Escolar Documentos
Profissional Documentos
Cultura Documentos
As novas regulações forçam as organizações a criarem ordem sobre os dados que elas possuem, ao passo que esta ordem
habilita as organizações a obterem insights que antes estavam escondidos em informações desorganizadas. Por
consequência, além de garantir a proteção de direitos e liberdades fundamentais, se bem encarada, gera fomento ao
desenvolvimento econômico e tecnológico.
Concordando ou não com os impactos positivos, é fato que a adequação à lei implica em maior habilidade para continuar no
mercado. Operacionalmente, será muito difícil ignorá-la, uma vez que a LGPD, por meio especialmente da Autoridade
Nacional de Proteção de Dados Pessoais (ANPD), trará maior conscientização para as pessoas, que por sua vez estarão
mais atentas ao quanto as empresas com que se relacionam são bem sucedidas em garantir seus direitos como titulares de
dados.
Quais dados são afetados pela LGPD?
Talvez um dos aspectos mais interessantes da LGPD, inspirado na General Data Protection Regulation (GDPR), a
regulação de proteção de dados da União Européia, seja o escopo estendido do chamado PII (Personally Identifiable
Information — Informação Pessoal Identificável, em português).
O texto da lei define dado pessoal como “informação relacionada à pessoa natural identificada ou identificável”. Não se
limita, portanto, a nome, sobrenome, apelido, idade, foto, endereço residencial ou endereço de e-mail, mas pode incluir
também endereço de IP, dados acadêmicos, identificador de dispositivos, cookies, histórico médico, histórico de compras,
entre outros.
LGPD e Marketing
Ok, mas como isso impacta especificamente as iniciativas de marketing?
Essencialmente, a lei cobre qualquer dado que você esteja usando para atividades de marketing e vendas, redes sociais,
campanhas de geração de leads, eventos etc.
Não é segredo para ninguém que quase tudo o que fazemos no ambiente online é rastreado e usado para viabilizar o
direcionamento de mídia conforme navegamos na internet. Com a LGPD em vigor, anunciantes e publishers terão também
que solicitar permissão para registrar cookies nos navegadores de seus usuários.
Detalhando melhor esses impactos, descrevo a partir daqui três áreas da regulação que acredito que são aquelas que todo
profissional de marketing deve sempre se manter muito atento: consentimento, direitos dos titulares dos dados e princípios
do tratamento de dados.
A. Consentimento
Há um consenso no meio da privacidade e proteção de dados de que, em geral, consentimento é a justificativa mais
adequada para a maior parte das iniciativas de marketing, apesar de não ser a única base legal que justifica o tratamento de
dados pessoais (há outras 9 base aplicáveis que devem ser avaliadas para definição estratégica de enquadramento caso a
caso).
A LGPD define que o consentimento precisa ser uma “manifestação livre, informada e inequívoca pela qual o titular
concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.
Ou seja, profissionais de marketing não podem mais confiar, por exemplo, em formulários e outros processos de captação
de dados pessoais com opção de opt-in pré-selecionada. O usuário precisa explicitamente consentir com a coleta
(selecionando a caixa responsável por isso na interface em que estiver navegando). Essa coleta deve ter uma finalidade
específica e explicitamente informada.
O mesmo vale para a coleta de cookies de terceiros (como Facebook, Google, Retargeting, etc). Sua empresa precisará
implementar, no mínimo, o banner de consentimento em todas as suas propriedades digitais, além do painel de preferências
no qual o usuário poderá consentir livremente com todos os cookies, só alguns ou até mesmo rejeitar todos (com exceção
daqueles estritamente necessários para o funcionamento e que, portanto, não demandam o consentimento).
Ferramentas como CookieBot, OneTrust, Osano, Iubenda e Privacy Tools facilitam este processo.
Se sua empresa não está em conformidade com um desses elementos, os dados que atualmente sua empresa tem precisam
ser atualizados, o que significa que os titulares dos dados precisarão ser contatados e um novo consentimento precisa ser
solicitado. Caso contrário, você não poderá mais tratar estes dados para iniciativas de
marketing a partir da entrada em vigor da lei.
Genérico demais, certo? Em tese, sempre tivemos tais direitos. É aí que entra o artigo 18 para detalhar exatamente o que os
titulares podem obter do controlador (a empresa que está tratando seus dados):
E realmente é, mas lembre-se de que a conformidade com a LGPD não é de responsabilidade apenas de uma área, mas sim
de toda a empresa. Exercer o direito dos titulares não é uma exceção, mas o que nós como profissionais de marketing
podemos e devemos fazer para viabilizar que a empresa responda às requisições dentro do prazo definido?
2. Garanta que nenhuma base de contatos esteja por aí armazenada em arquivos de Excel desorganizados. Sua empresa
precisará encontrar rapidamente todas as informações referentes ao titular que solicitou confirmação da existência do
tratamento.
