bit.ly/2PAwH8d | A Lei Geral de Proteção de Dados Pessoais (LGPD), que é a Lei nº 13.709, sancionada em agosto de 2018, regula importantes questões relacionadas aos dados pessoais.

Isso irá gerar um forte impacto em todas as atividades empresariais, com grande destaque para aquelas relacionadas a marketing e vendas.

A nova regra começa a valer em agosto de 2020, o que significa um tempo total de 2 anos — a partir de quando foi publicada — para as empresas se adequarem a esta nova realidade do mundo dos dados.

Este tempo pode até parecer longo.

Porém, se considerarmos tudo que envolve de alterações nos contextos jurídicos, tecnológicos e de condutas diárias das empresas, o tempo é curto.

De forma objetiva e relevante, este artigo aborda tudo o que você, empreendedor, precisa ter em mente ao construir um modelo mental de negócios guiado para a proteção de dados.

Contexto Geral

Cibernética e mundo data-driven

Estamos vivendo a Era da 4ª Revolução Industrial, guiada pela Cibernética.

Isso gera uma grande quantidade de dados, mas muitas pessoas não param para interpretar o que isso significa.

Estamos atualmente no mundo “data-driven” (guiado por dados), o que muda totalmente a lógica da tecnologia, da sociedade e de como fazer negócios.

No mundo do compartilhamento, as máquinas compartilham dados entre elas e com os humanos.

Os humanos também compartilham dados entre eles (vide as redes sociais).

O que isso significa?

Quase tudo neste contexto acontece muito mais rápido e é potencialmente escalável.

Neste cenário, é possível criar do zero uma startup e ela, em 5 anos, valer mais de 15 bilhões de dólares, por exemplo.

Da mesma forma, um dado pessoal desprotegido também pode gerar danos complexos ao seu titular.

Cambridge Analytica

Em um cenário de grande quantidade de dados, a capacidade da manipulação de uma significativa quantidade de pessoas virou notícia por todo o mundo com a empresa de dados Cambridge Analytica.

Esta empresa utilizou de forma indevida os dados de mais de 87 milhões de usuários do Facebook (e também de seus respectivos amigos nessa rede social).

De acordo com os fatos, isso acarretou em uma importante manipulação para a eleição do presidente norte-americano, Donald Trump, e também para o Brexit — saída do Reino Unido da União Europeia.

Inclusive, os EUA multaram Facebook em 5 bilhões de dólares por violar privacidade dos usuários.

A famosa rede social também já recebeu diversas outras penalizações de fiscalizações de outros países pelo mesmo motivo.

Este escândalo envolvendo o Facebook é considerado o divisor de águas no assunto “proteção de dados” no mundo todo.

Lei de Proteção de Dados Europeia (GDPR)

O General Data Protection Regulation (GDPR ou Regulamento Geral de Proteção de Dados da Europa), proposto em 2012 e aprovada pela União Europeia (UE) em abril de 2016, passou a valer em maio de 2018.

Esta nova regra influenciou o Brasil a criar sua própria Lei Geral de Proteção de Dados Pessoais (LGPD).

Isso foi necessário pois, sem uma lei regulando o uso dos dados, nosso país teria um descompasso muito grande quanto às boas práticas de tratamento de dados, principalmente se fizéssemos uma comparação entre as empresas internacionais (já submetidas a este tipo de regulação) com as nacionais.

Inclusive, a LGPD é uma cópia de boa parte do que foi estabelecido pela GDPR européia, demonstrando mais uma vez a influência da legislação do Velho Continente aqui no Brasil.

Para que serve a Lei Geral de Proteção de Dados Pessoais (LGPD)?

O grande objetivo da LGPD é aumentar o controle dos usuários sobre os próprios dados pessoais, tornando os processos de tratamento dos dados mais seguros e transparentes.

Quais dados a LGPD protege?

A Lei Geral de Proteção de Dados Pessoais protege todos os dados das pessoas — online ou offline — que as identifiquem ou possam identificá-las.

Portanto, não abrange os dados de empresas ou de robôs, nem os dados anônimos.

