Tudo o que você precisa sobre a LGPD no E-commerce

Sumário

Introdução

Em relação a Lei nº 13.709/2018, mais conhecida como Lei Geral de Proteção de Dados (LGPD), que trata sobre a captação e gestão de dados pessoais, é necessário diversas adequações para estar em conformidade com este tratamento. Neste Guia Orientativo, iremos trazer alguns pontos importantes para te ajudar a estar adequado à LGPD no e-commerce.. 

Os e-commerces tratam inúmeros dados pessoais em seu dia a dia, seja de seus clientes, prospects ou colaboradores. Estando obrigado a se adaptar a LGPD. Essa adequação vai desde a captação, tratamento, armazenamento e segurança desses dados. 

O que é a LGPD?

A Lei Geral de Proteção de Dados foi promulgada com intuito de proteger os dados pessoais de pessoa física, visando proteger sempre sua privacidade e liberdade. A Lei é aplicada por cada transação feita com dados pessoais, independente do meio e local da execução. 

Hoje em dia, por conta do mundo tecnológico que vivemos, qualquer pessoa que possua seus dados pessoais pode se passar por você. Conseguindo, por exemplo, abrir uma conta em um banco digital, trazendo prejuízo ao dono real dos dados. Há diversas outras situações que podem ser lesivas. 

Frente a isso, veio a importância da proteção desses dados e com isso a LGPD. A Lei visa trazer maior segurança ao titular dos dados pessoais e do tratamento de seus dados por terceiros. E essa segurança vai desde a captação e tratamento seguro, até a eliminação desse dado após o período correto. 

Mulher muçulmana fazedno compras online

LGPD no E-commerce

Os e-commerces têm, dentro de seu escopo de trabalho, a venda virtual de produtos. Dessa forma, para a execução da sua função, usa-se muito o tratamento de dados pessoais, principalmente o tratamento de dados pessoais de clientes e prospects. 

Para realizar compras online é necessário efetuar um cadastro com os dados pessoais, dados de entrega e na maioria das vezes, dados financeiros. São com esses dados que o e-commerce consegue realizar a entrega de sua mercadoria para o comprador certo. 

Levando em consideração o tratamento desses dados pessoais e a Lei Geral de Proteção de Dados, entendemos que é um setor que precisa estar muito bem regulado com a Lei. E quais são as principais frentes que esse setor precisa se regular?

1° Mapeamento dos Dados

Um dos primeiros passos para o e-commerce iniciar sua adequação a LGPD é fazer o mapeamento de todos seus processos. O mapeamento conta com a listagem de todas as atividades internas da empresa que lidam com os dados pessoais, e para cada uma dessas atividades, fazer uma relação de todo tratamento em relação aos dados desse processo, contendo:

  • Identificação dos agentes de tratamento e do encarregado;
  • Outras partes interessadas/envolvidas. Informar se foram consultadas na elaboração do RIPD e pareceres emitidos;
  • Justificativa da necessidade de elaboração do relatório (por exemplo: alto risco, solicitação da ANPD, gestão de riscos e prevenção, outros);
  • Projeto/Processo que justifica a elaboração do RIPD;
  • Sistemas de informação relacionados ao projeto/processo;
  • Tratamento de dados;
  • Descrição do tratamento (desde a coleta até a eliminação);
  • Dados pessoais (informar todos os tipos de dados pessoais tratados, de forma completa);
  • Dados pessoais sensíveis (informar todos os tipos de dados pessoais sensíveis tratados, de forma completa);
  • Categorias de titulares (por exemplo, clientes, funcionários do controlador, filhos de funcionários do controlador, funcionários de clientes, autores de ações judiciais, beneficiários de apólices, terceiros prestadores de serviços);
  • Dados de crianças e adolescentes ou de outra categoria de vulneráveis, como idosos, se houver;
  • Volume de dados pessoais tratados e número de titulares envolvidos no tratamento; Fonte de coleta;
  • Finalidade do tratamento (Justifique a finalidade de tratamento para cada dado);
  • Informar quais são os compartilhamentos internos e externos (inclusive transferência internacional, se houver);
  • Política de armazenamento (descrever os prazos de retenção e métodos de descarte);
  • Análise de hipótese legal. Justifique a escolha da hipótese legal para cada finalidade de tratamento;
  • Análise de princípios da LGPD;
  • Riscos identificados ao titular;
  • Resultado apurado com base na metodologia utilizada pelo agente de tratamento;
  • Medidas, salvaguardas e mecanismos de mitigação de risco.

Essas são as informações básicas que devem conter um Mapeamento de Dados. Este documento é importante para a empresa ter uma visão clara de como funciona todo processo de tratamento de dados. Dessa forma, é possível visualizar se o tratamento feito é abusivo, excessivo e seguro. Com essas informações já conseguimos partir para a próxima etapa.

