Como adequar seu e-commerce à Lei Geral de Proteção de Dados?

Lucas Torres [email protected]

A pandemia do novo coronavírus trouxe com ela o boom das vendas no e-commerce em um período que coincidiu com a regulamentação em torno da segurança da informação digital por meio da Lei Geral de Proteção de Dados (LGPD).

Este contexto reforçou a necessidade das empresas – entre elas lojas físicas e de comércio eletrônico – estarem alinhadas com as novas exigências para evitar a ocorrência de infrações que possam ser punidas pelos agentes fiscalizatórios do estado.

A LGPD entrou em vigor em 18 de setembro do ano passado e, a partir do próximo mês de agosto, começam as punições às empresas que não se adequaram às novas exigências – as multas poderão chegar a 2% do faturamento mensal, limitadas a R$ 50 milhões.

O objetivo da lei é garantir à sociedade a proteção desses dados, cada vez mais valiosos num mundo em que o big data é realidade e em que a privacidade vem perdendo espaço para a superexposição. A fim de conhecer alguns dos principais cuidados e as boas práticas reforçadas pela lei, conversamos com o fundador e sócio da plataforma de e-commerce ‘Betalabs’, Luan Gabellini. No batepapo, o executivo destacou que mudanças culturais dentro das empresas são tão importantes quanto as adequações tecnológicas rumo ao cumprimento das exigências trazidas pela LGPD.

“É importante dizer que a maioria dos vazamentos de dados não se dá por problemas de hacker, invasões e etc. Isso acontece, é claro. Não tem nenhum sistema perfeito. Mas o ponto mais falho costuma ser o usuário”, afirmou Gabellini.

Confira a seguir a íntegra da entrevista e se previna de possíveis falhas no tratamento de dados de sua base de clientes.

Novo Varejo – Como a LGPD altera a relação das plataformas de e-commerce com os dados dos clientes? Luan Gabellini – A primeira etapa são os dados coletados. A preocupação da maioria dos e-commerces agora é tentar consumir o mínimo possível de dados – sejam eles sensíveis ou não, para que você tenha menos responsabilidade com informações armazenadas. A ideia é observar aquilo que é o mínimo necessário para realizar uma venda. Vou precisar de um e-mail, nome e sobrenome, CPF ou CNPJ, e o mínimo de informações de pagamento – dados de cartão de crédito. Este último, aliás, pode ser dispensável se a venda for realizada via boleto ou pix. Então começaram a sair dos formulários de e-commerce algumas informações que antes eram perguntadas. Data de nascimento, por exemplo. Além de diminuir a sensibilidade dos dados, essa prática traz outros benefícios do ponto de vista da conversão do e-commerce. Isso porque quanto menos você pergunta, menos o cliente tem de preencher e, por consequência, mais eficiente é o fluxo da venda, pois gera menos pontos de desistência. Um segundo ponto é o do armazenamento desses dados. Neste sentido, o que houve de mudança sob o ponto de vista da tecnologia é o maior cuidado na forma com que esses dados são guardados. Na cultura da tecnologia a gente sempre tomou muito cuidado com a segurança desses dados, porque isso é sensível para a própria empresa – se houver vazamento dos dados de um cliente teremos um problema muito grande de reputação e também sob o ponto de vista jurídico, mesmo antes da LGPD. Mas, com a lei, criamos camadas extras de proteção desses dados e também reforçamos a política de acesso dos nossos clientes aos nossos softwares.

NV – Quais são as responsabilidades do varejo em relação à proteção dos dados? Que práticas podem ser adotadas visando à prevenção de complicações com vazamentos?

LG – É importante dizer que a maioria dos vazamentos de dados não se dá por problemas de hacker, invasões e etc. Isso acontece, é claro. Não tem nenhum sistema perfeito. Mas o ponto mais falho costuma ser o usuário. Por exemplo, um funcionário que deixa um ‘post-it’ com usuário e senha do sistema colado no monitor e aquilo fica disponível para todos os colaboradores da empresa. Mesmo aqueles que não precisam ter acesso àquelas informações. Observando essas ‘falhas humanas’, a gente começou a ver crescer a adoção da solução de autenticação em dois fatores para acessar o sistema. No caso do funcionário que deixou o ‘post-it’ com usuário e senha na tela, para que alguém acesse o sistema, é necessário ter uma segunda confirmação para logar – recebendo um token no e-mail ou um token em aplicativo – como o ‘Google Autenticator’. Nós, como plataforma, estamos promovendo um reforço das políticas de acesso dos nossos clientes ao sistema. Não deixar usar uma senha fraca, colocar autenticação de dois fatores e, claro, trabalhar na conscientização. A gente, por exemplo, disparou uma série de e-mails de orientação para os clientes explicando que isso é falho, que pode levar a problemas com a LGPD.

NV – E quanto à terceira ponta desse processo de e-commerce, o cliente. A LGPD criou mecanismos para que ele possa proteger seus dados ao comprar em uma plataforma de comércio eletrônico?