São exemplos de dados pessoais: nome/apelido; telefone, e-mail, endereço, localização, dados comerciais, número de IP, instalação de cookies, entre outros.

Neste contexto, há um estímulo ao uso anônimo ou anonimizado dos dados das pessoas, o que inclusive ainda é muito precioso para estabelecer, por exemplo, diversos coortes (conjunto de pessoas com características semelhantes) para segmentação de públicos/clientes.

Dados Sensíveis

Os dados sensíveis, como o próprio nome diz, são dados pessoais que tratam de informações mais delicadas de uma pessoa.

Eles podem gerar a elas maiores riscos, preconceitos ou situações delicadas, como etnia, raça, religião, participação em sindicatos, posicionamento filosófico ou político.

Também se refere a dados relacionados à saúde ou à vida sexual e dados genéticos ou biométricos.

Agentes de Tratamento de Dados

A LGPD considera, em sentido amplo, como “agentes de tratamento de dados” todos aqueles (pessoas ou empresas) que tratam os dados das pessoas.

Nesse caso, o “controlador” é aquele que decide como os dados serão coletados e tratados.

Já o “operador” é quem realiza o tratamento de dados pessoais em nome do controlador.

O que é Tratamento dos Dados?

Tratamento dos dados nada mais é do que qualquer uso dos dados das pessoas.

Como exemplo, a Lei Geral de Proteção de Dados Pessoais menciona:

Coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

A LGPD se aplica a quem?

A LGPD deve ser observada por todos os empreendedores.

Não importa o porte/tamanho, desde que coletem e/ou tratam dados pessoais no Brasil, ou que tenham atividade em nosso país.

É importante lembrar que os dados pessoais não se referem apenas aos dados dos clientes, mas também dos colaboradores e fornecedores.

Todas as atividades que lidam com dados pessoais devem se adequar à LGPD.

Importância dos Dados Pessoais para o Marketing e Vendas

Tanto o marketing quanto a venda de produtos e serviços, neste contexto de atividades guiadas por dados, buscam, cada vez mais, personalizar a experiência do cliente, objetivando aumentar a relevância da marca/produto/serviço na mente do consumidor e gerar, assim, maior eficiência nas estratégias digitais e comerciais.

A precisão dos dados de cada lead ou cada consumidor é fundamental para traçar as diversas estratégias da cada uma das fases do funil de vendas e da jornada do cliente.

Neste contexto, é muito comum a pergunta: A LGPD acabou com o marketing digital?

A resposta é: Não!

Porém, é necessário mudar todo o padrão de processos de coleta e utilização dos dados dos clientes, colaboradores e fornecedores.

Questões de Marketing e Vendas para ter atenção

A LGPD estabelece, em seu art. 7º, as 10 hipóteses permitidas para o tratamento de dados.

Isso significa que o uso dos dados pessoais de alguém devem estar fundamentados em uma destas hipóteses.

Eles podem ser:

Consentimento, cumprimento de obrigação legal, execução de políticas públicas, estudos por órgãos de pesquisa, execução de contratos (ou questões pré-contratuais), exercício regular de direitos, proteção da vida, tutela da saúde, interesse legítimo do controlador ou de terceiro e proteção ao crédito.

É importante entender que, para a aplicação dessas hipóteses, é necessária uma interpretação jurídica (hermenêutica) do conjunto de todas as leis e do contexto de aplicação, juntamente com a atenção aos entendimentos da Autoridade Nacional de Proteção de Dados — ANPD (algo que ainda será construído ao longo dos próximos meses e anos).

De todo modo, trarei a seguir alguns pontos de atenção.

Com clientes

É muito comum o empreendedor tentar enquadrar todas as situações de tratamento de dados no consentimento do cliente.

Afinal, era assim que se fazia na maioria das vezes antes da criação das leis de proteção de dados.

Mas é preciso ter atenção.

Não é qualquer tipo de consentimento que possui valor jurídico, conforme a LGPD.

