LGPD: Guia de adequação para a área de marketing

A Lei Geral de Proteção de Dados chegou com a complicada missão de impor uma mudança cultural sobre a importância da privacidade e a necessidade de manter o controle sobre os próprios dados.

Um dos principais objetivos da LGPD, sigla adotada para designar a lei, é garantir transparência no uso dos dados das pessoas físicas em quaisquer meios, digital ou analógico, estabelecendo regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento.

Por isso, é fácil perceber que a norma afeta diversos setores, como o de vendas, tecnologia da informação, recursos humanos e até mesmo o jurídico.

A área de marketing, por sua vez, também não ficou de fora, demandando adequação.

O marketing digital tem ganhado cada vez mais espaço com os avanços da tecnologia, valendo-se de diversos meios para o direcionamento de conteúdo.

Mas, afinal, o que são dados pessoais?

A LGPD adota um conceito amplo, expansivo, sobre o que é considerado um dado pessoal. Veja:

Dado pessoal: é a informação relacionada a pessoa natural identificada ou identificável.

Nesse sentido, se uma informação permite identificar, direta ou indiretamente, um indivíduo que esteja vivo, então ela é considerada um dado pessoal. Veja os seguintes exemplos: nome, RG, CPF, data e local de nascimento, endereço residencial, localização de GPS, retrato de fotografia, hábitos de consumo, cookies, IP, placa de veículo automóvel.

Por outro lado, a lei também cria a categoria do que chamamos de “dados pessoais sensíveis”. Em regra, esses não deveriam ser utilizados para fins de marketing. Confira:

Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Os dados pessoais sensíveis exigem proteção especial, pois colocam em risco a privacidade de dados que podem tornar a pessoa vítima de discriminação ou tratamento de diferenciado.

Quais são as sanções previstas na LGPD?

Para os casos de violação à LGPD, a lei prevê penas de advertência, multa simples, multa diária, suspensão, eliminação dos dados pessoais a que se refere a infração, bloqueio dos dados pessoais a que se refere a infração até a sua regularização, entre outras sanções, aplicáveis a partir de agosto de 2021.

O que é considerado um tratamento de dados?

Tratamento é qualquer operação realizada com um dado, desde a coleta ao respectivo descarte. A título de exemplo, a lei traz condutas que são considerados forma de tratamento: como a coleta, classificação, utilização, compartilhamento, reprodução, processamento, arquivamento, armazenamento etc.

Como buscar adequação?

Adequar à LGPD é mais do que revisar um website. Um projeto de adequação completo envolve palestras de conscientização, treinamentos, elaboração e revisão de contratos, entre outras medidas de governança que forem necessárias, de acordo com a particularidade de cada organização.

Aliás, um projeto de conformidade com a LGPD é dinâmico e precisa de revisão periódica, mediante acompanhamento legal e regulatório. Isso porque a lei aguarda definições, que deverão ser realizadas urgentemente pela Autoridade Nacional de Proteção de Dados.

Em síntese, de acordo com a LGPD, para coletar, processar, armazenar um dado pessoal, o controlador deverá:

(1) observar os princípios trazidos pela LGPD;

(2) ter uma base legal que justifique o processamento de dados pessoais e/ ou sensíveis de seus empregados; e

(3) cumprir com os direitos dos titulares de dados; dentre outras obrigações.

No tocante ao primeiro item, a lei exige que as atividades de tratamento de dados pessoais deverão observar a boa-fé e os princípios da finalidade, adequação, necessidade, qualidade dos dados, transparência, segurança e prevenção.

Vamos explicar resumidamente: O tratamento de dados pessoais deve ser feito com propósitos legítimos e específicos, sendo mantidos atualizados de forma fiel e exata. Além disso, os dados devem ser coletados e armazenados com segurança, limitando a coleta ao mínimo necessário para a realização das suas finalidades. Também é importante pensar em uma forma e prazo em que os dados serão descartados.  

