Principais destaques:
– Varejo pode encarar LGPD como oportunidade de negócio;
– Focar na experiência do consumidor é um diferencial competitivo;
– Para especialistas, qualquer informação que identifique a pessoa é considerada dado na LGPD;
– E empresas devem criar estratégias para saber analisar qual dado será essencial para os negócios;
– Tema foi discutido no LGPD Countdown e empresas do setor comentaram como estão se adequando.
Consentimento. Esta é uma das palavras-chave que o varejo precisa focar com a proximidade da Lei Geral de Proteção de Dados (LGPD), prevista para entrar em vigor em agosto de 2020. Com um desafio de se adequar ao que diz a lei, o setor deve encarar a experiência do usuário como oportunidade para criar um diferencial competitivo para o seu negócio.
Essas questões foram discutidas no LGPD Countdown, evento realizado na última semana pelo inovabra Habitat (São Paulo) e que visa discutir impactos, desafios e oportunidades da lei nos mais diversos setores. O Mundo + Tech esteve presente no encontro e traz os principais destaques.
A personalidade do ano é o cliente
A edição Personalidade do Ano 2006 da revista Time trouxe a palavra “Você” na capa. Lançada no mês de dezembro daquele ano, a publicação cita “você controla a era da informação”. “A chegada das mídias sociais se tornou uma mina de dados para as empresas. Basta ver o Google, Amazon e Twitter”, comentou Gisele Karassawa, sócia da Gisele Karassawa Advocacia.
Ela explicou que o consumidor quer saber o que as empresas fazem com os dados que ele gera e como eles estão seguros. Segundo Karassawa, o relatório Panorama Mobile – Senhas e biometria, de novembro de 2018, mostrou que quando o assunto é segurança dos dados, os consumidores acham que os bancos conseguem mantê-los mais seguros do que empresas de outros setores
Para a especialista, a LGPD deve ser vista como uma oportunidade de negócio e não como mais uma lei que o empresário precisa cumprir. “Se eu [empresa] me preocupo em me adequar à lei e trago um ambiente seguro, o cliente vai fechar negócio comigo”, complementou.
Mas quais dados a lei considera?
“Qualquer informação que possa identificar a pessoa ou a torne identificável é considerada dado para a LGPD”, pontuou Marcella Costa, sócia da LLCO Advocacia. “Nome, RG, CPF, endereço residencial, geolocalização, e-mail, reconhecimento facial, imagens de perfil, hábitos de consumo. Tudo isso pode enriquecer a empresa a partir de uma análise contextual.”
Para uma empresa, o nome e a idade de um consumidor são apenas dados fragmentados, isolados e sem fins comerciais. Mas quando a marca detém também nome completo, CPF, CEP ou outras informações complementares, ela consegue identificar quem é o cliente e “segmentá-lo para algo, como uma campanha de marketing, por exemplo”, complementou Costa.
É preciso observar, porém, que alguns dados podem se tornar sensíveis a partir de determinado contexto, como mostrou Gisele Karassawa. “Por exemplo, eu sou de origem asiática e essa informação não pode ser usada em alguma situação que gere discriminação. Então o fato de eu ser asiática se torna um dado sensível a depender de como ele será interpretado.”
A LGPD prevê quais penalidades?
A lei prevê multas que variam entre R$ 50 milhões a 2% do faturamento total da empresa. A multa diária também não pode ultrapassar o teto de R$ 50 milhões. Além disso, a companhia pode levar uma advertência, publicização da infração, bloqueio ou eliminação dos dados pessoais envolvidos na infração.
“Acredito que, neste primeiro momento, a LGPD vai seguir o mesmo caminho que a GDPR (a legislação europeia) e irá usar a advertência de forma educativa para notificar a empresa enquanto ela tenta se adaptar à lei”, explicou Marcella Costa. Para ela, a pior das hipóteses é a publicização da infração. “É uma penalidade severa e mais impactante que a multa porque mexe com a reputação da empresa.”
