Nova lei de proteção de dados pessoais e privacidade e o e-commerce no Brasil: O que é e como deveremos agir?
Começou a valer, desde 25 de maio de 2018, a GDPR (em uma tradução livre: lei geral de proteção de dados pessoais da União Europeia), trazendo consigo novas obrigações e garantias para empresas e consumidores de toda a Europa. No Brasil, o Projeto de Lei que versa sobre a proteção de dados pessoais finalmente foi aprovado na câmara e no senado e só falta a sanção presidencial para que se torne lei.
A vigência efetiva da lei está determinada para 18 meses após sua publicação. No caso da europeia, foram 4 anos de prazo desde sua publicação. O objetivo desse prazo entre publicação da lei e vigência efetiva dela é justamente dar prazo para que a sociedade civil, empresas e o próprio Estado brasileiro se preparem e se adequem à nova legislação.
Mas o que exatamente a nova Lei de Proteção de Dados aborda?
A lei prevê a criação de uma Autoridade Nacional de Proteção de Dados, que será uma autarquia responsável, entre outros, pela elaboração de diretivas, fiscalização e atendimento aos titulares dos dados.
A nova legislação determina, ainda, a criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, conselho este a ser formado por membros de diversos setores da sociedade civil e do Estado, sendo responsável pela proposição de diretrizes, estratégias e subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e da atuação da Autoridade Nacional de Proteção de Dados.
Como a nova Lei de Proteção de Dados vai mexer com a gestão e o tratamento de dados?
No ambiente empresarial, a necessidade de adequação é urgente. Independente da área de atuação da empresa, sem sombra de dúvidas, a sua operação será afetada, sendo necessária medidas imediatas de planejamento e implementação de ações de adequação, evitando problemas futuros que podem comprometer sua atuação no mercado em razão da nova regulamentação, que prevê altas multas aos infratores da lei.
Em razão da complexidade do tema e da lei em si, nos deteremos aqui tão somente à análise prática das implicações desta lei nas empresas nacionais, com foco no e-commerce.
A lei traz consigo a “criação” de três pessoas (naturais ou jurídicas) fundamentais para a adequação do negócio à norma. São estes:
-
o Responsável: a quem competem as decisões referentes ao tratamento dos dados pessoais;
-
o Operador: aquele que efetivamente realiza o tratamento dos dados pessoais em nome do responsável;
-
e o Encarregado: este atuará como canal de comunicação entre o responsável, os titulares dos dados e o órgão competente.
A norma traz como princípios a serem protegidos: o respeito à privacidade, a autodeterminação informativa, a liberdade de expressão, a inviolabilidade da intimidade e da imagem dos titulares dos dados, o desenvolvimento econômico, tecnológico e a inovação, a livre iniciativa, livre concorrência, a defesa do consumidor e os direitos humanos.
Com estes princípios em mente, já temos um norte para saber, mesmo sem a leitura da lei, que algumas práticas atualmente comuns no mercado deverão ser extintas ou, ao menos, mitigadas.
O que muda no dia a dia das lojas virtuais?
A lei expressamente determina, por exemplo, que a coleta e tratamento de dados deve ser feita tão somente com a autorização expressa do titular dos dados e na medida do estritamente necessário para o fim ao qual se propôs a coleta.
No caso das lojas virtuais, a grosso modo, só deverão ser coletados os dados necessários para a venda em si, bem como o seu compartilhamento deve se dar apenas (tanto coleta como tratamento e compartilhamento dos dados) para a efetivação da venda e entrega do produto. Qualquer outra tratativa deve ser expressamente autorizada pelo cliente titular dos dados.
Cuidados extremos deverão ser tomados no âmbito das campanhas de e-mail marketing, no que tange à origem dos dados e permissões concedidas. Inevitável também será a necessidade de mudança comportamental de todos os profissionais e empresas da área que ainda não tem uma política de governança e compliance no ambiente digital de suas operações.
Questões como a portabilidade dos dados, edição das informações pelo titular e sua eliminação da base de dados da empresa também deverão ser tratadas pelo e-commerce. Plataformas e lojistas inevitavelmente terão que desenvolver ferramentas para tais exigências legais antes da vigência da lei.
Sabemos que parece muito a ser feito em pouco tempo, e é. Mas não há motivos para maiores preocupações, pois, como sempre, temos a certeza de que o mercado conseguirá absorver e se adequar a tempo para a lei que vem em boa hora e para o benefício de todos nós.
Veja algumas dicas para adequar-se à nova lei:
-
Revise suas condutas e atuação em tudo que disser respeito à coleta e ao tratamento de dados pessoais, dando especial ênfase aos tidos como sensíveis, tais como raça/etnia; religião; opiniões políticas; filiação a sindicatos e organizações civis; como igreja e partidos políticos; saúde; vida sexual e dados genéticos ou biométricos vinculados a uma pessoa. Esses dados tem uma proteção especial da lei e sua coleta e tratamento devem ser evitados no e-commerce;
-
Não deixe para a última hora. Comece desde já a estudar o tema e procurar profissionais que possam, desde já, providenciar as alterações necessárias em sua empresa, de acordo com o porte e trabalho desenvolvido, visando a total adequação à lei.
-
Reveja, desde já, sua política de privacidade, compliance e termos de uso de seu negócio. Esses são os principais documentos de adequação e carecem de um cuidado todo especial neste processo.