A dinâmica do mercado tem conduzido empresas varejistas a investir em ferramentas para manter suas táticas operacionais atrativas e lucrativas no mundo digital. Em meio a rápida evolução tecnológica, a informação pessoal de cada potencial comprador tornou-se commodity, tomando lugar de destaque e alto valor para manutenção da competitividade e promoção da publicidade personalizada.

 

Consequentemente, inúmeros têm sido os esforços de várias frentes, ao redor do mundo, para proteger o direito à privacidade e dados sensíveis, sobretudo após reiterados escândalos envolvendo empresas internacionais de publicidade e consultoria, mais notoriamente Facebook e Cambridge Analytica.

 

No Brasil, a cautela pela proteção de informações pessoais se manifestou no meio legislativo, culminando na Lei Geral de Proteção de Dados Pessoais (nº 13.709/2018), compilada em sessenta e cinco artigos que fixam diretrizes ao armazenamento e controle de informações pessoais coletados em meio virtual e definem práticas que passam a configurar ato ilícito. A referida lei também promoveu mudanças no Marco Civil da internet.

 

Pela relevância da lei à contínua prática de vendas online, veiculação de publicidade personalizada e mineração de dados de potenciais compradores, é aconselhável que as empresas varejistas observem o novo ordenamento para, em caráter preventivo, garantir que suas operações sejam lícitas e compatíveis.

 

Para tanto, é preciso observar os principais pontos da nova lei. Uma das mais relevantes inovações é, em verdade, a ampliação do conceito de “dado pessoal”. Para fins de classificação daquilo que é de caráter pessoal, deve-se entender como qualquer informação que possua qualidade de ser cogitada como um prolongamento da pessoa ali identificada ou passível de assim ser. Por exemplo, nome, idade, endereço físico ou de e-mail, dados de GPS, perfil de compra, número de IP, histórico de compras, perfil comportamental e demais dados de mesma natureza.

 

Quanto aos perfis de compra e comportamental, o legislador tratou de dar máxima proteção, definindo-os como “dados sensíveis”, eis que destes é possível extrair posicionamento religioso, político, de saúde ou sexual de cada potencial comprador. Tais informações poderiam, em tese, viabilizar a veiculação de propagandas mais invasivas, exatamente o que tenta evitar o legislador.

 

Para o varejista, qualquer atividade que envolva, mesmo remotamente, o tratamento de dados pessoais, deverá observar princípios de finalidade; adequação; necessidade; livre acesso; qualidade dos dados; transparência; segurança; prevenção; não discriminação; responsabilização e prestação de contas.

 

Assim, as atividades que envolvam tratamento de dados pessoais deverá ter propósito especifico e legítimo, explicito e claros ao titular dos dados (finalidade), limitados ao mínimo necessário para atingir o objetivo comercial desejado (adequação), com pleno e claro acesso àquilo que é coletado, por quanto tempo e por quais meios (livre acesso, qualidade dos dados, transparência). Deve-se garantir, também, que os dados estejam fortemente protegidos à acesso de terceiros (segurança), com medidas preventivas para evitar problemas de proteção e sigilo (prevenção). Os dados coletados não podem em qualquer hipótese serem utilizados para fins segregativos, discriminatório, ilícito ou abusivo (não discriminação).

 

Por fim, o coletor de dados deve sempre demonstrar de forma eficaz e clara a observância de todos os princípios e cumprimento das normas (responsabilização e prestação de contas).

 

Estes princípios produzem efeitos nos mais variados campos operacionais da prática comercial de varejo.

 

No campo trabalhista, por exemplo, a assunção dos riscos da atividade econômica desenvolvida permite que o empregador se utilize de mecanismos de monitoramento de atividades de computadores para estudar produtividade, gerir riscos e investigar fraudes. De igual forma, é costumeiro que se utilize sistemas de vigilância interna para fins de controle e investigação. Com o advento da nova legislação, tais imagens e informações passam a ser abraçadas como dados pessoas.

