Aqui no nosso blog você encontrará, no mínimo, mais 03 artigos sobre a Lei Geral de Proteção de Dados, entretanto, este é o primeiro que tem como objetivo abordar a LGPD na prática.

Assim sendo, esse conteúdo foi escrito após entrevistarmos duas advogadas especializadas no assunto; a Angélica Soares e a Mariana Magalhães do L & O Sociedade de Advogados.

Antes de seguir com o texto, uma observação importante. Se você preferir assistir a conversa gravada ao invés de seguir na leitura, basta dar o play no vídeo abaixo:

Dito isso, vamos aos principais tópicos discutidos durante este encontro.

Breve histórico da LGPD

Para deixar todos os participantes da gravação acima na mesma página, a Angélica começou esclarecendo que a “pressão” para se criar uma lei reguladora dos dados surgiu na Europa.

Esta era uma pauta que já existia por lá desde os anos 90, porém, somente em 2018, passaram a ser aplicáveis as regulamentações da GDPR (General Data Protection Regulation), gerando assim no Brasil, a necessidade de também desenvolver uma lei de proteção dos dados.

Na sequência, a Mariana complementou dizendo que em nosso país já existiam algumas legislações que referenciam esta questão de maneira pontual, como o Marco Civil da Internet.

Contudo tornou-se primordial desenvolver uma lei que unificasse todas as disposições, abordando não apenas pontos relativos ao consentimento do usuário, mas sim, algo maior e mais completo.

Assim sendo, em 18 de setembro de 2020 a LGPD (Lei Geral de Proteção de Dados) entrou em vigor para organizar tudo o que envolve a tratativa de dados pessoais.

O que são dados pessoais?

Como esclarecido pela Mariana, dados pessoais são quaisquer informações que identificam ou possam vir a identificar uma pessoa física (CPF, CNH, localização de um GPS, geolocalização, endereço de IP e etc).

Dados de pessoas jurídicas (empresas) não se enquadram neste conceito.

Já o tratamento desses dados tange toda a atividade de coleta, armazenamento, compartilhamento e exclusão destes dados, sendo que o objetivo não é proibir ou atrapalhar, mas apenas alinhar direitos e deveres.

Quais impactos da LGPD para o varejo brasileiro?

Como o varejo brasileiro é focado no mercado B2C (business-to-consumer), naturalmente, ele foi mais afetado, afinal, o consumidor é o principal tutelado da LGPD.

Mas, segundo a Angélica e a Mariana, são 03 os principais impactos para as marcas varejistas:

• Necessidade de transparência: criar processos para deixar claro para o cliente a razão dos dados estarem sendo coletados, tal como a forma como eles serão utilizados no futuro, sem descumprir este acordo;

• Penalidades: em caso de incidentes, arcar com multas que podem chegar a 2% do faturamento, limitado a 50 milhões;

• Reputação da marca: também em caso de incidentes, a empresa precisa tornar público o que ocorreu e quem foram os afetados, logo, isso prejudica a sua imagem.

Qual o atual cenário da LGPD no Brasil?

Na visão das advogadas, no Brasil, até mesmo a Autoridade Nacional de Proteção de Dados (ANPD) ainda está aprendendo a fiscalizar e a lidar com eventuais incidentes.

Por essa razão, como vivemos uma fase de adaptação, ainda há maior flexibilidade, em especial, para as empresas que se mostrarem interessadas em cumprir a legislação e a se adequar.

Vale ressaltar que a atenção da ANPD, por hora, está voltada para as empresas tidas como grandes, afinal, a representatividade delas é maior e uma vez que elas se ajustarem, irá acontecer um “efeito cascata” junto aos seus fornecedores e parceiros.

Para complementar esse tópico, o Sócio Diretor da Dito CRM, Pedro Ivo Martins, escreveu um artigo exclusivo para o E-commerce Brasil. Para acessá-lo, basta clicar aqui.

Boas práticas para lojas físicas

O cliente deve fazer o opt in de forma livre e consentida, ou seja, ele precisa entender o motivo de estar cedendo dados pessoais para uma loja e querer cedê-los livremente, sem se sentir pressionado. Inclusive a primeira boa prática é sempre deixar disponível a opção de recusar.

O que a empresa varejista pode fazer é evidenciar os benefícios que o consumidor terá caso ele faça o cadastro na plenitude. Essas vantagens podem ser descontos, promoções exclusivas e comunicação personalizada, por exemplo.

