A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, estabeleceu um novo paradigma para a proteção de dados pessoais no Brasil, impondo obrigações específicas para empresas que tratam dados pessoais, incluindo aquelas que operam no setor de e-commerce.
Ao mesmo tempo em que a norma prevê fundamentos e princípios que devem ser observados por todas as empresa, traz regras gerais que precisam ser interpretadas e aplicadas conforme a operação de cada uma, observadas as peculiaridades da operação.
O que se deve levar em consideração, então, quando se trata de empresas que exploram o setor de e-commerce? Quais os cuidados que uma empresa deve adotar para garantir a conformidade com a legislação ao comercializar produtos e serviços pela internet, e quais as penalidades associadas à violação legal, como nos incidentes de vazamento de dados, por exemplo?
PRINCÍPIOS FUNDAMENTAIS DA LGPD
A LGPD se baseia em uma série de princípios que devem orientar o tratamento de dados pessoais. Isso vale para toda e qualquer empresa que trate dados de pessoas físicas, ainda que esse tratamento implique, apenas, acesso a esses dados.
Seguir os princípios abaixo representa caminho seguro para o e-commerce:
– Finalidade: Tratar dados somente para propósitos legítimos, explícitos e informados ao titular.
– Adequação e necessidade: Limitar o tratamento ao mínimo necessário para alcançar suas finalidades.
– Livre Acesso: Garantir aos titulares de dados fácil e gratuito acesso à forma e duração do tratamento, assim como à integralidade de seus dados pessoais.
– Transparência: Garantir informações claras, precisas e facilmente acessíveis sobre o tratamento e seus agentes.
– Segurança: Utilizar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
CUIDADOS ESSENCIAIS PARA O E-COMMERCE
- Consentimento do Titular dos Dados – não é necessário para a compra online em si!
Engana-se quem pensa que o consentimento do titular dos dados é necessário para todo e qualquer tratamento de dados. O consentimento é apenas uma das hipóteses que autorizam o tratamento, mas não é a única. Já falamos sobre isso no artigo O CONSENTIMENTO É FUNDAMENTAL PARA AS EMPRESAS PODEREM TRATAR DADOS DE PESSOAS FÍSICAS?.
O uso dos dados pessoais pode ser justificado com base nas outras hipóteses previstas no artigo 7o. da LGPD, como, por exemplo, quando for necessário para a execução de um contrato firmado com o titular, que é a hipótese do inciso V. E esse é o caso de uma transação de compra online!
O raciocínio é simples: para realizar uma venda ao consumidor a empresa precisa saber seu nome, endereço para entrega do produto, CPF para emissão de Nota Fiscal e dados do cartão de crédito, ou dados para emissão do boleto de pagamento. Ou seja, o tratamento desses dados é necessário para realizar a operação, ou seja, a execução desse contrato de compra e venda.
Além disso, o consumidor que está efetuando essa compra e fornecendo, espontaneamente, seus dados, já está implicitamente consentindo com o uso dos dados pela empresa para essa finalidade. Portanto, exigir uma declaração de consentimento, nesse caso, implicaria redundância.
Mas, atenção: o tratamento de dados para a compra online está autorizado apenas para isso, ou seja, o fato de o consumidor fornecer seus dados para uma compra on-line não autoriza o vendedor a enviar promoções, felicitações pelo aniversário do consumidor, novidades do e-commerce e etc. Para essas outras situações, aí sim, é necessário obter o consentimento expresso e inequívoco do titular dos dados.
- Política de Privacidade Detalhada
Toda empresa de e-commerce deve disponibilizar uma política de privacidade que detalhe como os dados pessoais são coletados, usados, compartilhados, armazenados e protegidos.
Essa política deve ser facilmente acessível e compreensível, e ao consumidor deve ser oportunizada a leitura antes de finalizar a compra ou o seu cadastro no site. É importante que o e-commerce tenha mecanismos para provar, sempre que necessário, que o consumidor leu e aceitou essa política, assim como os Termos de Uso do site, em atendimento ao princípio legal da transparência preconizado pela LGPD.
