Mercado Livre: “LGPD é positiva para assegurar a investidores operação adequada”

Informações sobre os consumidores vão exigir ainda mais atenção por parte dos varejistas com a aprovação de LGPD, que regula o tema no País

Ricardo Dalmaso, do Mercado Livre: LGPD pode assegurar mais tranquilidade a investidores (crédito: Douglas Luccena)

Entre os vários setores que fazem uso de dados da rotina de vida e consumo das pessoas, o varejo está entre os mais beneficiados. Hoje, isso se dá principalmente via programas de fidelidade, que devem ser afetados diretamente pela nova Lei Geral de Proteção de Dados Pessoais (LGPD), sancionada em agosto pelo presidente Michel Temer após dois anos de sua proposta no Congresso Nacional.

A revista NOVAREJO digital está com conteúdo novo. Acesse agora!

A Associação Brasileira das Empresas do Mercado de Fidelização – ABEMF, que reúne gigantes do setor financeiro, como Mastercard e Visa, declarou um total de 115 milhões de cadastros em seus programas de fidelidade ao fim do primeiro trimestre deste ano em um mercado cada vez maior por conta das novas tecnologias, que permitem ao consumidor receber promoções personalizadas exatamente por conta da análise de seus dados de compra. A associação informou que ainda está “avaliando os impactos” da recém-sancionada Lei e que prepara um estudo específico sobre o assunto, ainda sem data para ser lançado.

A Anymarket, empresa especializada em tecnologia para marketplaces e desenvolvedora de soluções para grupos varejistas como B2W e GPA, recorreu ao processo de regulamentação das práticas de segurança da informação via ISO 27001. Mas Alexandre Doná, diretor da Anymarket, afirma que as solicitações da ISO não são suficientes para adaptar 100% da operação às exigências da lei e que contratou um serviço de consultoria sobre Direito Digital para não ser pego de surpresa.

Artes: Fernanda Pelinzon/Grupo Padrão

O diretor lamenta que as conversas sobre a nova lei entre empresas de tecnologia, que serão responsáveis por tratar os dados, e os varejistas, responsáveis por capturar e usar as informações, ainda estejam em ritmo lento. “A gente começou a puxar essas conversas porque temos contrato com sellers e marketplaces, então temos que fazer adequações, mas ainda estamos em um período de adaptação. Temos um tráfego muito grande de informação, com cerca de 3 milhões de pessoas que passaram pelo nosso sistema, então, existe muita preocupação de como eu armazeno essa informação e como eu a mantenho segura”, diz Doná.

Márcio Chaves, advogado especializado em Direito Digital e sócio do escritório Peck Advogados explica que, via de regra, as empresas estão “relativamente mal preparadas” para este novo momento.

As empresas do varejo passam a ter a obrigação de entender o alcance da utilização das informações de seus clientes, e que ela está muito além das zonas de domínio da própria empresa. “Ela vai da porta para fora e afeta todos os fornecedores que interagem com os dados. Isso vai fazer com que as empresas optem por trabalhar com aqueles players que são mais sérios e que já têm essa preocupação”, ressalta.

Márcio Chaves: empresas do varejo ainda estão “mal preparadas” (crédito: Douglas Luccena)

Com relação ao acordo sobre o uso dos dados entre empresas e consumidores, permanece, segundo o advogado, a prática do consentimento, formalizado por textos descritivos sobre o uso que será feito das informações, subscritos por tópicos do tipo “eu aceito” e “eu não aceito”, já usados hoje. “A diferença é que os termos deverão ser mais precisos e transparentes, colhendo o mínimo de informação possível para a prestação dos serviços”, explica.

O especialista detalha ainda que a circulação de dados dentro de um mesmo grupo empresarial que possui diversas empresas deve seguir a mesma lógica, com detalhamento sobre qual empresa vai usar os dados tratados e de que forma será usado.

Segundo Chaves, a nova lei é necessária para que o mercado nacional alinhe suas práticas com o que vem acontecendo no mundo. “A gente tem quase 40 leis que falam sobre a proteção de dados pessoais, mas nenhuma entra na seara de definição do que seriam dados pessoais, sensíveis e principalmente responsabilidades e atribuições de quem lida com dados”, explica.

O Mercado Livre foi uma das empresas ouvidas pelas autoridades durante a formulação do texto da lei. Ricardo Dalmaso, gerente jurídico da empresa e responsável pelas tratativas sobre a LGPD, afirma que as novas exigências trarão ao Brasil transformações como poucas outras leis trouxeram e colocam o País no rol daqueles mais seguros para negócios digitais. “Trata-se de um impacto estruturante benéfico. A lei é positiva para assegurar a investidores estrangeiros que também no Brasil entes privados e públicos operam em um nível adequado de proteção de dados”, diz.