E neste sentido é recomendável conscientizar todos os vendedores sobre as premissas da LGPD para que eles sejam sempre transparentes e desenvolvam técnicas para “quebrar”, legalmente, objeções das pessoas que não quiserem fazer o cadastro.

Vale destacar que, se for somente para emitir Nota Fiscal, a empresa não precisa pegar o opt in do cliente. Embora, também para estes casos, a transparência e o respeito ao que está sendo prometido é fundamental.

Outra situação recorrente é quando estamos falando de marcas varejistas que possuem franquias. Se o opt in é pego numa única loja franqueada, é para ela apenas que o cliente cedeu os dados e não para a franqueadora como um todo.

Mas, há uma exceção na regra, pois se a franquia for transparente e deixar claro que os dados captados serão usados por toda a rede e o cliente concordar livremente, assim poderá ser feito.

Apesar disso, é crucial que a franqueadora tenha sistemas robustos, processos, controles e rotinas para evitar incidentes, pois, caso algo aconteça, será ela a responder judicialmente.

Outras dúvidas que surgiram

1. Quando o cliente dá o opt in, por exemplo, para receber campanhas de E-mail Marketing, o varejista pode se comunicar com ele através de outros canais como SMS e/ou WhatsApp?

Resposta: Sim, desde que, no ato do opt in, essa informação tenha ficado evidente e o cliente tenha concordado. Do contrário, se o opt in foi dado apenas para campanhas de e-mail, assim deve ser respeitado.

2. Na situação oposta, se o cliente realizar o opt out apenas para campanhas de e-mail, o varejista pode explorar outros canais para continuar conversando com ele?

Resposta: Sim, afinal, no primeiro momento o cliente se descadastrou em um canal específico, entretanto, caso ele tome essa ação, como boa prática, é sugerido questionar se ele também deseja se descadastrar de algum outro meio de comunicação.

3. Referente a cadastros de clientes que foram feitos antes da LGPD, como o varejista deve proceder?

Resposta: O correto é que o varejista aborde o cliente para questionar se ele pode continuar mantendo o cadastro na base e, recebendo um “sim”, aproveite a oportunidade para atualizar e passar as principais diretrizes da LGPD.

4. Após receber um cadastro feito em loja física, a marca varejista percebeu que havia um pequeno erro, por exemplo, no e-mail do cliente. Ela tem autonomia para corrigir?

Resposta: Desde que a marca tenha total certeza que possui a informação correta, sim, ela pode fazer a correção sem precisar comunicar ao cliente. Mas é preciso ter cuidado para não criar um dado falso. A marca pode, inclusive, usar bases públicas para fazer essa alteração, porém, não pode pegar dados além dos que já possuía anteriormente.

5. O consentimento verbal dado pelo cliente é suficiente para captar os dados dele?

Resposta: como boa prática, o ideal é pegar esse consentimento por escrito (assinatura) ou, por exemplo, através de uma “checkbox” em um documento liberado num tablet ou smartphone. O consentimento precisa ser auditável, então, haver uma forma de provar a autorização do cliente é essencial.

6. Quando uma marca varejista é incorporada por outra, qual o procedimento a ser realizado? E em caso de fusões entre marcas, funciona da mesma forma?

Resposta: No caso das incorporações, não é preciso pegar novamente o opt in do cliente. Mas no caso de fusões entre marcas, onde nascerá uma marca nova, sim, será preciso pegar o opt in novamente. De toda forma, como boa prática, em ambos os casos, é sugerido informar ao cliente o que está acontecendo e questionar se ele deseja manter o cadastro ativo para receber campanhas.

7. E sobre dados de menores de idade, como proceder?

Resposta: É preciso pegar a autorização dos pais para captá-los. No caso de um e-commerce, por exemplo, onde a própria criança ou adolescente pode dar o opt in, o varejista precisa criar mecanismos de validação para não deixar a compra avançar sem a certeza de que, de fato, um responsável está ciente.

Bem interessantes essas respostas, não é!

Como dicas finais, vale lembrar que dados têm prazo de validade, então, em algum momento eles precisam ser excluídos do CRM e/ou ERP, por exemplo.

Se o varejista os manter após o prazo, deverá ter uma base legal para isso. Além disso, seja transparente. Neste momento, quem segue o caminho contrário está se expondo a possíveis penalidades.

E para concluir, se você julgar que toda essa temática é complexa demais para resolver internamente, não deixe de procurar um escritório especializado no assunto.

O famoso “é melhor prevenir do que remediar” nunca fez tanto sentido. Esperamos que tenha gostado deste conteúdo. O compartilhe nas suas redes sociais. Até breve!