Um exemplo é a Cambridge Analytica. A empresa esteve envolvida, junto ao Facebook, na coleta de dados identificáveis – nome, profissão, local de moradia, gastos e hábitos – de 87 milhões de usuários. A violação resultou em uma multa de 500 mil libras à rede social e, em maio de 2018, a Cambridge Analytica declarou o fim das operações.
Mesmo sem estar em vigor, fiscalização já acontece
A privacidade é direito garantido na Constituição e, mesmo sem a LGPD em vigor, algumas práticas podem ser consideradas violações. Quando listas com credenciais de dois milhões de clientes da Netshoes vazaram, entre 2017 e 2018, o Ministério Público do Distrito Federal e Territórios (MPDFT) pressionou a empresa a notificar todos os usuários afetados por telefone.
Para evitar uma ação coletiva, a Netshoes fechou um acordo extrajudicial de R$ 500 mil com o MPDFT. O valor é uma indenização por danos morais devido aos vazamentos de dados. Além disso, o órgão exigiu que a empresa reforçasse a segurança da loja online e realizasse campanhas de conscientização para ensinar como os clientes podem proteger os dados pessoais.
Outro caso recente é o da marca Hering. A empresa inaugurou a Hering Experience, uma loja conceito em um shopping de São Paulo que utiliza dispositivos com tecnologia de reconhecimento facial e sensores de calor para detectar a reação das pessoas às roupas e o perfil dos clientes para oferecer ofertas customizadas.
Essa inovação chamou atenção do Instituto Brasileiro de Defesa do Consumidor (Idec). A entidade notificou a Hering, em março deste ano, para entender se essa prática viola os direitos e a privacidade dos usuários que frequentam a loja. Na época, a marca enviou uma nota à imprensa informando que estava “entendendo os questionamentos” e se pronunciaria em breve.
O que empresas estão fazendo?
Cinemark
Para se adequar à nova lei, a Cinemark, a rede de salas de cinema, realizou uma auditoria para ver quais dados são compartilhados com outros fornecedores. “Começamos a restringir o acesso aos dados sensíveis de nossos clientes”, contou Marcela Hangstrom, head de CRM (Customer Relationship Management) da Cinemark Brasil. Além disso, a empresa realizou uma integração entre os setores para que “o marketing pense como o jurídico, que deve pensar como a área de segurança, que vai pensar como o marketing. Isso melhora a comunicação interna, assim como mostra a confiança do cliente em nossos serviços.”
Outro ponto trabalhado pela empresa é a segmentação dos dados e como obter o consentimento do consumidor. “Um exemplo são os programas de fidelidade. Isso dá a chance de o cliente conhecer nossa empresa e onde a Cinemark pode fazer a diferença com os dados dele em mãos. Mas é preciso atentar que algumas empresas investem em programas pouco estruturados, sem deixar claro o que o cliente vai ganhar caso dê acesso aos dados”, disse Marcela Hangstrom.
Dafiti
Cristiano Hyppolito, CTO para América Latina da Dafiti, afirmou que o e-commerce está revendo todos os contratos para entender quais cláusulas estão de acordo com a LGPD. “Trabalhamos em parcerias com startups e estamos fazendo uma espécie de auditoria com elas para garantir o alinhamento de nosso serviço com a lei. É uma preocupação com o branding da Dafiti fazer esse tracking para saber o que está acontecendo com os dados que geramos em nosso negócio. É importante ter esse controle para que possamos trabalhar sem possíveis vazamentos”, conversou.
Serasa
A Serasa montou um projeto de adequação para ser finalizado em 18 meses. Para isso, a empresa montou uma equipe multidisciplinar, composta por 80 colaboradores de diversas áreas, para avaliar o tratamento de dados, questões jurídicas e o consentimento do consumidor. “Trabalhamos mais formas seguras de obter consentimento do consumidor de forma que ele se sinta mais seguro e saiba que os dados dele serão coletados e utilizados de maneira consciente”, comentou a empresa. Sobre o termo de uso dos dados, documento de que muitos usuários fogem na hora de assinar um serviço, a Serasa criou um termo sintético “resumido e que mostra o que é importante para o cliente” e outro mais completo, “caso o usuário tenha a necessidade de leitura.”