LGPD Aplicada – Teoria e Prática – Setor Varejista

Aplicação da LGPD aos organizadores de eventos – Cuidados e responsabilidades em relação ao tratamento de dados pessoais dos participantes
09/05/2023
Lei Geral de Proteção de Dados aplicada às Clínicas Médicas
23/05/2023
Aplicação da LGPD aos organizadores de eventos – Cuidados e responsabilidades em relação ao tratamento de dados pessoais dos participantes
09/05/2023
Lei Geral de Proteção de Dados aplicada às Clínicas Médicas
23/05/2023

Marcelo Menezes e Sylvio Sobreira Vieira

 

Resumo:

 

Com a entrada em vigor da LGPD – Lei 13.709/2018, o setor Varejista teve diversos impactos de se adequar e estar em conformidade com a Lei da mesma forma que outros seguimentos, porém, contendo nuances muito mais especificas devido o relacionamento com consumidores, gerenciamento de parceiros e fornecedores, além de todas as implicações com seus funcionários. Dessa forma, este guia vem com o objetivo de apoiar nas principais dúvidas e dar clareza ao processo de conformidade, e compartilhar também desafios do dia-dia de quem já desenvolveu e implementou programas de Compliance a LGPD em diversas redes de varejo.

 

Introdução

 

Neste artigo iremos abordar o processo de conformidade a LGPD, principais desafios, desenvolvimento do programa de privacidade, implementações, e principalmente a sustentação pós projeto, como é o dia-dia de um DPO no setor varejista. Tratando de vulnerabilidades, se trata de um seguimento extremamente suscetível a ciberataques. O varejo é provavelmente o setor que detém o maior número de dados pessoais, compondo bases absurdamente grandes de dados.

Datas comemorativas, como a de Dia dos Pais, que acabamos de passar, também tendem a sinalizar um alerta para as companhias (ou deveriam), pois é o momento que companhias aumentam suas campanhas aos clientes, e este costuma ser mais um chamariz para cibercrimonosos. O impacto que pode ser causado com um único acesso com roubo ou furto de dado pessoal no setor varejista é gigantesco. É só ler em qualquer jornal. Cabe a cada companhia, grande ou pequena, zelar pelos dados sob sua guarda da melhor maneira possível.

 

OS DADOS ESTÃO ENTRE OS ATIVOS MAIS valiosos para a inteligência do varejo.
Por meio deles, o segmento entende o comportamento dos consumidores, identifica as melhores oportunidades, define as estratégias comerciais e realiza uma série de outras análises com o objetivo de ganhar competitividade em um mercado tão disputado. Nada disso se perde com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD).
A inteligência analítica continuará sendo um relevante instrumento para a gestão de negócios. O que muda é que, agora, a coleta, o armazenamento e o tratamento dos dados são procedimentos disciplinados pela lei, ou seja, precisam se adequar a critérios que garantam a privacidade das informações pessoais, respeitando o direito de cada indivíduo. Por isso, as novas regras impactam os negócios de forma tão profunda. Afinal de contas, os dados pessoais estão em todas as frentes de operação de uma empresa, abrangendo desde os colaboradores até os clientes. Nos supermercados, os dados pessoais estão presentes em cada atividade realizada. Não tenha dúvidas de que, ao analisar cada processo em detalhes, identificará pontos de vulnerabilidade e oportunidades de melhoria em relação à proteção de dados. Daqui para a frente, isso será algo constante. Não basta mapear e corrigir todos os processos hoje, é fundamental que eles sejam revistos continuamente.

Estar em conformidade com a LGPD não é apenas um cuidado para evitar penalidades administrativas e processos judiciais. Ao realizar as adequações exigidas pela lei de forma consistente, documentada e transparente, sua empresa tem muito a ganhar.

