Uma das pautas que vem ganhando espaço em todo o mundo é a regularização do uso dos dados na internet. O modelo brasileiro espelha-se na lei que já está em vigência em toda a Europa:
Neste artigo, você terá um panorama do uso de dados no marketing digital e vai entender melhor como irá funcionar a nova lei, quais os impactos que ela traz e, por fim quais as medidas devem ser tomadas para estar em acordo com as novas diretrizes.
O uso de dados na publicidade ao longo da história
Historicamente, a mídia surgiu com a ideia de levar informação ao público por meio de jornais impressos. Porém, o que deu base para este modelo de negócio ter tanto sucesso não foi somente a entrega de notícias.
A monetização da mídia se dá através da venda de publicidade e, se não fossem os dados, essa estratégia não seria útil.
A TV fez isso com perfeição, mapeando o seu público, sempre com base em dados, e vendendo anúncios estratégicos. E a internet, por sua vez, fez o jogo subir muitos níveis, uma vez que os dados na rede são obtidos de forma muito mais rápida e - principalmente - completa.
Com o avanço da internet, vemos uma mudança drástica quando analisamos os pilares sociais do mundo contemporâneo. Estamos cada vez conectados e transferindo processos operacionais para o universo digital.
As tags, cookies, palavras-chave e outras ferramentas alteraram o modo de anunciar na internet. Neste ponto, os anúncios passaram a ser feitos de maneira direta e com uma escala sem precedentes, alterando até a forma de venda e cobrança destas propagandas, pois o que era medido por banner, localização e visitas, passou a ser cobrado por cliques e redirecionamentos, através de vendas automatizada de espaço de mídia.
Agora, imagine essa tecnologia nas mãos de pessoas má intencionadas? Pois a regularização foi necessária exatamente por isto. Dados e informações pessoais passaram a ser vendidos, sem qualquer critério de segurança ou privacidade. Além disso, essa enorme exploração de dados gerou e gera centenas de vazamentos e exposição de informações que colocam as pessoas em risco.
Uma das maiores polêmicas dos últimos anos são os constantes vazamentos de dados. As infrações de gigantes da tecnologia como o Facebook figuraram um dos maiores escândalos de vazamento e manipulação de dados por meio da Cambridge Analytica (uma empresa privada que utilizou brechas da rede social para coleta e mineração de dados de forma inadequada).
Esse foi o primeiro escândalo que fez com que grandes nações repensassem em suas políticas e leis relacionadas ao uso de dados pessoais. Após os acontecimentos de 2014, toda a internet mudou. O movimento para regulamentação ganhou força principalmente na União Europeia, que passou a implementar novas diretrizes em maio de 2018.
Diante disto, diversas outras nações, dentre elas o Brasil, passaram a regularizar a forma de captação, armazenagem e utilização destes dados, visando proporcionar mais segurança para os usuários da rede, bem como proteger toda informação pessoal recebida, responsabilizando os atores destas transferências de informações.
Mas o que muda e o que exatamente é essa lei? A Lei Geral de Proteção de Dados nacional não vai proibir que as empresas de marketing digital utilizem de dados captados por meio de suas campanhas e ferramentas, ela busca apenas que essas empresas criem mecanismos de segurança, sobre armazenagem, destinação, destruição, finalidade etc, para que os usuários e clientes tenham ciência da cadeia e processo de proteção de suas informações, daí a necessidade da atuação de um profissional capacitado, que poderá mapear os processos já existentes em todas as operações.
Um dos pilares da LGPD é proporcionar ao usuário transparência e controle dos seus dados. Isso leva as empresas a tornarem o seu processo de captação e manipulação de dados de maneira clara, transparente e com total consentimento do indivíduo.
Muitas empresas utilizam-se de brechas para coleta de dados de forma ilícita. Ou seja, nada de letras miúdas ou ações presentes nas “entrelinhas”, tudo tem que ser claro e nítido ao usuário para que ele consinta ou não o uso de suas informações por determinada empresa.
O projeto que deu origem à Lei Nº 13.709/18 em suma tem o objetivo de proporcionar a possibilidade dos cidadãos terem mais controle dos seus dados.
A Lei foi sancionada pelo Presidente Michel Temer em 2018 e entrará em vigor em agosto de 2020, proporcionando 18 meses para que as empresas adaptem suas políticas internas de acordo com as diretrizes determinadas por ela.