Para valer, este consentimento deve ser:

• Livre: a pessoa não pode ter sido obrigada a concordar contra a vontade dela;
• Informado: a pessoa deve saber quais dados serão usados, quais as finalidades do uso, por quanto tempo os dados serão usados e para quem estes dados são compartilhados;
• Inequívoco: sem ambiguidade ou dúvida;
• Destacado: algo relacionado ao UI (User Interface) e UX (User Experience), com atenção para que o local de “aceite” tenha  destaque significativo.

Inclusive, cabe ao empreendedor que coletou/tratou os dados da pessoa provar o cumprimento de todos os requisitos deste consentimento.

Neste contexto, os empreendedores precisam entender que é necessário ter completa transparência nos tratamentos dos dados, sendo, inclusive, direito do titular dos dados pessoais, a qualquer tempo, negar/permitir e pedir remoção completa de todos os dados dele.

O cliente deve sempre ser informado de qualquer mudança no uso dos dados (termos de uso, uso dos dados, compartilhamento com novos parceiros, entre outros quesitos).

Com colaboradores

Quando se fala na temática de proteção de dados, muitas pessoas se esquecem que colaboradores também são pessoas e, como tais, possuem dados protegidos pela LGPD.

Apesar de haver uma tendência natural de se encaixar o tratamento dos dados dos colaboradores também no campo do consentimento, esta é uma escolha perigosa.

Devido a este motivo, é importante a interpretação jurídica do “todo”, porque, com relação aos empregados, há, por exemplo, a chamada hipossuficiência, que é a consideração pelo Direito de que não há um nível de igualdade entre o empregador e o empregado.

Por isso, na Europa, por exemplo, algumas empresas foram multadas ao usar o consentimento para tratar dos dados dos colaboradores.

Neste caso, tem-se utilizado mais a hipótese do legítimo interesse para fundamentar estes casos.

Tratarei mais adiante sobre alguns pontos desta questão.

Pode parecer confuso. Eu sei.

Mas o que você, empreendedor, precisa saber desta situação é que a aplicação da LGPD não é automática, precisa de interpretação do Direito de uma forma completa.

Com parceiros/fornecedores

Neste ponto, você precisa entender que a LGPD estabeleceu a Responsabilidade Solidária entre aqueles que compartilham os dados.

Isso significa que, uma violação de dados do seu parceiro pode resultar em responsabilidade sua, para uma base de dados compartilhada entre vocês.

Essa questão é significativa no contexto do marketing e de vendas.

Afinal, é muito comum o compartilhamento de “listas” de leads entre diversos parceiros.

Porém, com a LGPD, você precisa escolher parceiros que tratam os dados corretamente.

Caso contrário, ambos podem ser expostos/punidos.

Legítimo interesse

Em relação ao assunto legítimo interesse como fundamentação do tratamento dos dados pessoais, é importante que você, empreendedor, entenda alguns pontos fundamentais.

Neste caso, não é necessário consentimento, basta informar e dar ciência ao usuário.

Por outro lado, destaco novamente que é algo interpretativo e precisa de ponderação — pesar entre os objetivos do uso e a proteção dos dados do usuário.

A interpretação sobre os contornos do uso do legítimo interesse não é algo que está pronto e 100% definido.

Ainda será construída pela Autoridade Nacional de Proteção de dados (ANPD).

No entanto, não significa um cheque em branco no qual se encaixa todas as hipóteses de tratamento de dados.

É importante se atentar neste caso, em que todos os passos dos tratamentos dos dados devem estar detalhadamente registrados.

Pode haver, inclusive, fiscalização da ANPD, bem como esse registro pode ser usado como documento de defesa, em caso de ações judiciais.

Veja ainda que, na Europa, apenas 5% dos dados são tratados por consentimento, enquanto 70% deles ocorrem por legítimo interesse.

Vazamento de Dados

É importante você entender que proteger os dados adequadamente não é o bastante.

Também é necessário criar um plano de ação para reduzir danos, caso haja algum vazamento ou uso inadequado.

Por isso, é preciso estabelecer como o usuário será mais rapidamente informado de problemas com seus dados pessoais (sim, ele deve ser informado!).

Penalidades

O não cumprimento da Lei de Proteção de Dados Pessoais pode trazer grandes problemas em três tipos de penalidades.

