Blog VTEX - Como os varejistas podem se preparar após o GDPR entrar em vigor?

Como os varejistas podem se preparar após o GDPR entrar em vigor?

Camilla Lichti
Camilla
4 maio 2018
Reading Time: 8 min

Um volume enorme de informações de clientes pode ser recuperado pelas empresas através do uso de tecnologias digitais avançadas em suas operações. Por exemplo, os consumidores que navegam em sites de e-commerce deixam rastros digitais de seu comportamento de compras, e mesmo aqueles que visitam as lojas físicas deixam sua pegada quando os varejistas usam tecnologias tais como RFID ou NFC para se envolver com os compradores.

Os varejistas podem entender melhor sua base de clientes e oferecer uma experiência de compra aprimorada graças ao acesso a dados valiosos dos clientes. Entretanto, manipular tamanho volume de informações pessoais também traz responsabilidades.

Especificamente, as empresas que vendem seus produtos e serviços para compradores localizados na União Europeia precisam enfrentar as implicações dos acordos da UE que regulam a proteção de dados. Hoje, a questão é tratada na Diretiva de Proteção de Dados da UE de 1995; no entanto, uma nova Diretiva – o Regulamento Geral de Proteção de Dados (GDPR – General Data Protection Regulation) – que entrará em vigor em 25 de maio de 2018, apresentará medidas mais restritivas para o manuseio de dados de clientes pelas empresas.

Aqui, você encontrará uma descrição do novo regulamento, suas principais mudanças em comparação à atual Diretiva, e as suas consequências para o setor de varejo. Você verá, também, como os comerciantes poderão se preparar e reagir às disposições regulatórias mais rigorosas.

Diretiva de Proteção de Dados da UE

Adotada em 1995, a Diretiva de Proteção de Dados (DPD – também conhecida como Diretiva 95/46/EC) – atualmente controla a privacidade e a proteção de dados na União Europeia. Implementada pelos parlamentos nacionais dos estados membros, a Diretiva da UE estabelece que o manuseio de dados só será permito por lei quando a pessoa cujos dados são coletados (sujeito dos dados) tiver dado o seu consentimento de forma inequívoca.

A Diretiva 95/46/EC estabelece os elementos essenciais de proteção de dados que os estados membros deverão converter em lei nacional. As normas de proteção de dados são controladas por cada país, bem como sua aplicação dentro das respectivas jurisdições, e os representantes de proteção de dados dos estados membros da UE fazem contribuições por meio de grupos de trabalho em nível da comunidade, de acordo com o Artigo 29 da Diretiva.

Segundo a Diretiva de Proteção de Dados, “dados pessoais” são qualquer material relacionado a uma “pessoa física identificada ou identificável”. De acordo com a DPD, o controlador dos dados deverá garantir a conformidade com as normas relacionadas à qualidade da informação, publicando uma lista dos objetivos válidos no manuseio dos dados. O controlador dos dados possuirá obrigações de dados em relação ao sujeito dos dados sempre que os dados pessoais forem coletados diretamente da pessoa, ou adquiridos de outra forma. Além disso, o controlador de dados deverá implementar procedimentos técnicos e organizacionais adequados contra a destruição ilegal, perda fortuita ou modificações não autorizadas, divulgação e acesso aos dados.

Conforme definido na Diretiva, os direitos individuais dos sujeitos dos dados são conforme a seguir:

  • direito de saber quem é o controlador dos dados, quem recebe a informação e o objetivo do manuseio dos dados;
  • direito de corrigir dados errados; direito de recurso, no caso de processamento não autorizado;
  • e o direito de anular o consentimento de uso dos dados em situações específicas.

Por exemplo, as pessoas têm o direito de cancelar, sem a cobrança de taxas, o recebimento de materiais promocionais diretos. A Diretiva 95/46/EC oferece proteção reforçada com referência ao uso de dados pessoais sensíveis relacionados, por exemplo, à saúde, vida sexual ou crenças religiosas ou filosóficas.

A aplicação do marco regulatório sobre o manuseio de informações pessoais pode acontecer por meio de medidas administrativas da autoridade que realiza a supervisão, ou por meio de processos legais. As autoridades de supervisão dos estados membros possuem poderes de investigação e intervenção, podendo ordenar o bloqueio, exclusão e destruição das informações, ou impor uma proibição temporária ou definitiva.

Qualquer pessoa que seja prejudicada em consequência de uma operação de processamento ilegal tem o direito de ser indenizada pelo controlador responsável. A Diretiva de Proteção de Dados estabelece um mecanismo através do qual a troca de dados pessoais fora do território da UE deverá apresentar um nível de processamento “adequado” àquele recomendado nos termos da Diretiva.

Regulamento Geral sobre Proteção de Dados – GDPR

A partir do final de maio de 2018, todas as empresas envolvidas no manuseio e processamento de dados pessoais de cidadãos da União Europeia devem cumprir as novas exigências legais estabelecidas na Diretiva conhecida pela abreviação “GDPR” (Regulamento Geral sobre Proteção de Dados). Esse regulamento foi promulgado em abril de 2016, e concedeu às organizações um prazo de dois anos para o cumprimento das exigências previstas em suas disposições.

