A Lei Geral de Proteção de Dados (Lei 13.709/2018) que entrou em vigor em 18 de setembro de 2020, regulamenta como empresas públicas e privadas coletam e usam dados pessoais.
A exemplo da lei da União Europeia (GDPR), criada em 2016, traz uma série de obrigações para as empresas públicas e privadas no que diz respeito à coleta, uso, compartilhamento e garantia de integridade dos dados pessoais sob pena de pesadas multas e restrições.
Com a regulamentação da LGPD, ficam proibidas a coleta e a utilização de informações pessoais em campanhas de marketing, a menos que haja autorização dos titulares. Além disso, a lei proíbe expressamente a venda ou compartilhamento de dados para terceiros sem que exista um acordo bilateral de consentimento.
O que diz a Lei
Resumidamente, a LGPD tem por base dois pilares: consentimento e interesse legítimo para captura de dados pessoais. Estabelece que as organizações públicas e privadas só poderão coletar dados pessoais se tiverem o consentimento do titular.
A solicitação deverá ser feita de maneira clara para que o cidadão saiba exatamente o que está sendo coletado e para quais fins, e se haverá ou não compartilhamento de suas informações com outras empresas. O usuário poderá, sempre que desejar, revogar sua autorização, bem como pedir acesso, exclusão, portabilidade, complementação ou correção de dados.
Se houver mudança de finalidade ou repasse de dados a terceiros, um novo consentimento deverá ser solicitado. No caso de menores de idade, os dados só poderão ser tratados com consentimento dos pais ou responsáveis legais.
Diferença entre “dados sensíveis” e “dados pessoais”
Para compreender bem os dispositivos da lei, cabe definirmos dois pontos importantes:
- Dados pessoais: Pode ser qualquer informação que identifique uma pessoa ou que, se cruzada com outro dado, permita identificação de um indivíduo. Os dados mais comuns são: nome, apelido, endereço residencial, endereço de e-mail, endereço de IP, fotos próprias, formulários cadastrais e números de documentos.
- Dados sensíveis: São aqueles que dizem respeito a informações pessoais como crenças religiosas, posicionamentos políticos, características físicas, condições de saúde e vida sexual. Seu uso é mais restritivo e nenhuma organização, pública ou privada, pode utilizá-los para fins discriminatórios.
Um papel para cada agente
A lei criou 4 agentes diferentes que coletam, processam ou fazem uso dos dados:
- Titular: pessoa física a quem se referem os dados pessoais.
- Controlador: pessoa física ou jurídica que coleta os dados pessoais e toma as decisões sobre a forma e finalidade do tratamento dos dados. É de responsabilidade do controlador as operações sobre como os dados serão coletados, para que serão utilizados e por quanto tempo estes dados ficarão armazenados.
- Operador: é a empresa ou pessoa física que realiza o tratamento e processamento de dados pessoais sob as ordens do controlador.
- Encarregado: também chamado de oficial de proteção de dados é a pessoa física indicada pelo controlador e que atua como canal de comunicação entre as partes (controlador, os titulares e a autoridade nacional), além de orientar os funcionários do controlador sobre práticas de tratamento de dados.
Quais são as penalidades
Dependendo da situação e se comprovada a infração, a empresa ou organização responsável poderá receber advertência com prazo de adoção de medidas corretivas até ter as atividades ligadas ao tratamento suspenso. Poderá responder judicialmente e, se for o caso, pagar multas diárias que vão de 2% do faturamento até o limite máximo de 50 milhões de Reais.
Como a LGPD vai afetar o marketing de sua empresa
Embora a lei seja muito mais abrangente do que apenas as áreas que envolvem marketing, vamos elencar alguns contextos em que você precisa prestar atenção e promover adequações antes de fevereiro de 2020.
Qualquer trabalho de marketing online ou offline utiliza-se, de alguma forma, do tratamento de dados por isso é importante estar atento ao cumprimento do que a lei determina. Vejamos:
E-mail marketing: revise toda a sua base de contatos e confirme que possui confirmação opt-in. Para os leads que não tem registro de confirmação, será necessário executar uma estratégia de reengajamento.
Política de privacidade: Crie uma página no seu website com a política de privacidade de sua empresa. Especial atenção em divulgar quem é o oficial de proteção de dados e como seus clientes podem entrar em contato.
Segmentação da base: Limite a quantidade de dados solicitados ao mínimo necessário para realizar a transação comercial ou não que se objetiva entregar ao cliente.
Eliminação de dados: Elimine da sua base todo o dado desnecessário ou que não seja usado para um fim específico e previamente autorizado pelo titular dos dados.
Remarketing no Facebook e no Google Ads: Quando sua empresa utiliza campanhas com anúncios de remarketing, é necessário que um cookie seja gravado no navegador do usuário. Neste caso, está atuando como controladora de dados e, portanto, é sua responsabilidade informar ao usuário sobre quais dados estão sendo coletados e dar-lhe a oportunidade de recusar.
Facebook Leads Ads: Tanto sua empresa quanto o Facebook atuam como controladores de dados e ambos são responsáveis por informar o usuário sobre quais dados estão sendo coletados e para qual finalidade.
Pixel do Facebook e similares: Ao acessar o website de sua empresa, o usuário deve ser informado que seu site utiliza este tipo de recurso. O usuário deve ser informado antes do facebook iniciar a coletar dados.
Ferramentas de estatística, analytics e heatmaps: Você deve ter o cuidado de informar o usuário do seu website ou aplicativo que está coletando dados para fins de estatística de uso e obter seu consentimento. Um aviso no rodapé ao entrar no seu website é uma prática muito usada para obter este consentimento.
Elencamos mais algumas ações adicionais que não estão diretamente ligadas ao marketing digital mas que são também relevantes para o correto cumprimento das obrigações da empresa para o tratamento de dados pessoais:
Eleja um oficial de proteção de dados: Ele documentará os procedimentos e prazos a serem adotados nos casos de vazamento de dados, comunicação com clientes e autoridades e nas situações em que o cliente solicite exclusão ou alteração de seus dados.
Centralização da informação: Uma boa prática é adotar plataformas que hospedem o registro de consentimento de cada usuário de forma centralizada ou integrada com outros sistemas. Isso auxilia no acompanhamento, alteração e atualização de todos os seus dados de permissões, e também é um modo de facilitar a comprovação do cumprimento da norma.
Segurança: Adote tecnologias que garantam maior segurança contra vazamento de dados. A criptografia e o controle de acesso são as mais indicadas.
Ficou com dúvidas sobre sua adequação à LGPD?
A Begin Marketing de Relacionamento está à disposição para atender a seus clientes e parceiros que queiram preparar seus processos e ações de marketing digital para a LGPD. Entre em contato conosco.
Referências de pesquisa para produção deste texto:
- Pedutti Advogados, Leis de Proteção de Dados: Guia prático para empresas brasileiras, Pedutti Advogados, 2018.
- Lei 13.709/2019, URL http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm, acesso em 06/08/2019.
- ASSUNÇÃO, Rita Silvana, A Lei Geral de Proteção de Dados – Desafios e Oportunidades. Slides de Palestra, WordCamp 2019 Porto Alegre.
- Agência Senado: Lei Geral de Proteção de Dados entra em vigor, URL https://www12.senado.leg.br/noticias/materias/2020/09/18/lei-geral-de-protecao-de-dados-entra-em-vigor , acesso 20/10/2020
Comments are closed for this article!