Artigos

Marketing na Era da Privacidade

Adequação do Marketing à Lei Geral de Proteção de Dados brasileira (LGPD)

Por Carlos Alberto Iglesia Bernardo

Uma introdução rápida às razões da lei

Nas últimas décadas, a sociedade passou por profundas transformações em seus meios de comunicação. 

Formas bem estabelecidas, como a telefonia, a imprensa escrita, a radiodifusão e a televisão, viram surgir e sofrer a concorrência de novos canais com grande interatividade e capacidade de atingir públicos com interesses bem específicos de forma muito direcionada. 

E-mails, blogs, sites e aplicativos são os canais mais visíveis surgidos a partir da Internet, mas não os únicos. Aplicações e sistemas interconectados oferecem sugestões de compras, cotações de preços, análises e entrega de bens e serviços para pessoas naturais e jurídicas em escala global. 

O marketing, da mesma forma que outras atividades humanas, foi beneficiado por esta transformação e passou a fazer uso da interatividade e do direcionamento oferecidos. Tornou-se capaz de identificar interesses e gostos, acompanhar a vida cotidiana e abordar os possíveis clientes a qualquer momento e lugar. 

Os dados pessoais e informações sobre navegação, consumo e interações nas redes sociais movem algoritmos, redes neurais e alimentam as grandes bases de dados. 

Uma transformação tão rápida em todos os setores provoca, naturalmente, além dos benefícios, situações indesejadas que precisam ser corrigidas. A capacidade de coletar e tratar dados pessoais em tal velocidade e escala introduziu a possibilidade da manipulação destes dados de forma contrária aos interesses de seus titulares e em prejuízo de sua privacidade; possibilidade que se tornou foco de preocupação dos cidadãos de vários países e levou os legisladores a criarem regulamentos para que os benefícios da tecnologia da informação possam continuar a beneficiar as pessoas e, ao mesmo tempo, tenham seus riscos mitigados de forma adequada. 

Atualmente, em mais de 100 países, incluindo o Brasil, há legislações que disciplinam o tratamento dos dados pessoais. A lei brasileira é a Lei 13.709/2018 (Lei Geral de Proteção de Dados – LGPD), com vigência a partir de agosto de 2020, para o tratamento de dados pessoais de pessoas naturais realizado em território nacional ou para a oferta de bens e serviços nele. 

Implicação para as empresas

No geral, as organizações públicas e privadas precisam se adequar aos princípios e requisitos para o tratamento de dados pessoais estabelecidos pela LGPD. Há poucas exceções à sua aplicação, como a da segurança nacional, que, na verdade, segue legislações próprias. O objetivo deste artigo, é focar nas empresas privadas que, em sua maioria, não se encaixam nas exceções existentes. 

A lei define os papéis, direitos e responsabilidades de cada parte. Os dados pessoais são de titularidade da pessoa natural a qual se referem e a empresa só pode coletá-los e tratá-los com o seu consentimento ou uma base legal adequada. O cumprimento de obrigações legais, de condições contratuais e a proteção da vida são algumas situações previstas onde o consentimento não é necessário. 

O descumprimento da lei implica em sanções administrativas aplicadas pela Autoridade Nacional de Proteção de Dados, que vão desde advertências até uma multa por infração que pode alcançar os R$ 50.000.000,00, limitada a 2% do faturamento da empresa. A aplicação da sanção administrativa não elimina o direito do titular dos dados pessoais de buscar reparação em outras esferas da justiça. 

Dados Pessoais

O conceito de dados pessoais é bem abrangente, engloba todas as informações relacionadas a uma pessoa natural identificada ou identificável. Hábitos de consumo, preferências de bens e serviços, renda ou outros tipos de dados muito utilizados pelo marketing, quando relacionados a uma pessoa, estão protegidos pelo conceito também. 

Alguns tipos de dados são classificados pela lei como sensíveis. As condições para o seu tratamento são mais restritivas, pois seu potencial de causar impactos negativos para os seus titulares são maiores. 