2° Gestão de Risco

Para um segundo momento, seguimos fazendo a gestão dos riscos das atividades de tratamento de dados. Nesse momento é necessário visualizar o que está em desconformidade em relação à Lei, ou seja, minuciosamente passar por cada processo, vendo quais são suas falhas, seja de segurança ou de desconformidade à Lei. 

Para isso, muitas empresas costumam fazer uma matriz de risco, de impacto x probabilidade. Impacto caso venha a acontecer algum incidente com os dados, ou seja, qual a consequência ou efeito desse ato e probabilidade de acontecer um incidente, visualizando a segurança daquele tratamento, qual a chance de acontecer um evento.

Com essa matriz de risco é fácil perceber os processos com risco mais alto, qual deve ter mais atenção, além de utilizar essa relação de risco, para mitigá-los, tentando trazê-los ao menor risco possível.

3° Adequação de Contratos e Políticas

Uma das etapas para adequar o seu e-commerce à LGPD é revisar todos os seus contratos e gerar políticas sobre o assunto. Levando em consideração os contratos, com aquelas empresas que você compartilha dados pessoais, que nós chamamos de Operadores, é necessário deixar reservado uma cláusula em seu contrato frisando o assunto, de como será o tratamento dos dados, a segurança, e se a empresa terceira está de acordo em seguir conforme os tratamentos legais. 

Já os contratos com os responsáveis dos dados, no e-commerce, na maioria do tempo, os dados dos clientes, é preciso deixar sempre muito claro e transparente como acontecerá esse tratamento, e se possível, captar o seu consentimento. Isso que chamamos de contrato pode vir a estar descrito na política de privacidade e nos termos de uso, que falaremos mais a fundo no próximo tópico.

pessoa com cartão na mão fazendo compras online

Gere políticas sobre a Lei Geral de Proteção de Dados, sobre segurança, compartilhamento, entre diversas outras diretrizes que precisam ser seguidas quando se fala do tratamento de dados na empresa. Políticas são normas e procedimentos que devem ser seguidos para manter a legislação e cultura alinhadas. Além de criar essas políticas, aplicá-las aos colaboradores, deixá-las disponíveis para leitura de maneira fácil e se possível, capte o seu aceite sobre elas, mas o mais importante, é aplicá-las no dia a dia.

4° Adequar os Cookies

Um dos consentimentos que a LGPD nos indica a captar são dos cookies do site, principalmente os e-commerces. 

Primeiramente, o que são cookies? Cookies são fragmentos de dados que são trocados entre o computador e o usuário para salvar as preferências do usuário. Nos e-commerces é normal captar pelos cookies as preferências do usuário, para que posteriormente, ofereça a ele produtos de seus interesses em propagandas. 

Neste caso, é preciso dar a autonomia para que o usuário decida se ele quer compartilhar com o site suas preferências, a ANPD já lançou um guia orientativo sobre o tema, para que as empresas saibam como captar e tratar esses cookies.

Conjuntamente no banner de cookies, é normal que se vincule os termos de uso e as políticas de privacidade, esses dois documentos vão trazer diretrizes e regras para utilização e relacionamento do sistema e, entre essas especificações, como o e-commerce tratará os seus dados pessoais. 

Sendo assim, para o e-commerce, que faz o tratamento de alto volume de dados pessoais, sem a captação de assinaturas em um contrato, e captando os dados para conseguir funcionar de forma eficiente, é muito importante deixar explícito nesse documento como será feito esse processo, isso servirá como forma de contrato com o usuário. A relação da empresa e titular deve ser sempre transparente, levando em consideração o princípio da transparência da LGPD, ou seja, deixe claro como será todo tratamento desses dados, desde a captação, finalidade, até sua exclusão.

5° Canal de Comunicação com Titular

Um dos canais mais importantes que o e-commerce precisa ter é um Canal de Comunicação com o titular dos Dados Pessoais. A Lei Geral de Proteção de Dados deixa explícito que a empresa precisa ter um canal aberto para atender a 9 direitos, que estão dispostos no Artigo 18 da Lei:

  • Confirmação da existência de tratamento;
  • Acesso aos dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
  • Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
  • Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
  • Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  • Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; e
  • Revogação do consentimento.

A empresa precisa, em 15 dias, dar seu primeiro retorno ao titular e fazer o tratamento da sua solicitação em tempo hábil. Em caso de não atendimento dessa solicitação, o titular pode entrar com uma solicitação na ANPD contra o Controlador, contudo, ele precisa demonstrar que, primeiramente, tentou contato com a empresa e seu DPO.

