A Black Friday e os desafios de proteção de dados pessoais

por Caroline Teófilo e Lais Pimenta Lisboa Silveira, sócia e advogada da área de Governança de Proteção de Dados, Núcleo DPO e Segurança da Informação no Peck Advogados

O mês de novembro é considerado um dos meses mais importantes do ano para o setor varejista, pois além de inaugurar a temporada de compras natalinas, comemora-se, na última sexta-feira do mês, a Black Friday, data conhecida pelas inúmeras promoções tanto em lojas físicas quanto no e-commerce. Para as empresas, é um momento muito propício para o aumento do faturamento, já que a data é impulsionada por um período no qual consumidores já estão mais dispostos a comprar.

Nesse sentido, é preciso ter em mente que o aumento das transações também significa um aumento da quantidade de informações que irão trafegar nos sistemas. E, já com a Lei Geral de Proteção de Dados (LGPD) em vigor e a Autoridade Nacional de Proteção de Dados, cresce também a preocupação com o cumprimento das regras de proteção de dados e boas-práticas de segurança da informação.

O aumento das operações de tratamento de dados pessoais exige uma maior preocupação quanto ao uso correto dos dados e as medidas de segurança implementadas. No que se refere à coleta de dados pessoais, as empresas precisam estar atentas à quantidade de informações solicitadas no momento do cadastro de clientes, tanto os realizados de forma digital quanto física, pois apenas dados estritamente necessários para o cumprimento da finalidade devem ser requeridos. Além disso, outro ponto que merece atenção é a adequação das políticas de privacidade dos sites, as quais devem garantir a transparência do tratamento aos titulares, por exemplo em suas Políticas de Privacidade e Avisos de Cookies.

Ainda, as ações de marketing realizadas pelas empresas também devem estar de acordo com as exigências da LGPD, de modo que apenas titulares que desejem receber as comunicações sejam atingidos, como também sejam excluídos das listas de mailing quando optarem pelo opt-out. Tais medidas são necessárias para que violações de dados, as quais têm potencial de gerar danos irreparáveis para empresas, sejam evitadas.

No que se refere ao cumprimento do dever de segurança, é responsabilidade dos agentes de tratamento adotar medidas técnicas e administrativas para proteção dos dados contra acessos não autorizados, destruição, perda, alteração ou tratamento ilícito. Dentre essas possíveis medidas, pode-se citar a implementação de controles de acesso, duplo fator de autenticação, antifraude, backups e testes de intrusão. É preciso, também, ficar atento às práticas criminosas de phishing por e-mails e mensagens de texto, golpes e fraudes. Em relação à cultura, treinamentos para colaboradores também são considerados essenciais para a promoção da conscientização sobre o tema.

Essas preocupações exigem um esforço prévio e preparo de recursos para viabilizar a segurança e a proteção dos dados pessoais. Dessa forma, as empresas que possuem um programa de Segurança da Informação e de Governança de Dados implementados, além de um Data Protection Officer nomeado estarão à frente dos seus concorrentes, pois poderão garantir a seus clientes a proteção de suas informações pessoais, gerando maior confiabilidade e segurança.