Autores:

Sylvio Sobreira Vieira, chairman e diretor de consultoria da SVX Corporate, formado em Tecnologia da Informação e Especialização em Lean Six Sigma, Compliance e Proteção de Dados, membro da IAPP, com as seguintes certificações internacionais:

 

  • CIPM – Certified Information Privacy Manager, pela IAPP (USA);
  • CDPO/BR – Certified Data Protection Officer in Brazil, pela IAPP (USA);
  • CDPSE – Certified Data Privacy Solutions Engineer, pela ISACA (USA);
  • DPO (Data Protection Officer), pela EXIN (Netherlands); 
  • Auditor Líder ISO/IEC27001, ISO/IEC22301 e Implementador ISO/IEC27701, pela BSI (USA);
  • ITIL V3 Expert, pela Axelos (United Kingdom);
  • COBIT 5, pela ISACA (USA);
  • CBPP – Certified Business Process Professional, pela ABPMP (USA);
  • CNSS – Certified Network Security Specialist, pelo ICSI (United Kingdom);
  • GDPR – Certified, pelo CNIL (Autoridade Francesa de Proteção de Dados (France));
  • GDPR DPO, pela University of Derby (United Kingdom).

 

LGPD no Varejo

 

TODAS AS OPERAÇÕES DO VAREJO incluem a interação com dados pessoais, de ponta a ponta. Por isso, quanto antes a LGPD for assimilada como uma mudança cultural, melhor será para as empresas do segmento, que conseguirão transformar em rotinas todos os procedimentos exigidos. É isso que garante a conformidade da organização com as boas práticas, elevando sua reputação perante a sociedade.Além disso, a LGPD trabalha com um conceito de enforcement (ou obrigatoriedade), exigindo que cada empresa esteja em conformidade (compliance), assegurando que seus parceiros comerciais (plataformas, empresas de recrutamento e seleção, apps de delivery, sistemas, CRM ́s) demonstrem documentalmente que também estão em processo de adequação ou já estejam aderentes à LGPD.

 

Na prática

A implantação da LGPD nas empresas envolve pontos mais do que medidas meramente burocráticas ou técnicas. Trata-se de uma mudança de cultura, que passará por contínuas melhorias sempre alinhadas com o direito à privacidade dos dados e as melhores práticas de gestão. O ponto central é: como fazer isso funcionar no seu varejo?

Não existe uma fórmula pronta, mas é fato que essa transformação passa por algumas etapas fundamentais.

A gestão de um varejo engloba pessoas, processos e infraestrutura, certo?! Esses três pontos também precisam ser alinhados para gerenciar a política de proteção de dados da organização. Esse alinhamento deve ser feito no decorrer da implantação da LGPD na empresa, em etapas que vão do planejamento à melhoria contínua.

 

Passos iniciais

Primeiramente, mobilize a alta administração sobre a importância de se respeitar os dados pessoais, e ter um programa interno de privacidade, ter uma Lei em vigor só irá reforçar a necessidade e obrigatoriedade.

Procure montar um comitê interno de privacidade onde a ideia é manter todos os departamentos atualizados sobre as ocorrências, projetos e novidades envolvendo dados pessoais. Este comitê poderá deliberar sobre a necessidade em ter um parceiro especializado e com conhecimento no seguimento para acelerar as etapas de conformidade da companhia.

Entendo a necessidade, busque o melhor parceiro com maior capacidade técnica e recomendações no seguimento varejista, atualmente, depois de tanto tempo de vigoracao da Lei, existem muitas licoes aprendidas.

Selecionando o parceiro correto, é hora de acelerar algumas conformidades primárias, como ajustes de políticas externas, sites, aplicativos de relacionamento e venda, redes sociais e principalmente iniciar uma ampla comunicação interna para com os funcionários.

 

O Mapeamento

Após tantas ações iniciais de transparência e ajustes, é dado momento de analisar, identificar, mapear, analisar e avaliar todos os tratamentos de dados pessoais que ocorrem dentro de cada departamento ou área de negócio da empresa. Primeiro passo, faca uma eleição de líderes de privacidade, estes irão representar cada departamento da empresa, dentro do programa e projeto de Compliance a LGPD. Entregue estas informações ao parceiro ou equipe responsável, e como próximos passos será a construção de uma agenda de reuniões e entrevistas com cada líder de privacidade. Ao final do mapeamento e como resultado esperado deverá ser entregue um relatório contendo todas as operações de tratamento de dados pessoais, juntamente, com suas particularidades, as mais adequadas hipóteses legais para legitimação dos tratamentos, além, de possíveis planos de ação para aumentar a proteção, segurança e transparência com o titular.

