Os primeiros impactos da LGPD – Lei Geral de Proteção de Dados no setor corporativo

0
0

A Lei Geral de Proteção de Dados (LGPD) foi sancionada pela Presidência da República em agosto passado e, na essência, regula sobre a proteção de dados privados dos cidadãos brasileiros. Em vigor a partir de 15 de fevereiro de 2020, a lei prevê sanções administrativas e multa de até R$ 50 milhões para os casos de não cumprimento. O prazo de 1 ano e meio da publicação da Lei para o início de sua validade foi estabelecido para que as empresas possam se adequar aos novos requerimentos de conformidade estabelecidos. Este movimento regulatório não é isolado no Brasil, considerando a lei europeia, a GDPR ("General Data Protection Regulation"), já em vigor desde maio passado. Embora distintas, as regulações europeia e brasileira apresentam importantes similaridades, sendo possível perceber o potencial impacto da LGDP, no Brasil, dada a massiva movimentação das empresas europeias para se tornarem "complaint",

Alguns requisitos da LGPD que merecem atenção:

O princípio geral da Lei é que as informações cadastrais e comportamentais do indivíduo a ele pertencem. A regulamentação empodera o consumidor, pois qualquer informação individualizada precisará do seu conhecimento para ser armazenada e/ou tratada.

Mais do que isso, caberá as empresas a prova de que o seu cliente/consumidor deu autorização para o armazenamento de dado pessoal. Em caso de litígio, o ônus da prova é da empresa e não do consumidor.

Além disso, o consumidor/cliente poderá a qualquer tempo, requisitar quais informações estão sobre ele armazenadas e solicitar sua exclusão, ou mesmo sua transferência (portabilidade) para outra empresa do seu interesse.

Dados não consentidos poderão ser tratados, enriquecendo base prévia de dados, desde que não particularizados e tratados na proporcionalidade de perfil, ou seja, de forma a não ser possível associá-lo a um indivíduo em particular, para qualquer providência específica.

Existe ainda a abertura para o tratamento de informações não consentidas, desde que em "legítimo interesse" do indivíduo e no anonimato. Definindo-se sua aplicação para os casos onde existe uma relação prévia entre empresa e indivíduo, e que seu uso não implique em risco contra o poder de decisão do consumidor.

As implicações da LGPD são relevantes e bastante abrangentes, afetando todos os segmentos de negócio. Tomemos como exemplo um segmento essencial, o varejo ampliado (como gosto de chamar o varejo, antes segmentado em online e offline). Nele podemos exemplificar alguns pontos de atenção relacionados a LGPD no fluxo básico de venda ou relacionamento com clientes, que certamente merecerão análise profunda sobre seus eventuais impactos:

Aquisição de clientes – O processo de marketing online para aquisição de novos clientes precisa ser revisto na ótica da nova regulação. É preciso garantir o "opt-in" para o armazenamento de informações, bem como certificar que base de dados utilizadas para se alcançar alvos pretendidos sejam autorizadas. Este é um processo crítico bastante afetado pela LGPD.

Validação de novos clientes – Pontos de atenção na consulta de cadastros externos (por exemplo, para concessão de crédito), e mais especificamente, no processo de prevenção a riscos na venda online. Boa parte dos serviços de antifraude utilizados de forma terceirizada pelas lojas online armazenam dados comportamentais de indivíduos, o que deve ser alvo de análise e revisão para adequação às premissas da LGPD. Nas plataformas de antifraude, dados da navegação do cliente, geolocalização, sistema operacional utilizado e histórico de transações são armazenados (incluindo valor de compra, meio de pagamento utilizado, entre outras informações), sem qualquer autorização do cliente. O impacto nesta indústria pode ser colossal no novo cenário regulatório, pois, caso de alguma forma impedido ou limitado, pode haver o risco de perda na acuracidade da prevenção, o que aumentaria a propensão de prejuízos por fraude ou rejeição de pedidos. O tópico afeta não somente os provedores de soluções antifraude, como lojistas contratantes do serviço.

Manutenção do cadastro de clientes – tarefas usuais como enriquecimento de dados e cross selling precisam ser revistos de forma a garantir autorização prévia do cliente. Importante destacar que esta autorização precisa ser feita para assegurar sua autenticidade e, em caso de contestação, ser recuperada de forma rápida e precisa.

Outros processos transversais afetados

Portabilidade – o cliente tem o direito de "transferir" seu histórico de relacionamento com uma empresa para outra, mesmo competidora. O princípio de que o dado cadastrado pertence ao indivíduo e não à empresa muda de forma profunda o modelo de atuação e relação com clientes.

Controle – Todo processo precisa ser controlado, de forma a armazenar informações de "opt-in" do indivíduo, para ser livremente consultado pelo cliente, ou mesmo apresentado em caso de contestação ou ação legal. Trata-se de uma obrigação permanente, que justifica a alocação de recursos, criação de funções específicas nas organizações, para garantir sua conformidade.

Transferência de dados fora do país – A LGPD apresenta um capítulo específico sobre este tema, que merece atenção dada à grande propagação de serviços de hospedagem de dados em cloud ou data centers fora do Brasil.

A mesma análise, com maior ou menor complexidade, pode ser aplicada a outros segmentos de negócio. Contudo, é fato que as implicações da LGPD afetam todos segmentos de alguma forma. Além do varejo ampliado, segmentos como Marketing Online e Gestão de Riscos, são exemplos onde o impacto deve ser maior. Em outros setores, como os bancos, acredito que será menor, embora relevante, pelas práticas já tradicionais nestas empresas quanto ao relacionamento fechado e controlado com clientes e prospects.

A complexidade do novo requerimento é de tal ordem e dinâmica, que não se limita na adequação às suas premissas. Existe o desafio concreto pela manutenção permanente da gestão de dados individualizados, que vai requerer a criação de novas funções nas organizações, com a responsabilidade na manutenção do "compliance" de proteção de dados.

Passaremos por uma fase duradoura de análise e ajustes por parte das empresas, nas quais certamente surgirão muitas dúvidas. Parte delas poderão ser endereçadas, entretanto, outra parte somente serão sanadas quando um arcabouço jurídico se formar com base nas primeiras demandas legais a respeito, o que nos remeterá para o período de validade da Lei, ou seja, após fevereiro de 2020.

Gastão Mattos, sócio fundador da Gmattos.

Deixe seu comentário