Você se lembra da última vez que fez uma pesquisa na internet de um produto qualquer e começou a receber inúmeros e-mails de lojas que sequer tinha ouvido falar oferecendo produtos similares? Se isso causou certo incômodo, mesmo que apenas um estranhamento, esta matéria o interessa.
Sim, o assunto é Lei Geral de Proteção de Dados – ou LGPD, se preferir usar a sigla que fica mais famosa a cada dia. Mas não torça o nariz: embora muita gente não a compreenda totalmente, a lei é inovadora e chegou para nossa proteção.
A lei de número 13.709, que regulamenta o uso de dados pessoais e dá a seus titulares mais segurança, foi publicada em 2018, mas sofreu alterações até entrar em vigor em setembro último. Seu objetivo é proteger dados como CPF, RG e até e-mail e evitar que eles sejam, por exemplo, comercializados sem que sequer saibamos.
“É evidente que esta é uma lei de grande importância, que é muito baseada na que existe e está regulamentada na Europa há algum tempo”, afirma o advogado José Carlos Masagão, sócio da Masagão Advocacia.
“Ela protege as informações que pertencem ao indivíduo, que são privadas e um ativo que ele tem. Não é justo que terceiros se apropriem desse ativo e até ganhem dinheiro com isso sem nenhuma responsabilidade.”
O período em que a LGPD ficou em vacatio legis, ou seja, “o tempo em que levou para entrar em vigor”, serviu para quem fosse atingido por ela pudesse se preparar. E a adaptação foi bastante necessária.
A fiscalização e a regulação da LGPD ficarão a cargo de uma agência criada para esse fim, a Autoridade Nacional de Proteção de Dados Pessoais (ANPD). “Essas são tarefas essenciais para que a autoridade nacional atue como um órgão a serviço do cidadão”, avisa o Serviço Federal de Processamento de Dados (Serpro), maior empresa pública de prestação de serviços em tecnologia da informação do Brasil.
“A autoridade será ainda um elo entre sociedade e governo, permitindo que as pessoas enviem dúvidas, sugestões e denúncias ligadas à LGPD para apuração.”
Toda e qualquer empresa que capture, manipule ou utilize dados pessoais foi impactada pela lei. Inclusive as dezenas de milhares de lojas do varejo farmacêutico – e seus milhões de clientes. Como muitas não estão preparadas para os impactos da lei, selecionamos aqui cinco coisas que é preciso saber sobre a LGPD:
Ao contrário do que prega o senso comum, fazem tratamento de dados não apenas as empresas que lidam diretamente com tecnologia. No balcão da farmácia, toda vez que se pede o CPF de um cliente para um programa de fidelidade, a loja está fazendo tratamento de dados.
Por tratamento entenda-se coleta, produção, utilização, armazenamento, recepção, classificação, reprodução, processamento, distribuição, arquivamento, avaliação, transmissão, comunicação, controle, modificação, difusão ou extração da informação.
A LGPD cria dois agentes de tratamento: o controlador e o operador.
O primeiro é aquele a quem compete as decisões referentes às finalidades dos dados coletados e os meios que eles serão tratados – ou seja, é quem tem o poder de decidir o que fazer com os dados e que vai utilizá-los
Já o operador é quem realiza o tratamento de dados em nome do controlador. “E conhecer quem são os agentes é muito importante”, afirma José Masagão.
“Na prática, quem está no balcão da farmácia é quem faz a coleta dos dados – e muitos sequer ouviram falar disso.”
O processo de tratamento de dados de um programa pode envolver diversas operadoras e geralmente um só controlador.
O varejo farmacêutico pode tanto ser controlador quanto operador na nova lei de proteção de dados e isso varia de programa para programa. Geralmente há três tipos de programa em uma drogaria:
Existem outros tipos de operadores no processo, como as empresas que fazem o processamento dos programas, os contact centers, os emissores de SMS e todas empresas que, de alguma forma, tratem os dados.
Por definição, o controlador é que define todo o processo de atendimento do consumidor no balcão da farmácia. Assim, diferentes processos podem ser requeridos, de acordo com o programa em uma mesma compra – como, por exemplo, dois aceites, um para o programa da farmácia e outro para o da indústria.
Como toda nova lei, esta cria uma série de medidas iniciais. “Para começar, ela exige que quem coleta os dados deixe claramente explicitado por que está pedindo os tais dados”, afirma o advogado.
Por isso na maioria dos sites que entramos nos últimos meses é preciso aceitar os termos que foram definidos.
E é por isso também que, na farmácia, a compra de determinados tipos de medicamentos também vai exigir um aceite do consumidor – geralmente, para ele conseguir descontos nos programas de fidelidade do estabelecimento ou da indústria.
O aceite, que é dado uma única vez por programa, precisa ser validado pelo consumidor e nunca pelo balconista – isso configuraria um ilícito.
O consumidor deve ler o termo completo e decidir se o aceita ou não.
Se o consumidor se arrepender de ter autorizado o tratamento de seus dados e quiser voltar atrás, ele está em seu absoluto direito. Além de revogar o consentimento, o indivíduo pode ainda solicitar que seus dados sejam deletados ou que sejam transferidos para outro fornecedor de serviços. Logicamente, quando optar pela revogação deixará de ter os benefícios daquele programa.
Quem descumprir as normas estabelecidas pela Lei Geral de Proteção de Dados está sujeito a receber do órgão regulador multas que variam de acordo com o faturamento da empresa.
A sanção é de multa de até 2% desse faturamento, limitada ao valor de R$ 50 milhões por infração.
Os principais riscos são vazamento de dados e tratamento irregular deles. A Drogaria Araujo, por exemplo, foi multada em R$ 5 milhões porque pediu o CPF de clientes para sua base de dados e não especificou isso em seus termos – e a LGPD nem existia na época.