Start Blog

LGPD para e-commerce

A Lei Geral de Proteção de Dados (LGPD), Lei 13.709/2018, entrou em vigor em setembro de 2020, com exceção das sanções, as quais passam a vigorar a partir de 1º de agosto desse  ano (2021). A referida lei dispõe sobre o tratamento de dados pessoais com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural. Nesse sentido, a LGPD é um marco que garante que os cidadãos tenham maior controle sobre suas informações pessoais. 

A lei destina-se a regular todo e qualquer tipo de tratamento realizado por pessoa natural ou jurídica de direito público ou privado. Mas sem dúvidas, o e-commerce será um dos setores que sofrerá maior impacto com a vigência da lei, uma vez que o comércio eletrônico envolve o acompanhamento do comportamento do consumidor, bem como a análise de seus dados e perfil coletados, em sua maioria, por meio de cadastros e implementação de cookies.

Desse modo, os e-commerces terão que se adaptar à Lei Geral de Proteção de Dados, transformando seus processos, para evitarem o sancionamento. Mas o que muda exatamente para esse setor e quais são suas obrigações? Aqui vão algumas dicas para que você possa adequar o seu negócio à LGPD e fugir das multas.

      1. Requeira o consentimento do titular

Um dos principais requisitos para que se possa realizar o tratamento de dados pessoais de forma legal é obtendo o consentimento do titular (art. 7º, I, da LGPD). De acordo com o inciso XII do art. 5º da lei, consentimento é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.

Observe que a o inciso fala de consentimento para tratamento com finalidade determinada. Essa determinação da finalidade prévia à captura dos dados é um dos princípios que regem a lei, estando prevista no inciso I do art. 6º, o qual dispõe que a atividade de tratamento de dados pessoais deve ser realizada para “propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”. 

Desse modo, o e-commerce deve determinar quais os dados que pretende colher e tratar e para quais finalidades específicas, informando isso ao titular de forma clara e ostensiva e requisitando seu aceite para o tratamento. É desaconselhado obrigar o consumidor, titular dos dados, a ceder seus dados pessoais, fazendo com que essa seja uma exigência para o uso do serviço ou a compra do produto, a não ser que sejam dados essenciais para o negócio, realmente necessários para fazer login (e-mail), para a conclusão da compra (dados de cartão) e o envio do produto (endereço) etc. 

Para isso, recomenda-se um campo específico que que exija que o consumidor, titular dos dados, ativamente concorde com os termos de uso e política de privacidade clicando em um checkbox (sem pré-marcação). Essa requisição de consentimento deve estar presente, de preferência, antes do cadastro do usuário, para que ele possa fornecer seus dados já ciente da finalidade para as quais eles serão utilizados. 

      2. Informe o usuário sobre cookies, listas de desejos etc.

Cookies são mecanismos utilizados pelos sites, pequenos arquivos instalados no computador do usuário quando visita algum site, que armazenam informações de navegação daquele usuário, permitindo a identificação do visitante e, consequentemente, a personalização da página.

É muito comum que os sites de e-commerce utilizem cookies para salvar determinadas informações de navegação, possibilitando, desse modo, que os itens adicionados ao carrinho de compras ou listas de desejos permaneçam lá ainda que o consumidor mude de página ou navegue por outros produtos. 

Desse modo, por serem arquivos que armazenam informações pessoais e de navegação, resta claro que essa coleta e armazenamento também deve ser consentido e justificado, devendo o site informar ao consumidor, titular dos dados, as finalidades do tratamento, a forma e duração do tratamento, informações acerca do uso compartilhado desses dados e a sua finalidade, bem como os direitos do titular previstos no art. 18 da Lei. De acordo com o artigo 9º da LGPD, essas informações deverão ser disponibilizadas de forma clara, adequada e ostensiva. 

Portanto, é dever do controlador informar o titular dos dados de seu tratamento, bem como requisitar seu consentimento para a realização dessa coleta e tratamento.

      3. Defina quais dados são realmente necessários para atender à finalidade do tratamento

Outro princípio que rege a Lei Geral de Proteção de Dados é o princípio da necessidade, por meio do qual é exigida a limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados. 

Desse modo, deve-se coletar apenas os dados estritamente necessários para atingir a finalidade desejada, ou seja, a conclusão da transação comercial.

      4. Deixe claro como o consumidor pode retirar seu consentimento

Um dos direitos do titular de dados, previsto no inciso IX do artigo 18 da LGPD, é a revogação do consentimento, a qual poderá ser realizada “a qualquer momento, mediante manifestação expressa do titular e por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação”, de acordo com o § 5º do artigo 8º da mesma lei.  

