LGPD: o que diz a lei de proteção de dados e como ela pode impactar a sua estratégia de marketing

LGPD é a sigla para Lei Geral de Proteção de Dados Pessoais do Brasil. O principal objetivo da LGPD é dar às pessoas maior controle sobre suas próprias informações. A lei estabelece regras para empresas e organizações sobre coleta, uso, armazenamento e compartilhamento de dados pessoais, impondo multas e sanções no caso de descumprimento.

O objetivo deste post é meramente informativo – não prestamos consultoria jurídica nem nos responsabilizamos por medidas que possam ser adotadas por terceiros.

O aumento exponencial de novas tecnologias, como Big Data e Inteligência Artificial, contempla avanços tecnológicos significativos para o mundo. Contudo, ao passo em que tais avanços podem ser utilizados para o bem, podem ser utilizados para o mal também. Muitas práticas que utilizam dados pessoais, começaram a ficar cada vez mais invasivas e discriminatórias, o que fortaleceu o debate quanto à necessidade de regulamentação em práticas envolvendo o uso de dados pessoais.

No Brasil, essa tendência também ganhou espaço. Após oito anos de debates e redações, em 14 de agosto de 2018, o presidente Michel Temer sancionou a Lei Geral de Proteção de Dados Pessoais do Brasil (LGPD), Lei 13.709/2018. A lei entrou em vigor em 18 de setembro de 2020, com a entrada em vigor das multas ficando para agosto 2021. Em janeiro de 2022, foram publicadas novas regras específicas para pequenas empresas, que você lerá mais adiante neste post.

Com a LGPD, o país entra para o rol dos 120 países que possuem lei específica para a proteção de dados pessoais. A nova lei irá preencher lacunas para substituir e/ou complementar a estrutura de mais de 40 diplomas legais que, de forma esparsa, regulamentam o uso de dados no país hoje.

Como principal influência para a criação e maturação da LGPD, tem-se o GDPR (General Data Protection Regulation), que entrou em vigor no ano passado e regulamenta a questão para os países europeus. É a mais significante legislação recente sobre privacidade de dados, que passou a servir de modelo para muitos outros países adotarem disposições semelhantes ou reforçarem políticas pré-existentes.

Quem são os atores envolvidos?

A LGPD prevê algumas definições e papéis que você deve compreender:

• O titular de dados: é a pessoa a quem se referem os dados pessoais;
• Controlador: uma empresa pode ser considerada controladora quando toma as decisões em relação ao uso dos dados pessoais que possui (obs: utilizamos o termo “empresa”, como um exemplo. A LGPD determina que o controlador pode ser uma pessoa natural ou jurídica, de direito público ou privado. Além de empresas, estão submetidos à LGPD: organizações, ONGs, órgãos da administração pública etc.);
• Operador: é a empresa que apenas irá realizar o processamento de dados de acordo com as ordens do controlador, sem poder de decisão sobre o uso dos dados;
• Encarregado (DPO): é um novo cargo previsto na lei. O encarregado (ou Data Protection Officer) é a pessoa nomeada pelo controlador para coordenar as ações de adequação interna da empresa, além de atuar como canal de comunicação com o titular e com a Autoridade Nacional de Proteção de Dados (ANPD).

Para exemplificar a correlação entre estes atores na prática: a sua empresa possui uma base de leads. Ao enviar email marketing para estes contatos, está tomando a decisão em relação ao uso dos dados (portanto, controladora). Além disso, a sua empresa contratou um fornecedor de serviços de armazenamento em nuvem, nesse caso, o serviço de armazenamento será considerado um operador de dados para a sua empresa.

Como isso se aplica à RD Station, clientes e parceiros?

A RD Station (empresa) é considerada controladora de dados, enquanto o RD Station (software) é considerado operador de dados dos nossos clientes e parceiros. Caso você queira saber mais sobre o que a RD está fazendo em relação à LGPD, confira a nossa Central de Proteção de Dados.

O que diz a LGPD?

Na mesma linha do regulamento europeu, a LGPD muda a forma de funcionamento e operação das organizações, ao estabelecer regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo um padrão mais elevado de proteção e penalidades significativas para o não cumprimento da norma.

Caso você esteja começando no tema, seguem alguns conceitos introdutórios importantes:

Dados pessoais

A lei entende por “dados pessoais” qualquer informação capaz de identificar ou tornar identificável uma pessoa. Você pode não saber o nome ou o email de determinado usuário que navega pelo website da sua empresa, mas se você possuir dados de navegação (cookies, por exemplo), você poderá impactá-la com publicidade online. Nesse caso, os dados de cookies são considerados dados pessoais, pois tornam o usuário identificável.

Tratamento de dados

Sabemos que a LGPD se aplica a todas as operações de tratamento de dados pessoais, mas o que isso significa? Tratamento é toda operação realizada com dados pessoais, como a coleta, classificação, utilização, acesso, reprodução, processamento, armazenamento, eliminação, controle da informação, entre outros.

