ESG – Governança de Dados e Privacidade no Holofote
Diversos shopping centers têm direcionado seus esforços e investimentos na construção de uma governança de dados e privacidade aderente à Lei Geral de Proteção de Dados (a “LGPD” – Lei nº 13.709/2018), atentos também ao Regulamento de Dosimetria e Aplicação de Sanções Administrativas– publicado pela Autoridade Nacional de Proteção de Dados (a “ANPD”) em 27/02/2023, que estabelece as regras para o processo fiscalizatório e sancionador da ANPD no pilar das ações de repressão ao descumprimento às regras da LGPD.
Além das multas simples e diárias, o regulamento também estabeleceu as regras para aplicação de outras sanções (já previstas na LGPD) que podem afetar material e moralmente as atividades dos agentes de tratamento infratores, como é o caso da publicização da infração, que consiste na divulgação da infração pelo próprio infrator. Tendo em vista o Regulamento, vale destacar três aspectos relevantes para os agentes de tratamento e eventuais infratores: (i) as medidas preventivas; (ii) o tempo de resposta e cessação da infração; e (iii) a reincidência.
Neste contexto, a partir do estudo realizado pelos times Privacidade e Proteção de Dados de L.O. Baptista Advogados para retratar os indicadores globais em data privacy, com foco na atuação por parte de autoridades nacionais estrangeiras de proteção de dados em processos sancionatórios envolvendo agentes de tratamento, é possível concluir que as autuações mundo afora, especialmente na União Europeia, continuam mirando, fundamentalmente, duas vertentes:
- não conformidade com as regras de tratamento de dados pessoais e
- insuficiência das medidas técnicas e organizacionais, prejudicando a garantia da segurança da informação.
No recorte realizado sobre as áreas da indústria que estão no radar das autoridades reguladoras, verificou-se que o varejo/comércio é um dos setores mais visados na União Europeia, Uruguai e Canadá, com intensificação da atuação fiscalizatória e sancionatória por conta das expressivas modalidades de tratamento de dados pessoais, incluindo biometria (dado sensível) capturada através das câmeras, compartilhamentos de metadados envolvendo consumo, e o tratamento de dados de crianças e adolescentes, nem sempre precedido da devida autorização parental.
Curiosamente, até na China, um shopping foi obrigado pelo Shanghai Consumer Council a se retratar e corrigir suas práticas por violação de privacidade de dados pessoais, após reclamações que foram feitas pelos clientes denunciando o tratamento excessivo de dados pessoais pelo shopping, muito além do necessário, a partir do acesso a fotos, vídeos, documentos de identificação e, até mesmo, informações bancárias e histórico de viagens.
No Brasil, temos acompanhado a adoção, pelos shopping centers, de práticas cada vez mais aderentes à LGPD. Concluídas as fases de identificação dos gaps em relação às diretrizes da lei e a elaboração e revisão das políticas, documentos, alguns shoppings já estão contratando empresas especializadas na auditoria dos seus procedimentos, para terem certeza de que as suas práticas foram efetivamente ajustadas.
Confira aqui 7 pontos críticos, comuns ao setor, que identificamos nessa jornada:
- Marketing direto e tratamento dos dados pessoais: para que sejam consideradas como legítimas, as campanhas de marketing dos shoppings e dos lojistas devem estar respaldadas na base legal mais adequada para o caso concreto (consentimento: soft opt-in e opt-out, ou legítimo interesse, em alguns casos específicos). Além disso, todos os princípios e requisitos da LGPD devem ser observados. É comum no setor que o tratamento de dados pessoais ocorra sem uma finalidade determinada.
- Situações consideradas de alto risco pela ANPD: Em 2022, a ANPD sinalizou critérios gerais e critérios específicos para os casos de tratamento de dados pessoais de alto risco (Resolução nº 2 regulamentando a aplicação para agentes de tratamento de pequeno porte). Estes critérios vão de encontro com situações corriqueiras em shoppings center, como os usos de câmera e sistemas de segurança (corredores, estacionamentos, creches, espaço mãe, recreação etc), sinalizando a necessidade orientar o tratamento desses dados – Relatórios de Impacto à Proteção de Dados Pessoais (“RIPD”, já exigido por lei – art. 38 da LGPD), bem como a adoção de medidas, salvaguardas e mecanismos de mitigação de riscos potencialmente nocivos à garantia dos direitos fundamentais como autenticação de usuários, criptografia de dados e controle de acesso ao banco de dados, eliminação ou minimização e adoção de medidas para garantir proteção de dados.
- Uso de imagens de crianças e adolescentes em campanhas dos shoppings: tema relacionado à cessão de direitos de imagem e proteção de dados, que deve ser tratado com cuidado pelos shoppings e lojistas, seja por conta do requisito de autorização parental, seja por se tratar de dado sensível.
- Canais facilitados para o recebimento de solicitações de titulares de dados: considerando que o público dos shoppings varia muito, é uma preocupação manter canais de comunicação intuitivos e de fácil acesso pelos titulares. Também é importante observar se as políticas e os avisos de privacidade estão facilmente disponíveis a todos e se podem ser compreendidos. O uso de técnicas de legal design é uma boa opção para os shoppings.
- Plano de resposta em caso de Incidente de Segurança: é importante que o shopping não somente tenha elaborado um plano de resposta no caso de um incidente de segurança, como também que teste e corrija eventuais gargalos. É fundamental o treinamento contínuo das equipes, para identificar rapidamente as situações em que haja possível violação de dados pessoais e criar estratégias que vão além dos manuais para que o plano de resposta de incidentes seja bem aplicado, de maneira dinâmica e eficaz.
- Vulnerabilidades no compartilhamento: identificar e conhecer as vulnerabilidades nos processos (mascaradas), especialmente nas soluções de gestão de relacionamento (CRM) e compartilhamento de dados com lojistas e a possibilidade de reduzir escala de coleta de dados pessoais nas organizações, a partir da identificação de cenários.
- Escolha do DPO, ou encarregado de dados: é fundamental que a pessoa escolhida inspire confiança e estimule de forma construtiva um ambiente em que a privacidade e proteção de dados sejam parte orgânica do negócio e não algo impeditivo ou um tabu.
*A opinião dos autores não reflete, necessariamente, a opinião da Abrasce.