Desde que foi sancionada há dois anos, a Lei Geral de Proteção de Dados Pessoais (LGPD) vem sendo amplamente discutida em fóruns públicos. Mesmo assim, a lei inspirada no GDPR (Regulamento Geral de Proteção de Dados), adotado pelo Parlamento Europeu em 2018, ainda causa muita confusão entre empresas digitais. Os empresários parecem ter dificuldades em adaptar o modo como usam os dados de clientes às novas regras.
Mas apesar da trabalhosa, a mudança de paradigma é percebida como positiva tanto por consumidores quanto pelas próprias empresas (principalmente as varejistas). Isso explica porque vemos cada vez mais grandes, médios e pequenos e-commerces brasileiros se inspirando em companhias europeias e globais que já passaram por essa transformação. As novidades geraram até mesmo uma nova possibilidade profissional: o cargo de Data Protection Officer, responsável pelo cuidado com os dados na cadeia organizacional.
Mas trabalhar em conformidade com a LDGP extrapola um negócio individual, uma vez que a lei se aplica também às atividades de parceiros, como escritórios jurídicos, empresas de TI e processadores de pagamentos. Isso porque, caso alguém não siga as normas, toda a cadeia pode ser comprometida e penalizada. No caso de fornecedores financeiros, a adequação costuma ocorrer de forma mais simples devido à natureza dos dados envolvidos, que já recebiam tratamento com foco em transparência e segurança por serem altamente sensíveis.
Na prática, a principal mudança implementada pela LGPD é o maior controle que o cidadão passa a ter sobre seus dados. De acordo com um estudo da Universidade de Maryland, empresas sofrem um ataque de hackers a cada 39 segundos – a maior parte deles visando informações dos usuários. E a verdade é que, até agora, havia pouco que o consumidor pudesse fazer para proteger essas informações depois de fornecê-las ao e-commerce. Com a LGPD, contudo, tudo muda: as empresas se tornam obrigadas a apagar dados caso o usuário assim exija.
A exceção à regra são os dados utilizados na proteção à fraude. Neste caso, tanto o GDPR e quanto a LGPD consideram que a utilização das informações dos consumidores configura um cenário de “legítimo interesse”, o que exime as empresas de pedir a autorização do consumidor.
Para o varejista, a boa notícia é o menor risco de brechas de segurança graças às regras mais rígidas e processos mais robustos. Para se ter uma ideia, essas falhas resultam em um gasto médio de US$ 3,86 milhões por ano, segundo a IBM. Além disso, um mercado de ecommerce mais seguro certamente atrairá mais clientes. É só considerar que, hoje, apenas 20% dos brasileiros se sentem completamente seguros para comprar online, segundo pesquisa do SPC Brasil e da Confederação Nacional de Dirigentes Lojistas.
Mas assim como os empresários estão se familiarizando com o tema, para os usuários tudo também parece nebuloso. De acordo a Kaspersky, empresa de software de segurança, 93% dos brasileiros fornecem dados pessoais a sites de redes sociais ou e-commerce, mas 35% diz não saber como proteger sua privacidade. As novas regras também devem mudar esse cenário, já que os varejistas serão obrigados a explicar para que utilizarão cada informação pedida e não poderão utilizá-la para nenhuma outra finalidade. Explico: se e empresa solicitar o endereço do consumidor para realizar a entrega do produto, por exemplo, ela não poderá enviar materiais publicitários por correio a esse cliente no futuro.
Não dá para dizer que o processo de adequação à LGDP será simples, afinal muitas mudanças técnicas são necessárias: estruturar a interface de vendas para deixar claro porque cada dado está sendo pedido, organizar o arquivamento e proteção dessas informações, equipar o sistema para deletar dados a pedido dos clientes… No entanto, esse esforço resultará em benefícios para o mercado como um todo. O cidadão ganha com o maior controle sobre suas informações, e os empresários, com uma visão mais estratégica sobre a aplicação dos dados.
*Cássia Pinheiro é Head de Risco e Compliance da Adyen para a América Latina
