LGPD e Vendas: entenda o impacto da lei na empresa

LGPD e Vendas: entenda o impacto da lei na empresa
Por Flavia Menegazzo  |   27 de Outubro de 2021
Voltar

Lei Geral de Proteção de Dados - LGPD (13.709/2018). Essa lei deixou muita gente confusa e sem saber o que fazer, afinal, quase todo tipo de empresa tem colaboradores e área de vendas, e o que mais tem na área de vendas são dados pessoais.

Vamos ser práticos: quando falamos de vendas, tem pelo menos 1 pessoa do outro lado com a qual vamos nos relacionar e tentar iniciar um relacionamento comercial. Essa pessoa tem um nome, um número de telefone, um e-mail… Então como fica a questão LGPD e vendas? 

Não só o comercial, mas qualquer pessoa/empresa que trate qualquer tipo de dados pessoais, precisa dar uma atenção ao tratamento dessas informações. E se você ainda tem dúvidas sobre o que são dados pessoais, continue lendo aqui que tudo vai ficar mais claro!


Tempo de leitura: 18 min

Você vai ler sobre: 

  • Por que você precisa entender a Lei Geral de Proteção de Dados;
  • Sua empresa precisa se adequar a lei? 
  • DPO - encarregado pelo tratamento dos dados;
  • Como proceder com seus fornecedores; 
  • Como a Exact Sales se adequou a LGPD. 

Dados pessoais são informações que identificam ou permitem a identificação de uma pessoa física, um indivíduo. São exemplos de dados pessoais: nome, telefone, CPF, RG e até e-mail, mesmo que seja o e-mail corporativo. Se com os dados você consegue identificar uma pessoa, ele é um dado pessoal.

Temos também o grupo de dados sensíveis, que são dados que podem causar algum tipo de constrangimento à pessoa caso sejam tratados de forma inadequada. Quando vinculados a uma pessoa natural, dados de origem racial ou étnica, religião, opinião política, dados relacionados à saúde da pessoa natural, dados sobre a vida sexual, dado genético ou biométrico são considerados sensíveis e exigem atenção especial para serem tratados.

Se você tem mais alguma dúvida sobre os termos da LGPD, a SERPRO disponibilizou um glossário bem completo.

Por que você precisa entender a LGPD? 

Te respondo: você tem colaboradores na sua empresa? Então você trata dados pessoais. Você vende seu produto e nesse processo se relaciona com pessoas? Então você trata dados pessoais. E sobre o tratamento, é definido como qualquer manipulação dos dados, desde a coleta, armazenamento, modificação, reprodução, transferência e até mesmo a exclusão são considerados tratamentos de dados.

Quem trata os dados, ou seja, quem coleta, armazena, modifica, reproduz, transfere ou exclui dados é um agente de tratamento. Pela LGPD, o tratamento é feito pelo controlador (quem decide o que vai ser feito com os dados) ou pelo operados (que trata os dados em nome do controlador).

No caso do Spotter, por exemplo, a Exact Sales é a operadora dos dados, pois tratamos os dados em nome dos controladores, que são os nossos clientes. O software permite uma série de automações, porém essas são definidas pelos clientes, e não pela Exact. Além disso, vale lembrar que a LGPD atua sobre o tratamento de dados pessoais, os dados de contatos dos leads. 

Um dos pilares da LGPD é mapear o ciclo de vida dos dados pessoais que são tratados pelas empresas. Por exemplo: como os dados foram obtidos? Quem coletou os dados? Onde eles foram armazenados? Essa organização é de extrema importância para entender esse ciclo de vida e também para cumprir com as requisições dos titulares de dados.

Pela lei, o titular de dados tem direito a saber se suas informações estão sendo tratadas por uma empresa e para que finalidade, além de alguns outros direitos que ele pode exercer, como solicitar a exclusão dos seus dados da base de uma empresa. 

Mas fica difícil saber de qual sistema excluir o dado se você não tem controle sobre o ciclo dele, certo? Quando ele entrou na sua empresa, para que áreas ele foi enviado, em que sistemas ele está cadastrado, etc.

A análise do ciclo de vida deve ser feita por empresas ou pessoas capacitadas e com conhecimento sobre a lei. Então busque orientação especializada no seu processo de adequação, ok?

LPGD e Vendas: sua empresa precisará se adequar? 

Qualquer empresa vai precisar se adequar à LGPD. Se você ainda não iniciou o processo de adequação, procure uma empresa certificada para te ajudar nesse processo, pois as multas e sanções já estão valendo.

No processo de adequação, devem ser avaliados os sistemas e métodos de tratamento de dados que a empresa utiliza, e se os mesmos estão adequados com a lei. Inclusive, dados tratados em meio físico (papéis, arquivos, contratos, atestados, etc.) precisam ser avaliados e seus processos mapeados.

