Início

No dia 27 de fevereiro foi publicado pela Autoridade Nacional de Proteção de Dados Pessoais o regulamento de dosimetria e aplicação de sanções administrativas. O regulamento estabelece quais os critérios serão analisados e considerados para aplicação de penas para aqueles que estiverem realizando tratamento irregular de dados pessoais.

Processo fiscalizatório

A Autoridade Nacional já havia estabelecido o processo administrativo e fiscalizatório, que prevê os processos ligados a autuação e produção de provas diante de uma denúncia ligada a tratamento irregular de dados.

Penalidades

A partir de agora, as penalidades previstas na LGPD já podem ser aplicadas às empresas e pessoas que façam tratamento de dados irregular. As multas podem chegar a R$ 50 milhões de reais, porém, como é sabido, com o regulamento de dosimetria, critérios transparentes são avaliados, antes que se aplique penalidades mais severas. A penas previstas são: Advertência; Multa simples, de até 2% do faturamento da empresa, limitada, no total, a R$ 50 milhões, por infração; Multa diária; Publicização da infração; Bloqueio dos dados pessoais; Eliminação dos dados pessoais; Suspensão parcial do funcionamento do banco de dados por no máximo de seis meses, prorrogável por igual período, até que se regularize a situação; Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de seis meses, prorrogável por igual período; Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. As penalidades também se aplicam a órgãos públicos, menos a de multa. As multas devem ser pagas até 20 dias após a notificação. As alíquotas são definidas de acordo com a natureza da infração, que pode ser leve, grave ou média.

Sem desculpas!

Não existem desculpas para que aqueles que não se adequaram. A Lei 13.709 é de 2018 e negócios tiveram um bom tempo para adequação até a aplicação da norma. Mais que isso, como faltavam os regulamentos, mais tempo foi concedido às empresas e negócios que tratam dados pessoais. Ao que parece, muitos negócios, de forma desavisada, acabaram por relaxarem em relação ao compliance, sobretudo diante da demora na fiscalização e regulamento de aplicação de penas. Acreditavam que “não ia dar em nada”. Mas este cenário mudou.

PROCON

Apesar de agora a Autoridade Nacional de Proteção de Dados ter tudo que precisa para fiscalizar e aplicar multas, os PROCONS de diversos estados, na proteção ao direito do consumidor, já atuam de forma incisiva e no recebimento de denúncias por violação a dados pessoais. Inúmeras empresas no Brasil já receberam penalidades altíssimas, por não respeitarem a Lei Geral de Proteção de Dados, e não criarem um sistema de gestão que demonstre conformidade.

ANPD começa julgar casos

Como o regulamento de dosimetria, a entidade começará julgar o estoque de processos. A ANPD já recebeu cerca de 7 mil denúncias e tem oito processos sancionadores e que irá apreciar. Na maioria das denúncias, pedidos de dados excessivos pelos e-commerces ou venda de dados pessoais.

Justiça também se movimenta

Independentemente, o Judiciário Brasileiro já conta com inúmeros processos ligados à violações de dados pessoais. Farmácias, bancos, prefeituras e outros figuram como Requeridos. No site da Associação Nacional de Profissionais de Privacidade de Dados é possível ver este radar.

Como denunciar

No site da ANPD é possível ainda fazer uma petição contra o controlador de dados (agente de tratamento), denunciar o descumprimento da LGPD ou comunicar incidentes de segurança. O site é https://www.gov.br/anpd/pt-br

Momento impulsiona PrivacyTechs

Diante da aplicação das penalidades, começou a corrida da adequação e isso tem motivado a criação de inúmeras PrivacyTechs, startups do ramo de tecnologia. Se a empresa realiza tratamento de dados pessoais, deve iniciar a adequação. O https://privacyoffice.com.br/ é uma startup interessante, que modulariza a adequação em áreas: a) Compliance, para empresas pouco maduras ou que não iniciaram o tratamento, b) Auditoria e Perícia, para negócios que precisam auditar controles implementados e efetividade do programa de proteção de dados, c) DPO as a service e time de resposta a incidentes, para empresas que querem terceirizar o encarregado de proteção de dados e a resposta a incidentes e d) Educação, que são treinamentos e palestras de conscientização. O site da Startup é https://privacyoffice.com.br/

Tome ciência!