Princípios

A lei elenca 11 princípios que as organizações devem obedecer quanto ao tratamento de dados. Os princípios são uma espécie de “melhores práticas”, mas são de cumprimento obrigatório por todas as empresas que devem se adequar à lei.

Bases legais

As bases legais são hipóteses da LGPD que autorizam o tratamento de dados pessoais. A partir do momento em que a LGPD entrar em vigor, empresas que utilizarem dados pessoais sem uma base legal adequada, estarão tratando dados de forma ilegal.

Impactos para o Marketing da sua empresa

Como o Marketing pode trabalhar dentro de seus limites para garantir que o valor seja recebido? Escrevemos um post bem importante com 5 dicas para times de Marketing, vale a pena conferir.

A tendência é que as empresas busquem utilizar métodos mais limpos e naturais para alcançar pessoas. Isso não significa que os profissionais de marketing irão parar de trabalhar com os dados, longe disso: a geração de Leads não só continua sendo possível, como amplamente realizada, mas é necessário tomar alguns cuidados.

Apesar das grandes mudanças impostas pela lei, a nova dinâmica de regulamentação pode ser vista como uma oportunidade única e, inclusive, positiva. O profissional de marketing mais estratégico verá isso como um momento empolgante para repensar e evoluir suas táticas, de modo a gerar valor para o cliente através do reconhecimento de suas preferências, interações mais significativas e transparentes.

Como fica o Inbound Marketing?

Por sua natureza, o Inbound Marketing busca alinhar o conteúdo produzido com os interesses do consumidor para, de forma natural e espontânea, atrair e conquistar a permissão de se comunicar com seu potencial cliente. Assim, o Lead consente ativamente apenas com aquilo que desejar, criando um vínculo de confiança para um relacionamento que é interesse de ambas as partes.

A aplicação da metodologia de Inbound Marketing, se feita corretamente e em atenção às regras de transparência, minimização do uso de dados e o consentimento explícito, permitirá a coleta de informações do consumidor e da empresa de forma legal e efetiva. Abaixo estão algumas dicas práticas.

Marketing de Conteúdo

O Marketing de Conteúdo deve ganhar força e terá importância ainda maior daqui para a frente. Os argumentos em favor dessa prática não mudaram, apenas são reforçados. Através da publicação de conteúdo original e relevante, as marcas podem construir um relacionamento mais natural e ativo com os seus potenciais clientes.

O objetivo aqui será promover o engajamento, a construção de uma relação de interesse de ambas as partes. Empresas que aprendem a falar aquilo que o seu público quer escutar (não apenas aquilo que deseja falar), fidelizam pessoas à marca e faz com que estejam mais propensas a fornecerem seus dados para continuar recebendo conteúdos.

Nessa linha, a ideia de fornecer experiências valiosas baseadas em conteúdo, em que os dados são dados de maneira voluntária, confiante e ativa, é um dos caminhos para não apenas cumprir, mas também prosperar nesta nova dinâmica de negócios.

Geração de Leads

A geração de Leads por meio de campanhas de Inbound Marketing ainda será possível e amplamente utilizada, mas há dois principais cuidados a serem tomados pelos profissionais de Marketing:

1. A sua base de Leads precisa de bases legais

Para que as suas estratégias de geração de Leads estejam adequadas à LGPD, você precisa garantir que estes contatos possuam uma base legal adequada. Ou seja, uma hipótese da lei que autorize a sua empresa a utilizar estes dados.

Para Marketing, existem duas bases legais que tendem a ser mais utilizadas, são elas:

• Consentimento (através do uso de um checkbox, por exemplo)
• Legítimo Interesse (casos em que a obtenção de consentimento não é necessária).

A escolha de bases legais é um assunto extremamente importante para o Marketing. Entender as melhores práticas e as formas mais efetivas de adequação são decisivas para garantir que as estratégias de geração de leads não só estejam adequadas à lei, mas também para que sigam performando bem e com boas métricas.

Elaboramos um artigo completo sobre os impactos da LGPD para geração de Leads, em que trazemos várias dicas para te ajudar na adequação.

2. Seja data-driven, e não data-hungry

A sua empresa é movida por dados, ou é faminta por dados? Nem sempre quantidade é qualidade, já parou para pensar? Justamente com o intuito de acabar com a coleta desenfreada de dados, a LGPD traz o princípio da necessidade, que prevê que devem ser coletados apenas os dados estritamente necessários para atingir a finalidade pretendida.

Ou seja, um dado pode ser ou não considerado necessário, dependendo de cada caso de uso específico. O que isso significa na prática? Se um eCommerce tem um processo comercial 100% digital, onde não há qualquer possível interação via telefone, por exemplo, este eCommerce não deve tornar obrigatório para que os compradores forneçam seus telefones no momento da compra.

