Por conta da pandemia, muitos acreditaram que a Lei Geral de Proteção de Dados Pessoais (LGPD) seria adiada para 2021. Outros, que era necessário se adequar o quanto antes, afinal, ela estava prevista oficialmente para agosto deste ano. Fato é que a segunda previsão acabou se concretizando após o Senado vetar, em agosto, o adiamento da lei.
Desde então, varejistas correm para se adequar e evitar punições. Embora as penalidades, que podem chegar a 2% do faturamento, limitadas a R$ 50 milhões por infração – uma fatia dolorida para o bolso do varejista em ano de pandemia –, tenham ficado para agosto de 2021, as empresas que não estiverem adequadas podem, desde já, sofrer as consequências, inclusive com possibilidade de condenações judiciais, multas ou outras sanções previstas nas legislações setoriais em vigor.
Para começar o tratamento adequado dos dados, a empresa precisa definir os diferentes agentes de tratamento previstos na LGPD. Traduzindo os termos técnicos, são três figuras centrais no processo:
- O controlador, responsável por tomar as decisões relativas ao tratamento de dados pessoais. Como, por exemplo, estabelecer como os dados são coletados, para que estão sendo utilizados e por quanto tempo serão armazenados;
- O operador, que realiza o tratamento de dados pessoais sob as ordens do controlador;
- O encarregado, ou DPO (sigla para Data Protection Officer), que é indicado pelo controlador para atuar como canal de comunicação entre controlador, titulares de dados pessoais (Titulares) e a Autoridade Nacional de Proteção De Dados (ANPD), além de recepcionar e atender as demandas dos Titulares e orientar funcionários e contratados da empresa sobre as boas práticas relativas a proteção de dados e interagir com a ANPD.
Um dos principais exemplos de diferenciação entre o Controlador e o Operador está na obrigatoriedade de definição de uma Base Legal para o Tratamento, isto é, analisar a operação de Tratamento, sua finalidade, quais são os dados tratados e enquadrá-los dentro de uma das hipóteses autorizadoras previstas no artigo 7º (para Dados Pessoais) ou 11 (para Dados Pessoais Sensíveis) da LGPD.
Dessa forma, caberá ao Controlador a definição de uma Base Legal adequada. Ao mesmo tempo, é essencial garantir a segurança dos dados dos Titulares – softwares na nuvem, por exemplo, são uma ótima opção de armazenamento seguro. Além disso, se a escolha adotada pelo Controlador for o consentimento, é importante que os sistemas utilizados para a sua gestão permitam o registro de todas as atividades de tratamento e o exercício dos direitos dos Titulares, inclusive com a sua revogação.
“Depois de conceder os dados para a empresa, o cliente poderá voltar atrás e revogar a permissão para todas ou alguma das finalidades da empresa”, explica Daniel Zanco, Diretor Executivo da Linx, empresa líder em tecnologia para o varejo. Por isso, também é preciso permitir que o cliente solicite, conforme o caso, a eliminação dos seus dados a qualquer momento.
Para implementar todos os processos de tratamento, sem deixar nenhuma brecha para sanções, Zanco defende a tecnologia como o melhor caminho. “Existem ferramentas que realizam a gestão do consentimento, mantendo os dados dos Titulares em um ambiente de alta segurança e já com uma interface de acompanhamento prevista, permitindo que solicitem qualquer alteração ou cancelamento no uso das informações. É preciso entender a LGPD e investir em tecnologia para não colocar em risco um dos maiores ativos dos varejistas: a base de clientes”, afirma.
A mudança que a nova lei traz é positiva, avalia o executivo. “Apesar de dar trabalho nesse começo, é um avanço da legislação brasileira, evitando casos de uso indevido, comercialização e vazamento de dados e mostrando que estamos nos alinhando às melhores práticas internacionais. Vamos estabelecer uma relação de confiança e transparência cada vez maior entre mercado e consumidores”, finaliza Zanco.
Website: https://www.linx.com.br/