A Lei Geral de Proteção de Dados chegou com a complicada missão de impor uma mudança cultural sobre a importância da privacidade e a necessidade de manter o controle sobre os próprios dados.
Um dos principais objetivos da LGPD, sigla adotada para designar a lei, é garantir transparência no uso dos dados das pessoas físicas em quaisquer meios, digital ou analógico, estabelecendo regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento.
Por isso, é fácil perceber que a norma afeta diversos setores, como o de vendas, tecnologia da informação, recursos humanos e até mesmo o jurídico.
A área de marketing, por sua vez, também não ficou de fora, demandando adequação.
O marketing digital tem ganhado cada vez mais espaço com os avanços da tecnologia, valendo-se de diversos meios para o direcionamento de conteúdo.
Mas, afinal, o que são dados pessoais?
A LGPD adota um conceito amplo, expansivo, sobre o que é considerado um dado pessoal. Veja:
Dado pessoal: é a informação relacionada a pessoa natural identificada ou identificável.
Nesse sentido, se uma informação permite identificar, direta ou indiretamente, um indivíduo que esteja vivo, então ela é considerada um dado pessoal. Veja os seguintes exemplos: nome, RG, CPF, data e local de nascimento, endereço residencial, localização de GPS, retrato de fotografia, hábitos de consumo, cookies, IP, placa de veículo automóvel.
Por outro lado, a lei também cria a categoria do que chamamos de “dados pessoais sensíveis”. Em regra, esses não deveriam ser utilizados para fins de marketing. Confira:
Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Os dados pessoais sensíveis exigem proteção especial, pois colocam em risco a privacidade de dados que podem tornar a pessoa vítima de discriminação ou tratamento de diferenciado.
Quais são as sanções previstas na LGPD?
Para os casos de violação à LGPD, a lei prevê penas de advertência, multa simples, multa diária, suspensão, eliminação dos dados pessoais a que se refere a infração, bloqueio dos dados pessoais a que se refere a infração até a sua regularização, entre outras sanções, aplicáveis a partir de agosto de 2021.
O que é considerado um tratamento de dados?
Tratamento é qualquer operação realizada com um dado, desde a coleta ao respectivo descarte. A título de exemplo, a lei traz condutas que são considerados forma de tratamento: como a coleta, classificação, utilização, compartilhamento, reprodução, processamento, arquivamento, armazenamento etc.
Como buscar adequação?
Adequar à LGPD é mais do que revisar um website. Um projeto de adequação completo envolve palestras de conscientização, treinamentos, elaboração e revisão de contratos, entre outras medidas de governança que forem necessárias, de acordo com a particularidade de cada organização.
Aliás, um projeto de conformidade com a LGPD é dinâmico e precisa de revisão periódica, mediante acompanhamento legal e regulatório. Isso porque a lei aguarda definições, que deverão ser realizadas urgentemente pela Autoridade Nacional de Proteção de Dados.
Em síntese, de acordo com a LGPD, para coletar, processar, armazenar um dado pessoal, o controlador deverá:
(1) observar os princípios trazidos pela LGPD;
(2) ter uma base legal que justifique o processamento de dados pessoais e/ ou sensíveis de seus empregados; e
(3) cumprir com os direitos dos titulares de dados; dentre outras obrigações.
No tocante ao primeiro item, a lei exige que as atividades de tratamento de dados pessoais deverão observar a boa-fé e os princípios da finalidade, adequação, necessidade, qualidade dos dados, transparência, segurança e prevenção.
Vamos explicar resumidamente: O tratamento de dados pessoais deve ser feito com propósitos legítimos e específicos, sendo mantidos atualizados de forma fiel e exata. Além disso, os dados devem ser coletados e armazenados com segurança, limitando a coleta ao mínimo necessário para a realização das suas finalidades. Também é importante pensar em uma forma e prazo em que os dados serão descartados.
No tocante ao segundo item, as bases legais são as hipóteses que permitem o tratamento desses dados a depender da categoria do dado e a finalidade do tratamento.
As bases legais são distintas a depender da categoria do dado. Nesse passo, a LGPD traz 10 hipóteses para o tratamento dos dados pessoais em geral e, também, 8 hipóteses para o tratamento de dados sensíveis.
De uma forma geral, durante uma campanha de marketing você não tratará dados pessoais sensíveis (pelo menos não deveria).
Portanto, a sua base de leads precisa estar adequada a uma das hipóteses previstas na lei, para que você possa usufruir desses dados relacionados aos seus leads.