Email Marketing

É hora de deixar as suas listas de emails precisas e atualizadas. O objetivo aqui, novamente, é garantir que você envie emails apenas para os contatos que possuírem uma base legal (hipóteses da lei que autorizam empresas a utilizarem dados pessoais), para se comunicar com os contatos da sua bases.

Seguem algumas dicas para você ter em mente:

• Evite ou deixe de lado estratégias em massa e invasivas, como cold mailing. Práticas como essas podem oferecer um alto risco de não adequação à LGPD.
• Há vida além das compras de listas! Conquiste a sua base de contatos. Leads engajados são um ótimo cenário para a LGPD. Se quiser mantê-los engajados. A sua empresa fala o que quer falar, ou o que o consumidor quer ouvir?

Caso ainda não tenha iniciado, o primeiro passo é organizar a casa: entender e adequar a sua base de contatos à LGPD.

Cookies

“Aceita um ?????” – essa talvez seja a pergunta mais recorrente na internet ultimamente, já reparou?

Os cookies são pequenos arquivos de texto que ficam salvos no navegador. São criados em sites salvando a navegação do usuário, e podem possuir diferentes finalidades, como: melhorar a velocidade da página e evitar que o usuário precise repetir ações como preencher formulários, cookies para fins de marketing (através destes, é possível que uma empresa exiba anúncios personalizados para você, de acordo com os seus interesses), dentre outros.

Ok, mas o que os cookies têm a ver com a LGPD? Bom, a nova lei não menciona expressamente os casos de uso de cookies, diferentemente das normas europeias que possuem regras muito específicas e detalhadas.

Basicamente, você tem visto banners de cookies em todos os lugares, por alguns motivos, por exemplo:

• Transparência: a transparência é um dos princípios da LGPD. As empresas precisam deixar muito claro como estão usando os seus dados, e para quais finalidades (incluindo os dados de cookies). Por isso, à primeira vista, os banners podem parecer irritantes, mas eles são feitos pensando em você. <3
• Bases legais: uma empresa pode solicitar consentimento para uso de cookies, ou pode também se valer da base legal do legítimo interesse. De todo modo, o banner de cookies cumpre o papel de ser uma ferramenta para adequação de bases legais (ou seja, é uma forma de a empresa garantir que está utilizando os dados de cookies dentro da lei.

Gestão de dados

Onde a sua empresa mantém os dados pessoais que possui? Em muitas ferramentas distintas? Planilhas? Documentos físicos? Se sim, saiba que organizar os seus dados pode poupar você de uma boa dor de cabeça.

Isso porque a LGPD prevê uma série de direitos aos usuários, para que passem a ter maior controle sobre as suas próprias informações. Por exemplo: qualquer contato da sua empresa tem o direito de solicitar o acesso ou a remoção de todas as informações mantidas dessa pessoa específica, em todos os sistemas e processos da organização.

O acesso aos dados pessoais do consumidor deve ser fornecido de forma clara e completa em até 15 (quinze) dias da data da solicitação.

Uma das soluções para esse ponto é ter uma boa governança de dados pessoais, Armazenar e gerir os dados em única plataforma capaz de hospedar o registro de bases legais e preferência de cada usuário, por exemplo.

Ter a centralização de dados em uma única plataforma, ou em plataformas integradas, além de auxiliar no acompanhamento, alteração e atualização de todos os seus dados de permissões, é também um modo de facilitar a comprovação do cumprimento à norma.

LGPD: conheça as novas regras para pequenas empresas

A Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela regulamentação e fiscalização da Lei Geral de Proteção de Dados (LGPD), publicou, em 28/01, um conjunto de novas regras para desburocratizar e flexibilizar a adequação de pequenas e médias empresas à lei. Neste artigo, iremos mostrar a quem se aplicam as novas regras e quais as principais mudanças para estas empresas.

A quem se aplicam as novas regras da LGPD para pequenas empresas

Em linhas gerais, as novas regras se aplicam aos agentes de tratamento de pequeno porte. São eles: 

• microempresas e empresas de pequeno porte, 
• startups;
• organizações sem fins lucrativos.

Existem exceções?

Sim, existem exceções. Os agentes de pequeno porte não terão os benefícios de flexibilização em dois principais cenários:

1. Tratamento de dados de alto risco

As novas regras não são aplicáveis quando o tratamento for considerado de alto risco para os titulares. Um tratamento pode ser considerado de alto risco quando atender, cumulativamente, a pelo menos um critério geral e um critério específico:

Critérios gerais

• quando o tratamento de dados pessoais for realizado em larga escala;
• o tratamento de dados pessoais pode afetar significativamente interesses e direitos fundamentais dos titulares.

