Mercado e Setor
Fiscalização da LGPD começa em agosto, saiba como adequar seu restaurante a ela
Promulgada há mais de um ano e responsável por uma mudança completa na operação de todo tipo de comércio que exige qualquer tipo de cadastro dos clientes, a Lei Geral de Proteção de Dados (LGPD) começa a ser efetivamente fiscalizada a partir do próximo dia 1º de agosto.
A legislação vale até mesmo para todo o setor de alimentação fora do lar que opera online ou apenas no comércio de rua, desde as pequenas quitandas até os grandes restaurantes e cadeias alimentícias.
Isso porque todos os clientes terão mais propriedade sobre os dados que fornecem a essas empresas, mesmo os mais simples como nome, endereço, telefone e data de nascimento tão pedidos em cadastros para a entrega de comida ou a para conhecer melhor o consumidor. A lei garante às pessoas que as informações capturadas não serão usadas por terceiros sem autorização, e também dá a elas a escolha de pedir a remoção completa dos bancos de dados dos estabelecimentos.
A fiscalização ficou a cargo da Autoridade Nacional de Proteção de Dados (ANPD), que poderá aplicar multas de até 2% do faturamento bruto da empresa, limitada a R$ 50 milhões por infração, e até mesmo a cassação do alvará de funcionamento.
Especialistas afirmam que os termos de fiscalização ainda estão sendo redigidos, e que, no começo, a ANPD irá aplicar apenas advertências educativas. No entanto, é preciso que os estabelecimentos estejam preparados para isso – a entrada em vigor da fiscalização foi anunciada há um ano.
Segundo Allan Panossian, fundador e CEO da
empresa de aplicativos de entregas Delivery Direto, diz que os estabelecimentos
precisam adequar os sistemas de vendas e de gestão dos dados desde já, contratando
empresas e advogados especializados na LGPD.
empresa de aplicativos de entregas Delivery Direto, diz que os estabelecimentos
precisam adequar os sistemas de vendas e de gestão dos dados desde já, contratando
empresas e advogados especializados na LGPD.
“Ser adequado à LGPD envolve não apenas a parte técnica de dados, mas também os termos legais que geralmente não fazem parte do dia a dia do restaurante”, diz.
De acordo com a legislação, a ANPD pode ser
acionada pelos consumidores que se sentirem lesados por determinada empresa ou
mesmo “agir de ofício”, quando ela não é provocada por alguma denúncia ou
reclamação. Mas, acima de tudo, os clientes terão o direito de que seus dados
sejam apagados dos sistemas dos estabelecimentos assim que for requisitado.
acionada pelos consumidores que se sentirem lesados por determinada empresa ou
mesmo “agir de ofício”, quando ela não é provocada por alguma denúncia ou
reclamação. Mas, acima de tudo, os clientes terão o direito de que seus dados
sejam apagados dos sistemas dos estabelecimentos assim que for requisitado.
Nesta entrevista ao Bom Gourmet Negócios, Allan Panossian explica o que os empresários precisam se atentar na gestão dos dados e a quantidade mínima de informações que podem captar para executar o serviço sem muitos empecilhos no meio do caminho. A conversa foi condensada para melhor entendimento do leitor.
Bom Gourmet Negócios: O que muda efetivamente no dia a dia dos restaurantes com o início da fiscalização passível de penalidade da LGPD?
Allan Panossian: Qualquer empresário seja do mercado de food, varejo ou serviço, que entra na internet para começar a vender e pede cadastro dos usuários, ele obrigatoriamente precisa se adequar à LGPD. Ela enquadra várias coisas do tipo “só posso fazer ações com os dados do meu cliente a partir do momento que ele permite ali na validação do cadastro”, independente de ser no Delivery Direto ou num marketplace como outros aplicativos. Ainda mais se o empresário do restaurante for o dono do canal, como o próprio aplicativo. Só que ser adequado à LGPD envolve não apenas a parte técnica de dados, mas também os termos legais que geralmente não fazem parte do dia a dia do restaurante. E aí as empresas que vão prestar este serviço ao restaurante não podem elaborar os termos da legislação para os usuários, mas devem auxiliar e indicar a melhor forma de redigir estes termos [com a contratação de um escritório de advocacia especializado na legislação em vigor].
O que é essa adequação aos termos da LGPD, que pontos são esses de adequação já que, para o restaurante, é importante ter os dados cadastrais dos clientes?