No tocante ao segundo item, as bases legais são as hipóteses que permitem o tratamento desses dados a depender da categoria do dado e a finalidade do tratamento.

As bases legais são distintas a depender da categoria do dado. Nesse passo, a LGPD traz 10 hipóteses para o tratamento dos dados pessoais em geral e, também, 8 hipóteses para o tratamento de dados sensíveis.

De uma forma geral, durante uma campanha de marketing você não tratará dados pessoais sensíveis (pelo menos não deveria).

Portanto, a sua base de leads precisa estar adequada a uma das hipóteses previstas na lei, para que você possa usufruir desses dados relacionados aos seus leads.

É bom ressaltar que é responsabilidade de toda a equipe de marketing conhecer as bases legais e as hipóteses de tratamento.

Nesse sentido, para fins de marketing, podemos citar as duas principais bases legais:

a) consentimento coletado forma inequívoca e destacada, para finalidades específicas;

b) sem o consentimento: com base no legítimo interesse.

O consentimento deve ser coletado de forma específica para cada finalidade, devendo a coleta ser feita de forma informada e destacada, para que então o titular tenha pleno conhecimento do motivo pelo qual está fornecendo seus dados.

A coleta do consentimento também deve ser livre, garantindo o direito de escolha, não pense em montar uma “pegadinha” na hora de coletar o consentimento, se possível, garanta alternativas de escolha ao titular.

A título de exemplo, veja uma boa prática de como você pode coletar dados na sua landing page:

Na situação acima, vemos que o consentimento está sendo coletado de forma específica, informada e destacada. Além disso, também é garantido o direito de escolha, pois o titular pode ter acesso ao documento sem ter que informar qualquer tipo de dado pessoal.

Cuidado, também, com a finalidade da coleta. Entenda melhor com os seguintes exemplos:

Se você possui um e-commerce, por meio do qual obteve o consentimento específico de determinado consumidor para o envio de e-mail marketing, somente poderá usar os dados para o envio de campanhas relacionadas a loja/e-commerce para o qual o consentimento foi coletado.

Atenção, também, para as práticas de outbound marketing, a compra de lista de e-mails não é considerada uma boa prática e pode ser considerada ilegal, acarretando sanções.

É importante também contar com mecanismos de transparência, como uma Política de Privacidade bem elaborada, bem como garantir os direitos dos titulares dos dados.

No tocante ao direito dos titulares, fique atento para garantir um mecanismo de saída (opt-out) para seus leads.

Aliás, este mecanismo deve ser encontrado facilmente pelo titular, a exemplo daquele botão que comumente está no final dos e-mails marketing contendo a frase: “Não quero mais receber esses e-mails”.

Ainda é possível direcionar o marketing com o uso de cookies?

Em primeiro lugar, é bom ressaltar que, a depender do tipo, os cookies podem ser considerados dados pessoais. Isso porque a lei adota um conceito expansionista de dados pessoais, como sendo todos aqueles que tornem uma pessoa identificada ou identificável.

O cookie é uma pequena quantidade de dados enviada de um servidor Web para o navegador do usuário e armazenada na unidade de disco rígido do computador do usuário, ou seja, são pequenos arquivos que armazenam no seu PC os detalhes da sua atividade ao visitar um site.

Ainda é possível utilizar os cookies de marketing, desde que respeite uma base legal, bem como sejam estabelecidas medidas de transparência para o titular.

Portanto, se for utilizar os cookies em uma campanha de marketing, é importante que seja elaborada uma Política e um Aviso de Cookies, para que o titular tenha conhecimento.

Decisões automatizadas

A LGPD prevê que o titular terá o direito de revisão de decisões automatizadas.

Aqui, podemos citar, como exemplo, as medidas de programas de fidelidade ou de análise de crédito que influenciem no preço ou serviço.

Nesse passo, é importante que os mecanismos de automação sejam elaborados e utilizados de forma transparente, evitando qualquer tipo de discriminação ou medida invasiva.

Consequentemente, é importante organizar a segmentação dos seus leads e ter boas práticas de automações.