Este fato faz com que seja muito importante deixar de forma explícita esse canal de comunicação, receber e tratar esses pedidos. 

6° Aplicar treinamentos

Este é um dos tópicos mais importantes do momento para se adequar a LGPD, que é realizar o treinamento de seus colaboradores. Vale mencionar aqui que, no que se refere aos incidentes com dados pessoais, a interação e o erro humano são as causas principais dos acontecimentos. 

Visando este cenário, o treinamento pode ser uma forte arma para combater esses incidentes. Esses treinamentos devem ser aplicados de forma clara aos colaboradores, explicando sobre a Lei Geral de Proteção de Dados, sua importância e maneiras de tratamento. Ademais, vale a pena aplicar treinamentos de segurança, como Phishing, malware e segurança da informação, pelo fato de que muitos dos ataques acontecem por esses meios.

Mais um ponto que podemos ressaltar neste tópico é que aplicar treinamentos aos colaboradores pode servir de atenuante caso venha a ocorrer alguma notificação da ANPD (mostrar de forma clara que a empresa treinou seus colaboradores de como fazer o tratamento de forma segura).

7° Gerenciar Incidentes

Para um tratamento completo de Proteção de Dados, é importante tratarmos qualquer incidente que venha a ocorrer com os dados pessoais. Vale ressaltar, que incidentes são, conforme descrito pela ANPD: “Qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.”

Frente a isso, primeiramente, o ponto mais relevante é implementar mecanismos de segurança para evitar e mitigar a ocorrência de incidentes. Contudo, caso venha a ocorrer, é necessário fazer seu tratamento adequado. Os passos necessários para o cuidado com o incidente são:

  • Avaliar internamente o incidente – natureza, categoria e quantidade de titulares de dados pessoais afetados, categoria e quantidade dos dados afetados, consequências concretas e prováveis. Comunicar ao encarregado;
  • Se você for operador, deve comunicar ao controlador;
  • Comunicar à ANPD e aos titulares de dados, em caso de risco ou dano relevante aos titulares, por meio do formulário fornecido pela própria;
  • Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas.

Estes são os atos necessários para tratar o incidente e mitigar o risco de ser autuado pela ANPD.

Logo em fundo branco da ANPD
ANPD: Autoridade Nacional de Proteção de Dados

8° Acompanhamento do Programa

E por fim, mas não menos importante, fazer o acompanhamento e atualização de todos os processos mencionados anteriormente. O programa de proteção de dados é contínuo, o que quer dizer que é preciso sempre complementar e reciclar as atividades. 

Levando em consideração que pode haver alterações nos processos internos, fazer o atendimento regular dos titulares, riscos novos que venham a surgir, treinamentos regulares, entre diversos outros pontos que aplicamos ao programa.

Conclusão

Apresentamos durante ao longo do texto mecanismos de tratamento e adequação ao Programa de Proteção de Dados dentro do e-commerce, contudo, vale ressaltar, que esses processos podem vir a se adaptar de acordo com cada realidade empresarial. Os pontos expostos neste documento são os mínimos de tratamento que um programa eficaz deve conter, além de claro, das boas práticas relacionadas. 

A Be Compliance é uma empresa de software especializada neste programa, nossa Plataforma auxilia toda adequação e implementação, de forma a trazer mecanismos facilitadores da gestão do programa.

Agende um horário e venha entender como podemos auxiliá-los nesses processos.

Matéria escrita por:

Matéria escrita por: 

Agende uma demonstração e conheça as nossas soluções!

Agendar uma demonstração grátis

Agende uma demonstração e conheça as nossas soluções!

Agendar uma demonstração grátis

Quer ler mais matérias sobre:

LGPD
Compliance
Canal da Ética

Certificações:

ISO-IEC 27001 - V1
ISO-IEC 27701 - V1

Apoiamos:

Endereço

Matriz SP

Torre Z

  • Av. Dr. Chucri Zaidan, 296 23º andar • São Paulo /SP
  • (11) 3376-6395

Be Lab

Unique Building

  • Rua Celia Polo Monteiro, 250 Vinhedo/SP
  • (19) 4040-4084

Be

Porque a Be ?

Nossas Políticas

Be na Mídia

Plataformas

LGPD

Compliance

Standards

Canal da Ética

Academia

Kits

Blog

Vídeos

Lei Emprega + Mulheres

Contato

Trabalhe Conosco

Certificados Be

© Be Compliance - Todos os direitos reservados.

Desenvolvido por Agência Sardinha

Agende uma demonstração Grátis

Informe seus dados e aguarde um retorno de nosso especialista.

Agende uma demonstração Grátis

Informe seus dados e aguarde um retorno de nosso especialista.