Varejo precisa correr contra o tempo, diz KPMG sobre adaptação à Lei de Dados

KPMG aponta necessidade de o setor priorizar ações de adaptação das suas operações para proteger dados dos clientes. Multas podem começar a ser aplicadas em 16 meses

O setor de varejo começa a corrida contra o tempo para se adaptar às novas exigências que a Lei Geral de Proteção de Dados Pessoais (13.709/2018) impõe ao setor, um dos que mais recolhe informações dos consumidores. As varejistas estão alguns passos atrás de empresas de outros setores, como o financeiro e o de saúde.

A avalição é de Paulo Ferezin, sócio-diretor líder para o setor de Varejo da KPMG no Brasil, e de Leandro Augusto, sócio-líder de Cibersegurança da KPMG no Brasil. Leandro lembra que a Resolução nº 4.658 do Banco Central, publicada no fim de abril deste ano, deu ao setor financeiro alguns meses de antecipação na preparação para a proteção de dados. “A resolução já possui requisitos quanto às informações sensíveis no setor bancário, que já caminhava na linha da privacidade”, aponta o executivo.

A revista NOVAREJO digital está com conteúdo novo. Acesse agora!

O setor de saúde também é apontado pelos sócios da KPMG como um case de boas práticas quando se trata de segurança e utilização correta dos dados do consumidor. O especialista em Cibersegurança da KPMG destaca que os dados de saúde, por serem mais sensíveis, receberam uma atenção prévia especial. “Na saúde, dados sensíveis, relacionados a doenças e tratamentos, podem trazer malefícios mais severos se vazados ou utilizados de maneira incorreta. Mas todo o restante da indústria ainda tem uma movimentação tímida no que se refere à manipulação correta dos dados”, afirma Ferezin.

O especialista em varejo da KPMG afirma que algumas empresas líderes de mercado no setor têm-se colocado à frente quando o assunto é tratamento adequado dos dados. “O varejo começou a ver alguma movimentação, mas ainda é um princípio de preocupação de como se movimentar para garantir a captura e o uso correto dos dados. Esse será um desafio para os próximos 16 meses no varejo”, garante.

Crédito: Fernanda Pelinzon

Um mês depois da aprovação da lei, as questões relacionadas à proteção de dados ainda não são prioridade na agenda da maioria dos diretores e CEOs do varejo. Segundo Ferezin, a corrida para se adaptar às novas exigências deve ser intensificada nos próximos meses. “Esse mapeamento do que será preciso fazer ainda está em cima da mesa dos executivos e as pessoas que tomam decisões ainda não se deram conta de que esse processo dá trabalho. Vamos ter, de uma hora para outra, um boom de procura por soluções nesse sentido”, alerta.

Sistemas não integrados

Um dos problemas que colocam o varejo em uma situação complicada diante da LGPDP está relacionado à obsolescência dos sistemas utilizados pelas empresas. Leandro Augusto avalia que boa parte dos dados que o varejo capta transita entre sistemas diferentes e não integrados, o que acaba por dificultar o mapeamento. “A arquitetura tecnológica passa a ser um problema. Se eu registro as informações de uma pessoa no sistema A e passo para B ou C, eu preciso saber onde está hospedada a informação original e os seus critérios de consentimento e compartilhamento”, destaca o especialista.

Leandro Augusto ressalta ainda que uma das maiores dificuldades será a de identificar positivamente a base inteira de clientes. Essa identificação de um por um entre todos os clientes será necessária para garantir o cumprimento da lei no que ela se refere a dar ao consumidor acesso a todos os dados que a empresa capta dele. E no momento em que o cliente achar oportuno.

Os novos contratos de cessão de dados terão que dar ao consumidor a liberdade de cancelar ou restringir o uso de seus dados pela empresa a qualquer momento. “Algumas empresas têm somente o CPF do cliente, o endereço ou o e-mail. Será preciso achar uma maneira segura de identificá-lo e permitir que ele consulte e altere (corrija) seus dados quando achar apropriado”, ressalta Leandro.