Os dados sensíveis de acordo com a lei são:

  • Dado pessoal sobre origem racial ou étnica;
  • Convicção religiosa;
  • Opinião política;
  • Filiação a sindicato ou à organização de caráter religioso, filosófico ou político;
  • Dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

O tratamento destes dados em campanhas e outras ações de marketing deve se cercar de cuidados adicionais compatíveis com a sua criticidade.

Agentes de Tratamento de Dados

As empresas que tratam dados pessoais, chamadas de agentes de tratamento de dados, são classificadas pela lei em duas categorias: controladores e operadores.

O que diferencia estas duas categorias são seu poder de decisão, e consequentemente responsabilidades, no tratamento de dados pessoais efetuado.

O Controlador é a empresa que detém o poder de decisão sobre o tratamento de dados e, portanto, a quem cabe a obrigação de garantir que seja feito com as devidas bases legais e consentimentos adequados.

Na eventualidade desta empresa terceirizar o tratamento de dados, ou parte dele, a uma empresa contratada recebe a denominação de Operador. O que o caracteriza é que faz o tratamento em benefício do Controlador e sob suas ordens.

Tanto Controlador como Operador devem zelar pela proteção dos dados pessoais tratados e para que o tratamento não se desvie das finalidades apresentadas para o titular, da sua base legal e dos consentimentos dados. Tanto o Controlador como o Operador estão sujeitos as sanções da lei, de acordo com suas responsabilidades no seu eventual descumprimento.

A terceirização de serviços de tratamento de dados mediante a contratação de um Operador, não desonera o Controlador de suas obrigações, pelo contrário, traz ainda maior responsabilidade pela seleção, contratação e fiscalização do fornecedor.

Uma observação muito importante a ser feita é que Controlador e Operador são papéis relacionados com o tratamento de dados pessoais considerado. Por exemplo, uma agência prestando o serviço de distribuição de e-mail marketing para um cliente é operadora em relação aos dados pessoais fornecidos por ele, que é o controlador. Por outro lado, esta mesma agência é controladora no processo de tratamento dos dados pessoais dos seus funcionários para a folha de pagamentos.

Encarregado pelo Tratamento de Dados

As empresas controladoras deverão nomear um encarregado pelo tratamento de dados que fará o papel de interlocução com a Autoridade Nacional de Proteção de Dados (ANPD) e também com os titulares de dados pessoais.

A lei brasileira não entra em detalhes sobre o perfil do encarregado e nem como exercerá seu papel. O mercado tem tomado como parâmetro para a definição do perfil deste profissional as qualificações exigidas pelo Data Protection Officer (DPO) europeu, um perfil que une conhecimentos técnicos e jurídicos sobre a lei europeia (General Data Protection Regulation – GDPR).

Princípios estabelecidos pela LGPD

A partir da vigência da lei, as atividades de tratamento de dados pessoais pelas empresas só poderão ser feitas se observarem os seguintes princípios:

  • Finalidade – realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
  • Adequação – compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
  • Necessidade – limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
  • Livre Acesso – garantia aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
  • Qualidade dos dados – garantia aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
  • Transparência – garantia aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
  • Segurança – utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
  • Prevenção – adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
  • Não discriminação – impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
  • Responsabilização e prestação de contas – demonstração pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Requisitos para o Tratamento de Dados Pessoais

 O tratamento de dados pessoais só poderá ser feito por um agente de tratamento se cumprir um destes requisitos: 

  • Consentimento do titular (em caso de menores, de seus pais ou responsável);
  • Cumprimento de obrigação legal ou regulatória;
  • Realização de estudos por órgão de pesquisa;
  • Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  • Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
  • Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  • Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  • Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
  • Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Base legal e evidências

É muito importante que a empresa tenha bem documentados os princípios e requisitos que atende e a forma como os atende. Eles são o registro da base legal em que se apoia para efetuar o tratamento, e inclusive, deve ser capaz de mostrar que os cumpre por meio de evidências concretas.

Por exemplo, além do processo para coletar o consentimento do Titular de Dados Pessoais no envio de e-mails promocionais, a empresa deverá ter também o registro desse consentimento e a documentação explicando a forma da coleta.

