Sempre que for colher dados, peça o consentimento expresso do usuário, garantindo que as informações não serão divulgadas e que o cliente terá meios de excluir esses dados pessoais se assim preferir. O Marco Civil da Internet também responsabiliza o e-commerce pela aplicação das políticas de privacidade. O cliente deve receber informações sobre seus direitos e garantias, tudo por meio de regras que regulam o procedimento dos dados coletados durante o cadastro.
Você já deve ter visto exemplos disso, como por exemplo, uma janela de call-to-action solicitando o consentimento do usuário para a coleta de dados, junto à política de privacidade daquele site (que muita gente não tem paciência de ler, mas que deve ser elaborada e fornecida, impreterivelmente). Sabe aquela caixinha que agora aparece em todo site e pergunta se você aceita cookies? Cookies são pequenos arquivos de texto que são armazenados por um site no computador ou dispositivo móvel do usuário quando ele acessa o site. Eles ajudam a lembrar as ações e preferências do usuário (por exemplo, login, tamanho da fonte, idioma etc.). Não se esqueça de inserir esta mensagem na coleta de cookies na página inicial do seu e-commerce, no momento em que você solicita o consentimento do usuário.
É importante incluir o pedido de autorização de uso na jornada do cliente e que seja claro, simples e acessível. E não se esqueça que os “Termos de Uso” oferecem proteção máxima para o processamento legal de dados. Para criar seus termos de uso e política de privacidade vale consultar um advogado, assim como para realizar a auditoria da administração desses dados.
2. Verifique os cadastros de cliente que você tem periodicamente.
A principal forma de coleta de dados no e-commerce é o cadastro de clientes. Analise seus formulários e questione se todos os itens são realmente necessários, item por item. Cada dado que você colhe precisa ser obviamente útil para o seu negócio, caso contrário, é mais um dado que você precisa administrar e proteger – e isso custa dinheiro.
É muito importante que não haja coleta excessiva de dados pessoais do cliente. Recolher apenas o necessário para a venda, respeitando o princípio de minimização de dados da nova lei. Enxugar os dados que você coleta também pode facilitar o passo um, conseguir o consentimento do cliente, uma vez que ele se sente mais seguro de estar oferecendo poucas informações.
3. Seja transparente quanto ao uso de dados para terceiros.
Outra relação entre a LGPD e o e-commerce envolve o compartilhamento de informações pessoais com terceiros, como afiliados da sua loja virtual ou parceiros. A empresa deve ser o mais transparente possível sobre isso, pois os titulares dos dados devem consentir com a transferência de seus dados pessoais para terceiros – e, para dar esse consentimento, devem receber uma explicação de como e por que isso acontece.
Se a loja online terceirizar o serviço de e-mail marketing para outra empresa, isso configurará o compartilhamento de dados, da mesma forma se você contrata um telemarketing, ou qualquer outra empresa que receberá parte do seu banco de dados ou simplesmente terá acesso a ele. Quando você compartilha informações com terceiros, seu e-commerce permanece responsável por esses dados. Por esse motivo, antes de fechar contrato com qualquer fornecedor, é necessário checar se ele está em conformidade com a LGPD.
4. Aumente a segurança dos seus dados de e-commerce.
O ideal é nomear um profissional responsável por Proteção de Dados que seja especializado nessa tecnologia e em manter rotinas de checagem e reciclagem tecnológica que permitam que sua empresa esteja sempre em dia com a segurança de dados. Ele deve comunicar às autoridades fiscalizadoras dos órgãos e tratar de eventuais acidentes ou preocupações de colaboradores, clientes e consumidores.
A correta atribuição dos dados pessoais e sensíveis presentes em toda a infraestrutura de TI do e-commerce – ou nas bases de dados, servidores, estações de trabalho e canais de comunicação entre colaboradores e clientes – deve ocorrer de forma a identificar lacunas na proteção de dados. Isso ajuda a entender quais dados são usados, a finalidade e a base legal desse processamento. Invista em ferramentas de monitoramento de dados para prevenir incidentes e antecipar possíveis problemas.
5. Defina como o cliente revoga a autorização de uso e qual é o tempo para solicitação de dados.
O cliente pode, a qualquer momento, pedir para que seus dados sejam excluídos do seu banco de dados e também pode, a qualquer momento, solicitar dados sobre a sua administração dos dados dele. A LGPD também afirma que, ao solicitar informações sobre o tratamento de seus dados pessoais, é estabelecido um prazo dentro do qual as empresas devem fornecer essas informações ao cliente. Portanto, é importante que o comércio eletrônico mantenha registros para agilizar esse processo caso um cliente solicite essas informações.
Uma dica importante para ajudar nessa tarefa é criar um mapa de dados, pois permite ao gestor de dados identificar facilmente os dados utilizados e as categorias em que se enquadram, além de simplificar os processos existentes. O responsável pelo tratamento deve comunicar o seu nome e contatos no site para se colocar à disposição dos clientes para que estes possam receber informação sobre o tratamento dos seus dados pessoais. Desta forma o e-commerce tem um prazo de 15 dias para devolver o pedido.
É ideal que a loja crie logs e prepare a equipe de suporte para situações em que o cliente queira verificar seus dados, apagá-los ou tirar dúvidas sobre como eles estão sendo administrados.
O seu e-commerce só tem a ganhar se colocando em conformidade com a LGPD. Além de cumprir a lei, você fornece garantias para a segurança do seu cliente e demonstra respeito com a sua privacidade e com os seus dados. Segurança é importantíssimo quando decidimos investir nosso dinheiro em um produto ou serviço, e a LGPD vem para colocar as bases do que é a segurança de dados e demonstra para o consumidor que comprar pela internet é, sim, seguro. Os benefícios da LGPD são para o cliente e também para a empresa, que se certifica como confiável e cria um ambiente mais saudável no mercado.