O especialista em Cibersegurança avalia ainda que há uma grande dificuldade por parte das empresas de separar os dados enriquecidos das informações obtidas originalmente, que foram apenas capturadas e com o consentimento limitado perante a nova lei. Ferezin complementa ao lembrar que a legislação não deixa claro como serão tratados os dados e as informações coletados antes da nova lei (legado). Ele diz que aconselha as empresas a revisitar todos os contratos de cessão do uso de dados. “Estamos considerando o pior cenário. A informação legada eu já tenho; o cliente final deu o aceite lá atrás. Mas estamos trabalhando no sentido de precaver as empresas. Talvez, essa base tenha que ser saneada e as empresas tenham que ter um novo consentimento do cliente”, aleta o especialista, que coloca a necessidade desse procedimento ainda em suspenso. “Obviamente, essa questão ainda vai passar por uma regulação”, completa.

Negócios afetados?

Os especialistas concordam ao dizer que haverá impactos sobre os negócios de quem trabalha com dados, seja o varejista, seja a empresa de tecnologia e “bureaux de informações”. Um dos impactos será sentido na oferta de produtos e serviços baseados no histórico de compra dos consumidores, com destaque para os programas de fidelização. “Esses programas nos quais você ativa o cliente frequentemente demandarão mais cautela. Os riscos estão mais no uso da informação do que na captura. Quando você começa a usar a informação e não está em conformidade com a autorização do cliente é que aparecem os maiores problemas”, alerta.

Crédito: Fernanda Pelinzon

Os programas de coalização ou de fidelidade são hoje uma mina de ouro para varejistas e empresas de tecnologia dedicadas a esse tipo de serviço. Com as mudanças, o cliente pode solicitar a extinção de seus dados, fechando a torneira de um mercado promissor. “No futuro, a informação vai ser o grande minério do varejo para conseguir se diferenciar e gerar negócios. Já é e será cada vez mais um dos ativos mais relevantes. O varejo tem hoje informações de qualidade. Então, enquanto ele estiver preparado e bem estruturado em relação à LGPDP vai permitir ao varejista andar na frente”, afirma Ferezin.

Prevenção

Leandro Augusto afirma que a maneira mais segura de se prevenir contra vazamentos é a criptografia e, obviamente, os controles de acesso. Parece óbvio, mas o especialista lembra que, em 2017, apenas 3% dos dados que vazaram em incidentes divulgados publicamente eram criptografados adequadamente. “Esse é o desafio mais relevante, proteger a informação em descanso no banco de dados contra um acesso não autorizado”, avalia.

O especialista recomenda também a eliminação integral de dados já não utilizados pela empresa, mas que acabam circulando entre as áreas sem o devido cuidado, por exemplo, em formato de dados não estruturados, como planilhas eletrônicas. Outra medida que pode reduzir os vazamentos é a anonimização dos dados, que significa retirar do banco de dados informações que identifiquem as pessoas em suas particularidades, qualificando a informação apenas de maneira generalizada.

Crédito: Fernanda Pelinzon

Os especialistas destacam ainda que não existe a possibilidade de a Lei Geral de Proteção de Dados Pessoais “não pegar”, como costuma acontecer no Brasil com leis criadas de difícil fiscalização ou que contrariem interesses poderosos. A publicidade sobre casos de vazamento ocorridos recentemente já alertou autoridades e consumidores.

Pesquisas da KPMG já apontaram que o risco de vazamento de dados ou de utilização incorreta estão entre os que mais preocupam os CEOs. No Brasil, a LGPDP pressupõe multas de R$ 50 milhões ou de 2% do faturamento por incidente. Mas, segundo os especialistas, as penalidades financeiras impostas pela lei podem ser uma ínfima parte do que representa abalos na imagem de uma marca que não cuida dos dados dos seus próprios consumidores.