A LGPD tem ocupado a cabeça do empresariado brasileiro há mais de um ano, talvez justamente por se tratar de legislação tão paradigmática e por contar com processo de adequação multidisciplinar, com três pilares principais: jurídico/regulatório, processos/governança e tecnologia/cybersecurity.

No caso do varejo não há exceção.Em um nicho voltado para o atendimento do consumidor pessoa física e que encontrou tanta força no B.I. e no U.X. nos últimos anos, a ponto de criarem o conceito de “varejo 4.0”, a preocupação com a privacidade e a proteção de dados deve ser constante.

Em síntese, a LGPD vai exigir de qualquer empresa basicamente duas coisas: que os dados sejam tratados de forma lícita e de forma segura. Quando falamos em licitude, a própria Lei cria parâmetros aceitáveis para um tratamento adequado dos dados pessoais, passando pelos direitos dos titulares, princípios da norma, bases legais que devem estar presentes nos tratamentos, etc.

Já no que tange à segurança desses dados, a lei não é tão clara assim, e por uma boa razão: as tecnologias voltadas para a proteção dos dados pessoais são atualizadas em velocidades imensas, a ponto de, se a LGPD estabelecesse ela mesma os espectros de segurança, estes encontrariam obsolescência antes mesmo de a lei entrar em vigor. Para este cenário é altamente recomendado recorrer a frameworks e metodologias de segurança que sejam amplamente reconhecidas e respeitadas mundialmente, como a ISO/IEC 27.001 ou o CIS Controls.

Existem certas operações de tratamento de dados pessoais que estarão presentes em todas (ou quase todas) as empresas brasileiras, como aquelas referentes aos Recursos Humanos, segurança, etc. No caso do varejo existem, ainda, outras mais particulares ao mercado, como os dados que transitam nos PDVs, convênios com clubes de vantagens e até campanhas publicitárias realizadas em parceria com fabricantes de produtos dentro dos estabelecimentos.Todos eles, portanto, devem ser meticulosamente avaliados.

Fato é que o trabalho é árduo e muitas vezes extenso, por isso mesmo deve serlogo iniciado,caso a empresa pretenda se adequar a tempo do início da vigência da lei, em agosto de 2020.A AMIS, atenta a essa urgência, realizou workshop em outubro e retornará ao assunto em abril de 2020 em um Fórum Jurídico. Aguarde informações!

*Escrito por  João Lucas Saldanha - DPO, Advogado (Tripla – Data Privacy)