Varejo brasileiro e a LGPD: como aplicar a nova lei na prática.

LGPD Varejo
9 de novembro de 2020
Matheus Ladvig Budelon – Sócio-fundador da AlterVision
Eduardo Veiga – Sócio do escritório de advocacia Muller&Moreira

Resume aí:

A Lei Geral de Proteção de Dados entrou em vigência em agosto de 2020, trazendo dúvidas sobre sua implementação no dia a dia do varejo. A nova lei traz deveres para as empresas no que tange à transparência e segurança de dados. Inspirada no Regulamento Geral Europeu de Proteção de Dados, essa lei busca definir o que são dados sensíveis e as regras para o tratamento e armazenamento de dados de terceiros.

 

Cadastros de clientes no varejo, como se adequar?

O cadastro de clientes no varejo continua permitido, mas o varejista precisa estar ciente de que a partir de agora existem diretrizes sobre o tratamento e armazenamento destes dados. Acredita-se que o impacto, a médio prazo, dessa lei, será na mudança da cultura de respeito à privacidade. Ela, provavelmente, causará alterações na maneira como as empresas coletam, armazenam e compartilham dados. Além disso, a responsabilização dos agentes públicos e privados por vazamentos e mau uso de dados colabora para um varejo de mais privacidade e confiança entre todos os agentes. Afinal, é isso que almejamos, não é mesmo?

Contagem de fluxo e Net Promoter Score, existe um cuidado a ser tomado com os produtos da AlterVision? 

A contagem de fluxo por meio de câmeras não acarreta uma necessidade de adequação extra, já que todos os dados armazenados são anonimizados e não sensíveis e as imagens, em si, não são salvas. Simplesmente se possui a informação de que alguém entrou no estabelecimento. Da mesma forma, coletar a opinião do cliente por meio de uma pergunta sobre o atendimento não acarreta a necessidade de autorização escrita por parte do mesmo ou um cuidado adicional com este dado, desde que não sejam armazenadas informações pessoais ou sensíveis.

LGPD: indo mais a fundo:

A LGDP é aplicada “a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público e privado, independentemente do meio, país de sua sede ou do país que estiverem localizados os dados”, desde que a atividade de tratamento seja realizada em território nacional, conforme expressamente previsto na lei em seu artigo 4º.

 

Mas, afinal, o que significa isso? Significa que toda operação com dados pessoais que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, deverá observar os novos critérios de guarda de dados, sob o risco de sofrer penalidades, inclusive pecuniárias, independentemente do segmento de atuação do controlador.

 

Destacam-se os conceitos de dados pessoais, como listados na própria lei em seu art. 5º, incisos I, II e III:

 

“I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;”

 

Vejamos que o conceito legal de dado pessoal não se limita às informações descritivas sobre uma pessoa, podendo abranger também fotografias, placas de automóvel, endereço residencial, função de localização em telefone, entre outros que contenham elementos capazes de identificar a pessoa do titular da informação.**

 

“II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;”

 

Em outras palavras, o dado pessoal sensível está vinculado à privacidade do titular, elementos mais profundos de sua intimidade e vida privada. Logo, justificam-se maiores restrições para seu tratamento, incluindo maior proteção legal ao possuir rol taxativo de hipóteses em que poderá ser tratado, conforme verifica-se no artigo 11º.

 

“III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;”

 

Dado anonimizado é aquele que originariamente era pessoal ou sensível, todavia perdeu a vinculação com titular por meio de um processo de anonimização, previsto no artigo 5º como “XI – utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo”. Em adição, deve-se assegurar que posteriormente não seja possível identificar quem era o titular, sob pena de ter-se realizado uma pseudonimização, já que ambos apresentam regramentos distintos na LGPD.

 

Outro elemento vital para aplicação da LGPD é o conhecimento do conceito para consentimento, o qual expressamente é definido na lei como “XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.”

 

Observa-se que, na hipótese em que os dados tratados já tiverem se tornado manifestamente públicos pelo titular, a lei não exige o consentimento expresso para utilização, conforme disposto no artigo 7º, parágrafo 4º. Logo, é permitido o uso dos dados pelo controlador. No entanto, quando os dados forem de natureza sensível, está disposta a necessidade de manifesta concordância do titular, bem como de informar a finalidade específica para utilização dos dados, não sendo passível de autorização genérica para o tratamento do dado pessoal. Além disso, a autorização pode ser revogada a qualquer momento.

Fonte:

Parecer 4/2007 sobre o conceito de dados pessoais organizado pelo órgão consultivo europeu independente em matéria de protecção de dados e de privacidade.