 

A Implantação

O início da implantação sempre gera muitas dúvidas, afinal, diferentemente do mapeamento, onde as áreas e departamentos apenas participavam de reuniões e relatavam seu dia-dia, aqui o aprofundamento é muito maior, sendo assim, cada plano de ação desenhado será construído, desenvolvido e direcionado para que o departamento ajuste seus processos e desenvolva sua própria cultura de proteção de dados. Alguns destes planos são desenvolvidos plenamente por parceiros e outros necessitam de alguma definição ou execução no dia-dia dos funcionários. Outros impactos são inerentes aos parceiros e fornecedores, entendendo que o varejo tem uma relação muito maior com consumidores e dados pessoais, é de extrema importância o entendimento e ajustes de ferramentas, sistemas, aplicativos e o próprio relacionamento via rede social. Estes planos de adequação de fornecedores, poderão servir de planejamento e base para acompanhamento do varejista, para que seu ambiente esteja 100% em conformidade.

 

A centralização de evidências

Ao final de cada rodada com todos os departamentos sobre como os processos necessitam ser ajustados, é de boa prática que o gerenciamento do projeto entenda e acompanhe que todos os planos desenvolvidos no mapeamento, e executados na implantação, foram efetivamente absorvidos, dai a importância de centralizar os planos bem-sucedidos, parcialmente implantados e o que por ventura esteja pendente ainda, isso dará visibilidade para o DPO (Encarregado de Proteção de Dados).

 

DPO ou Encarregado de Proteção de Dados

Essa nova função que já é reconhecida pelo Ministério do Trabalho, se trata de um responsável pelas operações de tratamento de dado pessoal, que irá interagir com os titulares e com a ANPD – Autoridade Nacional de Protecao de Dados, mas que acima de tudo, será o eixo motriz para manter tudo que foi desenvolvido e construído em tempo de projeto, se permeie na mais absoluta capacidade a atualidade da empresa. Essa função como prevista na LGPD, pdoerá ser ocupada por pessoa física (funcionário) ou pessoa jurídica (terceiro), cabendo ao varejista selecionar também o melhor caminho a ser seguido. A mais absoluta verdade é que a adequação a LGPD se trata de um programa de Compliance, dessa forma, necessita ser sustentada.

 

Sustentação do programa de privacidade ou dia-dia

Após encerramento do projeto, é de extrema importância já haver uma definição frente ao DPO da empresa, e cabe a ele receber uma visão geral de fidedigna sobre as possíveis pendencias de implantação, ele irá organizar e ajudar os departamentos para este número seja reduzido a 0, para ai sim, definir um calendário anual de trabalho e auditoria dos controles desenvolvidos e implementados na empresa. O dia-dia do DPO é extremamente acelerado, pois, neste momento toda operação está “on fire” e ele irá testar na prática os canais de atendimentos aos titulares, as próprias solicitações, a melhorias dos processos, dúvidas dos departamentos, apresentações de resultados a alta administração, e ainda por cima, caso ocorrer um possível incidente envolvendo vazamento ou acesso não autorizado a dados pessoais, ele terá que estabelecer protocolos de recuperação além de comunicação com as autoridades competentes. Pois bem, o dia-dia será de muita emoção!

 

Conclusão

O setor varejista passa pelas mesmas dificuldades de qualquer outro seguimento, porém, por ter complicações adicionais é preciso entender muito bem o funcionamento, particularidades, sazonalidades e possíveis implicações! Fica aqui uma dica, a equipe de Proteção de Dados, tem que ter autonomia independente para se relacionar com demais áreas como Tecnologia da Informação, Jurídico, RH, Financeiro, Comercial, Atendimento, etc.., mas não ficar internamente em algumas dessas áreas, devido a possíveis conflitos de interesses. Outro ponto importante de reforçar é atenção com parceiros, o varejo costuma ter diversos fornecedores e parceiros (principalmente de tecnologia), é importantíssimo o questionamento, auditoria e avaliação sobre o quão estes parceiros estão adequados, como qual o grau de preocupação e adequar seus produtos e serviços. O varejo é dinâmico, e preciso responder a Leis da mesma forma. Estamos em uma sociedade digital e conectada, nada mais natural que o contrabalanço da inovação seja a proteção.

Pular para o conteúdo