Trilhas de auditoria e logs são importantes como evidências de como o tratamento de dados é efetuado.

Tratamento dos dados pessoais pelo Marketing

O principal objetivo da lei é a proteção dos direitos fundamentais das pessoas naturais e não traz nenhum viés especial contra as atividades econômicas e muito menos contra o marketing. O que ela coíbe são os abusos.

O marketing feito de forma correta e transparente, com os devidos consentimentos no momento da coleta dos dados pessoais e respeitando as bases legais, declaradas de forma clara para os titulares dos dados pessoais, não sofrerá efeitos negativos.

Porém, as práticas de coleta extensiva de dados pessoais para geração de leads comerciais, nas interações com usuários de sites e de serviços, sem o consentimento e mesmo conhecimento dos titulares, estão com os dias contados.

Não é por outro motivo que sites internacionais têm apresentado desde …a entrada em vigor da GDPR, telas de autorização para o uso de cookies e para as mais diversas ações de contato.

A aplicação da lei europeia, iniciada em 2018, tem tido como maiores fontes de denúncias dos titulares de dados, os contatos indesejados por e-mail marketing e telemarketing.

Tudo indica que este cenário se repetirá no Brasil a partir de agosto de 2020 e o uso de abordagens invasivas de marketing será a maior causa das violações e punições.

Compartilhamento de dados pessoais

Pelo exposto acima, torna-se claro que a aplicação da lei deverá ser bastante rigorosa com o compartilhamento de dados pessoais em desacordo com os seus dispositivos.

A prática de compra e venda de dados pessoais para fins de marketing, como por exemplo as compras de bases de e-mails, já conflitavam com as melhores práticas e códigos de conduta do marketing direto. Agora ainda mais, pois implicam no uso dos dados pessoais sem que sejam respeitadas as finalidades dadas em sua coleta, os consentimentos dados e as bases legais mediante as quais foram feitas.

Empresas que usem tais fontes de leads devem repensar seus processos de prospecção e trabalhar apenas com dados pessoais que tenham obtido com os devidos consentimentos dos titulares e as bases legais adequadas.

Outro tipo de base de dados pessoais muito compartilhado é o de visitantes em feiras e eventos. Os mesmos cuidados se aplicam a eles; as empresas não devem utilizá-las se não estiverem certas de que foram coletadas de acordo com o que exige a lei.

Bases de dados coletadas antes da vigência da LGPD

A situação das bases de dados pessoais anteriores aos dispositivos da lei deve ser considerada com muito cuidado pela empresa. Recomenda-se verificar com o jurídico a validade de sua utilização e descartar quaisquer dados cujo consentimento e base legal não tenha meios de comprovação.

A lei não retroage no sentido de aplicar sanções ao tratamento dos dados pessoais efetuado antes de sua vigência, mas os dados pessoais passarão a estar protegidos a partir dela.

Vale a pena não esquecer que quaisquer dados pessoais de posse da empresa, a partir da vigência da lei, mesmo que sem uso, terão que ser protegidos. Sem um bom motivo para guardá-los, a empresa estará correndo riscos e gastando dinheiro à toa.

Usos de dados pessoais tornados públicos pelo seu titular

A lei dispensa da necessidade de consentimento o uso dos dados pessoais manifestadamente tornados públicos por seu titular, porém permanecem resguardados os direitos do titular e os princípios previstos nesta Lei. Ou seja, o fato de terem sido tornados públicos não exime a empresa de respeitar a Lei Geral de Proteção de Dados e muito menos lhe dá a possibilidade de usar estes dados para quaisquer fins que deseje e à revelia de seu titular.

Por exemplo, empresas que fazem o tratamento de dados com estas características, precisam ainda fornecer para o titular o acesso gratuito e livre aos dados que contêm a seu respeito, as finalidades do tratamento e protegê-los para que não seja feito uso inadequado deles em seus processos de trabalho.

