Lei Geral de Proteção de Dados e o comércio ele­trô­nico

Milhares de tran­sa­ções ocorrem a cada segundo no comércio ele­trô­nico (e-commerce). Muitas delas exigem que for­ne­ce­do­res tenham acesso a dados dos seus con­su­mi­do­res. A pre­o­cu­pa­ção quanto à des­ti­na­ção e uso desses dados, contudo, está cada dia maior e con­su­mi­do­res têm cada vez mais re­sis­tên­cia em cedê-los. Muitas vezes, dados altamente sensíveis são mal uti­li­za­dos, usados ile­gal­mente para fins pu­bli­ci­tá­rios, ou mesmo re­pas­sa­dos ou vendidos a terceiros. Respeitar a pri­va­ci­dade dos con­su­mi­do­res, assim como evitar con­sequên­cias legais, é essencial. Por isso, a re­co­men­da­ção é que a segurança e a proteção dos dados sejam sempre res­pei­ta­das.

O termo “proteção de dados” surgiu na Europa, pioneira em criar leis de respeito à pri­va­ci­dade. Na União Europeia, tal le­gis­la­ção é chamada de GDPR, General Data Pro­tec­tion Re­gu­la­tion. Ela é con­si­de­rada a lei mais protetiva do mundo no que diz respeito à proteção de dados. Os Estados Unidos, por sua vez, usam o termo “pri­va­ci­dade de dados”. Lá, a le­gis­la­ção varia de estado a estado. No Brasil, a le­gis­la­ção é federal, portanto, única e válida no país inteiro. Leia mais sobre a Lei Geral de Proteção de Dados Pessoais (LGPD) neste artigo e descubra o que você precisa fazer como operador ou pro­pri­e­tá­rio de sites para se adequar às regras.

Qual é o objetivo da Lei Geral de Proteção de Dados?

A Lei Geral de Proteção de Dados Pessoais do Brasil existe para “proteger os direitos fun­da­men­tais de liberdade e de pri­va­ci­dade e o livre de­sen­vol­vi­mento da per­so­na­li­dade da pessoa natural” (Art. 1º da Lei nº 13.709/2018), ou seja, ela busca garantir que as in­for­ma­ções de todos os cidadãos estejam seguras e pro­te­gi­das no mundo virtual. A LGPD aplica-se a qualquer tra­ta­mento de dados pessoais realizado por pessoas físicas, jurídicas ou ins­ti­tui­ções públicas, in­de­pen­den­te­mente do país-sede e da lo­ca­li­za­ção do provedor que armazena os dados, desde que a operação seja realizada no momento em que o cidadão estiver em ter­ri­tó­rio nacional. Como pro­pri­e­tá­rio ou operador de sites co­mer­ci­ais, você deve adequar suas operações a esses re­gu­la­men­tos, tanto para con­tri­buir para a proteção dos seus con­su­mi­do­res, quanto para evitar processos judiciais. Esse guia de boas práticas da LGPD, elaborado pelo próprio Governo Federal, pode te ajudar.

Dados pessoais, dados pessoais sensíveis e anonimato

A Lei de Proteção de Dados bra­si­leira faz distinção entre “dados pessoais” e “dados pessoais sensíveis”. De acordo com o artigo 5º da LGPD, dados pessoais são, sim­ples­mente, in­for­ma­ções re­la­ci­o­na­das a uma pessoa, que podem iden­ti­ficá-la. No que diz respeito ao comércio ele­trô­nico, dados pessoais podem ser tratados somente mediante con­sen­ti­mento do usuário; para cum­pri­mento de obrigação legal; quando ne­ces­sá­rios para execução de contrato; quando para atender in­te­res­ses legítimos da empresa (res­guar­da­dos direitos e li­ber­da­des fun­da­men­tais) ou para proteção do crédito.

Dados pessoais sensíveis, por outro lado, são dados pessoais es­pe­cí­fi­cos, que podem resultar em atos dis­cri­mi­na­tó­rios. Por lei, são con­si­de­ra­dos dados pessoais sensíveis aqueles que ex­pli­ci­tam:

• Origem racial ou étnica
• Convicção religiosa
• Opinião política
• Filiação a sindicato, a or­ga­ni­za­ção religiosa, fi­lo­só­fica ou política
• Dados re­fe­ren­tes à saúde ou à vida sexual
• Dados genéticos e bi­o­mé­tri­cos

Quando estes estão di­re­ta­mente vin­cu­la­dos a um usuário, eles também só podem ser coletados mediante con­sen­ti­mento, e para uma fi­na­li­dade es­pe­cí­fica. A LGPD cita ainda os casos ex­cep­ci­o­nais, em que dados podem ser coletados mesmo sem o con­sen­ti­mento do usuário. Prevenção de fraude durante processos de iden­ti­fi­ca­ção e au­ten­ti­ca­ção em sistemas ele­trô­ni­cos estão entre as exceções.

