LGPD no comércio: como se adequar

A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em setembro de 2020 e trouxe mudanças significativas na forma como as empresas brasileiras coletam, armazenam e utilizam dados pessoais. No comércio, onde o contato com dados de clientes é constante, a adequação não é apenas uma obrigação legal, mas também uma oportunidade de fortalecer a confiança do consumidor.

Se você tem uma loja e ainda não se adequou à LGPD, este guia prático vai ajudá-lo a entender os conceitos fundamentais, identificar os pontos de atenção no varejo e implementar as medidas necessárias.

O que é a LGPD?

A Lei n.º 13.709/2018, conhecida como LGPD, regulamenta o tratamento de dados pessoais no Brasil. Ela se aplica a qualquer pessoa física ou jurídica que colete, armazene, utilize, compartilhe ou elimine dados pessoais, seja em meio digital ou físico.

O objetivo da lei é proteger os direitos fundamentais de liberdade e privacidade dos cidadãos, garantindo que as empresas tratem os dados de forma transparente, segura e com finalidade específica.

Conceitos fundamentais

Para entender a LGPD, é essencial conhecer seus termos-chave:

• Dados pessoais: qualquer informação que identifique ou possa identificar uma pessoa. Nome, CPF, e-mail, telefone, endereço, histórico de compras, tudo isso são dados pessoais.
• Dados sensíveis: dados sobre origem racial, convicção religiosa, opinião política, saúde, vida sexual ou dados biométricos. Esses dados têm proteção reforçada.
• Titular: a pessoa a quem os dados se referem, ou seja, o seu cliente.
• Controlador: quem toma as decisões sobre o tratamento dos dados. No caso, a sua empresa.
• Operador: quem realiza o tratamento de dados em nome do controlador. Pode ser o sistema de gestão que você utiliza, a empresa de e-mail marketing, etc.
• Tratamento: qualquer operação realizada com dados pessoais: coleta, armazenamento, uso, compartilhamento, exclusão.
• Consentimento: autorização dada pelo titular para o tratamento de seus dados para uma finalidade específica.

Impacto da LGPD no comércio varejista

Cadastro de clientes

Ao cadastrar um cliente no sistema, você está coletando dados pessoais. A LGPD exige que essa coleta tenha uma finalidade clara e que o cliente seja informado sobre como seus dados serão utilizados. Não é mais aceitável pedir CPF, e-mail e telefone "para cadastro" sem explicar o propósito.

Histórico de compras

O registro das compras de cada cliente, embora útil para personalização e programas de fidelidade, é um dado pessoal protegido pela LGPD. O cliente tem o direito de saber que esse histórico é mantido e de solicitar sua exclusão.

Marketing por WhatsApp, SMS e e-mail

Enviar mensagens promocionais para clientes sem consentimento prévio é uma das violações mais comuns da LGPD no comércio. O cliente precisa autorizar expressamente o recebimento de comunicações de marketing, e deve ter a opção de cancelar essa autorização a qualquer momento.

Câmeras de segurança

Imagens de câmeras de segurança também são dados pessoais quando permitem identificar indivíduos. A loja deve informar sobre a existência das câmeras (aviso visível) e manter as imagens pelo tempo necessário para a finalidade de segurança.

Compartilhamento com terceiros

Se você compartilha dados de clientes com parceiros, fornecedores ou plataformas (por exemplo, enviar a lista de clientes para uma plataforma de e-mail marketing), isso deve ser informado ao titular e deve haver base legal para o compartilhamento.

Passos para adequação à LGPD

1. Mapeie os dados que você coleta

Faça um levantamento completo de todos os dados pessoais que sua empresa coleta, onde são armazenados, para que são usados e com quem são compartilhados. Inclua dados em sistemas digitais e também em papel (fichas, cadernos, planilhas impressas).

2. Defina a base legal para cada tratamento

A LGPD prevê dez bases legais para o tratamento de dados. As mais relevantes para o comércio são:

• Consentimento: o cliente autoriza o tratamento para uma finalidade específica (ex.: receber promoções por WhatsApp).
• Execução de contrato: dados necessários para cumprir uma obrigação (ex.: endereço para entrega).
• Obrigação legal: dados exigidos por lei (ex.: CPF na nota fiscal).
• Legítimo interesse: quando o tratamento é necessário para interesses legítimos do controlador, desde que não prejudique os direitos do titular.

3. Revise o cadastro de clientes

Colete apenas os dados estritamente necessários para a finalidade declarada. Se você pede data de nascimento para enviar parabéns, informe isso ao cliente. Se pede e-mail apenas para enviar a nota fiscal, não use para marketing sem autorização separada.

4. Implemente gestão de consentimento

Crie mecanismos para registrar, gerenciar e comprovar o consentimento dos clientes. O consentimento deve ser livre, informado, inequívoco e para finalidade específica. Também deve ser fácil de revogar.

Na prática, isso pode ser feito no momento do cadastro, com um campo onde o cliente autoriza o envio de comunicações de marketing, separado dos dados obrigatórios.

5. Estabeleça políticas de segurança

Proteja os dados contra acessos não autorizados, vazamentos e perda. Medidas práticas incluem:

• Senhas individuais para cada funcionário no sistema.
• Controle de nível de acesso (nem todos precisam ver todos os dados).
• Backup regular dos dados.
• Antivírus e firewall atualizados.
• Treinamento da equipe sobre proteção de dados.

6. Prepare-se para atender os direitos dos titulares

A LGPD garante diversos direitos aos titulares dos dados, e sua empresa precisa estar preparada para atendê-los:

• Confirmação da existência de tratamento.
• Acesso aos dados.
• Correção de dados incompletos ou incorretos.
• Anonimização, bloqueio ou eliminação de dados desnecessários.
• Portabilidade dos dados.
• Revogação do consentimento.

7. Nomeie um encarregado (DPO)

A LGPD exige que a empresa nomeie um Encarregado de Proteção de Dados (DPO, Data Protection Officer). Para pequenas empresas, essa função pode ser acumulada por um sócio ou gestor, desde que tenha conhecimento básico da lei.

Penalidades

As sanções por descumprimento da LGPD incluem:

• Advertência com prazo para adoção de medidas corretivas.
• Multa simples de até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração.
• Multa diária.
• Publicização da infração (dano reputacional).
• Bloqueio ou eliminação dos dados pessoais.
• Suspensão parcial ou total do funcionamento do banco de dados.

A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão responsável pela fiscalização e aplicação das sanções.

Checklist prático de conformidade

• Mapeamento de dados pessoais realizado.
• Base legal definida para cada tratamento.
• Política de privacidade elaborada e disponível.
• Mecanismo de consentimento implementado.
• Controle de acesso ao sistema configurado por níveis.
• Backup de dados em dia.
• Equipe treinada sobre proteção de dados.
• Encarregado (DPO) nomeado.
• Canal para atendimento dos direitos dos titulares definido.
• Contratos com fornecedores de TI revisados (cláusulas de proteção de dados).

Conclusão

A adequação à LGPD não precisa ser um processo complexo e caro para o pequeno comércio. Com organização, boas práticas de segurança e um sistema de gestão que ofereça controle de acesso e armazenamento seguro dos dados, é possível estar em conformidade sem grandes investimentos.

Mais do que uma obrigação legal, tratar os dados dos clientes com responsabilidade e transparência fortalece a reputação da sua empresa e constrói uma relação de confiança duradoura com seus consumidores.