O processo de fiscalização pode ser consultado em https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/regulamentacoes-da-anpd/resolucao-cd-anpd-no1-2021 e o regulamento de dosimetria em https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-4-de-24-de-fevereiro-de-2023-466146077

No dia 27 de fevereiro foi publicado pela Autoridade Nacional de Proteção de Dados Pessoais o regulamento de dosimetria e aplicação de sanções administrativas. O regulamento estabelece quais os critérios serão analisados e considerados para aplicação de penas para aqueles que estiverem realizando tratamento irregular de dados pessoais.

Processo fiscalizatório

A Autoridade Nacional já havia estabelecido o processo administrativo e fiscalizatório, que prevê os processos ligados a autuação e produção de provas diante de uma denúncia ligada a tratamento irregular de dados.

Penalidades

A partir de agora, as penalidades previstas na LGPD já podem ser aplicadas às empresas e pessoas que façam tratamento de dados irregular. As multas podem chegar a R$ 50 milhões de reais, porém, como é sabido, com o regulamento de dosimetria, critérios transparentes são avaliados, antes que se aplique penalidades mais severas. A penas previstas são: Advertência; Multa simples, de até 2% do faturamento da empresa, limitada, no total, a R$ 50 milhões, por infração; Multa diária; Publicização da infração; Bloqueio dos dados pessoais; Eliminação dos dados pessoais; Suspensão parcial do funcionamento do banco de dados por no máximo de seis meses, prorrogável por igual período, até que se regularize a situação; Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de seis meses, prorrogável por igual período; Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. As penalidades também se aplicam a órgãos públicos, menos a de multa. As multas devem ser pagas até 20 dias após a notificação. As alíquotas são definidas de acordo com a natureza da infração, que pode ser leve, grave ou média.

Sem desculpas!

Não existem desculpas para que aqueles que não se adequaram. A Lei 13.709 é de 2018 e negócios tiveram um bom tempo para adequação até a aplicação da norma. Mais que isso, como faltavam os regulamentos, mais tempo foi concedido às empresas e negócios que tratam dados pessoais. Ao que parece, muitos negócios, de forma desavisada, acabaram por relaxarem em relação ao compliance, sobretudo diante da demora na fiscalização e regulamento de aplicação de penas. Acreditavam que “não ia dar em nada”. Mas este cenário mudou.

PROCON

Apesar de agora a Autoridade Nacional de Proteção de Dados ter tudo que precisa para fiscalizar e aplicar multas, os PROCONS de diversos estados, na proteção ao direito do consumidor, já atuam de forma incisiva e no recebimento de denúncias por violação a dados pessoais. Inúmeras empresas no Brasil já receberam penalidades altíssimas, por não respeitarem a Lei Geral de Proteção de Dados, e não criarem um sistema de gestão que demonstre conformidade.

ANPD começa julgar casos

Como o regulamento de dosimetria, a entidade começará julgar o estoque de processos. A ANPD já recebeu cerca de 7 mil denúncias e tem oito processos sancionadores e que irá apreciar. Na maioria das denúncias, pedidos de dados excessivos pelos e-commerces ou venda de dados pessoais.

Justiça também se movimenta

Independentemente, o Judiciário Brasileiro já conta com inúmeros processos ligados à violações de dados pessoais. Farmácias, bancos, prefeituras e outros figuram como Requeridos. No site da Associação Nacional de Profissionais de Privacidade de Dados é possível ver este radar.

Como denunciar

No site da ANPD é possível ainda fazer uma petição contra o controlador de dados (agente de tratamento), denunciar o descumprimento da LGPD ou comunicar incidentes de segurança. O site é https://www.gov.br/anpd/pt-br

Momento impulsiona PrivacyTechs

Diante da aplicação das penalidades, começou a corrida da adequação e isso tem motivado a criação de inúmeras PrivacyTechs, startups do ramo de tecnologia. Se a empresa realiza tratamento de dados pessoais, deve iniciar a adequação. O https://privacyoffice.com.br/ é uma startup interessante, que modulariza a adequação em áreas: a) Compliance, para empresas pouco maduras ou que não iniciaram o tratamento, b) Auditoria e Perícia, para negócios que precisam auditar controles implementados e efetividade do programa de proteção de dados, c) DPO as a service e time de resposta a incidentes, para empresas que querem terceirizar o encarregado de proteção de dados e a resposta a incidentes e d) Educação, que são treinamentos e palestras de conscientização. O site da Startup é https://privacyoffice.com.br/

Tome ciência!