É bom ressaltar que é responsabilidade de toda a equipe de marketing conhecer as bases legais e as hipóteses de tratamento.
Nesse sentido, para fins de marketing, podemos citar as duas principais bases legais:
a) consentimento coletado forma inequívoca e destacada, para finalidades específicas;
b) sem o consentimento: com base no legítimo interesse.
O consentimento deve ser coletado de forma específica para cada finalidade, devendo a coleta ser feita de forma informada e destacada, para que então o titular tenha pleno conhecimento do motivo pelo qual está fornecendo seus dados.
A coleta do consentimento também deve ser livre, garantindo o direito de escolha, não pense em montar uma “pegadinha” na hora de coletar o consentimento, se possível, garanta alternativas de escolha ao titular.
A título de exemplo, veja uma boa prática de como você pode coletar dados na sua landing page:
Na situação acima, vemos que o consentimento está sendo coletado de forma específica, informada e destacada. Além disso, também é garantido o direito de escolha, pois o titular pode ter acesso ao documento sem ter que informar qualquer tipo de dado pessoal.
Cuidado, também, com a finalidade da coleta. Entenda melhor com os seguintes exemplos:
Se você possui um e-commerce, por meio do qual obteve o consentimento específico de determinado consumidor para o envio de e-mail marketing, somente poderá usar os dados para o envio de campanhas relacionadas a loja/e-commerce para o qual o consentimento foi coletado.
Atenção, também, para as práticas de outbound marketing, a compra de lista de e-mails não é considerada uma boa prática e pode ser considerada ilegal, acarretando sanções.
É importante também contar com mecanismos de transparência, como uma Política de Privacidade bem elaborada, bem como garantir os direitos dos titulares dos dados.
No tocante ao direito dos titulares, fique atento para garantir um mecanismo de saída (opt-out) para seus leads.
Aliás, este mecanismo deve ser encontrado facilmente pelo titular, a exemplo daquele botão que comumente está no final dos e-mails marketing contendo a frase: “Não quero mais receber esses e-mails”.
Ainda é possível direcionar o marketing com o uso de cookies?
Em primeiro lugar, é bom ressaltar que, a depender do tipo, os cookies podem ser considerados dados pessoais. Isso porque a lei adota um conceito expansionista de dados pessoais, como sendo todos aqueles que tornem uma pessoa identificada ou identificável.
O cookie é uma pequena quantidade de dados enviada de um servidor Web para o navegador do usuário e armazenada na unidade de disco rígido do computador do usuário, ou seja, são pequenos arquivos que armazenam no seu PC os detalhes da sua atividade ao visitar um site.
Ainda é possível utilizar os cookies de marketing, desde que respeite uma base legal, bem como sejam estabelecidas medidas de transparência para o titular.
Portanto, se for utilizar os cookies em uma campanha de marketing, é importante que seja elaborada uma Política e um Aviso de Cookies, para que o titular tenha conhecimento.
Decisões automatizadas
A LGPD prevê que o titular terá o direito de revisão de decisões automatizadas.
Aqui, podemos citar, como exemplo, as medidas de programas de fidelidade ou de análise de crédito que influenciem no preço ou serviço.
Nesse passo, é importante que os mecanismos de automação sejam elaborados e utilizados de forma transparente, evitando qualquer tipo de discriminação ou medida invasiva.
Consequentemente, é importante organizar a segmentação dos seus leads e ter boas práticas de automações.
Base legal do legítimo interesse
O uso da base legal do legítimo interesse deve ser feito com cuidado, pois trata-se de uma base-legal flexível, mas que a sua aplicação não é tão simples.
Quando uma empresa decide utilizar o legítimo interesse, deve realizar um teste de proporcionalidade e armazená-lo de forma documentada. Esse teste possui o objetivo de balancear, de um lado, os interesses da sua empresa, e do outro os direitos e liberdades do titular dos dados pessoais.
É importante, também, garantir medidas de salvaguarda e segurança ao titular.
A Autoridade Nacional de Proteção de Dados ainda não tem posicionamento específico sobre as diretrizes do uso da base legal do legítimo interesse, inclusive para fins de marketing.
Consequentemente, por se tratar de uma base legal flexível e complexa, é recomendável que você converse com um profissional especializado para te ajudar.
Conclusão
As práticas de marketing foram diretamente impactadas pela LGPD, mas não foram inviabilizadas. Ainda é possível elaborar boas campanhas de marketing, cumprindo as normas legais.
Diante dessas considerações, é fácil notar que estamos lidando com temas complexos e que demandam o acompanhamento de profissionais da área jurídica e segurança da informação.