Lei Geral de Proteção de Dados entra em vigor em agosto de 2020
Saiba como os shopping centers precisam se planejar para atender às normas
Sancionada em 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD), nº 13.709/2018, passa a valer em agosto de 2020. Parece um longo tempo ainda, mas é necessário que as empresas dos setores público e privado que trabalham com os dados pessoais se planejem para atender às normativas reguladoras com urgência. A Lei determina que esses dados devem ser coletados e tratados, sendo que precisam ter, primeiramente, o consentimento do titular, e essa solicitação tem que ser clara, apresentando exatamente sua finalidade. Em caso de menores de idade, é necessário o consentimento dos pais ou responsáveis. A empresa que não cumprir com a obrigatoriedade e cometer alguma infração poderá receber desde advertências até multa equivalente a 2% do faturamento, limitada a R$ 50 milhões.
Os dados devem ser utilizados estritamente para o que foi autorizado. É necessário um novo consentimento a cada nova utilização. Por isso, é indicado fazer um inventário de todos os dados pessoais armazenados e verificar se a autorização do usuário corresponde àquele uso.
Segundo Fernando dos Santos Wanderley, gerente-geral de Tecnologia de Informação da Ancar Ivanhoe, assim como as empresas de varejo, os shopping centers lidam com dados de clientes em vários pontos de contato, como estacionamento, wi-fi, promoções, aplicativos mobile etc. “Estamos sujeitos às penalidades e ao risco de ter a imagem afetada assim como qualquer empresa de varejo. Dentro do conceito de CRM (sistemas de gerenciamento de relacionamento com o cliente), sempre houve um desejo de se ter a maior quantidade possível de informações dos clientes. Com a criação da LGPD, começa a haver uma mudança nesse conceito: a ideia não é ter mais todas as informações possíveis a respeito dos clientes, mas apenas aquilo que vamos realmente utilizar”, explica.
O que fazer agora?
De imediato, é necessário criar um grupo multidisciplinar de trabalho para tratar do assunto, envolvendo as áreas de riscos, compliance, jurídico, TI, entre outras. Em seguida, Wanderley orienta definir uma matriz de responsabilidades e também criar um inventário que identifique todos os sistemas e processos que envolvam transmissão, manipulação ou armazenamento de dados de pessoas físicas. “É preciso ainda identificar vulnerabilidades dos sistemas por meio de testes de segurança (Pentest), posteriormente tratá-las e verificar pontos de vazamento de informações, o que pode incluir medidas simples, como reduzir o número de pessoas que podem emitir relatórios.”
Pontos mais complexos
Em alguns casos, as informações trafegam e são armazenadas por terceiros. Desta forma, é mais complexo de resolver, pois a LGPD exige responsabilidade solidária sobre a forma como esses dados pessoais são tratados pelos fornecedores de tecnologia. “Com isso, deve haver uma migração de pequenos fornecedores para os grandes, que têm sistemas mais seguros.” Para os empreendimentos que ainda não contam com esse suporte qualificado, o mais indicado é também criar um comitê para a LGPD e envolver a alta direção. “Contratar uma consultoria externa pode ajudar a dar visibilidade aos riscos envolvidos, mobilizar todas as áreas e justificar os investimentos necessários.”
Exemplo a ser seguido
Desde a aprovação da Lei, a Ancar Ivanhoe fez um trabalho de conscientização, incluindo todas as áreas que têm acesso a dados pessoais e criou um comitê, envolvendo os departamentos de TI, Riscos, Jurídico, Compliance e Marketing. Após se reunir, fez uma matriz de responsabilidade. “Neste momento, estamos fazendo um inventário de dados pessoais que trafegam ou são armazenados aos nossos sistemas. Como o risco relacionado aos dados pessoais não está restrito aos sistemas, estamos realizando uma análise de maturidade dos processos que abrangem esses dados”, explica Wanderley.
Para ajudar os associados a se adequarem, a Abrasce preparou uma cartilha com as principais informações sobre a LGPD. Para baixar, clique aqui.