O com­par­ti­lha­mento ou venda de dados sensíveis ainda não foi to­tal­mente re­gu­la­mento. Com a presente redação, a Lei Geral de Proteção de Dados proíbe apenas o com­par­ti­lha­mento e venda de dados sensíveis re­fe­ren­tes à saúde, com objetivo de obter vantagem econômica. Nos demais casos, desde que o operador explicite a pos­si­bi­li­dade de com­par­ti­lha­mento com terceiros e obtenha con­sen­ti­mento do usuário, a prática é permitida.

Dados ano­ni­mi­za­dos, por outro lado, são dados coletados sem que haja qualquer iden­ti­fi­ca­ção do usuário. Por não ferirem a pri­va­ci­dade de in­di­ví­duos, que permanece intacta, a uti­li­za­ção destes é con­si­de­rada razoável e sua coleta não depende de con­sen­ti­mento. Dessa forma, pro­pri­e­tá­rios e ope­ra­do­res de sites estão livres para fazer uso de in­for­ma­ções anônimas para, por exemplo, com­pre­en­der melhor seu público-alvo e adaptar suas es­tra­té­gias de marketing.

Existe, contudo, uma zona cinzenta: muitas vezes ope­ra­do­res de sites não conseguem iden­ti­fi­car ime­di­a­ta­mente se certos dados estão ligados direta ou in­di­re­ta­mente a uma pessoa. Assim sendo, re­co­men­da­mos que os sites peçam permissão para coleta de dados de vi­si­tan­tes sempre, para que suas operações fiquem res­guar­da­das desde o início da navegação. For­mu­la­ções, muitas vezes abstratas, ficam abertas à in­ter­pre­ta­ção e podem acabar parando nos tribunais.

A incerteza jurídica causa confusão e debates aca­lo­ra­dos entre empresas e usuários. De toda forma, a LGPD tem seus méritos, prin­ci­pal­mente por reunir em um só documento diversas re­gu­la­men­ta­ções an­te­ri­o­res que já dispunham sobre o tra­ta­mento de dados pessoais pelo comércio ele­trô­nico. Baseada em leis in­ter­na­ci­o­nais como a GDPR, ela leva o Brasil ao patamar in­ter­na­ci­o­nal de proteção de dados. Ao delimitar regras para o pro­ces­sa­mento de dados, a Lei Geral de Proteção de Dados não só protege usuários como também resguarda empresas, que ficam mais seguras quanto ao que podem ou não fazer.

Por que o comércio ele­trô­nico processa dados pessoais?

Ope­ra­do­res de lojas virtuais precisam dos dados pessoais de seus con­su­mi­do­res para realizar tran­sa­ções co­mer­ci­ais, ou seja, vender um produto, receber o pagamento, emitir nota fiscal e enviar ao comprador. Contudo, a coleta de dados tornou-se pro­ble­má­tica com o marketing digital, que passou a utilizar dados de usuários para per­so­na­li­zar ofertas de pu­bli­ci­dade, au­men­tando a chance de venda.

A Lei Geral de Proteção de Dados impõe regras a essa coleta. Salvo em casos ex­cep­ci­o­nais, a coleta de dados pessoais é proibida quando não con­sen­tida. Isso quer dizer que os sites devem conseguir a permissão explícita dos usuários antes de processar seus dados. Como operador de um site, você deve estar a par de todas as condições vigentes antes de coletar e processar dados pessoais, seja qual for o seu objetivo final. Em linhas gerais, vale, ao menos, se atentar a esses prin­cí­pios:

Fi­na­li­dade, adequação e ne­ces­si­dade

A Lei de Proteção de Dados es­ta­be­lece que coleta e uso de dados só são per­mi­ti­dos para pro­pó­si­tos legítimos, jus­ti­fi­ca­dos pela natureza dos serviços prestados. A fi­na­li­dade deve resultar da relação con­tra­tual entre as partes, e do meio onde a transação ocorre (neste caso, o meio ele­trô­nico/virtual). A adequação trata da com­pa­ti­bi­li­dade entre os serviços prestados e o tra­ta­mento dis­pen­sado aos dados. Já a ne­ces­si­dade exige que o mínimo de dados ne­ces­sá­rios para re­a­li­za­ção da atividade seja exigido.

