Tempo estimado de leitura: 8min
A Lei Geral de Proteção de Dados, ao exigir um autoconhecimento dos processos internos das organizações e a minimização do uso dos dados pessoais pelo princípio da necessidade, ganha valor estratégico ao criar oportunidade de aprimorar e alinhar os referidos processos, de forma clara, às prioridades e objetivos da empresa.
Seja com foco na finalização de uma compra ou na prospecção de novos clientes, o setor de e-commerce sustenta grande parte de seus processos em dados pessoais, o que traz urgência na implementação de um projeto de conformidade com a LGPD, pela própria demanda do mercado e dos consumidores que exigem, cada vez mais, transparência e cuidado quanto ao tratamento de seus dados.
Por isso um Programa de Adequação a Proteção de Dados não deve ser encarado com resistência ou como mera formalidade, mas sim, com inteligência e estratégia, de modo a contribuir para o aprimoramento dos processos na empresa.
Esse texto irá tratar, de modo prático, sobre: a) o que são e como identificar atividades de tratamento; b) qual a importância do mapeamento de processos no e-commerce, c) qual o papel do princípio da minimização de dados e do princípio da finalidade como auxiliares na estratégia da empresa.
Neste artigo, já falamos como o conhecimento sobre a finalidade pela qual o dado está sendo tratado é determinante na definição das bases legais – hipóteses previstas na LGPD que justificam o tratamento de dados, como o consentimento, legítimo interesse e execução do contrato, entre outros.
Contudo, para chegar até a compreensão da finalidade pela qual a empresa está realizando determinado tratamento de dados pessoais é preciso saber identificar o que e quais são as atividades de tratamento existentes.
Assim, existe um caminho a ser percorrido até chegar ao momento do mapeamento de dados e da consequente atribuição das bases legais justificadoras dos tratamentos de dados realizados.
Dentre as etapas existentes, destacamos, em ordem, aquelas que devem ser realizadas inicialmente no projeto de adequação à LGPD:
1. MAPEAMENTO DE PROCESSOS
Como já falamos neste artigo, é só por meio de um completo mapeamento de processos internos que a empresa avançará na construção do projeto de conformidade, possibilitando assim a identificação das atividades realizadas que envolvem dados pessoais e em qual finalidade que almejam atingir.
Assim, decorre da construção dos fluxos os processos existentes na empresa em todas as suas áreas – marketing, vendas, financeiro, jurídico, entre outros – possibilitando o reconhecimento das atividades realizadas que envolvem dados pessoais e que serão denominadas como atividades de tratamento de dados pessoais.
2. IDENTIFICAÇÃO DAS ATIVIDADES DE TRATAMENTO
Segundo o art. 5º da Lei 13.709/18 o tratamento de dados é toda operação realizada com dados pessoais.
Por isso, de modo geral, qualquer ato que uma empresa realize com algum dado pessoal é considerado tratamento de dados. A LGPD traz uma lista exemplificativa contendo: coleta, transferência, acesso, utilização, alteração, exclusão, entre outros.
Conforme já dissemos anteriormente, as atividades de tratamento são identificadas a partir dos processos de negócio mapeados.
Agora, vamos, de modo prático, demonstrar como isso ocorre observando o fluxo de um processo de e-commerce, a partir da criação de nova conta ou acesso a conta cadastrada até a emissão da nota fiscal, após compra de um produto:
Dentro desse processo de compra existem os subprocessos de identificação do cliente, de pagamento e de emissão de NF-e. Nesse único processo destacado por meio das imagens acima é possível identificar a existência de várias atividades que envolvem dados pessoais.
Por exemplo: coletar dados para login, utilizar dados para emissão de nota fiscal, validar dados na base de clientes, criar um novo usuário (se o comprador ainda não tiver cadastro), utilizar, a depender do caso, os dados de cadastro para ações de marketing.
Para que tudo corra adequadamente, primeiramente, o cliente precisa realizar um cadastro novo ou acessar sua conta, nas duas hipóteses será necessário inserir seus dados pessoais.
