Lei Geral de Proteção de Dados e o comércio eletrônico
Milhares de transações ocorrem a cada segundo no comércio eletrônico (e-commerce). Muitas delas exigem que fornecedores tenham acesso a dados dos seus consumidores. A preocupação quanto à destinação e uso desses dados, contudo, está cada dia maior e consumidores têm cada vez mais resistência em cedê-los. Muitas vezes, dados altamente sensíveis são mal utilizados, usados ilegalmente para fins publicitários, ou mesmo repassados ou vendidos a terceiros. Respeitar a privacidade dos consumidores, assim como evitar consequências legais, é essencial. Por isso, a recomendação é que a segurança e a proteção dos dados sejam sempre respeitadas.
O termo “proteção de dados” surgiu na Europa, pioneira em criar leis de respeito à privacidade. Na União Europeia, tal legislação é chamada de GDPR, General Data Protection Regulation. Ela é considerada a lei mais protetiva do mundo no que diz respeito à proteção de dados. Os Estados Unidos, por sua vez, usam o termo “privacidade de dados”. Lá, a legislação varia de estado a estado. No Brasil, a legislação é federal, portanto, única e válida no país inteiro. Leia mais sobre a Lei Geral de Proteção de Dados Pessoais (LGPD) neste artigo e descubra o que você precisa fazer como operador ou proprietário de sites para se adequar às regras.
Qual é o objetivo da Lei Geral de Proteção de Dados?
A Lei Geral de Proteção de Dados Pessoais do Brasil existe para “proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural” (Art. 1º da Lei nº 13.709/2018), ou seja, ela busca garantir que as informações de todos os cidadãos estejam seguras e protegidas no mundo virtual. A LGPD aplica-se a qualquer tratamento de dados pessoais realizado por pessoas físicas, jurídicas ou instituições públicas, independentemente do país-sede e da localização do provedor que armazena os dados, desde que a operação seja realizada no momento em que o cidadão estiver em território nacional. Como proprietário ou operador de sites comerciais, você deve adequar suas operações a esses regulamentos, tanto para contribuir para a proteção dos seus consumidores, quanto para evitar processos judiciais. Esse guia de boas práticas da LGPD, elaborado pelo próprio Governo Federal, pode te ajudar.
Em seu artigo 5º, a LGPD define o que vem a ser o tratamento de dados pessoais: “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
Dados pessoais, dados pessoais sensíveis e anonimato
A Lei de Proteção de Dados brasileira faz distinção entre “dados pessoais” e “dados pessoais sensíveis”. De acordo com o artigo 5º da LGPD, dados pessoais são, simplesmente, informações relacionadas a uma pessoa, que podem identificá-la. No que diz respeito ao comércio eletrônico, dados pessoais podem ser tratados somente mediante consentimento do usuário; para cumprimento de obrigação legal; quando necessários para execução de contrato; quando para atender interesses legítimos da empresa (resguardados direitos e liberdades fundamentais) ou para proteção do crédito.
Dados pessoais sensíveis, por outro lado, são dados pessoais específicos, que podem resultar em atos discriminatórios. Por lei, são considerados dados pessoais sensíveis aqueles que explicitam:
- Origem racial ou étnica
- Convicção religiosa
- Opinião política
- Filiação a sindicato, a organização religiosa, filosófica ou política
- Dados referentes à saúde ou à vida sexual
- Dados genéticos e biométricos
Quando estes estão diretamente vinculados a um usuário, eles também só podem ser coletados mediante consentimento, e para uma finalidade específica. A LGPD cita ainda os casos excepcionais, em que dados podem ser coletados mesmo sem o consentimento do usuário. Prevenção de fraude durante processos de identificação e autenticação em sistemas eletrônicos estão entre as exceções.
O compartilhamento ou venda de dados sensíveis ainda não foi totalmente regulamento. Com a presente redação, a Lei Geral de Proteção de Dados proíbe apenas o compartilhamento e venda de dados sensíveis referentes à saúde, com objetivo de obter vantagem econômica. Nos demais casos, desde que o operador explicite a possibilidade de compartilhamento com terceiros e obtenha consentimento do usuário, a prática é permitida.
Dados anonimizados, por outro lado, são dados coletados sem que haja qualquer identificação do usuário. Por não ferirem a privacidade de indivíduos, que permanece intacta, a utilização destes é considerada razoável e sua coleta não depende de consentimento. Dessa forma, proprietários e operadores de sites estão livres para fazer uso de informações anônimas para, por exemplo, compreender melhor seu público-alvo e adaptar suas estratégias de marketing.
Existe, contudo, uma zona cinzenta: muitas vezes operadores de sites não conseguem identificar imediatamente se certos dados estão ligados direta ou indiretamente a uma pessoa. Assim sendo, recomendamos que os sites peçam permissão para coleta de dados de visitantes sempre, para que suas operações fiquem resguardadas desde o início da navegação. Formulações, muitas vezes abstratas, ficam abertas à interpretação e podem acabar parando nos tribunais.
A incerteza jurídica causa confusão e debates acalorados entre empresas e usuários. De toda forma, a LGPD tem seus méritos, principalmente por reunir em um só documento diversas regulamentações anteriores que já dispunham sobre o tratamento de dados pessoais pelo comércio eletrônico. Baseada em leis internacionais como a GDPR, ela leva o Brasil ao patamar internacional de proteção de dados. Ao delimitar regras para o processamento de dados, a Lei Geral de Proteção de Dados não só protege usuários como também resguarda empresas, que ficam mais seguras quanto ao que podem ou não fazer.
Por que o comércio eletrônico processa dados pessoais?