Uso de Dados tornados públicos por exigência legal

Um caso que merece atenção também é o de dados pessoais publicados em sites de órgãos governamentais, atendendo a exigências legais, tais quais os que são divulgados por motivo da Lei de Transparência.

Não se deve confundir dados pessoais divulgados para atender ao interesse público com “dados públicos”, que podem ser tratados para outros fins diferentes dos originais, como o de marketing.

Enriquecimento de Dados

Uma prática muito comum atualmente é o enriquecimento de dados a partir de fontes diferentes. Duas questões surgem neste processo: a primeira é se o titular dos dados pessoais coletados a partir de várias fontes diferentes tem seus direitos resguardados, se os dados não são utilizados para finalidades que precisariam do seu consentimento ou de informações sobre as bases legais em que se apoiam.

A segunda é que a lei determina que dados sejam protegidos, assim, as empresas que fazem o enriquecimento passam a ter a obrigação de zelar pelas novas informações que criam a respeito das pessoas naturais e são responsáveis em casos de vazamentos ou uso inadequado.

Desta forma, é urgente que as empresas que baseiam seus produtos e serviços no enriquecimento de dados revejam com seus jurídicos a fundamentação dos seus processos de trabalho e corrijam aqueles que não puderem ser mantidos à luz da nova legislação.

Agências de Publicidade e Marketing em face da LGPD

Agências de Publicidade e Marketing que, como operadoras, recebem de seus clientes bases de dados pessoais para uso em campanhas, deverão tomar os devidos cuidados na proteção dos dados e assegurar-se da legitimidade do seu uso. Como operadores, não deverão utilizar os dados pessoais caso alguma condição da lei não esteja sendo cumprida pelos controladores.

As agências deverão também implantar processos de segurança da informação e privacidade, pois o fato de poderem usar de forma legitima os dados pessoais fornecidos com os devidos consentimentos e bases legais, não as exonera da responsabilidade por eventuais vazamentos de dados e outras violações que tragam prejuízo aos seus titulares.

Muito cuidado deverá ser tomado com dados pessoais compartilhados por diferentes clientes, isolando-se devidamente seu uso de acordo com o estabelecido por seus controladores e sem incorrer em situações que caracterizam vazamento de dados e uso indevido.

Pela própria característica do serviço realizado pelas agências, que envolve ter acesso e tratar dados pessoais em alguma escala, mesmo sendo operadoras nos processos de marketing, seria oportuno manterem um encarregado pelo tratamento de dados pessoais e conscientizarem suas equipes sobre a lei.

Processo de Adequação

O processo de adequação do marketing da empresa à LGPD é basicamente um processo de mapeamento dos dados pessoais que trata e do ajuste desse tratamento de acordo com o que a lei estipula.

Bem como a implantação de medidas que garantam, daqui para frente, que os riscos de impactos negativos para os titulares dos dados pessoais estão sob controle e que as melhores práticas de segurança da informação e privacidade estão sendo aplicadas.

Futuro do setor de Marketing

A adequação à LGPD conduzirá o setor de marketing a um salto de maturidade no uso da Tecnologia da Informação. O setor não só trabalhará, como já faz hoje, com tecnologias de ponta, mas dominará também como lidar com os seus riscos.

Não há por que temer esta transição, pelo contrário, uma boa regulamentação, como a LGPD, propicia o desenvolvimento do mercado, impulsiona a inovação e quem souber se adequar, rapidamente verá o surgimento de muitas oportunidades.


Carlos é consultor em segurança da informação e gestão de riscos de TI pela IT Secure Consulting, participa da comissão de segurança da informação da Associação Brasileira de Normas Técnicas (ABNT) , ministra cursos sobre a Lei Geral de Proteção de Dados (LGPD) na Fundação Vanzolini e participa como instrutor nos cursos da ABNT sobre o Sistema de Gestão da Privacidade da norma ABNT NBR ISO/IEC 27701. Engenheiro por formação atua há 35 anos com tecnologia da informação e também é o responsável pela área de tecnologia da Alzahra Comunicação.

Copyright © 2020 Alzahra Comunicação • Todos os direitos reservados.