Nessa avaliação, é importante definir qual papel a sua empresa está executando (operador ou controlador) e qual a finalidade para tratar esses dados. Se você olhar a política de privacidade da Exact Sales, em alguns momentos é controlador e, em outros, é operador. E também poderá verificar, em cada um dos processos de negócios descritos na política, quais são as finalidades elencadas aqui na realidade da Exact para o tratamento dos dados pessoais.

No processo de desenvolvimento de relacionamento com os leads, temos 5 finalidades pontuadas para o tratamento de dados pessoais, como atender à solicitação de contato do lead, por exemplo. 

Outra informação, que na minha opinião é o coração da lei, é a base legal utilizada para cada finalidade. Em suma, essa informação vai dizer baseado em quê você está tratando os dados. Ao contrário do que muitos pensam, a LGPD não impede o tratamento dos dados pessoais, ela regulariza o tratamento e diz que ele é possível desde que justificado.

Ainda referenciando a política de privacidade da Exact, considerando a finalidade de atender à solicitação de contato do lead, utilizamos a base legal do Consentimento (art. 7º, I, LGPD) para tratar esses dados, mas isso foi definido avaliando esse processo de como os dados pessoais chegaram até a Exact e o que é feito com eles a partir do momento em que um lead pede contato via site. A empresa GEP Soluções em Compliance foi responsável por analisar os processos da Exact e conduzir a empresa para a adequação.

Não existe uma “receita de bolo” para essa adequação. Cada empresa, cada processo, cada finalidade precisa ser avaliado de forma individual para que a adequação seja precisa e correta. São 10 bases legais disponibilizadas pela lei para você poder embasar o tratamento de dados pessoais, sendo consentimento e legítimo interesse as mais utilizadas geralmente em processos comerciais. 

Nesse post, além das bases legais, a GEP traz uma explicação bem interessante sobre a lei, vale a pena conferir!

Agora, retomando o assunto sobre LGPD e vendas no começo do texto: é muito difícil estabelecer uma relação comercial sem se referir a uma pessoa. Você vai precisar de um contato, um meio de comunicação com uma empresa (e-mail ou telefone, por exemplo) para desenvolver esse relacionamento. E quando uma venda é concretizada, você precisa se comunicar com seu cliente de alguma forma, correto? Possivelmente, novos dados pessoais serão coletados e consequentemente, tratados. 

Nas empresas SaaS, por exemplo, cada usuário tem um acesso, seus dados são coletados para que seja possível se comunicar com ele. Novas finalidades de tratamento de dados, novas bases legais.

Mas atenção: o consentimento precisa ser uma “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (artigo 5º, inciso XII da lei). Idealmente precisa ser registrado e gerenciado também, afinal de contas, como você vai provar ao titular de dados que a base legal é o consentimento, se você não registrar esse consentimento, não é mesmo?

E o legítimo interesse precisa ser comprovado por meio de testes e avaliações que podem ser feitos por empresas especializadas ou até mesmo pelo DPO da empresa. 

Você sabe o que é um DPO? 

É a figura responsável por cuidar de assuntos relacionados à proteção de dados pessoais dentro das empresas. DPO significa Data Protection Officer e aqui no Brasil, você deve conhecê-lo pelo termo encarregado pelo tratamento de dados pessoais. Ele pode ser uma pessoa física ou jurídica, contratado (prestador de serviço ou colaborador), interno ou externo à sua empresa. Essa figura, pela LGPD, é obrigatória nas organizações.

No Spotter, disponibilizamos uma nova funcionalidade de proteção de dados para que nossos clientes possam registrar o tratamento de dados pessoais no software. Para cada contato cadastrado, é possível apontar a base legal utilizada no tratamento de dados. Além disso, o cliente pode registrar a(s) finalidade(s) do tratamento de dados no Spotter. 

E se, por um acaso, um titular de dados solicitar que seus dados sejam anonimizados ou excluídos, nossos clientes podem bloquear os dados pessoais, garantindo que, no Spotter, esses dados não serão mais cadastrados por outros usuários. Assim, nossos clientes conseguem gerenciar parte do processo de requisição dos direitos do titular de dados, dentro da nossa própria ferramenta.

Reforçando: esse processo de adequação diz respeito ao tratamento de dados pessoais! A LGPD não se aplica, ao tratamento de CNPJ, por exemplo.

E como proceder com os seus fornecedores?

É aqui que muitas empresas se confundem: não são os seus fornecedores que precisam garantir que a sua empresa esteja adequada, é você!

Seus fornecedores precisam garantir que os dados tratados por eles, seja como controladores ou operadores, estão em conformidade com a lei. Mas não são seus fornecedores que vão dizer qual a base legal ideal para você tratar os dados, por exemplo.

Durante o processo de adequação é provável que você revise os contratos com seus fornecedores para verificar nível de segurança, aprofundamento dos dados tratados, bases legais utilizadas, se eles estão em conformidade com a lei ou em processo de adequação, etc.

