O varejo e a complexidade de adaptação à LGPD
Postado por Gastão Mattos, líder da IDid no Brasil em 01/09/2020 em Artigos
Há quase dois anos foi sancionada a Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), cujo mote principal é garantir maior controle e segurança em relação à privacidade das pessoas nos meios digitais.
A decisão regulatória tomou como base a lei europeia GDPR (General Data Protection Regulation), e traz consigo, além da segurança do indivíduo, garantias de mais transparência nas relações comerciais e melhores condições de competividade global às empresas brasileiras.
A lei entrou em vigor em 27/08/2020 e a medida provisória (MP) 959/2000 foi aprovada pelo Senado Federal. Agora será encaminhada para sanção por parte do presidente da república.
Ainda que suspensas até agosto de 2021, a nova legislação prevê punições para empresas que cometerem infrações, indo desde uma simples advertência até a aplicação de multas de até R$ 50 milhões por infração. O valor exato varia de caso para caso, e só é definido depois de concluído um processo administrativo pela Agência Nacional de Proteção de Dados (ANPD), uma nova autarquia criada pela lei.
Diante desse cenário, é importante avaliar a situação do ecossistema varejista brasileiro, que envolve lojas, empresas de pagamentos e de créditos, além dos consumidores. Isso porque, desde que a nova lei foi sancionada, há muitas questões envolvidas como, por exemplo, o constante surgimento de novas tecnologias para os meios de pagamentos digitais, que lidam com dados sigilosos dos usuários.
Sob o olhar do aspecto mais técnico em relação aos meios de pagamentos no setor varejista, seja no físico ou virtual , claramente o setor vai exigir muita atenção, principalmente nas adequações aos procedimentos da LGPD.
Como fato inicial, vivemos um momento de transformação digital expressiva no ecossistema do varejo e os dados dos consumidores são essenciais ferramentas para a elaboração de estratégias de negócios. Isso ocorre principalmente agora, já que o isolamento social nos obrigou a ampliar o consumo pela internet. E para que o mercado online tenha eficiência, absorver alguns dados dos consumidores é necessário para a realização das funcionalidades de transações no varejo, seja na "compra com 1 clique" ou para pagamentos de serviços recorrentes, como os de assinaturas.
Empresas de gateways, adquirentes, plataformas e ferramentas de antifraude, além das bandeiras de cartão, armazenam as informações das pessoas sob uma custódia determinada por lojistas contratantes das soluções de pagamento. Trata-se de um impressionante legado de alto risco e de valor, tanto pela sensibilidade da informação quanto pela necessidade de validar a autorização do cliente para que as empresas a utilizem.
Segundo um levantamento da IDid, realizado no início de 2020, o Brasil tem hoje mais de 100 milhões de dados sensíveis utilizados para os meios de pagamentos, que estão armazenados em diferentes sistemas da cadeia de valor lojista. Esta base de informação tem sido criada durante anos de operações financeiras, e apresenta um modelo heterogêneo de armazenamento que está em conformidade legal, principalmente às novas premissas da LGPD.
No entanto, para garantir que todo o processo esteja dentro da lei, há muitos casos do setor varejista em que a loja precisa atualizar seus termos e condições de uso (T&C) da informação dos clientes. O procedimento ocorre após o contato com o cliente, para que ele tenha acesso ao T&C e possa dar a autorização, e esse consentimento deverá estar evidenciado em casos de litígios ou indagações futuras. Trata-se de um processo de alta complexidade e que deve ser configurado como projeto prioritário por todos os lojistas para a adequação da guarda legal de informação sob os critérios estabelecidos pela LGPD.
No que tange às novas plataformas de meios de pagamento que já nascem com a premissa de conformidade à lei, a atualização dos termos e condições do aplicativo emissor e o provisionamento dos dados de pagamento no APP de relacionamento permitem que o consumidor tenha ciência de como os seus dados serão usados. Esse modelo favorece a experiência no processo de pagamentos e garante a segurança que ele precisa para realizar as transações financeiras.
Por isso, um dos quesitos principais de gestão dos dados é a implementação de sistemas de segurança que ofereçam constantes atualizações e garantam a flexibilização de integração tecnológica a novos legados. É de total responsabilidade do varejista a manutenção de seus dispositivos, para atender às regras de compliance que envolvem, principalmente, a proteção de dados dos clientes, colaboradores e parceiros de negócios.
Nos últimos anos, o varejo tem sido protagonista no desenvolvimento do país e busca trabalhar, principalmente, na proteção das informações pessoais de seus clientes.
Portanto, vejo como positivo todos os princípios impostos pela lei e que seguem em adequação às principais iniciativas e boas práticas globais de negócios. Entretanto, a incerteza quanto ao início vigente da lei atrapalha o processo de organização das empresas, causando idas e vindas e muitas vezes, aumentando desnecessariamente o custo da mudança.