Ainda, o cliente precisa informar a forma de pagamento para que a compra seja finalizada corretamente, informando mais uma vez, dados pessoais bancários.
Existem, inclusive, atividades de tratamento que não ficam tão explícitas, como:
- Compartilhamento de dados que precisa ser realizado com a Receita Estadual e Órgãos de Controle para emissão da NF-e;
- Pode ocorrer o compartilhamento de dados com a plataforma de gestão de marketing utilizada pela empresa, se tal ação for automatizada;
- Compartilhamento de dados pessoais, como o endereço, com a transportadora para entrega do produto.
3. Determinação da finalidade e bases legais
É justamente a identificação das atividades de tratamento que permite a clara visualização da finalidade e na sequência a determinação da base legal, exigência a ser cumprida por quem precisar estar em conformidade com a LGPD.
Vamos considerar algumas das atividades enumeradas acima e de forma meramente exemplificativas e atribuir-lhes as bases legais que seriam as indicadas – lembrando da necessidade de contar sempre com um acompanhamento profissional adequado, seja interno ou de uma consultoria, visto que cada empresa tem sua própria dinâmica.
No caso do compartilhamento de dados para emissão de NF-e, a base mais adequada seria o cumprimento de obrigação legal.
Já para coleta dos dados referentes ao endereço e respectivo compartilhamento com a transportadora, a base legal mais indicada é a execução do contrato, já que a empresa o faz para cumprir com sua obrigação de entregar o produto ao cliente, em endereço informado no cadastro.
Contudo, quando falamos de coleta de dados para e-mail marketing, por exemplo, a autorização para tratamento de dados para essa finalidade pode se enquadrar no consentimento, ou ainda, no legítimo interesse, a depender de cada caso. Sendo indispensável uma análise aprofundada e mais completa para conseguir determinar se o legítimo interesse se aplica.
Caso queira entender um pouco mais sobre essas duas bases legais e quando se aplicam, temos um artigo que trata sobre isso.
De fato, o que queremos salientar é que tudo começa a partir do mapeamento de processos que torna possível identificar as atividades de tratamento realizadas pela empresa. Conhecendo as atividades de tratamento pode-se determinar a finalidade de cada tratamento de dados e só aí atribuir as bases legais justificadoras.
O caminho da conformidade é mais simples do que parece: processos, atividades de tratamento, finalidade, atribuição das bases legais são os primeiros passos na jornada da conformidade com a LGPD.
Ao preocupar-se em realizar essas etapas no sentido da conformidade com a LGPD, a empresa dá um passo adiante para responder e sobreviver às demandas que têm surgido de todos os lados em relação a segurança da informação e a forma com que os dados pessoais são utilizados pelas empresas.
O princípio da minimização, ou da necessidade, convida a uma reanálise das atividades de tratamento, uma vez que impõe que os dados coletados e utilizados sejam apenas aqueles estritamente necessários, pertinentes e limitados para alcançar a finalidade estabelecida e informada ao titular.
Tratar apenas dados necessários além de cumprir com os princípios determinados pela LGPD traz mais objetividade nos processos da empresa, possibilitando a visão mais clara dos objetivos e qual caminho está sendo percorrido para alcançá-los.
Aplicando ao princípio da minimização no exemplo que analisamos anteriormente, os dados coletados para pagamento devem ser aqueles estritamente necessários para recepção do pagamento, assim, não se pode exigir dados adicionais, uma vez que a finalidade nesse caso é receber pela venda efetuada – não faria sentido, por exemplo, perguntar o gênero da pessoa para execução de tal finalidade.
As vantagens de se adotar uma abordagem de minimização de dados se reflete na diminuição de custos com armazenamento e cuidados relativos à segurança da informação de dados coletados inúteis e sem finalidade clara e determinada.
Concluímos assim que, o mapeamento dos processos sob a ótica do princípio da minimização, ilumina os objetivos da empresa trazendo clareza sobre as atividades de tratamento de dados realizadas e sobre os dados pessoais que estão sob o cuidado da empresa, possibilitando uma melhor distribuição de tempo, mão de obra e dinheiro, variáveis que refletem nos resultados almejados.