Quem será envolvido em toda a operação?
A novas diretrizes determinam quatro fatores de divisão durante o processo de armazenamento e gerenciamento de dados. Eles são divididos da seguinte forma:
O titular: nada mais é que a pessoa física, o dono dos próprios dados.
O controlador: é quem controla os dados desde a forma que ele será coletado e armazenado. Ele fica encarregado de gerenciar a forma como os dados serão utilizados e por quanto tempo eles serão armazenados.
O operador: são as empresas ou pessoas que ficam com a parte da análise e processamento dos dados de acordo com as ordens e requisitos do controlador.
O encarregado: é a pessoa física indicada pelo controlador com a finalidade de ser o canal de comunicação entre as partes (controlador, titular e a autoridade nacional), além de orientar os colaboradores do controlador sobre as práticas do controle de dados.
Como isso impacta a sua vida diariamente?
Hoje em dia, quando falamos do universo digital questionamos muito a presença humana nesse cenário. Atualmente para grandes corporações somos apenas números e nada mais.
Com a regulamentação do uso de dados ao menos passamos a ter controle sobre quais informações estão sendo utilizadas e qual é a sua finalidade. Para pessoas mais leigas, será um enorme avanço, tendo em vista em que são na maioria das vezes essas que acabam saindo mais prejudicadas por um possível ataque ou vazamento de dados.
Outra questão que a regulamentação acaba trazendo à tona é a ética e moral das corporações que trabalham utilizando dados. Até que ponto é ético utilizar esses dados? Os autores possuem consciência do seu uso? As ações que estou fazendo baseadas nesses dados são benéficas para a sociedade? E muitas outras questões que estão em debate há anos no meio científico.
Afinal, o que a LGPD muda para os brasileiros?
O Brasil se junta a uma lista extensa de 120 países que possuem uma lei específica para proteção e regulamentação de dados com o objetivo de trazer transparência à internet e ao uso de dados das pessoas. Pode-se dizer que há uma tendência mundial de regulamentar de maneira benéfica algumas questões que envolvem o uso da internet sem interferir no uso livre da rede.
E se os dados coletados forem para o exterior?
Uma coisa que nunca foi observada é a transferência internacional de dados, agora regulamentada na Lei Geral de Proteção de Dados.
Embora a coleta dos dados seja realizada dentro do território nacional, muitas vezes o tratamento e armazenamento se dá em território internacional, haja vista que muitos servidores são hospedados em outros países. Essa regra pode restringir os serviços hospedados em países que não atendam aos critérios determinados pela nova lei.
A LGPD apontou alguns destes critérios e requisitos, dentre os quais se destacam os seguintes:
para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;
quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei;
quando a autoridade nacional autorizar a transferência;
quando a transferência resultar em compromisso assumido em acordo de cooperação internacional.
A LGPD também mostra a necessidade de alguma regulamentação extra a ser fornecida pela Autoridade Nacional de Proteção de Dados (ANPD), que deverá apontar quais são os requisitos específicos, conteúdo de cláusula-padrão, verificação de normas corporativas globais, possibilidade de criação de um "selo" de aprovação do país, ou alguma certificação especial para comprovação do enquadramento nestes critérios.
Sobre este ponto, portanto, devemos aguardar as novas regulamentações da ANPD, que certamente dará um norte sobre quais são os critérios e países aceitos pela legislação.
Quais são as penalidades?
A legislação criou formas de penalização que a ANP poderá aplicar às empresas que não seguirem as normas ditadas.
Essencialmente, todos falam sobre a enorme multa destacada no texto legal e que, só de imaginar, causa arrepios aos empreendedores. Veja como
advertência: com indicação de prazo para adoção de medidas corretivas;
multa simples: até 2% (dois por cento) do faturamento da empresa no seu último exercício, limitando-se a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;multa diária: cujo limite também será observado;
publicação da infração;
bloqueio dos dados pessoais a que se refere a infração até a sua regularização; eliminação dos dados pessoais a que se refere a infração.
Como se vê, a possibilidade de uma multa de até R$ 50.000.000,00 é assustadora. Mas não se engane, pois o que realmente poderá causar grandes prejuízos às empresas são as três últimas opções.
