A Lei Geral de Proteção de Dados (LGPD), Lei 13.709/2018, entrou em vigor em setembro de 2020. Referida lei dispõe sobre o tratamento de dados pessoais com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural.
A lei destina-se a regular todo e qualquer tipo de tratamento realizado por pessoa natural ou jurídica de direito público ou privado. Sem dúvidas, o e-commerce será um dos setores que sofrerá maior impacto com a vigência da lei, uma vez que envolve o acompanhamento do comportamento do consumidor, bem como a análise de seus dados coletados, em sua maioria, por meio de cadastros e implementação de cookies.
Desse modo, os e-commerces terão que se adaptar à LGPD, transformando seus processos, para evitarem o sancionamento. Mas quais são as obrigações para esse setor? Aqui vão algumas dicas para que você possa adequar o seu negócio à LGPD no e-commerce e fugir das multas.
Veja algumas dicas para que você possa implementar a LGPD no e-commerce
Um dos principais requisitos para que se possa realizar o tratamento de dados pessoais de forma legal é obtendo o consentimento do titular (art. 7º, I, da LGPD). De acordo com o inciso XII do art. 5º da lei, consentimento é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.
Observe que a o inciso fala de consentimento para tratamento com finalidade determinada. Essa determinação da finalidade prévia à captura dos dados é um dos princípios que regem a lei, estando prevista no inciso I do art. 6º.
Desse modo, o e-commerce deve determinar quais os dados que pretende colher e tratar e para quais finalidades específicas, informando isso ao titular de forma clara e ostensiva e requisitando seu aceite para o tratamento.
Para isso, recomenda-se um campo específico que exija que o consumidor, titular dos dados, ativamente concorde com os termos de uso e política de privacidade clicando em um checkbox (sem pré-marcação). Essa requisição de consentimento deve estar presente, de preferência, antes do cadastro do usuário, para que ele possa fornecer seus dados já ciente da finalidade para as quais eles serão utilizados.
Cookies são mecanismos utilizados pelos sites, pequenos arquivos instalados no computador do usuário quando visita algum site, que armazenam informações de navegação daquele usuário, permitindo a identificação do visitante e, consequentemente, a personalização da página.
É muito comum que os sites de e-commerce utilizem cookies para salvar determinadas informações de navegação, possibilitando, desse modo, que os itens adicionados ao carrinho de compras ou listas de desejos permaneçam lá ainda que o consumidor mude de página ou navegue por outros produtos.
Desse modo, por serem arquivos que armazenam informações pessoais e de navegação, resta claro que essa coleta e armazenamento também deve ser consentido e justificado, devendo o site informar ao consumidor as finalidades do tratamento, a forma e duração do tratamento, informações acerca do uso compartilhado desses dados e a sua finalidade, bem como os direitos do titular previstos no art. 18 da Lei.
Outro princípio que rege a Lei Geral de Proteção de Dados é o princípio da necessidade, por meio do qual é exigida a limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos. Desse modo, deve-se coletar apenas os dados estritamente necessários para atingir a finalidade desejada.
Um dos direitos do titular de dados, previsto no inciso IX do artigo 18 da LGPD, é a revogação do consentimento, a qual poderá ser realizada a qualquer momento e por procedimento gratuito e facilitado, de acordo com o § 5º do artigo 8º da mesma lei.
Nesse sentido, é importante criar um processo simplificado para os casos em que o consumidor queira verificar seus dados e/ou revogar seu consentimento, atendendo à essas requisições dentro do prazo de 15 dias contados da data do requerimento do titular.
Para a LGPD, dados pessoais sensíveis são dados pessoais “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”, conforme disposto no inciso II do artigo 5º.
Além disso, de acordo com o § 2º do artigo 12 da lei, “poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada”.
Esses dados sensíveis recebem tratamento especial e proteção reforçada, desse modo, é importante realizar um diagnóstico identificando se a sua empresa coleta ou já coletou dados dessa categoria e sua real necessidade, a fim de descartar seu uso.
Importante destacar também a necessidade de identificar se há coleta de dados pessoais de crianças e adolescentes, pois nesse caso o consentimento deve ser dado por pelo menos um dos pais ou responsável legal do titular.
A Lei prevê, em seu artigo 41, a necessidade de indicar um encarregado pelo tratamento de dados pessoais, o famoso DPO (Data Protection Officer). De acordo com o inciso VIII do artigo 5º, encarregado é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
As atividades do encarregado são definidas no § 2º do artigo 41, consistindo em manter relação com os titulares dos dados e a Agência Nacional de Proteção de Dados e orientar funcionários quanto as práticas alinhadas à LGPD. Para isso, o artigo 41 define ainda, em seu § 1º, que a identidade do DPO e suas informações de contato devem ser divulgadas, de forma clara e objetiva, no site do controlador.
Como visto, é necessário obter o consentimento do titular dos dados para a realização da coleta e tratamento de dados pessoais, devendo-se prestar uma gama de informações a esses titulares, previstas no art. 9º da lei, sendo elas:
Portanto, é necessário revisar a política de privacidade e redefini-la, de forma a incluir todas as informações necessárias de forma clara e ostensiva.
Por fim, ressalta-se a importância de observar com atenção todas os deveres decorrentes da LGPD para evitar que seu negócio sofra penalidades, previstas no art. 52 da lei, as quais são bastante rigorosas.
Essas sanções passam a ser aplicadas a partir do dia 1º de agosto de 2021. Portanto, fique atendo e adeque seu negócio à LGPD no e-commerce.
BRASIL. Lei Geral de Proteção de Dados. Lei 13.709 de 14 de agosto de 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 17 mar. 2021.
TONETTI, Cesar. LGPD e e-commerce: entenda o que muda para o comércio eletrônico com a nova lei. Wirecard Blog, 01 out. 2020. Disponível em: https://wirecard.com.br/blog/lgpd-wirecard/. Acesso em: 17 mar. 2021.
Sobre o Autor: A StartLaw é uma lawtech focada no desenvolvimento de tecnologias jurídico- administrativas para startups e novos negócios digitais, ambicionando a organização das informações cruciais e estratégicas dos empreendimentos. Eles descomplicam o jurídico para startups e negócios digitais usando tecnologia para escalar resultados. Especialistas em startups, e-commerce e tudo que envolva o universo da inovação digital. Conheça mais sobre eles: https://thestartlaw.com/
Deixe um comentário