Operadores de lojas virtuais precisam dos dados pessoais de seus consumidores para realizar transações comerciais, ou seja, vender um produto, receber o pagamento, emitir nota fiscal e enviar ao comprador. Contudo, a coleta de dados tornou-se problemática com o marketing digital, que passou a utilizar dados de usuários para personalizar ofertas de publicidade, aumentando a chance de venda.
A Lei Geral de Proteção de Dados impõe regras a essa coleta. Salvo em casos excepcionais, a coleta de dados pessoais é proibida quando não consentida. Isso quer dizer que os sites devem conseguir a permissão explícita dos usuários antes de processar seus dados. Como operador de um site, você deve estar a par de todas as condições vigentes antes de coletar e processar dados pessoais, seja qual for o seu objetivo final. Em linhas gerais, vale, ao menos, se atentar a esses princípios:
Finalidade, adequação e necessidade
A Lei de Proteção de Dados estabelece que coleta e uso de dados só são permitidos para propósitos legítimos, justificados pela natureza dos serviços prestados. A finalidade deve resultar da relação contratual entre as partes, e do meio onde a transação ocorre (neste caso, o meio eletrônico/virtual). A adequação trata da compatibilidade entre os serviços prestados e o tratamento dispensado aos dados. Já a necessidade exige que o mínimo de dados necessários para realização da atividade seja exigido.
Uma vez alcançado o objetivo do tratamento de dados, estes devem ser apagados. O artigo 15 da LGPD especifica que “O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses”:
- Quando a finalidade for alcançada e os dados deixarem de ser necessários
- Quando findar o período de tratamento especificado no termo de consentimento
- Quando for da vontade do usuário, que pode pedir pela eliminação de seus dados
- Por determinação das autoridades, em caso de violações
Por outro lado, a conservação dos dados é autorizada nos seguintes casos:
- Para cumprimento de determinação legal
- Para estudo ou pesquisa, garantindo a anonimização sempre que possível
- Quando transferidos à terceiros, dentro dos limites da lei
- Quando de uso exclusivo do operador, vedado acesso de terceiros, caso os dados estejam anonimizados
Transparência e livre acesso
Um dos princípios mais importantes da Lei de Proteção de Dados é o princípio da transparência. Os sites têm o dever de informar usuários sobre a coleta de dados pessoais e explicar o motivo da coleta de forma clara. Além disso, a coleta só deve ser realizada após consentimento explícito do usuário, já ciente da possibilidade de armazenamento e processamento de seus dados. Os operadores de sites devem, ainda, registrar cada consentimento (pois cabe a eles o ônus da prova) e garantir o livre acesso dos usuários a seus dados armazenados, em consulta facilitada, gratuita e integral.
Mesmo que tenha consentido a coleta de seus dados, qualquer usuário pode retirar o consentimento a qualquer tempo, mediante manifestação expressa ao operador do site.
Segurança
A Lei de Proteção de Dados do Brasil exige que operadores de sites adotem medidas de segurança para proteger os dados pessoais por eles processados, assim como para prevenir acessos não autorizados e o cometimento de atos ilícitos. Ainda, operadores têm o dever de comunicar às autoridades competentes, assim como às pessoas afetadas, falhas de segurança que podem acarretar danos aos usuários.
Fiscalização e sanções
Ao desrespeitar a LGPD, operadores de sites podem incorrer em sanções, que variam de acordo com a gravidade dos fatos, resguardado direito à defesa. Entre elas estão:
- Advertência com prazo de adoção de medidas corretivas
- Multa de até 2% do faturamento da empresa, podendo chegar a 50 milhões de reais por infração
- Publicização da infração
- Bloqueio e/ou eliminação dos dados em desacordo com a norma
- Suspensão do funcionamento do banco de dados ou do tratamento de dados por até 12 meses
- Proibição parcial ou total de tratamento de dados
A Lei Geral de Proteção de Dados ainda obriga operadores de sites a reparar os danos materiais e morais, individuais e coletivos, que resultarem de tratamentos de dados pessoais em desacordo com a legislação. Recomendamos, portanto, que você adote uma política de privacidade para resguardar tanto seu negócio on-line quanto seus consumidores. Ao garantir que a privacidade de seus visitantes não está sendo violada, você agrega valor ao seu site.
Empresas estrangeiras que operam no Brasil também estão sujeitas à LGPD, já que a mesma abarca todas as coletas de dados de usuários que estejam em território nacional.
Google Analytics e a proteção de dados
A ferramenta de análise de dados Google Analytics é a primeira a ser mencionada, quando se fala em proteção de dados. Ela coleta e analisa informações sobre visitantes de um site, como quanto tempo eles passam nesses sites, que páginas visitam e com que frequência. Dados considerados pessoais, como endereço de IP, tipo de navegador e data e hora do acesso, não somente são coletados sem consentimento prévio, como também armazenados pelo Google. Isso permite que a empresa crie um perfil de usuário abrangente, que pode ser atribuído a uma pessoa específica. É que o Google se baseia nas leis de proteção de dados dos Estados Unidos, menos restritivas.
Alguns países, como por exemplo a Alemanha, só permitem a atuação do Google Analytics sob certas condições. Lá, o rastreamento só é permitido mediante pseudonimização. A anonimização do endereço de IP é obrigatória, podendo serem armazenados somente os últimos 8 bits. Ainda, a política de privacidade da ferramenta deve explicitar que os usuários têm direito de rejeitarem o processamento de seus dados. Os operadores de sites que utilizam o Google Analytics também devem obter consentimento explícito dos usuários para seguirem com o rastreamento.
Existem alternativas ao Google Analytics. Ferramentas como Piwik e Chartbeat costumam estar mais alinhas à GDPR e, portanto, respeitarem mais a proteção de dados.