Base legal do legítimo interesse

O uso da base legal do legítimo interesse deve ser feito com cuidado, pois trata-se de uma base-legal flexível, mas que a sua aplicação não é tão simples.

Quando uma empresa decide utilizar o legítimo interesse, deve realizar um teste de proporcionalidade e armazená-lo de forma documentada. Esse teste possui o objetivo de balancear, de um lado, os interesses da sua empresa, e do outro os direitos e liberdades do titular dos dados pessoais.

É importante, também, garantir medidas de salvaguarda e segurança ao titular.

A Autoridade Nacional de Proteção de Dados ainda não tem posicionamento específico sobre as diretrizes do uso da base legal do legítimo interesse, inclusive para fins de marketing.

Consequentemente, por se tratar de uma base legal flexível e complexa, é recomendável que você converse com um profissional especializado para te ajudar.

Conclusão

As práticas de marketing foram diretamente impactadas pela LGPD, mas não foram inviabilizadas. Ainda é possível elaborar boas campanhas de marketing, cumprindo as normas legais.

Diante dessas considerações, é fácil notar que estamos lidando com temas complexos e que demandam o acompanhamento de profissionais da área jurídica e segurança da informação.

Caso você precise de ajuda, entre em contato conosco!

Conheça nossos conteúdos no Instagram!

Por fim, confira o nosso material gratuito sobre a LGPD.

LGPD: Adequação para a área da saúde

A Lei Geral de Proteção de Dados chegou com a complicada missão de impor uma mudança cultural sobre a importância da privacidade e a necessidade de manter o controle sobre os próprios dados.

Um dos principais objetivos da LGPD, sigla adotada para designar a lei, é garantir transparência no uso dos dados das pessoas físicas em quaisquer meios, digital ou analógico, estabelecendo regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento.

Por isso, é fácil perceber que a norma afeta diversos setores, como o de vendas, tecnologia da informação, marketing, recursos humanos e até mesmo o jurídico.

A área de saúde, por sua vez, também não ficou de fora, demandando adequação.

A cada dia que passa, o setor da saúde passa a receber mais orientações com base em dados extraídos de sistemas, armazenamentos de exames em nuvem, softwares, aplicativos e até relógios de pulso.

Aliás, agora, também temos as consultas via telemedicina.

Nesse passo, é fácil ver que uma clínica médica costuma armazenar dados de pacientes, médicos e colaboradores. A título de exemplo, podemos citar: fichas de cadastro, prontuários médicos, receitas, exames, imagens e etc.

Mas, afinal, o que são dados pessoais?

A LGPD adota um conceito amplo, expansivo, sobre o que é considerado um dado pessoal. Veja:

Dado pessoal: é a informação relacionada a pessoa natural identificada ou identificável.

Nesse sentido, se uma informação permite identificar, direta ou indiretamente, um indivíduo que esteja vivo, então ela é considerada um dado pessoal. Veja os seguintes exemplos: nome, RG, CPF, data e local de nascimento, endereço residencial, localização de GPS, retrato de fotografia, hábitos de consumo, cookies, IP, placa de veículo automóvel.

Por outro lado, a lei cria a categoria do que chamamos de “dados pessoais sensíveis”, estes são tratados com maior frequência pelo setor da saúde. Confira:

Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Os dados pessoais sensíveis exigem proteção especial, pois colocam em risco a privacidade de dados que podem tornar a pessoa vítima de discriminação ou tratamento de diferenciado. Ex.: portadores de doenças graves, infecciosas, patologias psiquiátricas ou até mesmo cirurgias plásticas feitas com a finalidade de promover o bem estar.

Aliás, o próprio Código de Ética Médica já protege a privacidade dos pacientes, valendo-se do sigilo profissional. O citado código prevê que o médico guardará sigilo a respeito das informações de que detenha conhecimento no desempenho de suas funções, com exceção dos casos previstos em lei.