 

Contudo, é possível que as relações trabalhistas possam ser reapreciadas sob o uma nova ótica após a entrada em vigor da Lei Geral de Proteção de Dados, afetando principalmente o limite tolerável do uso de tais dados para fins organizacionais sem configurar abuso moral. De igual forma, nos processos seletivos para contratação de funcionários, é necessário ter cautela no momento da consultoria de risco (background check), sobretudo para evitar que informações pessoais específicas e sensíveis sejam levadas em conta, como fator decisivo, para tomada de decisões.

 

Já na área cível e consumerista, com a ampliação da personalidade, intimidade e privacidade do consumidor, é devido ter cada vez mais cuidado com a mineração e armazenamento de dados, principalmente em razão das responsabilidades trazidas pela violação de tais direitos pela nova lei.

 

Assim, o desafio colocado aos varejistas é de legitimar a coleta e tratamento de dados pessoais sem colocar em risco o modelo do negócio ou obstruir a inovação e competitividade, tão essenciais para o desenvolvimento e enriquecimento das empresas na era digital.

 

Os bancos de dados de formas de pagamento, perfis de compra, interesses pessoais e demais informações devem ser tratados em observância ao princípio da segurança e prevenção, com medidas ativas para evitar a ocorrência de vazamentos ou usos indevidos de dados coletados, mesmo que com permissão do titular.

 

A palavra-chave passa a ser “consentimento”. Todas as atividades que envolvem tratamento de dados pessoais devem ser clara e expressamente discriminadas ao proprietário destas para consenti-las sem dúvidas de como serão usados seus dados. Por este motivo, empresas de maior porte já passaram a modificar seus contratos de “Termos e Condições” operacionais, apresentando logo na primeira página um resumo dos principais termos e concessões em linguagem de fácil compreensão. Evita-se assim que o usuário seja obrigado a ler extensos contratos.

 

Estas mesmas empresas passaram também a utilizar em seus websites botões de aceite ao contrato de Termos e Condições que somente aparecem após a leitura da íntegra do documento, como forma de garantir que o usuário final tenha conhecimento de tudo que ali pactuado.

 

Obviamente, em todo caso, o descumprimento destas normas e a inobservância dos princípios listados pela nova lei poderá trazer consequências ao varejista que detém os dados. E as circunstâncias que podem ser consideradas ilegais são as mais diversas, desde vazamento de informações e acesso indevido à banco de dados até a sensação subjetiva de cada pessoa em sentir sua privacidade violada por terceiros.

 

Mesmo que os dados sejam coletados por empresas terceirizadas, como é na maioria dos casos, os varejistas não desviam da responsabilidade na proteção das informações pessoais, sob pena de responder por eventuais danos e violações.

 

A adequação à nova lei, contudo, não se apresenta de difícil concretização. Em verdade, a cautela com Tecnologia da Informação é observada pela grande parte dos varejistas. O que se faz necessário, agora, é investir em técnicas sofisticadas de proteção de dados contra hackers, evitar a prática de qualquer tipo de fraude, e agir com boa fé em face das informações coletadas.

 

Como forma de facilitar a vigência da lei, o próprio legislador tratou de indicar a adoção de um novo cargo nas empresas, na função de Chefe de Proteção de Dados (DPO – Data Protection Officer), cujo ofício exclusivo será o de incorporar à rotina da empresa as boas práticas em relação à proteção de dados e atuar como canal de comunicação entre a empresa varejista e as Autoridades de Proteção de Dados. A norma brasileira não foi clara, porém, quanto a obrigatoriedade da criação deste cargo. Orienta-se, de toda forma, que seja designado tal ofício à profissional capacitado para gerenciamento de dados e segurança de informações.

 

Ainda há tempo para adequação à nova lei, que ainda não entrou em vigor na parte de que cuida este texto. Publicada em agosto de 2018, os seus artigos passarão a ser aplicados de forma irrestrita no segundo semestre de 2020. Por ora, as políticas públicas de apoio a Lei Geral de Proteção de Dados têm se mostrado insuficientes para garantir a eficácia imediata da norma, sobretudo em razão da falta de estruturas oficiais de fiscalização. Ou seja, a efetividade da lei pode não se fazer imediata. De toda sorte, a adequação não exige a vigência da lei, e deve ser praticada como medida preventiva, podendo ser facilmente promovida e efetivada pelos pela prática do Compliance.