Desde que a Lei Geral de Proteção de Dados (Lei 13.709/2018) entrou em vigor em setembro de 2020, as empresas vêm sentindo a necessidade de adequar seus processos e seus contratos aos termos desse novo marco regulatório.
Com isso, muitas dúvidas surgem sobre quais pontos de adequação devem ser priorizados, de forma que seja possível garantir ao cliente melhor proteção e segurança de seus dados pessoais e, ao mesmo tempo, diminuir a exposição das empresas aos riscos regulatórios envolvidos.
O que é a LGPD? Contexto de tratamento de dados em Shopping Centers
LGPD é a sigla usada para se referir à Lei Geral de Proteção de Dados, que, de modo geral, dispõe sobre como pessoas físicas e jurídicas devem realizar o tratamento dos dados pessoais de pessoas físicas no Brasil.
Assim, verifica-se que os Shopping Centers devem se preocupar em estar adequados à LGPD, vez que são empreendimentos economicamente organizados e que fazem uso de dados pessoais de pessoas físicas para desenvolverem suas atividades.
Vale dizer que, no cenário econômico atual, dados são tratados como bens valiosos e as grandes redes de Shopping Centers já entenderem esse cenário. Fazem uso desses bancos de dados para envio de e-mail marketing, manutenção de programas de fidelidade, estudo do perfil e hábitos de consumo de seus clientes, para garantir a segurança dos empreendimentos, dentre outros tratamentos. Nesse contexto é que a LGPD chega em boa hora, conferindo a orientação para que esse tratamento ocorra de maneira juridicamente segura para todos os envolvidos.
Para entender a LGPD, é necessário compreender o significado de alguns termos chave trazidos pela própria Lei:
- Dados pessoais: são dados que identificam ou tornam identificável determinada pessoa física. Os dados pessoais são considerados sensíveis, e, portanto, exigem maior cuidado no tratamento, quando se referem a características da pessoa como: raça, etnia, religião, opinião política, filiação a sindicato ou a organização religiosa, dado filosófico ou político, dado referente à saúde ou à vida sexual, e dado genético ou biométrico.
- Titular de dados pessoais: é a pessoa física a quem os dados pessoais se referem, ou seja, é a dona dos dados pessoais.
- Tratamento de dados: toda e qualquer operação realizada com dados pessoais, como exemplo, a coleta, o armazenamento, o compartilhamento e o processamento de dados pessoais.
- Base legal para o tratamento de dados pessoais: hipóteses trazidas pela LGPD que autorizam determinada atividade de tratamento de dados.
- Agentes de tratamento de dados: são as pessoas que tratam os dados pessoais, podendo ser o Controlador, que determina o tratamento de dados, e o Operador, que trata dados por determinação do Controlador.
Como o Shopping Center pode se adequar à LGPD?
O processo de adequação à LGPD não é simples e é recomendável que seja acompanhado por profissionais especializados, contudo, há alguns pontos principais que devem ser considerados pelas empresas que pretendem se adequar à lei:
- A empresa deve mapear os principais fluxos de dados pessoais e identificar os riscos regulatórios referentes a eles, o que inclui análise dos contratos e de outros instrumentos utilizados pela empresa;
- Quanto aos fluxos de dados pessoais existentes, a empresa deve garantir que (i) tem base legal que autorize o tratamento desses dados; (ii) o tratamento de dados pessoais ocorre respeitando os princípios trazidos pela LGPD; e que (iii) os agentes de tratamento presentes no fluxo estão identificados e cumprem suas respectivas obrigações legais.
- A empresa tem que garantir aos titulares dos dados os direitos trazidos a eles pela LGPD.
- A empresa tem que garantir que adota medidas que visam garantir a segurança dos dados pessoais e que adota boas práticas de proteção de dados. Como exemplo de boas práticas: políticas internas e externas de privacidade, anonimização de dados etc.
- A empresa tem que indicar um encarregado de dados (DPO), que é responsável por atuar como canal de comunicação entre o Controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Principais pontos de atenção dos Shopping Centers
Considerando as atividades usualmente desenvolvidas pelos Shopping Centers, destacam-se os seguintes pontos de atenção quanto à proteção de dados:
- CRM: muitos Shoppings utilizam essa ferramenta para gerenciar contratos, clientes, colaboradores etc. Essas plataformas trabalham com uma grande base de dados pessoais, que têm que ser avaliados para a adequação à LGPD – a preocupação aqui tem que estar com os dados que já existiam nesses bancos de dados, e, também, com os novos que serão inseridos;
- Marketing e Publicidade: os Shoppings têm que fazer campanhas de marketing e publicidade a fim de divulgação do empreendimento. Essas campanhas têm que passar a ser estruturadas considerando sua adequação à LGPD. Ademais, assim como no CRM, os bancos de dados de clientes têm que estar adequados à Lei.
- Redes de wi-fi e câmeras de segurança: há que haver cuidado com os dados pessoais solicitados dos clientes que acessam as redes de internet wi-fi do Shopping e, ainda, com as imagens e dados coletados pelas câmeras de segurança, especialmente se as câmeras serem dotadas de tecnologias mais sofisticadas, como as de reconhecimento facial.
- Sites: os Shoppings devem adequar seus sites à LGPD, especialmente a questão dos cookies coletados e dos consentimentos solicitados em formulários. Ademais, o site deve ser visto como uma das principais plataformas de comunicação entre o titular dos dados e o DPO do Shopping para assuntos relacionados à proteção de dados.
- Colaboradores: os dados pessoais dos funcionários dos Shoppings têm que ser tratados de acordo com a LGPD. Ademais, há que haver cuidado com os dados pessoais de candidatos a vagas de emprego, bem como de colaboradores terceirizados (como funcionários de conservação e limpeza, portaria, segurança e vigilância, operadores de caixa de estacionamento etc.).
Considerações finais
A adequação dos Shoppings Centers à LGPD deve ser interpretada como oportunidade de agregar valor aos serviços prestados pelo Shopping, tanto ao cliente quanto ao lojista, uma vez que demonstra a preocupação da instituição com a proteção de seus dados pessoais.
Ainda, a adequação é fundamental para se buscar diminuir os riscos para os Shoppings de eventual sanção administrativa, a ser imposta pela ANPD, ou ainda, de eventual sanção judicial, nos casos em que a LGPD seja arguida por clientes ou colaboradores em ações judiciais que envolvem relação de consumo ou relação de emprego.
É de se considerar ainda que é uma tendência, ainda incipiente no Brasil, mas já realidade em outros lugares do mundo, de que titulares se eduquem e passem, por cultura e princípios, a procurar empreendimentos que tratem adequadamente seus dados, num movimento similar ao que já ocorre com a procura de empreendimentos ambientalmente sustentáveis por exemplo. A adequação à LGPD passa a ser então, inclusive, uma grande oportunidade de negócios.
O processo de adequação não é simples, sendo recomendável que os Shoppings e as Administradoras de Shopping Centers busquem suporte profissional especializado para a condução do plano de adequação.
A equipe de direito para a tecnologia e inovação do Goulart & Colepicolo Advogados está à disposição para esclarecer eventuais dúvidas sobre o tema.