Existe um dilema aí, vamos pegar o exemplo de um
cliente pedindo comida no restaurante. Obrigatoriamente o cliente precisa ceder
o nome, telefone e endereço de entrega, exatamente para o restaurante conseguir
mandar o prato. Se, por ventura, o cliente não quiser compartilhar esses dados,
aí não tem nem como o restaurante fazer a entrega. A LGPD tem vários aspectos,
como qual informação o cliente fornece ao estabelecimento; a segurança de como
esse dado que eu estou fornecendo está protegido com encriptação e tudo mais;
tem o aspecto de “se eu cedi esse dado”, como o dono do restaurante vai usá-lo
para, por exemplo, pra recomendar um prato novo, mandar uma campanha de uma
data de aniversário; esse tipo de coisa o empresário tem que falar naqueles
termos. E, por fim, tem que disponibilizar ao cliente a opção de “olha, eu não
quero mais que você tenha meus dados”, e aí os dados precisam ser 100% apagados
da base de dados do restaurante. Então são basicamente esses quatro pilares: 1-
o dado mínimo que a gente precisa para fazer a transação; 2- para que a gente
vai usar esses dados; 3- a segurança com que esses dados são armazenados; e 4-
e a opção de remoção desses dados.
cliente pedindo comida no restaurante. Obrigatoriamente o cliente precisa ceder
o nome, telefone e endereço de entrega, exatamente para o restaurante conseguir
mandar o prato. Se, por ventura, o cliente não quiser compartilhar esses dados,
aí não tem nem como o restaurante fazer a entrega. A LGPD tem vários aspectos,
como qual informação o cliente fornece ao estabelecimento; a segurança de como
esse dado que eu estou fornecendo está protegido com encriptação e tudo mais;
tem o aspecto de “se eu cedi esse dado”, como o dono do restaurante vai usá-lo
para, por exemplo, pra recomendar um prato novo, mandar uma campanha de uma
data de aniversário; esse tipo de coisa o empresário tem que falar naqueles
termos. E, por fim, tem que disponibilizar ao cliente a opção de “olha, eu não
quero mais que você tenha meus dados”, e aí os dados precisam ser 100% apagados
da base de dados do restaurante. Então são basicamente esses quatro pilares: 1-
o dado mínimo que a gente precisa para fazer a transação; 2- para que a gente
vai usar esses dados; 3- a segurança com que esses dados são armazenados; e 4-
e a opção de remoção desses dados.
Então essa é a adequação a que você se refere, do restaurante adequar os sistemas da casa para que os clientes tenham a opção de escolher quais dados querem compartilhar e terem controle sobre isso?
Correto. E fica por conta do restaurante [exigir
ou não os dados mínimos], e tem vários exemplos que já vemos: um site de mídia
que aparece aquele pop-up (janela de mensagem que informa se o usuário aceita
compartilhar os dados de navegação ou escolher quais os que mais o interessam),
porque o site está pegando o seu IP (número único que cada internauta recebe ao
acessar a internet) e não sabe o seu nome e nem nada, mas quer ter aquela
informação para uma análise ou qualquer tipo de coisa. Este é apenas um
exemplo, já que as informações que um site de mídia vai pedir são diferentes
das que um restaurante vai pedir. No caso do delivery, a gente pede
obrigatoriamente apenas três informações [como nome, endereço e telefone]. Se,
por ventura, o cliente negar, a gente não permite que o cliente avance na
compra.
ou não os dados mínimos], e tem vários exemplos que já vemos: um site de mídia
que aparece aquele pop-up (janela de mensagem que informa se o usuário aceita
compartilhar os dados de navegação ou escolher quais os que mais o interessam),
porque o site está pegando o seu IP (número único que cada internauta recebe ao
acessar a internet) e não sabe o seu nome e nem nada, mas quer ter aquela
informação para uma análise ou qualquer tipo de coisa. Este é apenas um
exemplo, já que as informações que um site de mídia vai pedir são diferentes
das que um restaurante vai pedir. No caso do delivery, a gente pede
obrigatoriamente apenas três informações [como nome, endereço e telefone]. Se,
por ventura, o cliente negar, a gente não permite que o cliente avance na
compra.
Tanto ao restaurante que tem um aplicativo próprio como aquele que utiliza um aplicativo de marketplace, de quem é a responsabilidade sobre a proteção destes dados?
Funciona assim: você tem o intermediador e o
proprietário destes dados, e aí existe um acordo de quem é o dono destas
informações, e tudo isso deve ser estruturado [em contrato].
proprietário destes dados, e aí existe um acordo de quem é o dono destas
informações, e tudo isso deve ser estruturado [em contrato].
Especialistas do mercado de tecnologia afirmam que o Brasil demorou para implantar a Lei Geral de Proteção de Dados, já que legislações semelhantes estão em vigor em outros países há anos. Na União Europeia, por exemplo, os dados dos consumidores são protegidos desde 1995 (em 2018, a regulação foi atualizada).