O processo de fiscalização pode ser consultado em https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/regulamentacoes-da-anpd/resolucao-cd-anpd-no1-2021 e o regulamento de dosimetria em https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-4-de-24-de-fevereiro-de-2023-466146077

José Antonio Milagre *

Pela primeira vez o Brasil terá uma Black Friday já com o processo de fiscalização e administrativo sancionador da Autoridade Nacional de Proteção de Dados em vigor, onde autos de infração poderão ser lavrados e empresas autuadas. Saiba como preparar sua loja para evitar perdas financeiras, danos à imagem e grandes problemas.

A Black Friday já é tradição anual no Brasil e com ela, anualmente, muitos problemas consumeristas são submetidos às plataformas de arbitragem e Poder Judiciário. Propaganda enganosa, maquiagem de preços, atrasos e demais violações ao Código de Defesa do Consumidor movimentam a Justiça. Nesta edição, no entanto, outro assunto relevante ganha espaço e merece total atenção: A proteção de dados pessoais de consumidores e titulares de dados.

A Lei Geral de Proteção de Dados (Lei 13.709/2018) está em vigor desde setembro de 2020, sendo que desde agosto de 2021 as penalidades previstas no art. 52 da LGPD já podem ser aplicadas aos agentes que realizarem tratamentos irregulares de dados, com multas que podem chegar a R$ 50 milhões de reais.

No entanto, faltava ainda a regulamentação do processo de fiscalização e administrativo sancionador da ANPD, para que, eventualmente diante de um auto de infração e processo repressivo, garantindo-se a ampla defesa, lojas, e-commerces e agentes de tratamento pudessem ser responsabilizados, se constatadas violações.

Este regulamento chega às vésperas da Blackfriday, em 29 de outubro de 2021. Com isso, a atenção máxima do lojista deve ser compreender como está sua conformidade com a LGPD, com o estabelecimento de uma governança de dados pessoais, envolvendo o uso de recursos e elementos para demonstrar que o agente de tratamento está em conformidade com a lei e melhores práticas de proteção de dados, respeitando os direitos dos titulares e princípios previstos no art. 6 da Lei Geral de Proteção de Dados.

Após um ano em vigor, a LGPD já embasava, em junho de 2021, mais de 1.000 sentenças na Justiça e mais de 600 decisões ligadas à temática, sendo São Paulo, Distrito Federal e o Paraná os Estados com maior concentração de processos. E este número só aumenta. Na mesma intensidade, os PROCONS dos Estados se estruturam para receber reclamações por violações de dados e fiscalizar empresas, que já começam a ser notificadas.

Em tempos de Blackfriday, ações de marketing que não considerem as melhores práticas de proteção de dados podem causar grandes transtornos para as empresas e lojistas, danos que podem ser irreparáveis para a marca da loja.

Os tratamentos de dados pessoais nas compras no e-commerce estão, via de regra (mas nem sempre), amparados pela premissa execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados, porém, para outras ações e usos dos referidos dados pessoais, faz-se primordial a transparência ao titular de dados, ou, de acordo com o contexto, pode ser necessário o consentimento do mesmo, livre, expresso, informado, inequívoco.

Deve-se destacar, ainda, o dever de segurança da informação de responsabilidade dos controladores e operadores de dados pessoais. Nos termos do art. 46 da LGPD, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Como medidas técnicas podemos citar testes de intrusão nos portais, criptografia, pseudonimização, controles de acesso, backups regulares, plano de recuperação de desastres, monitoramento de segurança e demais controles. Já como medidas organizativas é fundamental o treinamento e conscientização dos colaboradores e time de vendas para uso e manuseio adequado dos dados pessoais confiados, evitando-se incidentes com dados pessoais ligados à insiders ou pessoas com privilégios, confiança ou acesso a dados.

Em um cenário de aumento exponencial das compras online, sobretudo influenciadas pelo momento pandêmico atravessado e de vigência da LGPD e principalmente, em face da possibilidade de aplicações de sanções e autuações pela a ANPD e Procons, é importante que o comerciante esteja atento e preparado  para gerir adequadamente questões ligadas à segurança da informação e proteção de dados, que poderão crescer especialmente nesta edição. As lojas físicas ou virtuais devem disponibilizar, de forma transparente, ponto de contato para que o titular possa requerer informações sobre o tratamento de seus dados bem como exercer os direitos previstos no art. 18 da norma.  A ausência deste canal, por si só, é um indício de desconformidade e poderá gerar notificações e autuações.