Critérios específicos

• uso de tecnologias emergentes ou inovadoras;
• vigilância ou controle de zonas acessíveis ao público;
• decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular;
• utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

Ainda assim, existe considerável margem para interpretação do que pode ou não ser considerado tratamento de alto risco. Por esse motivo, consta na Resolução que a ANPD poderá disponibilizar guias e orientações com o objetivo de auxiliar os agentes de tratamento de pequeno porte na avaliação do tratamento de alto risco.

É importante registrar que para caracterizar um tratamento em larga escala devem ser considerados fatores como: o número de titulares, o volume de dados pessoais envolvidos, duração, frequência e extensão geográfica do tratamento realizado.

2. Receita bruta superior ao limite permitido

Também não estão incluídas nas novas regras as empresas que auferirem receita bruta superior ao limite permitido:

• para empresas de pequeno porte: receita bruta superior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais), em cada ano-calendário;

• para startups: receita bruta superior a R$ 16.000.000,00 (dezesseis milhões de reais) no ano-calendário anterior;
• ou também no caso de a empresa pertencer a grupo econômico cuja receita global ultrapasse os limites referidos acima.

O que muda na LGPD para as pequenas empresas?

Dentre as principais obrigações suavizadas a partir das novas regras, temos:

Encarregado de Proteção de Dados (DPO)

Os agentes de pequeno porte não precisarão mais indicar um encarregado de Proteção de Dados. Até então, a indicação de um encarregado era obrigatória independente do porte da empresa. Apesar da mudança, a ANPD informa que a nomeação deste profissional, mesmo que não obrigatória, é vista como uma boa prática de governança.

Importante destacar que a empresa de pequeno porte que não indicar um encarregado deve disponibilizar um canal de comunicação com o titular de dados para aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências.

Prazos

A partir de agora, os agentes de pequeno porte passam a gozar de flexibilizações também em relação aos prazos. Vejamos dois exemplos:

• prazo em dobro para atender às solicitações dos titulares sobre o tratamento de seus dados pessoais. A LGPD prevê, como regra geral, um prazo de 15 dias. A partir das com as novas regras, os agentes de pequeno porte podem atender a estas solicitações em até 30 dias;
• prazo em dobro para comunicar a ocorrência de incidente de segurança (desde que não tenha risco de comprometer a integridade dos titulares ou a segurança nacional).

A definição de alguns prazos ainda segue pendente de regulamentação pela ANPD.

Registro de atividades de tratamento

A LGPD prevê que agentes de tratamento, no geral, devem guardar registros de todas as suas operações de tratamento de dados pessoais. A operacionalização desta obrigação pode ser um desafio e tanto, considerando, por exemplo, a necessidade de guarda de registros de todo o ciclo de vida dos dados pessoais, a finalidade do tratamento, a descrição de categorias de dados pessoais, medidas de segurança, períodos de retenção e exclusão, informações sobre gestão de terceiros etc.

Uma das mudanças previstas é a simplificação do registro das atividades de tratamento, a partir de um modelo que será disponibilizado. Contudo, este ponto ainda depende de regulamentação e da disponibilização do referido modelo.

Segurança

A Resolução prevê, ainda, requisitos mais brandos no que diz respeito à segurança da informação:

• permite às empresas a criação de uma Política de Segurança da Informação simplificada;
• determina que os agentes de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias. Aqui, é importante lembrar que, em outubro de 2021, a ANPD publicou um Guia Orientativo sobre Segurança da Informação para agentes de tratamento de pequeno porte, contendo um conjunto de medidas mínimas necessárias
• a ANPD disporá sobre a flexibilização ou procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte, tal mudança, contudo, este ponto segue pendente de regulamentação

Cumpre destacar: as novas regras não isentam as empresas de pequeno porte do cumprimento dos demais dispositivos da LGPD, incluindo mas não se limitando às bases legais, princípios e direitos dos titulares.

A LGPD ficou mesmo mais simples para pequenas empresas?

De um lado, a flexibilização de determinados requisitos da LGPD cumpre um papel importante na desburocratização e viabilização da adequação de agentes de tratamento de pequeno porte. Caso estas empresas precisassem adotar as medidas originalmente previstas na LGPD na sua completude, potencialmente teriam impactos operacionais e financeiros desnecessários.

Apesar da boa notícia, ainda há um longo caminho pela frente. É possível perceber que as novas regras deixam uma série de pontos em aberto, que vêm levantando dúvidas e gerando incerteza. 

Como vimos, seguem pendentes definições específicas de tratamento de alto risco, especificidades sobre a simplificação dos registros das atividades de tratamento ,sobre a simplificação do processo de comunicação de incidentes, incertezas sobre determinados prazos, dentre outros pontos. 

Assim, é necessário que tais lacunas sejam preenchidas o quanto antes, para que as novas regras tragam mais benefícios do que riscos e insegurança jurídica.