- Segurança da Informação
Implementar e manter medidas de segurança avançadas é fundamental. Isso inclui criptografia de dados, firewalls robustos, sistemas de detecção de intrusões e regular auditoria de segurança.
A proteção de dados deve ser pensada desde a transmissão dos dados, pelo consumidor, até o armazenamento e/ou compartilhamento com terceiros, como empresas de entrega, por exemplo, garantindo a segurança do titular frente a acessos não autorizados e/ou incidentes de vazamentos.
- Gestão de consentimento
Nas hipóteses em que o consentimento é exigido, como envio de e-mails marketing sobre promoções, por exemplo, recomenda-se que as empresas mantenham registros precisos dos consentimentos para provar conformidade com a LGPD.
Deve ser fácil para os clientes retirarem seu consentimento, e a retirada deve ser tão simples quanto a concessão.
- Treinamento e conscientização
Funcionários que tratam dados pessoais devem receber treinamento regular sobre os princípios da LGPD e as práticas de segurança da informação, para garantir que compreendam suas responsabilidades.
Além disso, o Encarregado de Dados, ou Data Protection Officer (DPO), deve constantemente fiscalizar a operação e assegurar-se de que a equipe não só tenha consciência, mas execute suas funções em conformidade com a lei.
- Resposta a incidentes
Desenvolver e implementar um plano de resposta a incidentes de segurança de dados é essencial. Isso deve incluir procedimentos para notificar as autoridades e os titulares dos dados afetados em caso de uma violação, além das medidas emergenciais para minimizar danos tanto à empresa como aos titulares.
Esses casos exigem um cuidado especial, e contar com a assessoria de advogados especializados em Direito Digital e Proteção de Dados é fundamental.
PENALIDADES EM CASO DE INCIDENTES DE VAZAMENTO DE DADOS
As empresas que não cumprem a LGPD podem enfrentar severas penalidades. As sanções variam desde advertências até multas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração. Além das multas administrativas, as empresas também podem enfrentar ações judiciais movidas por titulares de dados afetados, resultando potenciais danos.
As penalidades são desenhadas para incentivar a conformidade e refletem a seriedade com que o Brasil trata a proteção de dados pessoais. Para empresas de e-commerce, que processam diariamente grandes volumes de dados pessoais, a conformidade não é apenas uma obrigação legal, mas um elemento crítico de confiança do consumidor.
CONCLUSÃO
Em resumo, a conformidade com a LGPD é essencial para empresas de e-commerce no Brasil, mesmo porque são empresas com alto risco de incidentes, como já amplamente noticiado pela mídia.
Segundo notícia veiculada pelo Meio e Mensagem em abril, Golpes e fraudes impactam e-commerce no Brasil em R$ 8,5 milhões por empresa, e acrescenta que “cerca de 43% dos brasileiros foi vítima de golpes no ano passado (2023). Nesses casos, o ticket médio dos golpe foi de R$ 2 mil reais. Isso representa alta de 137% em relação aos valores perdidos em 2022, cujo ticket médio foi de R$ 853.”
Para além dos prejuízos dos consumidores, os golpes, que em sua maioria são “permitidos” por falha no sistema de segurança da informação das empresas, acabam inibindo o consumo e manchando a reputação da marca, algo que pode ser irremediável.
Adotar os princípios da lei e implementar práticas rigorosas de segurança de dados não apenas evita penalidades, mas também fortalece a relação com os clientes, garantindo que suas informações pessoais sejam tratadas com respeito e cuidado. Portanto, é imperativo que as empresas entendam e integrem plenamente os requisitos da LGPD em suas operações diárias.
Marina Flandoli é sócia do escritório Law.SA, membra da equipe Rne Êxito e Networker Nata de maio.