Nesse sentido, é importante criar um processo simplificado para os casos em que o consumidor queira verificar seus dados e/ou revogar seu consentimento, atendendo à essas requisições dentro do prazo de 15 dias contados da data do requerimento do titular.

      5. Avalie o grau de sensibilidade dos dados que sua loja já possui e coleta

Para a LGPD, dados pessoais sensíveis são dados pessoais “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”, conforme disposto no inciso II do artigo 5º. 

Além disso, de acordo com o § 2º do artigo 12 da lei, “poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada”.

Esses dados sensíveis recebem tratamento especial e proteção reforçada, desse modo, é importante realizar um diagnóstico identificando se a sua empresa coleta ou já coletou dados dessa categoria e sua real necessidade, a fim de descartar seu uso. 

Importante destacar também a necessidade de identificar se há coleta de dados pessoais de crianças e adolescentes, pois nesse caso, o tratamento desses dados deverá ser realizado em seu melhor interesse, bem como com o consentimento específico e em destaque dados por pelo menos um dos pais ou responsável legal do titular.

      6. Defina um responsável para lidar com possíveis incidentes 

A Lei prevê, em seu artigo 41, a necessidade de indicar um encarregado pelo tratamento de dados pessoais, o famoso DPO (Data Protection Officer). De acordo com o inciso VIII do artigo 5º, encarregado é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.

As atividades do encarregado, conforme definido no § 2º do artigo 41, consistem em: 

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • receber comunicações da autoridade nacional e adotar providências;
  • orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; 
  • executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Para isso, o artigo 41 define ainda, em seu § 1º, que a identidade do DPO e suas informações de contato devem ser divulgadas, de forma clara e objetiva, no site do controlador. 

Desse modo, percebe-se a importância da figura do DPO, o qual cuidará da proteção de dados pessoais dos funcionários e dos usuários do site ou consumidores.

      7. Redefina sua política de privacidade e proteção de dados

Como visto, é necessário obter o consentimento do titular dos dados para a realização da coleta e tratamento de dados pessoais, devendo-se prestar uma gama de informações à esses titulares, previstas no art. 9º da lei, sendo elas: 

  • finalidade específica do tratamento;
  • forma e duração do tratamento, observados os segredos comercial e industrial;
  • identificação do controlador;
  • informações de contato do controlador;
  • informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
  • responsabilidades dos agentes que realizarão o tratamento; e
  • direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.

Portanto, é necessário revisar a política de privacidade e redefini-la, de forma a incluir todas as informações necessárias de forma clara e ostensiva, para que todos os usuários do site, titulares dos dados e consumidores possam entender de facilmente como o tratamento ocorrerá e todos os seus direitos.

Fique atento às sanções 

Por fim, ressalta-se a importância de observar com atenção todas os deveres decorrentes da LGPD para evitar que seu negócio sofra penalidades (art. 52 e incisos da LGPD), as quais são bastante rigorosas, sendo elas: 

  • advertência, com indicação de prazo para adoção de medidas corretivas;
  • multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • multa diária, observado o limite total a que se refere o inciso II;
  • publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;  (Incluído pela Lei nº 13.853, de 2019)   
  • suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;  (Incluído pela Lei nº 13.853, de 2019)  
  • proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.  (Incluído pela Lei nº 13.853, de 2019)   

Essas sanções passam a ser aplicadas a partir do dia 1º de agosto de 2021. Portanto, fique atendo e adeque seu negócio à LGPD.

Escrito por Thales Farias.

Referências

BRASIL. Lei Geral de Proteção de Dados. Lei 13.709 de 14 de agosto de 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 17 mar. 2021.

TONETTI, Cesar. LGPD e e-commerce: entenda o que muda para o comércio eletrônico com a nova lei. Wirecard Blog, 01 out. 2020. Disponível em: https://wirecard.com.br/blog/lgpd-wirecard/. Acesso em: 17 mar. 2021.

Thales Farias

Thales Farias

Thales Farias é advogado pela PUCPR, entusiasta em criptomoedas, cofundador e COO da StartLaw, uma empresa de tecnologia que acredita no poder dos dados e da tecnologia para combater problemas na organização de informações jurídicas.

Thales Farias

Thales Farias

Thales Farias é advogado pela PUCPR, entusiasta em criptomoedas, cofundador e COO da StartLaw, uma empresa de tecnologia que acredita no poder dos dados e da tecnologia para combater problemas na organização de informações jurídicas.

voltar

próximo