LG – Um mecanismo importante introduzido pela lei foi a possibilidade de exclusão por parte do cliente. Por exemplo, eu comprei e não quero que esse dado fique no sistema. Eu vou lá e peço para excluírem minhas informações da base de dados, por exemplo por meio de um botão via SAC (Serviço de Atendimento ao Consumidor). Claro que dados como Nota Fiscal não são excluídos, até porque a empresa tem obrigação legal de manter esses documentos.

NV – Além das questões de vazamentos acidentais e erros de colaboradores, a LGPD alterou também algumas práticas até então comuns do mercado – como o intercâmbio de informações entre empresas. Você pode aprofundar essa questão?

LG – Se tornou expressamente proibida a venda da base de dados. Uma prática que era relativamente comum. Por exemplo, construtora vendendo base de dados para lojas de móveis planejados. A lei tem sido aplicada nesses casos. Inclusive quando a prática não é institucional da empresa, mas é exercida por um indivíduo da empresa. Às vezes os colaboradores tomam atitudes não-institucionais em que a empresa é responsabilizada. Como plataforma, estamos fazendo um trabalho de conscientização. Todo mundo vai estar sujeito a falhas de segurança, mesmo fazendo reforço. Você as mitiga, mas não elimina. Mas, as violações causadas por falhas nas políticas internas você consegue eliminar conscientizando, tirando o acesso de determinadas pessoas e insistindo no controle de acesso. Vejamos, por exemplo, um funcionário do faturamento. A que dados ele precisa ter acesso? Itens comprados, CPF, nome do cliente, no máximo. Quem está montando a caixa também não precisa saber o endereço para onde essa caixa vai. Para se prevenir, o ideal é exibir apenas os dados necessários e fundamentais para determinada operação. Assim, você vai restringindo os acessos e criando políticas mais eficientes.

NV – Os marketplaces costumam ser uma alternativa menos sensível para o varejista nesse quesito de dados, não? Gostaria que você traçasse um paralelo sobre as vantagens e desvantagens entre esse modelo de ‘shopping virtual’ e o de e-commerce próprio.

LG – Até a pandemia, todo ano a gente ia para uma feira de e-commerce nos Estados Unidos. Lá, entre os anos de 2015, 2016 e 2017, escutávamos muito sobre ‘Como vender mais na Amazon’. Em 2018 começou um discurso sobre ‘como fidelizar fora da Amazon’. Por quê? O marketplace é uma excelente ferramenta e sua grande vantagem é você ter seu produto e todo o resto – atrair o cliente para o site, a tecnologia, a venda e etc – fica por conta do marketplace. Então, se você tem dominância em preço ou exclusividade de produto, vender no marketplace é um passo natural. Se eu sou vendedor exclusivo de uma marca, ou se a marca é minha, o marketplace é geralmente a melhor opção. Vender no Mercado Livre, por exemplo. Agora, quando você vende um item em que você tem muitos concorrentes, o marketplace acaba trazendo um cenário de competição por preço. O que acontece nessas situações? Tem 4, 5, 6 vendedores nivelando a questão da reputação, o consumidor vai comprar o mais barato ou aquele que entrega mais rápido. Mas sai do seu controle o relacionamento com o cliente, a fidelização, essas informações sobre o cliente. Os marketplaces também te enviam dados mínimos sobre essas compras para você não criar um relacionamento com o cliente. Porque o que o marketplace quer é continuar sendo intermediário dessa venda. Então, o cenário do e-commerce próprio passa a fazer muito sentido quando você quer criar uma base de clientes, um relacionamento de mais longo prazo. Vai criar um plano em que aquela base vai fazer sentido para você fazer muitas vendas para o mesmo cliente. A questão dos clubes de assinatura, a venda recorrente… Neste caso faz todo sentido ter um e-commerce próprio. Tendo essa base, você vai fazer ativação de e-mail marketing para ela e promoções exclusivas. Então vai do momento em que a empresa está, do tipo de produto que ela vende, da concorrência. Fatores que você tem que olhar. As pessoas vão pesquisar preço de qualquer forma, mas se você já tem um relacionamento mais estreito com o cliente, ele confia em você, de repente ele aceita até pagar um pouco mais. Operando seu próprio e-commerce você tem mais controle sobre sua margem e as ferramentas que você vai usar para fidelização – programa de pontos, cashback e etc.

NV – Qual o custo de entrada para fazer um site de e-commerce próprio? LG – Separando de 3 a 4 mil reais a pessoa consegue rodar com a tecnologia. É claro que esse valor será acrescido a outros custos como marketing, estoque e tudo mais. Mas falando só sobre a tecnologia, temos e-commerces de entrada de boa qualidade por esse valor acessível. E é importante começar com esse investimento baixo. Até para você ir testando, dosando o investimento para perceber o que funciona para você. Assim não se bota todos os ovos em uma cesta. Você começa e vai experimentando.