O mesmo código também prevê, no artigo 73, que é vedado ao médico revelar fato de que tenha conhecimento em virtude do exercício de sua profissão, salvo por motivo justo, dever legal ou consentimento, por escrito, do paciente.

Ocorre que, mesmo diante do que está previsto no Código de Ética, é necessário estar adequado à Lei Geral de Proteção de Dados.

Para casos de violação, a lei prevê penas de advertência, multa simples, multa diária, suspensão, eliminação dos dados pessoais a que se refere a infração, bloqueio dos dados pessoais a que se refere a infração até a sua regularização, entre outras sanções, aplicáveis a partir de agosto de 2021.

Como ficar em conformidade com a LGPD?

Adequar à LGPD é mais do que revisar um website. Um projeto de adequação completo envolve palestras de conscientização, treinamentos, elaboração e revisão de contratos, entre outras medidas de governança que forem necessárias, de acordo com a particularidade de cada organização.

Aliás, um projeto de conformidade com a LGPD é dinâmico e precisa de revisão periódica, mediante acompanhamento legal e regulatório. Isso porque a lei aguarda definições, que deverão ser realizadas urgentemente pela Autoridade Nacional de Proteção de Dados.

Em síntese, de acordo com a LGPD, para coletar, processar, armazenar um dado pessoal, o controlador deverá:

(1) observar os princípios trazidos pela LGPD;

(2) ter uma base legal que justifique o processamento de dados pessoais e/ ou sensíveis de seus empregados; e

(3) cumprir com os direitos dos titulares de dados; dentre outras obrigações.

No tocante ao primeiro item, a lei exige que as atividades de tratamento de dados pessoais deverão observar a boa-fé e os princípios da finalidade, adequação, necessidade, qualidade dos dados, transparência, segurança e prevenção.

Vamos explicar resumidamente: O tratamento de dados pessoais deve ser feito com propósitos legítimos e específicos, sendo mantidos atualizados de forma fiel e exata. Além disso, os dados devem ser coletados e armazenados com segurança, limitando a coleta ao mínimo necessário para a realização das suas finalidades. Também é importante pensar em uma forma e prazo em que os dados serão descartados.  

No tocante ao segundo item, as bases legais são as hipóteses que permitem o tratamento desses dados a depender da categoria do dado e a finalidade do tratamento.

As bases legais são distintas a depender da categoria do dado. Nesse passo, a LGPD traz 10 hipóteses para o tratamento dos dados pessoais em geral e, também, 8 hipóteses para o tratamento de dados sensíveis.

As bases legais são distintas a depender da categoria do dado. Nesse passo, a LGPD traz 10 hipóteses para o tratamento dos dados pessoais em geral e 8 hipóteses para o tratamento de dados sensíveis.

No tocante ao setor da saúde, podemos citar as três principais bases legais, mas que, evidentemente, não são as únicas:

a) consentimento coletado forma específica e destacada, para finalidades específicas;

b) sem o consentimento: para cumprimento de obrigação legal ou regulatória pelo controlador, proteção da vida ou da incolumidade física do titular ou de terceiro;

c) sem o consentimento: para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.

Sobre o terceiro item, a lei prevê obrigações como a de nomear um encarregado (responsável pelo programa de governança), prever mecanismos de transparência, como uma política de privacidade e, também, garantir os direitos dos titulares dos dados.

Conclusão

As clínicas médicas e demais áreas da saúde cuidam de grande quantidade de dados pessoais e dados pessoais sensíveis, pertencentes aos próprios médicos, pacientes e colaboradores.

Embora a telemedicina esteja avançando, é importante garantir a privacidade e segurança dos dados do paciente.

Por isso, caso haja um “vazamento” de dados pessoais, em especial dos dados sensíveis (exames, diagnósticos, imagens, etc), o dano à reputação da clínica e do médico responsável pode ser grande.

Diante dessas considerações, ao falarmos sobre privacidade e proteção de dados, é fácil notar que estamos lidando com temas complexos e que demandam o acompanhamento de profissionais da área jurídica e segurança da informação, com a finalidade de proporcionar maior proteção à prestação de serviços médicos.

