No dia 14 de agosto de 2018 foi publicada a Lei 13.709/18, mais conhecida como Lei Geral de Proteção de Dados – LGPD, que passou a disciplinar o tratamento de dados pessoais no Brasil. De acordo com a LGPD, a utilização de dados pessoais não poderá ser feita de maneira indiscriminada, sendo essencial que o cliente seja informado sobre quais dados pessoais serão recolhidos, e qual a finalidade da atividade envolvendo os seus dados, entre outras obrigações. Com essas mudanças, é necessária uma adaptação das empresas à essas novas normas e isso fará com que diversas operações ligadas ao e-commerce sofram alterações.
A lei estabelece que para que qualquer pessoa física ou jurídica, possa exercer atividades relacionadas ao tratamento de dados pessoais, seja coletar, transmitir ou processar, deverá possuir uma base legal presente na norma, que justifique a posse e o tratamento desses dados. Sem uma base legal, a prática de coleta de dados pessoais será considerada irregular. Aquela que certamente será a mais utilizada por parte das organizações é o consentimento, também chamado de opt-in no e-commerce. Mas não bastará apenas só colher o consentimento, será necessário informar de maneira clara e detalhada ao cliente o motivo pelo qual os seus dados serão tratados, isso certamente fará com que a Política de Privacidade de muitos sites seja alterada. Em alguns casos,será necessário a renovação do consentimento, como por exemplo, quando há mudanças no modo de tratamento ou quando os dados coletados são os chamados “dados sensíveis”, que são dados relativos ao estado de saúde, convicções políticas, orientação sexual, entre outros.
O compartilhamento de dados passou a ser obrigatoriamente informado aos titulares dos dados, incluindo também os “receptores” desses dados compartilhados. O titular terá o direito de exigir essas informações, e caso os dados estejam incorretos, também poderá solicitar a correção. Se os dados forem excessivos, será possível o pedido de eliminação de dados sobressalentes. Caso o cliente se oponha completamente ao tratamento dos seus dados, caberá a empresa cumprir a possível requisição de eliminação dos dados ou explicar o porquê não fará, apresentando a base legal para isso. E-commerces que utilizam técnicas de growth hacking também deverão se adaptar às novas normas.
Algumas táticas aplicadas em redes sociais, como captar leads sem informar ao internauta, serão consideradas irregulares. O titular também poderá pedir explicações sobre decisões automatizadas que sejam tomadas a seu respeito. Empresas que utilizam inteligência artificial para realizar diversos serviços, como rankings, classificações, perfis para segmentar o público alvo, poderão ter que fornecer explicações aos clientes sobre essas decisões automatizadas, pois podem não estar de acordo com a conclusão dessas decisões, tornando assim a segmentação do público alvo para os lojistas, um pouco mais complicada.
A Lei Geral de Proteção de Dados também cria uma proteção especial para os menores de idade. Os dados pessoais de menores de idade só poderão ser coletados com a aquisição do consentimento do responsável. Não está descrito de maneira clara como isso se dará, mas é responsabilidade da empresa realizar todos os esforços para ter certeza de que o responsável consentiu com o tratamento de dados.
A criação de uma Autoridade de Proteção de Dados está prevista na lei, mas foi vetada pelo presidente, não porque seja desnecessária, mas porque houve divergência se a LGPD poderia criar o órgão ou se o mesmo deveria ser criado por lei específica. Para evitar nulidades posteriores, o presidente aparentemente preferirá criar a autoridade por medida provisória ou decreto. Quando constituída, essa autoridade fará parte da administração pública federal indireta, com orçamento próprio e submetida ao Ministério da Justiça. O novo órgão estará incumbido de fiscalizar a aplicação da nova lei, atuar junto aos agentes de tratamento, inventivas as melhores práticas, entre outras ações.
Contudo, o veto à criação da autoridade não exime as empresas do cumprimento da lei, exceto no caso de ausência de regulamento, quando assim a LGPD dispor. Em outras palavras, o que não depende de regulamento posterior, é aplicável e poderá ser objeto de ações judiciais individuais e coletivas, podendo, neste último caso, haver a atuação do Ministério Público, Defensoria Pública e órgãos de proteção ao consumidor.
Empresas terão 18 meses a partir da data de publicação para adequação. Essa adaptação pode ser ou não custosa, mas com certeza será trabalhosa para a grande maioria das organizações, que terão que atuar com empenho nessa mudança de cultura e negócios, além de investir em profissionais que tenham conhecimento para exercer essas novas práticas. Aquelas que não cumprirem as diretivas, sofrerão sanções, como multas de 2% do faturamento do último ano, podendo chegar a 50 milhões, ou então até o bloqueio dos dados pessoais tratados, por prazo necessário à regularização.
A LGPD traz mudanças que podem ser trabalhosas para as empresas, mas será benéfica para a sociedade como um todo, pois busca o equilíbrio entre a transparência devida aos titulares dos dados e concede a segurança jurídica para quem os trata.
Dr. Márcio Cots, sócio do COTS Advogados.