Dentre as preocupações do e-commerce e comércio em geral, e que devem ser consideradas, sobretudo no período da BlackFriday, podemos citar:

1. Uso indevido da identidade visual do e-commerce: Engana-se a empresa ou lojista que não tem responsabilidade alguma diante do uso indevido de sua identidade visual, como a criação de um “site falso”, por exemplo. Cabe a este desenvolver campanhas de conscientização, junto com o marketing, para evitar que criminosos usem sua identidade visual para fraudar, inclusive em redes sociais. A boa prática também recomendada monitorar o uso indevido da marca em redes sociais. Selos de certificação de autenticidade e conformidade do portal, como o Confiaweb, da CyberExperts, são ótimas alternativas.
2. Uso indevido de dados pessoais para compras: Criminosos cibernéticos negociam selfies, documentos e dados pessoais para criação de cadastros em marketplaces e lojas, para fraudes ligadas a compra e vendas de produtos. Tenha um anti-fraude ativo e atuante na revisão de integridade dos dados pessoais usados, como por exemplo, tentativa de cadastros duplicados, informando sempre o titulares de dados.
3. Cancelamentos “chargebacks” fraudulentos: A facilidade em obter cartões tem permitido que marginais compareçam, até mesmo fisicamente, em lojas, e passem o cartão, requerendo cancelamento tão logo a compra é entregue.
4. Ataques ou códigos maliciosos: Os criminosos podem conseguir acesso à base de dados de clientes, compras, cartões e com isso lesar clientes e titulares de dados. Tem crescido também a invasão aos meios de pagamentos utilizados pelos lojistas e com isso, ocorrendo os cancelamentos das compras feitas.
5. Autenticação fraca ou insegurança nas comunicações: Tem crescido no Judiciário processos favoráveis aos consumidores, quando é comprovado, por perícia técnica que o site não adotava autenticação forte com dois ou mais fatores, ou mesmo não  aplicava criptografia ponta a ponta nas comunicações com o cliente, ou, ainda, ao ser informado de um incidente com dados pessoais, nada fez.

Neste sentido, são preocupações que exigem um reforço analítico prévio e preparo dos recursos para a segurança da informação e dos dados pessoais tratados. Além do contexto de fraudes, é importante coordenar e revisar previamente as ações planejadas por marketing e outras ações pontuais para a temporada ou pré-temporada, que envolvam tratamento de dados pessoais.

É boa prática que um comitê interno esteja constituído e que os processos para validação das operações que envolvam novos tratamentos sejam considerados e executados. Caberá ao encarregado de proteção de dados (DPO) interagir com as áreas, buscando compreender atividades novas que precisam ter seus fluxos mapeados e com isso, adotadas medidas para reduzir, mitigar riscos, além da avaliação criteriosa da base legal adotada para os novos tratamentos de dados.

Landing pages ou hotsites, muito comuns neste período, e que busquem coletar dados além dos dados mínimos necessários para a compra, precisam contar com disposições transparentes sobre o uso dos dados, finalidade, compartilhamento, tempo de retenção e demais informações, sendo que, em determinadas situações, onde não for possível com clareza e segurança o enquadramento em outra base legal, o tratamento deverá, antes de iniciado, contar com mecanismo para registro do consentimento do titular, sendo que o ônus de provar o consentimento é do agente de tratamento de dados.  Vale também o alerta para o não envio de mensagens ou abordagens para contatos que jamais tiveram qualquer relação com o negócio, conduta que poderá caracterizar spam, tratamento irregular ou indício de base de dados comprada.

É preciso cuidado especial com os avisos de privacidade, políticas e termos do site, que deverão estar atualizados e contemplar também as ações que envolvam tratamento de dados pessoais específicos para a Blackfriday, do mesmo modo, contemplando a política de cookies, sendo que o portal ou site da loja deverá dispor de forma transparente de recurso que permita ao usuário selecionar quais pacotes de dados poderão ser registrados ou coletados, lembrando sempre que este só não terá opção diante dos cookies necessários, que são indispensáveis para o funcionamento seguro do site.  Para os demais, devem estar desativados por padrão, em prestígio da privacidade “by default”.

Importante mencionar que, dentre todos os direitos do titular de dados, previstos no art. 18 da LGPD, está o direito de “se opor” a um tratamento que foi realizado sem o consentimento do mesmo. Esta oposição poderá se dar, por exemplo, caso as informações prestadas pelo e-commerce apresentem uma atividade de tratamento de dados cuja base legal adotada foi o legitimo “interesse” e o titular discorde.