Precisa de ajuda? Entre em contato conosco!

Cuidados necessários ao contratar um desenvolvedor de aplicativo ou site

Com o avanço das novas tecnologias, estar inserido no meio digital é uma medida cada vez mais essencial ao sucesso do seu negócio. Nesse passo, também temos empresas de tecnologia, como as startups, que o resultado do seu modelo de negócio depende necessariamente de um website ou de aplicativo bem construído.

Em primeiro lugar, para contratar um desenvolvedor – ou chamado apenas de “Dev” -, é importante definir qual é a demanda, motivo pelo qual é bom conhecer as funções dos principais cargos de TI. Existem desenvolvedores UX, que são responsáveis pela experiência do usuário, UI, responsáveis pelo design de interface, DevOps, que é o desenvolvedor de infraestrutura da empresa, e os Front End e Back End.

A elaboração de um website ou aplicativo pode se tornar algo complexo, com alto custo financeiro, a depender da necessidade de inserção de automações, geolocalização, blogs, alertas, canais de contato, chat, meios de pagamento, áreas do cliente, produtos, vídeos, imagens etc.

Já vi casos em que o valor da elaboração de um aplicativo ultrapassou ao de um carro popular. Por isso, a depender da forma em que é feita a contratação do desenvolvedor, também é possível a celebração de um contrato de vesting.

Nesse passo, a transformação digital, acelerada pela pandemia do COVID-19, fez com que a presença digital da sua empresa se tornasse algo essencial à sobrevivência do negócio, de modo que a demanda pela contratação de desenvolvedores e web designers cresceu exponencialmente.

No entanto, assim como toda e qualquer contratação de um prestador de serviços, a celebração do negócio pressupõe alguns cuidados jurídicos. Isso porque a contratação desses profissionais envolve diversas áreas do direito, como o direito civil e empresarial, direito contratual, LGPD, propriedade intelectual (principalmente marcas e direitos autorais).

Você sabia que a proteção do código-fonte é regida pelo regime dos Direitos Autorais?

Isso mesmo. O código-fonte e o código-objeto são de natureza textual e passíveis de proteção de Direito Autoral e registro no Instituto Nacional da Propriedade Intelectual (INPI).

Contrato de Prestação de Serviços para Desenvolvedor

O contrato é um acordo entre as partes e é importante para alinhar as expectativas, dando segurança ao compromisso firmado.

Por esses motivos, a contratação de um desenvolvedor pressupõe a elaboração de um bom contrato de prestação de serviços, contendo regras sobre prazos, metas, formas de pagamento, domínio, serviços de manutenção, SLA, gerenciamento do conteúdo, responsabilidade pelos produtos/serviços que serão anunciados, horas de funcionamento do suporte técnico etc.

Além disso, é importante prever prazos e formas de rescisão, regras sobre a propriedade intelectual do código-fonte, confidencialidade, eventos de força maior, garantias e previsões sobre atualizações ou upgrades.

Os cuidados na contratação de um desenvolvedor não param por aí.

Ao descrever o objeto da contratação, é necessário que a descrição das especificações e características do website ou aplicativo sejam feitas de forma detalhadas, acompanhadas de um briefing ou pré-projeto e até cláusula de “no surprise”, evitando ser surpreendido com um aumento inesperado do preço.

Além disso, a depender da forma da contratação do “Dev”, também é possível pensar no uso de cláusulas de não-concorrência e não-aliciamento, com a finalidade de proteger a sua empresa e/ou projeto.

Portanto, diante dessas considerações, é fácil notar que a contratação segura de um “Dev” pressupõe a elaboração de um contrato específico, por profissional que tenha conhecimento técnico sobre o assunto.

Precisa de ajuda com esses assuntos? Conte conosco!

Clique aqui para conhecer nossos conteúdos no Instagram.

Quer saber mais sobre o contrato de vesting? Já conversamos sobre isso no blog, veja aqui.