Para o porta-voz do Mercado Livre, será papel do varejista, daqui em diante, conhecer o conteúdo dos dados de sua empresa bem como seu fluxo, assim como conhecer o movimento das mercadorias e do capital por toda a operação. “A parceria entre a área jurídica e cada uma das demais áreas de negócio e de backoffice é fundamental para o sucesso da implementação das medidas conforme a LGPD e em linha com outras leis setoriais relevantes à proteção de dados”, alerta.

Passo importante

O cenário brasileiro atual de segurança da informação aponta uma circulação indiscriminada de dados, avalia Rodrigo Milo, sócio-diretor da área de Cyber Security da KPMG. Milo denuncia ainda a prática de vendas de dados não autorizados, que passará a ser identificada e punida pela nova lei. Apesar dos casos de uso malicioso de algumas empresas, o maior problema do varejo está mesmo no vazamento sem dolo, geralmente por falta de preparo das empresas para lidar com os dados durante o recolhimento, tratamento ou uso.

O especialista da KPMG aponta que uma das dificuldades que as empresas brasileiras terão pela frente para evitar as sanções impostas pela lei será adequar suas práticas em 18 meses, quando a fiscalização passará a ser feita. O Regulamento Geral sobre a Proteção de Dados (RGPD), lei europeia na qual foi inspirada a lei brasileira, propôs dois anos de adaptação. “Acho que vai ser um grande desafio para a indústria, principalmente pela maneira como se faz negócio hoje. Não sei se um ano e meio vai ser suficiente”, alerta o especialista.

Leia também: Os primeiros tijolos para construir a fortaleza digital no varejo

Para Milo, apesar das dificuldades que a lei representará neste primeiro momento, o Brasil tem necessidade urgente de regular o uso de dados. “Pelo menos estamos normatizando alguns aspectos que antes você tinha que buscar em outras leis. Agora, você consegue dar nome e CNPJ a quem é responsável pela informação e quem está assumindo as responsabilidades”, afirma.

Até que a adaptação seja total, as PMEs devem sofrer mais, segundo o especialista. As empresas menores deverão repensar a maneira como captam os dados e onde eles serão armazenados, com o possível aumento de custos para locação de serviços de armazenagem de dados em consultórios especializados. A expectativa é que, com o crescimento do mercado de proteção de dados, novas tecnologias de segurança da informação apareçam para baratear os custos de armazenagem.

Punições

A lei prevê que a primeira sanção aos infratores diante de vazamento ou uso ilegal de informações seja uma advertência sem ônus financeiro. Em seguida, uma multa de 2% sobre o faturamento da empresa até o limite de R$ 50 milhões. Em caso de nova infração, multa diária de 2% do faturamento, observando o limite de R$ 50 milhões. As sanções seguintes preveem publicização da infração, bloqueio dos dados vazados e eliminação dos dados.

A aprovação da lei contemplou o veto a alguns pontos, exatamente as sanções mais severas que o projeto original propunha, que previam suspensão parcial ou total do funcionamento dos bancos de dados e a suspensão do exercício da atividade de tratamento dos dados. Renata Mieli, coordenadora do Fórum Nacional pela Democratização da Comunicação (FNDC), aponta que os vetos foram solicitações do Ministério da Fazenda e do Banco Central. Outro veto polêmico foi a criação da autoridade regulatória.

Vazamentos no Brasil

Um estudo realizado pela consultoria global Protiviti apontou que a maioria das empresas não possui um programa efetivo de gerenciamento de risco de fraude. A pesquisa apontou ainda que fornecedores são considerados os maiores canais de fraude de dados. No Brasil, apenas 42% das companhias dizem gerar métricas sobre o cumprimento de políticas de segurança da informação. Se a LGPD estivesse ativa, quase dois terços das empresas estariam sujeitas às sanções. Segundo a Serasa Experian, uma tentativa de fraude é identificada a cada 16 segundos.

O deputado Orlando Silva (PCdoB), relator do projeto, afirma que a nova lei procura dar transparência às ações das empresas e aos casos de vazamento. Questionado se o prazo de um ano e meio para adequação das práticas diante de tantos problemas não é insuficiente, ele afirma que as empresas que operam no Brasil já contarão com o exemplo da Europa e as práticas do setor naquele continente para guiar as mudanças por aqui. “As companhias irão se adaptar às regras europeias e haverá uma evolução do tipo pedra no lago, com efeito sobre médias e pequenas empresas”.

Para o redator da lei, será necessário promover também uma mudança de percepção dos consumidores sobre a importância de resguardar dados. “O Brasil vai ter que mudar primeiro a cultura dos consumidores. Eles devem ser, acima de tudo e de qualquer empresa ou órgão, guardiões dos seus dados”, alerta.