Deste modo, é muito importante que, previamente, todos os novos processos e operações de tratamento de dados pessoais estejam devidamente mapeadas, analisadas e as medidas para proteção dos dados adotadas e ativas, sem descartar, ainda, a necessidade da manutenção atualizada de documentos e registros que são evidências de que a loja estabeleceu e mantém um sistema de gestão de proteção de dados, informações estas que poderão ser solicitadas a qualquer momento pela ANPD ou órgãos de defesa do consumidor.

É fundamental manter os processos e workflows ativados, com recursos humanos preparados para que, partir do recebimento de requerimentos de titulares ou notificações e até mesmo intimações e autuações, a empresa saiba claramente como agir e qual processo seguir.

Por fim, um dos pontos mais importantes: A gestão e resposta a incidentes. Por mais que o empreendedor invista em segurança da informação, enfrentar um incidente que possa envolver dados pessoais é questão de tempo. Neste sentido, processos de resposta a incidentes de segurança da informação e recursos necessários precisam ser aplicados e preparados para, diante do comprometimento de dados pessoais, sejam adotadas as medidas amparadas por melhores práticas para redução do impacto e comunicação a titulares e ANPD.  Antecipação é fundamental, com preparo de equipes internas e consultorias externas para dar suporte a todos os processos, especialmente nesta fase, onde os criminosos digitais também se preparam para lucrar com golpes, fraudes e crimes cibernéticos, lesando milhares de pessoas.

Deste modo, o que não se espera de um comércio ou loja virtual à esta altura é que tenha que fazer, em tempos de Black Friday, uma “adequação de última hora”, mas na verdade, que considerando uma governança já em execução, atue para uma intensificação e revisão de todos os componentes do Sistema de Gestão de Proteção de Dados, com vistas a um período intenso de muitas compras, interações e compartilhamento de dados pessoais, o que somado ao crescimento do oportunismo, golpes e fraudes digitais, em alta no Brasil, pode gerar danos significativos a consumidores e ao varejo, com perdas financeiras e reputacionais irreparáveis. Se o seu negócio não iniciou um programa de governança para compliance com a LGPD, o risco é, evidentemente, ainda maior.

José Antonio Milagre, é Advogado especialista em Direito Digital e Proteção de Dados, Presidente de Instituto de Defesa do Cidadão na Internet – IDCIBrasil, Analista de Sistemas, Mestre e Doutor pela UNESP, DPO Exin, PECB Lead Implementer, e Diretor do PrivacyOffice, grupo de privacidade e proteção de dados da CyberExperts.

Advocacia José Milagre https://www.direitodigital.adv.br

É muito comum questionamentos sobre os impactos da LGPD no e-commerce. Por que as lojas devem se adaptar? A poucos meses da aplicação prática da LGPD, grande parte das centenas de milhares de lojas virtuais do Brasil ainda tratam o assunto com ceticismo ou descrença, como se não fossem um dos segmentos mais impactados com a norma e suas regras para o tratamento de dados pessoais.  

A aplicação da GDPR (General Data Protection Regulation) na Europa e seus reflexos no mundo (especialmente nos Estados Unidos) também apresentou um cenário de questionamentos intensos por parte de consumidores e associações de representação de titulares de dados pessoais, bem como um crescimento dos processos judiciais envolvendo questões de proteção de dados.

Uma avaliação do Conselho Europeu de Proteção de Dados (EDPB), constatou que nos primeiros 9 meses de aplicação da GDPR houve 206.326 casos relatados de acordo com as autoridades de supervisão dos 31 países membros da Área Econômica Europeia. Além do mais, as multas chegaram a 56 milhões de euros por conta da violação de dados pelos controladores.

Assim, muito conteúdo existe na internet sobre a preparação de negócios, empresas e inclusive negócios digitais, porém, o e-commerce tem especificidades no que tange ao tratamento de dados pessoais que merecem um enfoque e reflexões dedicadas. 

É importante destacar que todos os agentes de tratamento devem respeitar os princípios previstos na Lei Geral de Proteção de Dados, 13.709/2018, sendo eles previstos no artigo 6^o. da norma:

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: 

I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; 

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; 

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; 

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; 

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; 

VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; 

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; 

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; 

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; 

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. 