Isto porque, a multa é de até 2% do faturamento da empresa em seu último ano, logo, o risco é limitado. Porém, o caso de publicação da infração, além de bloqueio e/ou eliminação dos dados pessoais, poderá fazer com que a empresa tenha abalo à sua reputação, manchando publicamente a sua imagem perante os clientes.
Entra em cena o encarregado de proteção de dados
A LGPD exige a figura de um Encarregado de Proteção de Dados, que na Europa é denominado de DPO.
Este geralmente é um profissional especialista em privacidade de dados e segurança da informação, que deverá possuir certificação específica para atuar dentro das organizações. Este encarregado deverá possuir poderes fiscalizatórios dentro da empresa, conhecendo a fundo a legislação, bem como os procedimentos de implementação adotado.
Será o encarregado a pessoa que deverá analisar se os demais colaboradores estão cumprindo as diretrizes, bem como deverá informar e tomar providências imediatas para corrigir eventuais erros de procedimento/documento, que possam tornar vulneráveis os dados coletados.
Um DPO poderá ser um colaborador interno, que atue com o apoio de outros gestores da empresa ou comitê de segurança da informação, fazendo uma espécie de regulamento interno e em tempo real. Todavia, autorizou-se que a figura do DPO seja exercida por um prestador de serviços contratado especificamente para essa finalidade.
Por isso, aconselha-se a analisar a estrutura da empresa, verificar os custos envolvidos e a eficiência (ou não) de um profissional interno (mais adequado para grandes empresas, com setores variados) ou externo (aconselhável para pequenas empresas, que não terá uma demanda muito grande e de análise em tempo real), mas lembre-se sempre de ter a figura deste profissional em sua organização.
Como tudo isso impacta o marketing digital?
O Inbound Marketing possui um funcionamento operacional baseado no marketing de atração. Muitas pessoas acham que esse elemento irá criar dificuldades para as empresas que atuam diretamente com dados e criação de conteúdo na web, mas, se você olhar bem detalhadamente, pode ser uma oportunidade.
Quando falamos de conteúdo de qualidade e marketing digital estamos falando de um processo que é baseado na humanização, costumes e interesses do consumidor. É criado todo um estudo das práticas que agradam esse determinado público, onde é dado o ponto de partida para a criação de qualquer conteúdo ou campanha.
Desse modo, você se relaciona com o seu público-alvo de forma mais íntima e transparente. O relacionamento é baseado em confiança e certificação de qualidade. Portanto, na hora de coletar dados e trabalhar esse potencial cliente, o processo irá acontecer de maneira natural e confiável, fazendo com que o consumidor se sinta seguro em disponibilizar alguns dados para a sua empresa.
O que é preciso para estar de acordo com a LGPD?
A Lei não é clara sobre como implementar um programa de adequação e proteção de dados nas empresas, o que ainda deixa um leque enorme de dúvidas e hipóteses. O texto possui dezenas de páginas que determinam regras, normas e diretrizes relacionadas à coleta e gerenciamento de dados. Podemos listar algumas práticas que serão essenciais para que sua empresa esteja de acordo com a nova lei:
Acessibilidade dos dados
O usuário terá o pleno direito de requisitar a qualquer momento uma cópia de todos os seus dados sob gerenciamento da sua empresa.
Esse processo deve ser conduzido de maneira ágil, fácil e sem complicações. Então preparar a sua empresa para lidar com os possíveis pedidos é algo que, além de facilitar a vida dos usuários, pode evitar dores de cabeça para o seu negócio.
Direito de ser esquecido
O usuário poderá requisitar que todos os seus dados sejam excluídos da sua base de dados. Ou seja, ele poderá pedir para ser “deletado” e “excluído” da base de dados da sua empresa.
Quebra de segurança
Em caso de violação de segurança que coloca os dados em risco, a empresa deve comunicar os titulares e as autoridades em um prazo máximo de 72 horas.
Informação clara
Caso seja solicitado, a empresa tem o dever de prestar esclarecimentos sobre quais dados estão armazenados e qual é sua finalidade.
Consentimento do usuário
O usuário tem que consentir o uso de todas as informações sob seu nome. Itens embutidos em contratos extensos, linhas pequenas e opções pré-selecionadas devem ser colocados em evidência para que o usuário os localizem facilmente e escolha se concorda ou não com o que está sendo proposto.