Os varejistas com foco em clientes europeus deverão se preparar para cumprir a nova lei, mesmo quando sediados fora da UE, uma vez que a Diretiva é aplicável à conduta dos dados pertencentes a pessoas físicas da UE, independentemente da localização do controlador e do processador dos dados. Diferentemente da atual DPD, o GDPR será imposto diretamente nos estados membros da UE, sem a necessidade da intermediação legislativa dos parlamentos nacionais. Assim, o GDPR restringirá possíveis divergências de interpretação do regulamento nas diversas jurisdições.

As empresas britânicas não estarão isentas do cumprimento do GDPR devido ao “Brexit”, considerando que o regulamento entrará em vigor antes da data de conclusão das negociações entre o Reino Unido e a União Europeia (o prazo mais auspicioso é de dois anos a partir de março de 2017, quando o Artigo 50 foi ativado). Além disso, mesmo após a saída do Reino Unido da UE, os varejistas britânicos com foco em consumidores europeus ainda terão de cumprir o GDPR devido à extraterritorialidade do regulamento.

O objetivo é fortalecer o direito dos cidadãos de proteger seus dados, bem como fazer com que o processamento de dados se torne mais simples para as empresas. Entretanto, a transição dos varejistas para o cumprimento do GDPR não é tão simples. O novo regulamento estabelece uma série de exigências que, até então, não eram consideradas no dia-a-dia das organizações.

Devido ao pouco tempo disponível para a adaptação dos comerciantes ao novo regulamento, o assunto tem sido considerado uma prioridade na maioria das empresas da Europa, exigindo a elaboração de diversos projetos. As exigências mais comuns incluem: a análise de algumas aplicações, o ajuste de arquiteturas (dados e processos) e, principalmente, ações relacionadas à Gestão de Dados Máster, incluindo fatores referentes à Governança e Qualidade dos Dados.

O texto do GDPR explica claramente a sua aplicação ao processamento de dados pessoais de sujeitos de dados no tocante à oferta de bens e serviços, ou ao monitoramento de seu comportamento. Além disso, o texto determina que identificadores online, tais como as tags de RFID, poderão ser usados para traçar o perfil de uma pessoa, desenvolvendo, então, o caso para a aplicação dos princípios de proteção de dados ao uso da tecnologia RFID.

O GDPR não altera radicalmente as normas de proteção de dados expressas na Diretiva anterior. De acordo com o GDPR, os dados individuais deverão ser processados legitimamente, de forma justa e transparente, coletados com precisão e segurança, e armazenados com um propósito específico em mente. O controlador será responsável e deverá ter competência para demonstrar a conformidade com as normas de proteção de dados. Além disso, o GDPR espera que os processadores cumpram compromissos específicos, tais como manter uma documentação adequada, já que eles estarão diretamente sujeitos a sanções caso negligenciem o cumprimento destes critérios.

Entretanto, o GDPR introduz modificações notáveis quanto à proteção dos dados, significando um avanço importante em relação às disposições da DPD atual.