Uma vez alcançado o objetivo do tra­ta­mento de dados, estes devem ser apagados. O artigo 15 da LGPD es­pe­ci­fica que “O término do tra­ta­mento de dados pessoais ocorrerá nas seguintes hipóteses”:

• Quando a fi­na­li­dade for alcançada e os dados deixarem de ser ne­ces­sá­rios
• Quando findar o período de tra­ta­mento es­pe­ci­fi­cado no termo de con­sen­ti­mento
• Quando for da vontade do usuário, que pode pedir pela eli­mi­na­ção de seus dados
• Por de­ter­mi­na­ção das au­to­ri­da­des, em caso de violações

Por outro lado, a con­ser­va­ção dos dados é au­to­ri­zada nos seguintes casos:

• Para cum­pri­mento de de­ter­mi­na­ção legal
• Para estudo ou pesquisa, ga­ran­tindo a ano­ni­mi­za­ção sempre que possível
• Quando trans­fe­ri­dos à terceiros, dentro dos limites da lei
• Quando de uso exclusivo do operador, vedado acesso de terceiros, caso os dados estejam ano­ni­mi­za­dos

Trans­pa­rên­cia e livre acesso

Um dos prin­cí­pios mais im­por­tan­tes da Lei de Proteção de Dados é o princípio da trans­pa­rên­cia. Os sites têm o dever de informar usuários sobre a coleta de dados pessoais e explicar o motivo da coleta de forma clara. Além disso, a coleta só deve ser realizada após con­sen­ti­mento explícito do usuário, já ciente da pos­si­bi­li­dade de ar­ma­ze­na­mento e pro­ces­sa­mento de seus dados. Os ope­ra­do­res de sites devem, ainda, registrar cada con­sen­ti­mento (pois cabe a eles o ônus da prova) e garantir o livre acesso dos usuários a seus dados ar­ma­ze­na­dos, em consulta fa­ci­li­tada, gratuita e integral.

Segurança

A Lei de Proteção de Dados do Brasil exige que ope­ra­do­res de sites adotem medidas de segurança para proteger os dados pessoais por eles pro­ces­sa­dos, assim como para prevenir acessos não au­to­ri­za­dos e o co­me­ti­mento de atos ilícitos. Ainda, ope­ra­do­res têm o dever de comunicar às au­to­ri­da­des com­pe­ten­tes, assim como às pessoas afetadas, falhas de segurança que podem acarretar danos aos usuários.

Fis­ca­li­za­ção e sanções

Ao des­res­pei­tar a LGPD, ope­ra­do­res de sites podem incorrer em sanções, que variam de acordo com a gravidade dos fatos, res­guar­dado direito à defesa. Entre elas estão:

• Ad­ver­tên­cia com prazo de adoção de medidas cor­re­ti­vas
• Multa de até 2% do fa­tu­ra­mento da empresa, podendo chegar a 50 milhões de reais por infração
• Pu­bli­ci­za­ção da infração
• Bloqueio e/ou eli­mi­na­ção dos dados em desacordo com a norma
• Suspensão do fun­ci­o­na­mento do banco de dados ou do tra­ta­mento de dados por até 12 meses
• Proibição parcial ou total de tra­ta­mento de dados

A Lei Geral de Proteção de Dados ainda obriga ope­ra­do­res de sites a reparar os danos materiais e morais, in­di­vi­du­ais e coletivos, que re­sul­ta­rem de tra­ta­men­tos de dados pessoais em desacordo com a le­gis­la­ção. Re­co­men­da­mos, portanto, que você adote uma política de pri­va­ci­dade para res­guar­dar tanto seu negócio on-line quanto seus con­su­mi­do­res. Ao garantir que a pri­va­ci­dade de seus vi­si­tan­tes não está sendo violada, você agrega valor ao seu site.

Google Analytics e a proteção de dados

A fer­ra­menta de análise de dados Google Analytics é a primeira a ser men­ci­o­nada, quando se fala em proteção de dados. Ela coleta e analisa in­for­ma­ções sobre vi­si­tan­tes de um site, como quanto tempo eles passam nesses sites, que páginas visitam e com que frequên­cia. Dados con­si­de­ra­dos pessoais, como endereço de IP, tipo de navegador e data e hora do acesso, não somente são coletados sem con­sen­ti­mento prévio, como também ar­ma­ze­na­dos pelo Google. Isso permite que a empresa crie um perfil de usuário abran­gente, que pode ser atribuído a uma pessoa es­pe­cí­fica. É que o Google se baseia nas leis de proteção de dados dos Estados Unidos, menos res­tri­ti­vas.

Alguns países, como por exemplo a Alemanha, só permitem a atuação do Google Analytics sob certas condições. Lá, o ras­tre­a­mento só é permitido mediante pseu­do­ni­mi­za­ção. A ano­ni­mi­za­ção do endereço de IP é obri­ga­tó­ria, podendo serem ar­ma­ze­na­dos somente os últimos 8 bits. Ainda, a política de pri­va­ci­dade da fer­ra­menta deve ex­pli­ci­tar que os usuários têm direito de re­jei­ta­rem o pro­ces­sa­mento de seus dados. Os ope­ra­do­res de sites que utilizam o Google Analytics também devem obter con­sen­ti­mento explícito dos usuários para seguirem com o ras­tre­a­mento.