Um dos princípios da adequação à LGPD é a segurança, e nesse ponto, é importante garantir que seus fornecedores se utilizam de medidas técnicas e administrativas adequadas para, no que tange o tratamento de dados por parte dos fornecedores, proteger os dados pessoais tratados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação, etc.

E nesse ponto, cada empresa vai adotar as políticas que julgar necessárias e adequadas para o tratamento realizado. É comum inclusive as empresas confundirem LGPD com segurança da informação (SI). A SI envolve garantir a confidencialidade, a integridade, a disponibilidade e a autenticidade dos dados, mas não só dos dados pessoais, e sim de todos os dados da empresa.

Então, se fizermos um recorte dos dados pessoais, podemos dizer que é responsabilidade das empresas garantir que: 

  • Esses dados, tratados por elas ou em nome de seus clientes, sejam acessados apenas pelos responsáveis diretos; 
  • A informação não seja alterada ou excluída sem a devida autorização, por exemplo (conseguimos isso com as permissões de usuário e ainda mantemos o histórico das alterações); 
  • O acesso aos sistemas, dados e serviços seja realizado somente por usuários ou entidades autorizadas, entre outros pontos.

Nesse sentido, a revisão de processos atuais da empresa é essencial para ajustar a casa, revisar contratos de confidencialidade com colaboradores, revisar acessos aos sistemas, contratos com fornecedores, entre outros pontos. 

Para saber se é necessário pedir ou não autorização da gravação da ligação, por exemplo, cada empresa precisa analisar seus processos de negócio e suas bases legais. 

Como a Exact Sales se adequou a LGPD? 

A Exact Sales passou por todos esses processos e mais alguns, garantindo que o tratamento de dados pessoais realizado em nome dos clientes da Exact seja realizado conforme a Lei Geral de Proteção de Dados.

O projeto de adequação da Exact teve início em setembro de 2020 e, durante 12 meses, passamos por diversas etapas que foram desde apresentação do contexto da Exact para a GEP, avaliação de riscos, implementação de planos de ação e definição do programa de privacidade e melhoria contínua.

Além de revisar os processos internos de tratamento de dados, que envolveu desde a revisão da nossa política de privacidade, mapeamento de todas as atividades desde nosso comercial até o RH, passamos por uma revisão e análise dos dados tratados no Exact Spotter. Fizemos um plano de ação e roadmap para desenvolver funcionalidades na plataforma que pudessem auxiliar nossos clientes durante o processo de adequação. 

Aplicamos o pilar de segurança desde o cadastro de usuários. Nossos usuários recebem uma senha provisória quando cadastrados na ferramenta e precisam cadastrar novas senhas, com uma segurança mínima, ao realizar o primeiro acesso. Também mantemos o histórico da alteração dos dados de usuários. Inclusive em alguns casos, essa medida pode ser decisiva na contratação de um fornecedor, pois algumas empresas aplicam políticas de senhas bem específicas.

Também revisamos o contrato de software e termos de uso da plataforma, além de manter o processo de revisão periódica desses documentos. Falando em revisão periódica, os processos envolvidos no tratamento de dados pessoais também são revisados, seguindo nosso programa de privacidade.

A Exact Sales, como operadora de dados, exige dos sub operadores e terceiros envolvidos no tratamento dos dados, no mínimo, o mesmo nível de proteção de dados pessoais e segurança da informação que aplicamos em nossos processos.

Em relação aos dados dos leads, desenvolvemos no Spotter uma funcionalidade de proteção de dados. Essa funcionalidade permite que sejam configuradas as bases legais que o cliente utilizará para o tratamento de dados pessoais. No software, temos 3 tipos de tratamento de dados: Coleta de dados, Envio de Comunicação e Dados de Voz, dando mais flexibilidade nos registros de tratamento de dados por nossos clientes.

A lei exige ainda que o controlador de dados atenda os direitos dos titulares de dados pessoais, especialmente, a anonimização, bloqueio ou eliminação de dados. Caso um contato/lead (pessoa) solicite que seus dados não sejam usados ou ele não dê permissão para o uso dos seus dados, desenvolvemos uma funcionalidade de bloqueio que remove da visão dos usuários aos dados pessoais de contatos bloqueados e direciona esses dados para uma lista de bloqueados.

Nessa lista, os dados estão anonimizados e criptografado em banco. Se, por um acaso, for cadastrado manualmente um novo contato com os mesmo dados de um contato bloqueado, o sistema vai informar que os dados estão bloqueados e não vai permitir o cadastro dentro do Spotter.

O processo de adequação não é um projeto com começo, meio e fim. Mas também não é um bicho de sete cabeças. Tenha ao seu lado empresas e pessoas capacitadas para que esse processo seja o mais assertivo possível

Aqui na Exact, vamos trabalhar continuamente para que o Spotter seja um grande aliado dos nossos clientes. Se quiser saber mais sobre nossa ferramenta comercial, clique aqui.

Flavia Menegazzo

Coordenadora de Atendimento



Compartilhe



Você pode também se interessar por: