Skip to main content

*Rodrigo Santiago

A Lei Geral de Proteção de Dados, 13.709/18 visa estabelecer regras claras, únicas e harmônicas para o tratamento de dados pessoais. O objetivo é garantir o direito à privacidade do usuário, pois com a lei isso poderá ter um melhor controle sobre o destino de suas informações.

Tendo em vista as regras e a abrangência da lei, diversas empresas dos mais variados tipos de serviço começaram a elaborar estratégias para estarem em conformidade e não sofrerem futuras sanções. No entanto há setores e empresas que encontram maiores dificuldades que outros. O objetivo deste artigo é abordar como os shoppings, são impactados pela lei e que estratégias podem adotar para ficar em conformidade com os requisitos dela.

Abrangência da LGPD

A lei abrangerá toda e qualquer organização ou empresa que realiza atividades que envolvam o tratamento de dados pessoais em território nacional ou extra territorialmente nos casos de:

  • A operação de tratamento dos dados sendo realizada em território nacional;
  • O objetivo da utilização de dados pessoais para oferecer ou fornecer bens de consumo ou serviços para clientes localizados em território nacional;
  • Os dados pessoais tenham sido coletados em território nacional.

Definição de Dados Pessoais

Primeiramente é importante entender com clareza como a LGPD define dados pessoais.  Em seu artigo 5º a lei categoriza o termo em três tipos:

  1. Dado Pessoal: Informação relacionada a pessoa natural identificada ou identificável;
  2. Dado Pessoal Sensível: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  3. Dado Anonimizado: Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

A situação dos Shoppings

Embora a LGPD diga respeito a todas as empresas, cada empresa enfrentara um conjunto dificuldades referente a sua área de atuação.

Uma das principais dificuldades que encontramos ao avaliar este tipo de negócio  é a quantidade de dados pessoais armazenados e utilizados pelos Shopping centers que são recolhidos de múltiplas fontes (por exemplo, dados de parceiros contratuais, dados de clientes do website, mas também de bases de dados de lojistas), bem como compartilhados com uma variedade de parceiros como os próprios lojistas e fornecedores de serviços.

Os elementos-chave da LGPD são o vasto âmbito de proteção de dados e a  atribuição de mais direitos e controle sobre os dados individuais. É dada ênfase à responsabilização, transparência e à documentação que deve ser mantida para demonstrar o tratamento adequado.

Provavelmente os elementos de maior preocupação ao avaliar a LGPD são as sanções como a multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração. As autoridades de supervisão (como a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD) têm amplos poderes de investigação e correção, podem realizar auditorias no local e emitir reprimendas e ordens para levar a cabo atividades de reparação específicas no caso de um incidente de privacidade. Só isto faz com que o cumprimento da nova lei sobre privacidade seja uma obrigação para as empresas.

Os clientes estão cada vez mais conscientes dos direitos que têm sobre seus dados e será também consideravelmente mais fácil para os indivíduos apresentarem pedidos de indenização. Uma maior consciência dos consumidores significa também que demonstrar transparência e respeito na utilização de dados pessoais se tornara algo essencial para ganhar a confiança dos consumidores e mantê-los como clientes.

Por isso, as avaliações do impacto de privacidade devem ser realizadas como uma questão de rotina dentro de  projetos e iniciativas que possam expor os indivíduos a riscos acrescidos de privacidade, garantindo assim a segurança das informações do cliente.

Práticas para adequação

Além da atenção com a transparência ao cliente como citado no tópico anterior, os shopping centers deverão deixar claro aos clientes onde os dados serão armazenados e garantir a proteção deles. Para mitigar a possibilidade de qualquer ameaça aos dados e garantir um ambiente de armazenamento seguro recomendamos as seguintes práticas:

  • Garantir a conscientização dos colaboradores sobre as regras da LGPD;
  • Assegurar o consentimento e a segurança de dados tanto de clientes quanto de colaboradores;
  • Revisar a política de privacidade e demais normas e procedimentos relacionados ao tratamento de dados pessoais, as adequando as novas regras;
  • Garantir dentro da organização a existência de um grupo de responsável para assegurar a conformidade com a LGPD;
  • Definir de forma clara e objetiva os papeis e responsabilidades daqueles que pertencerem ao grupo;
  • Garantir que todos os sistemas utilizados dentro dos Shoppings estejam em conformidades com a LGPD.

Conclusão

Diante deste novo cenário, cabe aos shopping centers estudar as melhores estratégias para não só adequarem se a lei, mas também manterem-se existentes.  A relação com o cliente e a transparência nunca foram tão importantes para a continuidade de suas atividades como agora, não há mais espaço para justificativas genéricas em políticas de privacidade ou avisos, o cliente precisará ter confiança que seus dados serão bem utilizados e protegidos.

— Rodrigo Santiago é ISO 27001 Lead Auditor, GRC, Privacy and Information Security Consultant at [SAFEWAY]

Como podemos Ajudar?

SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.

Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.

Com o intuito de apoiar as empresas nesse processo de avaliação e adequação aos requisitos da LGPD, a [SAFEWAY] possui em seu portfólio de serviços, o Cybersecurity Health Check cujo objetivo é executar um diagnóstico dos controles de CyberSecurity, Segurança da Informação e Privacidade de Dados implementados na sua empresa, contemplando os pilares de ProcessosPessoas e Tecnologia.

Por meio do Cybersecurity Health Check, são identificados os riscos associados a segurança da informação e privacidade dos processos e atividades internas, os controles existentes e avaliados novos controles de acordo com o porte de sua organização para aumentar o nível de maturidade e compliance, de acordo com as boas práticas de segurança da informação. Caso deseje mais informações, entre em contato com um de nossos especialistas!