Revisão da documentação
Para se adequar às mudanças, é fundamental que seja feito um mapeamento de dados, que deverá analisar quais são os dados coletados pela sua empresa (internos e externos), para onde estes dados são enviados, qual a finalidade de cada um deles, dentre outros critérios.
Analisadas estas questões, será possível adequar a documentação da organização, iniciando com os contratos internos, sejam termos de contratação, terceirização, freelancers, contratos de prestação de serviços com seus clientes etc.
Após este passo, toda a política de privacidade de suas ações deve ser analisada e adequada, tais como as políticas do site corporativo, sistemas de landing pages, CRM e quaisquer outros softwares que capturam ou armazenam os dados.
Os termos de uso de softwares também devem ser adequados à LGPD, constando todas as informações acima mencionadas, informando o caminho e destinação de todos os dados coletados pelo programa, inclusive apontando quais procedimentos deverão ser adotados para que os dados sejam excluídos.
É importante destacar, mais uma vez, que estes documentos não esgotam as necessidades reais da empresa, que deverão ser analisadas em conjunto com um profissional da área jurídica e, se possível, com a equipe de implementação da LGPD na organização.
· Boas práticas
A nova legislação fala muito em boas práticas, que são algumas situações a serem observadas pelas organizações, inclusive as agências. Veja:
envolvimento dos colaboradores na prática de proteção de dados: edite informativos e diretrizes para a equipe de trabalho, para que todos estejam alinhados com as regras estabelecidas pela empresa, independentemente do cargo do colaborador. Deixe claro que todas etapas dos trabalhos devem possuir sistemas e critérios de segurança de dados, evitando que haja qualquer tipo de vazamento ou utilização inadequada de informações;
mantenha uma estrutura de governança de dados: certifique-se de que na empresa existam pessoas responsáveis (encarregado de proteção de dados) pela privacidade, análise e gestão dos dados, bem como que haja procedimentos para reporte de eventuais incidentes;
tenha um sistema de antivírus atualizado: é comum que sistemas de antivírus sejam negligenciados em algum momento da companhia. Certifique-se de que todos os aparelhos da empresa estejam seguros, pois certamente softwares maldosos serão lançados nas redes para tentar burlar os sistemas implementados;
seja rigoroso com a coleta de dados: evite coletar dados desnecessários e lembre-se de que dados sensíveis são extremamente valiosos, de modo que quanto menos dados a empresa guardar, menos vulnerável à ataques ficará;
administrar riscos de terceiros: empresas de marketing digital dependem muito de contratação de terceiros, freelancers e desenvolvedores. Atente-se para que seus contratos estejam de acordo com a legislação, bem como que estes parceiros possuam sistemas de implementação das regras em vigência;
atenção com a Privacidade por Design (Privacy by Design): observar e identificar eventuais alterações nos sistemas e novos procedimentos aplicados pela empresa que estejam ligados com o tratamento de dados, garantindo o atendimento às normas estabelecidas quando da implementação da LGPD;
acompanhamento das alterações legais e normativas: a legislação é nova e mesmo após passar a viger, poderá sofrer alterações e adequações, especialmente com normas e diretrizes estabelecidas pela ANPD, sendo necessário que haja acompanhamento frequente sobre o tema.
Estes pontos elencados de maneira nenhuma esgotam as boas práticas. Cada caso e cada empresa deverá analisar e adequar os seus procedimentos, criando regras internas que atendam a essência da nova Lei, principalmente porque ainda não existem regras objetivas.
Como pudemos ver, a regulamentação traz diversos benefícios para os usuários comuns e para as empresas. Já para os profissionais de marketing e gestão de dados o cenário abre diversas oportunidades e proporciona um relacionamento cada vez mais estreito e íntimo, que consequentemente acaba tornando-se mais eficaz.
Ficou com alguma dúvida?
Temos um e-book especial preparado pelo escritório de advocacia especialista no assunto Albuquerque e Peracini que explica todos os detalhes sob a ótica e análise jurídica da lei. Lá você pode encontrar de maneira mais aprofundada e detalhada todas as mudanças que entrarão em vigor em 2020 com a LGPD.
