A automatização do compartilhamento de informações de faturamento das lojas situadas em shopping centers com a respectiva administradora do empreendimento é uma realidade em boa parte dos centros de compras em todo o país. O processo que visa desburocratizar, conferir agilidade e confiabilidade com a integração dos sistemas desperta riscos antes inexistentes, no que tange a confidencialidade, privacidade e segurança de dados em trânsito.
O cenário posto é que o lojista locatário de shopping center, em regra, é sujeito a duas formas de remuneração, o aluguel mínimo e aluguel percentual. O aluguel percentual é calculado pelo locador em percentual negociado sobre o faturamento bruto mensal da atividade ou comércio exercido na loja locada, assim entendendo o faturamento bruto das vendas à vista ou a prazo computadas no mês em que foram realizadas, excluídas as devoluções em dinheiro ou em mercadorias e os descontos concedidos.
Até recentemente, a entrega obrigatória das informações relativas ao faturamento bruto para cálculo do aluguel mensal era unicamente feita de forma não automatizada, tal como o preenchimento de formulários diários subscrito com o valor das vendas efetuadas no último dia imediatamente anterior, ou outra forma igualmente analógica determinada pelo empreendimento nos termos de suas Normas Gerais ou Contrato de Locação, sempre sob pena de multas ao lojista faltoso – até culminar na rescisão de pleno direito da locação. Outra penalidade comumente negociada é a possibilidade de se cobrar o dobro do aluguel mínimo mensal reajustável, sem prejuízo do direito de apurar o valor das vendas brutas no período omitido, para haver eventual diferença.
Com o avanço da digitalização dos negócios e a crescente oferta de sistemas informatizados que permitem a verificação do valor das vendas efetuadas em tempo real, tornou-se cada vez mais comum o incremento de nova modalidade de verificação. Normas Gerais e Contratos de Locação passaram a prever que, em caso de implantação de sistema informatizado de verificação do valor de vendas pelo empreendimento, os locatários ficariam obrigados a interligar seu sistema interno ao centro de processamento de dados do shopping, na forma e prazo segundo critérios do locador.
Neste sentido, visando dar cumprimento a esta obrigação contratual, os lojistas passaram a ser acionados expressamente por seus locadores, que, via de regra, inserem na relação um terceiro agente, tal qual, uma aplicação (sistema) responsável pela integração e tratamento de dados de movimentação de vendas contratada pelo empreendimento.
Para a citada finalidade, a aplicação agirá sempre por conta e ordem do locador, atuando como instrumento na coleta e transmissão dos dados relativos a cada operação de venda, a partir do ERP - sistema de controle de vendas do lojista.
Ocorre que desta relação surgem novas dúvidas e cuidados que devem ser tomados pelos lojistas, especialmente quanto às suas obrigações como locatário e com relação ao dever de segurança e privacidade assumidas a partir da coleta de informações e dados pessoais de seus clientes e fornecedores.
Sem o interesse de esvaziar o tema, necessário se faz que o lojista assuma desde já uma postura de extremo zelo, que conheça as diversas formas do processo de integração e adote as melhores práticas de segurança, na medida em que, ao proceder em estrito cumprimento com uma obrigação contratualmente assumida na relação locatícia, não comprometa o negócio com a maximização de riscos de segurança (confidencialidade, integridade e disponibilidade) e privacidade.
Termo de autorização para integração de tratamento de dados: A partir do recebimento da comunicação expressa para implementação do processo de integração e tratamento dos dados com o seu ERP, é indispensável que o lojista solicite um termo de autorização específico para esta operação. Neste termo deve constar, no mínimo: (i) menção à relação locatícia originária, com subscrição de todas as partes envolvidas, tais como locador, locatário e agente de integração; e (ii) discriminação de todas as categorias de dados relativos às operações de vendas que serão coletadas e transmitidas, em regra, para esta finalidade são autorizadas apenas “ID da venda”, valor, data e hora da venda, trocas, cancelamentos e devoluções”.
A princípio, recomenda-se a exclusão de cláusulas que permitam a reutilização dos dados autorizados para outras finalidades desconexas com o cômputo do aluguel percentual.
Conhecendo as formas de integração: O processo de integração poderá ocorrer de quatro formas, a princípio cabe o alinhamento entre as partes para eleição da forma mais adequada operacionalmente ao lojista, quais sejam: (i) a partir da instalação de uma aplicação cliente no computador onde está o sistema de controle de vendas; (ii) por meio de integração com seu ERPs - sistema de gestão central, geralmente acessados a partir de servidores em nuvem; (iii) por disponibilização de arquivos com dados individualizados de venda, coletados pelo sistema, através de interface de dados (API/webservices) disponibilizada pelo lojista; (iv) por disponibilização de arquivos com dados individualizados de venda, em servidor FTP, na infraestrutura do lojista, para coleta automatizada realizada pelo sistema.
Vale destacar que tanto na primeira e segunda formas acima pode ser necessário o acesso de profissionais do agente de integração à máquina do lojista para atividades de implantação, operação, suporte e manutenção, ou ainda a concessão de um acesso ao sistema ERP do lojista ao agente de integração, que mesmo com restrições podem figurar em algum risco de acesso a informações não autorizadas.
O conhecimento destas formas pela equipe técnica do lojista é indispensável para que seja escolhida a mais robusta em termos de garantir a confidencialidade das informações em trânsito; a integridade das informações acessadas, qual seja, a de garantir que apenas as informações de faturamento (especificadas no termo de autorização) sejam acessadas, especialmente para resguardar a privacidade de dados pessoais de clientes, colaboradores e fornecedores; e a disponibilidade do compartilhamento das informações nos prazos e condições estabelecidas contratualmente.
Caso a escolha seja pela integração via interface de dados (API), recomenda-se, no que for aplicável, a adoção de medidas aptas a assegurar o mínimo de segurança nas interfaces de programação de aplicação. Lojistas podem tomar como um ponto de partida o “Guia de Requisitos Mínimos de Privacidade e Segurança da Informação para APIs” elaborado pela SGD - Secretaria de Governo Digital.