Atento aos princípios, é também importante conhecer as premissas ou hipóteses que autorizam o tratamento de dados pessoais. Via de regra, o e-commerce trata dados pessoais com base na sua relação com o consumidor, o que se assemelha à necessidade de execução de contrato ou procedimentos preliminares de contratação, por outro lado, nem sempre esta será a premissa válida, e cada processo de negócio ou ciclo de vida novo com dados do titular precisa de uma avaliação criteriosa. As premissas previstas na Lei Brasileira para tratamento de dados são:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: 

I – mediante o fornecimento de consentimento pelo titular; 

II – para o cumprimento de obrigação legal ou regulatória pelo controlador; 

III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; 

IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; 

V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; 

VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ; 

VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro; 

VIII – para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; 

VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;      (Redação dada pela Lei nº 13.853, de 2019)      Vigência 

IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou 

X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Com efeito, existem pontos essenciais que um negócio, seja ele individual ou uma grande empresa, que trata dados pessoais, não pode ignorar, sobretudo se exerce atividade de loja virtual, considerando sua natureza básica, a execução contratual de compra e venda de produtos, onde necessariamente trata-se dados pessoais. Aqui, passamos de forma objetiva e sem apego a doutrinas, o que uma loja virtual deve primordialmente saber em relação ao e-commerce:

Estabeleça um programa de proteção de dados pessoais

O primeiro passo ou fase de um sistema de gestão de dados pessoais é a Preparação. É aqui que você avalia as leis aplicáveis ao seu negócio, impactos, realiza um mapeamento de dados pessoais iniciais, identifica os riscos para seu negócio e principalmente conhece, para cada ciclo de vida, se você é um controlador de dados ou operador de dados (se você é loja, marketplace, meio de pagamento, etc.), compreendendo efetivamente as necessidades de ajustes, após analisar os riscos do relatório preliminar e correlacionar suas atividades com os princípios e hipóteses de tratamento trazidas. Nesta fase, você já poderá identificar dados coletados em excesso que devem ser minimizados nas operações ou mesmo riscos existentes nas operações, como por exemplo, o tratamento de dados baseado em uma premissa equivocada. 

Organize as ações que serão tomadas

Nesta fase, atue e organize com um comitê de proteção de dados, avalie a necessidade de sistemas informatizados para te auxiliar na conformidade, programe as ações que serão necessárias para a conformidade com a loja e realize a atualização da política de privacidade (destinada ao público externo). Você pode conceber também uma política de proteção de dados, essa destinada aos seus terceirizados (meios de pagamento, hospedagem, time de analytics) e colaboradores. A política reforça a missão corporativa e impõe aos prestadores e funcionários sanções em casos de transgressão às regras.

Implemente as ações

Conscientização da equipe de backoffice, procedimentos de pseudonimização de dados, criptografia, realização de treinamentos. Aqui serão definidos procedimentos de aprovação para tratamento de dados pessoais, serão implementadas as medidas de segurança de dados, sejam elas técnicas ou organizacionais, bem como ocorrerá a revisão de contratos com todos os demais agentes de tratamento que manipulam dados pessoais no interesse da loja, incluindo a concepção de data processing agreements. Sobre as políticas, é importante que se crie uma “central de privacidade” na loja, contendo a política e suas estratificações ou políticas específicas, como veremos a seguir. Lembre-se, não basta um servidor com sistema operacional atualizado ou um firewall. Existem situações em que somente medidas organizativas poderão reduzir riscos aos dados pessoais. 

Políticas e termos de uso. Muito cuidado!

Você precisa saber que políticas meramente descritivas oferecem uma participação básica do consumidor no processo de tratamento de seus dados. A Lei assegura uma participação maior, portanto, em seu programa de proteção de dados, estabeleça uma central de privacidade, responsável por tratar da política de privacidade e demais estratificações. 

Seja transparente, use vídeos, desenhos e fuja dos textos longos e escritos em linguagem de difícil leitura ou juridiquês. Após realizar a política, peça para várias pessoas lerem e verificarem o que entenderam. É importante que a política estabeleça a declaração da empresa em relação a proteção de dados, quais dados são coletados, como são armazenados e tratados, período de retenção, quais os compartilhamentos e para quem os dados seguem para que esta empresa exerça suas atividades. A forma pela qual o titular pode se opor ao tratamento de seus dados deve ser clara. 

Do mesmo modo, é importante que o consumidor conheça seus direitos, e as hipóteses em que a loja entende legitimada a tratar os seus dados. A central de privacidade deve dispor, na própria política de privacidade, de link com área para receber pedidos dos titulares, política de pixels, política de cookies, especificação de quais dados sensíveis são tratados (aqueles que podem impactar em direitos e liberdades individuais) além é claro do contato com o DPO (encarregado de proteção de dados) que deverá ser nomeado pelo e-commerce e terá as seguintes atribuições, segundo a LGPD:

Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais. 

§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador. 

§ 2º As atividades do encarregado consistem em: 

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; 

II – receber comunicações da autoridade nacional e adotar providências; 

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e 

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. 

§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. 

Lembre-se que ao tratar dados com base na relação consumerista, execução de um contrato, ou hipótese que avaliar cabível para a finalidade específica, esteja sempre ciente de coletar e tratar somente os dados realmente necessários, evitando questionamentos do titular e até responsabilizações. Em casos de outras atividades de tratamento a serem realizadas, que não as necessárias para a compra dos produtos, pode ser necessário o consentimento do mesmo, como por exemplo, a transferência de dados a um processador para marketing direcionado (behavioral Targeting) ou para identificar perfis de compra dos titulares (business intelligence).  Atenção total aos direitos dos titulares, que poderão ser questionados na área de “subject requests” ou “área do titular de dados pessoais”:

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: 

I – confirmação da existência de tratamento; 

II – acesso aos dados; 

III – correção de dados incompletos, inexatos ou desatualizados; 

IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; 

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador; 

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;    (Redação dada pela Lei nº 13.853, de 2019)     Vigência 

VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei; 

VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; 

VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; 

IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei. 

Esteja preparado para receber inúmeros questionamentos de titulares sobre os diversos direitos trazidos acima. Como veremos, nem sempre a loja é obrigada, por exemplo, a “apagar” os dados, mas precisará de uma fundamentação legal para a recusa. Esteja pronto também para responder quem são seus parceiros de negócio (como um gateway de pagamentos ou antifraude) com quem você compartilha dados. Do mesmo modo, prepare-se, pois o titular poderá alegar que os dados são desnecessários, opondo-se ao tratamento. 

Cuidados com o consentimento.

Como visto, é um erro comum em muitos processos de adequação LGPD entender que o consentimento deve ser solicitado sempre. Pode até ser um risco exigir o consentimento em situações em que outras hipóteses legais poderiam se amoldar sem riscos. Porém, quando o consentimento for a hipótese escolhida, lembre-se que não basta informar ao consumidor que “ao comprar na loja ele consente com o tratamento dos seus dados pessoais de tal forma”. Este consentimento informado não apresenta mais nenhuma utilidade. O consentimento deve ser livre, expresso, inequívoco, explícito e em alguns casos até mesmo destacado (para dados sensíveis). Portanto, não é só inserir parágrafos em uma área do site e acreditar que pode tratar os dados do titular como bem entender. Importante destacar também outra característica do consentimento que é ser revogável. Além disso, é de responsabilidade do controlador (loja virtual) a gestão dos consentimentos, registrando todas as manifestações dos titulares de dados de forma que possa ser analisada a qualquer momento. Na hora de finalizar o pedido pode ser considerado um pop-up de consentimento? Cada caso é um caso e deverá ser avaliado o uso e a finalidade da coleta dos dados. 

Governança e incidentes de segurança

Na fase de Governança partimos do princípio de que os mecanismos, medidas técnicas e organizativas já foram implementadas. Na operação do e-commerce muitos incidentes podem ocorrer. Nesta fase, é importante executar o plano de solicitações e reclamações dos titulares dos dados e conduzir as avaliações de riscos de privacidade e proteção de dados, incluindo testes de intrusão. No que diz respeito ao plano de solicitações, o DPO (encarregado de proteção de dados) precisa estar preparado para atender às solicitações, no prazo legal, ora concedendo, ora negando, justificando legalmente a negativa do pedido do titular.  Nesta fase também se mantém ativa e revisada toda a documentação de privacidade e dados e principalmente, se estabelece um plano de resposta a incidentes de violação de dados pessoais. É muito importante aqui que tudo esteja bem claro sobre o que fazer e como agir diante de um incidente com dados pessoais, envolvendo procedimentos de contenção do dano, perícia em informática, notificação à Autoridade Nacional de Proteção de Dados e comunicações aos titulares. Algumas questões ainda serão regulamentadas. Fique atento, pois as multas por omissões podem ser gravíssimas e considere ainda as ações movidas por titulares de dados violados. 