LGPD

Se forem pegos pela fiscalização, os empreendedores que descumprirem o que está estabelecido na LGPD podem sofrer diversas penalidades estabelecidas na lei.

Entre elas:

• Advertência;
• Multa de 2% do faturamento anual (ou até R$50 milhões) por infração;
• Obrigação de informar aos usuários e ao mercado sobre as infrações;
• Bloqueio e/ou eliminação dos dados pessoais envolvidos e suspensão;
• Proibição parcial/total de atividades relacionadas a uso de dados pessoais.

Lei reputacional

Além destas punições, é importante você entender que esta Lei é “reputacional”. Ou seja, gera consciência nas pessoas da importância do tratamento adequado dos dados.

Isso significa que, ter os próprios dados tratados da forma correta, passa a ser importante fator de boa percepção do usuário da experiência dele.

A questão do User Experience (UX) é afetada significativamente a partir disso.

Neste contexto, incidentes de vazamentos e tratamentos inadequados dos dados podem gerar perda de clientes, de parceiros e até mesmo de melhores colaboradores.

Pode até decretar o fim de um negócio.

Assim, o tratamento adequado dos dados estará relacionado com a honestidade da empresa como um todo.

Responsabilidade Civil (indenizações)

O tratamento inadequado dos dados pessoais certamente fundamentará Ações Judiciais de Responsabilidade Civil (indenizações).

Isso acontece porque a proteção dos dados pessoais passa a ser tratada pelo Direito como algo fundamental à dignidade das pessoas.

A tendência é surgir uma nova “indústria dos danos morais”, como ocorre no Direito do Consumidor.

Programa Jurídico de Proteção de Dados

Os conhecimentos jurídicos certamente são importantes para as adequações do negócio à LGPD.

Isso passa por uma assessoria jurídica especializada em proteção de dados, uma análise de riscos de Segurança da Informação, um programa de compliance (conformidade) específico e adequação de Termos de Uso, Política de Privacidade e demais documentações.

Muito além do Jurídico

A adequação jurídica é importante, sobretudo para as interpretações corretas e atualizações de documentos.

Contudo, é muito importante a utilização de tecnologias para adequar o negócio à LGPD.

Neste contexto, o lado tech da adequação é importante para:

• Monitoramento e gerenciamento do caminho dos dados;
• Demonstrar o consentimento  livre, informado, inequívoco e destacado;
• Fazer a cibersegurança.

Dicas finais

Finalizo este texto com importantes dicas relacionadas à adequação da LGPD nos contextos de marketing e vendas.

Listas frias: ruins para a experiência do usuário e agora, são ILEGAIS.

Opção: usar Lookalike no Facebook.

Compartilhamento de listas: apenas se comprovadamente permitidas, para parceiros previamente informados ao usuário, tendo objetivos de uso previamente informados de forma detalhada.

Privacy by Design ou privacidade desde sua concepção: crie produtos/serviços que já levem em conta desde a concepção, a proteção dos dados.

Privacy by Default ou privacidade como padrão: estabeleça a proteção de dados como o padrão de todos os seus produtos/serviços.

Dado possui data de validade: Você precisa entender que os dados vencem após determinado prazo, ou seja, quando você coletar os dados deve estabelecer até quando utilizará ele (e informar isso aos titulares destes dados).

Proteção de dados deve ser pensada como parte da experiência do usuário: as pessoas vão escolher os negócios que tratam melhor os dados delas.

Escolha parceiros que tratam os dados corretamente: assim você evita problemas jurídicos e reputacionais futuros.

Entenda os caminhos dos dados: Identifique quais dados pessoais você tem e onde eles estão; gerencie como os dados pessoais são usados e acessados; estabeleça controles de segurança para prevenir, detectar e responder às vulnerabilidades e violações de dados; responda às solicitações de dados, reporte as violações de dados e mantenha a documentação necessária.

E você… Quer saber mais sobre o assunto? Baixe aqui o e-book completo e saiba tudo sobre LGPD e proteção de dados nos seus negócios!

Fonte: www.resumocast.com.br