A Lei Geral de Proteção de Dados Pessoais (LPGD) foi publicada em agosto de 2018 e entrará em vigor após decorridos 18 (dezoito) meses da sua publicação. Por parecer um considerável intervalo para início efetivo dos efeitos da lei, que poderá incluir fiscalização e punição de infratores, o prazo de 18 (dezoito) meses, ao invés de motivar as empresas interessadas e envolvidas na proteção de dados a se alinharem às mudanças de rotina que a Lei irá exigir, trouxe um certo “conforto” à essas empresas, que estão deixando tudo para 2020, o ano em que a Lei estará em vigor.
Contudo, vale a pena o alerta: as empresas não devem cometer o erro de deixar tudo para a última hora! São muitas mudanças que afetam a rotina da empresa, sua cultura e comportamento, bem como ferramentas necessárias para se adequar à LGPD. As novas regras abrangem desde os dados mais sensíveis até os dados de uso diário como questionários, idade, dados cadastrais, tanto para coletar, transmitir ou processar esses dados.
Além disso, os titulares dos dados, protegidos pela Lei, com certeza não vão abrir mão de invocar seus direitos normatizados pela LGPD, tais como: pedir explicações sobre seus dados, solicitar, inclusive, alterações e correções em caso de divergência.
Além de todas as adequações que as empresas deverão buscar durante esse período, bem como ferramentas necessárias para regular proteção dos dados, será necessário informar ao cliente o motivo pelo qual os seus dados serão tratados, não somente fazendo uso do que chamamos de opt-in no e-commerce, ou seja, não será suficiente colher apenas o “OK” do cliente para o efetivo consentimento. Os e-commerces deverão, de maneira clara e detalhada, esclarecer o motivo pelo tratamento dos dados.
E onde os e-commerces poderão detalhar isso, fazendo com que o cliente não apenas dê o consentimento, mas leia e tenha ciência sobre o tratamento de seus dados? Na “Política de Privacidade” ou, como em outros sites, “Termos de Condições de Segurança”.
Além do consentimento mencionado acima, não custa lembrar que muitos lojistas já tratam dados pessoais antes mesmo do cliente ler ou aceitar a Política de Privacidade do site, por meio de cookies ou outras ferramentas tecnológicas, na mera navegação.
A Política de Privacidade da loja é o meio ideal usado para tornar transparente sua relação com o usuário. Lá você informa todos os direitos, garantias, formas de uso, dados recolhidos, processamento e descarte dessas informações pessoais. Atualmente, os e-commerces pedem ao usuário, após preenchimento do seu cadastro, que demonstre expresso consentimento e concordância com esses termos. Isso tudo surgiu, de forma mais expressiva, após a regulação específica do mundo virtual, através do Marco Civil da Internet. Essa lei estabeleceu direitos e garantias aos usuários, além de regulamentar as responsabilidades aos setores públicos e privados.
Contudo, a mera alteração das Políticas de Privacidade não é o suficiente para garantir sua eficácia e adequação à LGPD. É importante se atentar para os aspectos práticos, pois, caso não implementado de forma correta, pode invalidar a sua Política de Privacidade. Sendo assim, destacamos alguns pontos importantes para uma Política de Privacidade adequada:
Consentimento
A Política de Privacidade do e-commerce nada mais é do que os termos de um negócio jurídico estabelecido entre o próprio comerciante com seus usuários. Para que tenha validade e eficácia, deve ser levada ao conhecimento do usuário que, por sua vez, deve manifestar sua aceitação. É nessa linha que se aperfeiçoa o vínculo contratual.
Consentimento Válido
A LGPD apresenta definição em seu artigo 5º, XII: “Para os fins dessa lei, considera-se consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.
Essas são as características definidas pela LGPD para consentimento do usuário, que deve ser livre, ou seja, confere ao usuário pleno controle sobre o tratamento de seus dados pessoais. Deve, ainda, poder escolher quais dados fornecer ou não, podendo, inclusive, retirar seu consentimento a qualquer momento. O lojista não pode compelir o usuário a consentir com tratamento de seus dados pessoais para ter acesso a determinada aplicação na internet. Dessa forma, esse consentimento não é considerado livre e pode ser invalidado por ineficácia da aceitação.
Vale incluir uma exceção ao esclarecimento acima, uma vez que existem hipóteses em que o tratamento de dados é essencial ao regular funcionamento da aplicação na internet, sendo justificável que se condicione o acesso à aceitação do tratamento de dados essenciais.
Informações Necessárias
O usuário deve ter informações suficientes sobre o e-commerce e os serviços prestados, bem como sobre o tratamento de seus dados. Isso porque ele deve ter ciência do que está sendo contratado e consentir de forma consciente. Assim, o usuário deve saber a identidade do e-commerce, os responsáveis pelo tratamento de seus dados e as finalidades de destino desse tratamento. É fundamental que os e-commerces sejam transparentes com seus usuários, fornecendo o máximo de informação possível sobre seu modelo de negócio e a finalidade da coleta de dados. Tal finalidade, pela LGPD, deve ser específica e informada na Política de Privacidade, sendo proibido o uso de dados para fins não previstos, sem o consentimento do usuário.
Aceitação do Usuário
Deve haver uma ação do usuário indicando sua aceitação, seja por um clique ou por assinatura eletrônica. O silêncio nunca poderá ser considerado consentimento. Atualmente, muitos e-commerces incluem links para suas Políticas de Privacidade no rodapé do site, não exigindo aceitação do usuário. Além disso, possuem cláusulas de que o mero acesso já é aceitação pelo usuário de tais Políticas. Isso não será mais permitido pela LGPD.
O usuário, de alguma forma, deverá aceitar e consentir de forma expressa com a Política de Privacidade do e-commerce. Não somente isso, em qualquer alteração ou atualização quanto ao modelo de negócio do e-commerce ou ao tratamento de dados dos usuários, o consentimento deve ser renovado, uma vez que o consentimento originalmente fornecido, não será mais válido.
Conclui-se que o ano de 2019 será de muito trabalho para os e-commerces. Desse período até fevereiro de 2020, será o intervalo que permitirá adequação dos e-commerces para receber a LGPD e sua futura Autoridade de Proteção de Dados. Além das muitas mudanças necessárias, podemos observar que nada é tão simples quanto parece. O que as empresas pensam ser apenas mais uma alteração na redação de suas Políticas de Privacidade é o que dá validade ao negócio jurídico do comerciante com o usuário e, se não implementado corretamente, pode tornar qualquer Política inválida, deixando o lojista desprotegido em caso de eventual disputa.
Essa questão é uma dentre muitas questões fundamentais para proteção do e-commerce às altas multas cominadas pela LGPD. Esperar até o Carnaval de 2020 para tomar providências de adequação pode fazer com que o comerciante não tenha tempo hábil não somente para modificar a Política de Privacidade do seu site, mas também de mudar a cultura das áreas de sua empresa, que deverão também obedecer o que será determinado na nova política, após sua remodelagem.
Este artigo foi escrito por:
Ricardo Oliveira
Sócio do COTS Advogados, escritório especializado em Cyberlaw e Direito dos Negócios Digitais com sede em São Paulo. Atua há quase 10 anos na área jurídica, focando na multidisciplinaridade e interação dos mais diferentes ramos do Direito, sempre com foco em empresas do comércio eletrônico e tecnologia da informação.
Amanda Almeida
Advogada associada do COTS Advogados, escritório especializado em Cyberlaw e Direito dos Negócios Digitais com sede em São Paulo. Possui experiência em contencioso de massa, gestão e controle de contratos, atuando principalmente com empresas do seguimento ecommerce