Evolua e prove sua conformidade

De nada adianta superar todas as fases de um SGPI (Sistema de Gestão da Privacidade da Informação) da sua loja virtual se você não mantiver a avaliação e melhoria ligadas. Lembre-se que embora careça de regulamentação na Lei Brasileira, para cada novo processo, ciclo de vida ou operação de tratamento, pode ser necessário o relatório de impacto a proteção de dados. Esteja, nesta fase, preparado para a realização de auditorias internas e externas, executar avaliações de riscos para proteção de dados, resolver riscos e demonstrar sua conformidade, que a qualquer momento poderá ser requerida pela Autoridade Nacional de Proteção de Dados. Para a conformidade, é possível realizar auditoria na ISO 27701, que estabelece um sistema de gerenciamento de privacidade da informação. Outra opção é recorrer às certificações e selos, que conquanto não mandatórios ou obrigações legais, são excelentes indicativos, de uma empresa terceira e independente que sua loja cumpriu ou cumpre os requisitos de conformidade.

Conclusões

Se a Lei será prorrogada ou não, honestamente, entendemos não deve ser uma preocupação do empreendedor que tem um e-commerce e que necessariamente realiza tratamento de dados pessoais. A questão é: Eu preciso me adequar e quanto tempo terei para projetar, preparar, organizar, implementar as mudanças e gerir a conformidade da loja as determinações da LGPD? No Brasil, já é possível verificar procedimentos de responsabilização milionários de empresas e lojas que de certo modo foram responsabilizadas por tratamento irregular de dados pessoais. Entender a Lei Geral de Proteção de Dados no E-commerce é essencial. Como visto, iniciar um plano de conformidade, seguindo e observando as etapas acima, pode ajudar lojas virtuais a organizarem ações e a reduzirem custos e tempo na adequação, com foco em questões prioritárias. Não arrisque deixar tudo para a última hora.

Inicie a adequação 

Agora que você já sabe como  agir, pode acessar o site www.cyberexperts.com.br e conhecer os cursos de “LGPD no E-commerce, implantação prática” e os treinamentos “Construção de áreas de privacidade, políticas de privacidade e proteção de dados”. 

No Brasil o ConfiaWeb® é um serviço que avalia lojas em diversos itens de conformidade, incluindo LGPD, apresentando de forma transparente ao titular dos dados e consumidor a pontuação da loja, garantindo segurança, conformidade e nitidamente aumento de conversões. Para conhecer o Confiaweb®, primeira auditoria online e selo de legalidade de lojas virtuais do Brasil, envie mensagem para (11) 98105-6959.

Envie-nos uma mensagem e solicite uma palestra gratuita para sua loja virtual, sobre aspectos de proteção de dados no e-commerce. Não deixe também de baixar nosso E-book “5 passos para entender a norma ISO 27701” em http://ebookiso27701.pagina.rocks/ 

Sobre os autores

Prof. MSc. José Antonio Milagre, CEO da CyberExperts, advogado especialista em direito digital, e perito em informática, Pós Graduado em Gestão de Tecnologia da Informação, Mestre e Doutorando Ciência da Informação pela UNESP, Pesquisador em Redes Sociais do NEWSDA-BR da Universidade de São Paulo (USP), Presidente da Comissão de Direito Digital da OAB/SP Regional da Vila Prudente, Arbitro fundador da Câmara Internacional de Arbitragem e Mediação em Tecnologia da Informação, E-commerce e Comunicação (CIAMTEC.br). Consultor convidado na CPI de Crimes Cibernéticos – CPICyber do Congresso Nacional. É professor de Pós-Graduação em diversas instituições. Autor pela Editora Saraiva em co-autoria com o Professor Damásio de Jesus, dos livros e “Marco Civil da Internet: Comentários à Lei 12.965/2014” e “Manual de Crimes Informáticos”. É colunista da Rádio Justiça do Supremo Tribunal Federal (STF). Data Protection Officer Certified by EXIN. Fundador do Instituto de Defesa do Cidadão na Internet – IDCI.  Site: www.josemilagre.com.br

Carolina Bonfim Coelho, especialista em Direito Digital e Dados, membro do escritório José Milagre & Associados. Site: www.josemilagre.com.br