GDPR:Principais modificações e impacto potencial para os varejistas

Modificação Significado Impacto potencial para os varejistas
Alcance territorial mais amplo O GDPR é aplicável a empresas com sede fora da UE que coletam dados dentro dessa região. O GDPR é aplicável a todos os varejistas com operações na UE.
Sanções mais rigorosas As sanções aplicadas a violações de proteção de dados podem alcançar até 4% do faturamento global anual da empresa. Os varejistas com operações internacionais poderão incorrer em sanções ainda maiores, correspondentes a um percentual do faturamento global, mesmo quando uma violação ocorrer apenas dentro de uma única divisão da empresa.
Definição mais ampla de dados pessoais O GDPR expande a definição de dados pessoais para incluir informações tais como números de identificação, dados de localização, identificadores online e outros fatores que possam identificar uma pessoa física. Os identificadores online são os endereços de IP, cookies e tags de RFID. Os varejistas que coletam dados poderão estar mais sujeitos a processos de proteção de dados movidos por pessoas físicas ou grupos de indivíduos organizados.
Mais direitos para pessoas físicas O GDPR tornará mais fácil para indivíduos ou grupos de indivíduos mover ações privadas contra o processamento de dados realizado por empresas. Por exemplo, os sujeitos de dados poderão reivindicar indenizações por “danos não materiais”; terão direitos mais avançados, tais como o direito a mais transparência; e direitos adicionais, inclusive o direito de esquecimento, o qual exige que as empresas excluam os dados da pessoa de suas bases de dados caso a empresa não tenha fundamentos legais para o processamento da informação. Os varejistas que coletam dados poderão estar mais sujeitos a processos de proteção de dados movidos por pessoas físicas ou grupos de indivíduos organizados.
Os processadores são responsáveis O GDPR também regulamenta os processadores, exigindo que eles mantenham a documentação adequada; implementem normas de segurança apropriadas; e nomeiem diretores de proteção de dados, entre outras obrigações. O GDPR aumenta a responsabilidade pela conformidade, ao tornar o processador responsável por isso. Uma vez que os processadores e controladores podem estar em departamentos separados dentro de uma única empresa, as disposições poderiam resultar na duplicidade de tarefas dentro da organização.
A obtenção de consentimento válido será mais difícil O consentimento para a coleta de dados de uma pessoa deverá ser totalmente isolado de outros termos e condições, podendo ser suspenso a qualquer momento. O GDPR tornará mais difícil para os varejistas usar a justificativa legal para o processo de coleta de dados através do uso da tecnologia RFID.
Notificação de violação de dados O GDPR exige que as empresas (os controladores e processadores) notifiquem as autoridades e as pessoas afetadas sobre a violação de dados. A violação de dados resultante de crimes cibernéticos, do roubo ou furto de dispositivos e de e-mails enviados para endereços indevidos é relativamente comum. Os varejistas precisam adotar uma abordagem coordenada para reduzir seus riscos, inclusive quanto ao uso da tecnologia, à violação de procedimentos de resposta e ao treinamento da equipe.
Direitos adicionais do sujeito dos dados Os controladores deverão proporcionar mais transparência para os sujeitos de dados nas comunicações relacionadas ao uso de dados pessoais. Os sujeitos de dados possuem direitos adicionais, tais como o direito de objeção e o direito ao esquecimento. Os varejistas precisarão rever seus procedimentos de coleta de dados para assegurar a conformidade.
Localização dos dados A localização dos servidores e o provedor de serviços em nuvem da empresa são pontos importantes a serem considerados. Os varejistas deverão ter em mente que eles precisam armazenar os dados em servidores localizados na UE. Caso você use terceiros para processar os dados, assegure-se de que eles também estão em conformidade com os princípios da Estrutura de Defesa de Privacidade.
Diretores de Proteção de Dados (DPOs) Em alguns casos, o GDPR exige que as empresas nomeiem um DPO, como, por exemplo, quando a organização processa dados em grande escala. Os varejistas possivelmente não estarão sujeitos a esta obrigação. Porém, eles deverão conduzir uma avaliação para determinar se esta disposição é ou não aplicável ao tipo de dados que eles utilizam.
Prestação de Contas As organizações deverão demonstrar sua conformidade com os princípios de proteção de dados do GDPR. Os varejistas precisarão manter registros detalhados de suas operações de processamento de dados.
Aplicação transnacional Um controlador com presença em diversos estados membros da UE estará potencialmente sujeito às autoridades regulatórias de vários países. Os varejistas que mantenham ou processem dados de clientes deverão determinar as autoridades que terão jurisdição sobre suas atividades.

Fonte: Europa.eu / DLAPiper.com / FungGlobalRetailTech.com

Como os varejistas podem se preparar para o GDPR

O GDPR envolve um aumento de responsabilidade considerável, em termos de proteção de dados e carga administrativa, para os comerciantes que manuseiam as informações de consumidores. Entretanto, não acreditamos que o GDPR colocará em questão a capacidade dos varejistas de explorar as informações dos consumidores, desde que as organizações se preparem para o novo regulamento.

Particularmente, os varejistas deverão:

  1. Analisar a premissa legal do uso da informação: Entender se o uso da tecnologia de rastreamento está de acordo com as exigências do GDPR. Por exemplo, alguns usos do RFID podem ser considerados para rastrear os movimentos de produtos dentro da loja, e não para observar o comportamento do consumidor. Nesses casos, o uso da RFID poderia não estar sujeito ao regulamento.
  2. Analisar as táticas de manuseio e armazenamento de dados: Analisar e melhorar as técnicas aplicadas para rastrear os registros de ações de processamento de informações e garantir a manutenção da documentação adequada.
  3. Estabelecer processos claros de prestação de contas em relação à conformidade: Uma vez que diversas divisões de uma empresa terão responsabilidades mais importantes, é fundamental estabelecer procedimentos exatos que deleguem claramente as responsabilidades dentro da organização.
  4. Instruir os funcionários sobre a proteção de dados: O aumento da responsabilidade dentro de várias divisões de uma organização expõe mais funcionários a responsabilidades de conformidade, e exige que os funcionários não incluídos anteriormente sejam instruídos de forma eficiente.
  5. Reavaliar o uso de contratados: Ao selecionar um terceiro responsável pela coleta de dados, é imprescindível escolher uma organização que possa garantir a conformidade.
  6. Preparar-se para violações de dados: Estabelecer uma estrutura de notificações bem organizada e implementar procedimentos claros que garantam respostas rápidas para violações de dados.
  7. Preparar-se para as reivindicações dos indivíduos: Evitar reivindicações de clientes, estabelecendo políticas de consentimento de dados claras e explícitas, e estar preparado para o uso dos direitos por parte dos consumidores através de ações que assegurem respostas eficientes.
  8. Estar cientes dos controladores com jurisdição sobre operações internacionais: É fundamental que os varejistas com operações internacionais conheçam as autoridades com jurisdição sobre as atividades de manuseio de dados nos diversos países.