Sabe aquela base exportada do CRM que você usou para subir uma audiência customizada no Facebook Ads? Então,
verifique se sua empresa tem ferramentas e processos adequados para registrar esse rastro de movimentação dos dados entre
áreas, parceiros e ferramentas.
A definição de tais processos geralmente começa pelo mapeamento dos fluxos de dados existentes na organização e pela
documentação do inventário de dados, que deve ser sempre atualizado.
Essa atividade não é de responsabilidade apenas da sua área, mas é importante que você, como profissional de marketing
envolvido diretamente com o fluxo dos dados, tenha conhecimento prático deste processo para atuar colaborativamente com
a empresa.
Até aqui você já deve ter percebido que a adequação à lei implica em maior complexidade operacional mas também pode
beneficiar a inteligência das suas iniciativas envolvendo dados. Você poderá inclusive disparar uma notificação para sua
base com a finalidade de corrigir os gaps de informação, de forma justa, abordando o Art. 18. Benéfico para as duas partes.
Nestes casos, o dado será removido da sua esteira de tratamento para marketing (em outras palavras, você como profissional
de marketing não mais poderá utilizá-lo), mas a sua empresa poderá manter este dado para outras finalidades legítimas.
Informação das entidades públicas e privadas com as quais o controlador realizou uso
compartilhado de dados
Este talvez seja um dos direitos mais complexos de garantir nas atividades de tratamento de dados para marketing. Os
titulares têm o direito de saber, desde a coleta, com quem seus dados são compartilhados.
Aqui entra forte o princípio da transparência: não vale mais informações genéricas como “compartilhado com terceiros”.
Você precisará informar isso muito claramente no formulário, no banner de consentimento do site e nas políticas de
privacidade e de cookies.
Agora, sabe aquele plano de mídia digital com dezenas de veículos (como Facebook, Google, Criteo, Oath, Afiliados, etc.)?
Então, você precisará listá-los no momento da coleta e manter essa lista atualizada nas suas políticas enquanto houver uso
compartilhado de dados.
Pensando aqui no exemplo específico do plano de mídia, complicado atualizar com frequência as políticas manualmente,
certo? Mas para facilitar este processo existem ferramentas que dinamizam essa atualização, como é o caso da solução
italiana Iubenda.
Revogação do consentimento
O titular pode a qualquer momento revogar o consentimento por meio gratuito e facilitado (como no formulário “DSAR”
apresentado neste artigo). Como consequência, as atividades de tratamento que eram legitimadas por este consentimento
devem ser interrompidas.
1. Finalidade: toda atividade de tratamento de dados pessoais deve ser realizada com propósitos legítimos, específicos e
informados ao titular.
2. Adequação: uma vez que a finalidade para o tratamento é bem determinada, este tratamento deve se manter compatível
com o que foi informado ao titular. Nada de, por exemplo, usar cookies para criar campanhas de retargeting quando o
consentimento foi obtido apenas para disparo de newsletters.
3. Necessidade: o tratamento deve se manter limitado ao mínimo necessário para a realização da finalidade informada. Sabe
aquela história de colocar mais campos no formulário pensando que no futuro aquilo pode ser útil? Então, isso não só gera
custos operacionais e tende a prejudicar suas taxas de conversão, como também se tornará ilegal.
O planejamento adequado da atividade de tratamento aqui é essencial.
4. Livre Acesso: é mandatório garantir ao titular a consulta facilitada e gratuita sobre a forma e a duração do tratamento,
bem como da integralidade (precisão e consistência) de seus dados pessoais.
5. Qualidade: também é necessário garantir a exatidão, clareza, relevância e atualização dos dados de acordo com a
necessidade e para o cumprimento da finalidade do tratamento. Nessa altura você já entendeu qual é o caminho do titular
para fazer valer seus direitos.
6. Transparência: conforme os exemplos que trouxe neste texto, é essencial fornecer ao titular informações claras, precisas
e facilmente acessíveis sobre a atividade de tratamento de seus dados e os agentes envolvidos.
7. Segurança: a empresa precisa demonstrar que é capaz de utilizar medidas técnicas e administrativas para proteger os
dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.
Sabe aquele arquivo Excel com dados de clientes navegando pelas caixas de e-mails dos colaboradores da empresa? Sua
empresa precisará definir processos e garantir a infraestrutura tecnológica necessária para evitar ao máximo, por exemplo,
“vazamento” desses dados.
8. Prevenção: aqui tem uma sobreposição com os demais princípios, em especial o de segurança. Basicamente, a empresa
precisa adotar medidas para prevenir eventuais danos decorrentes do tratamento de dados pessoais. Aqui vai desde evitar
“vazamento”, o que pode acarretar em desdobramentos indesejáveis, até evitar, por exemplo, comunicações que possam
prejudicar uma pessoa.
Você talvez se lembre do caso da Target (a rede varejista americana) que “descobriu”, por meio de análise de dados e da
criação de um score de probabilidade de gravidez, que uma adolescente estava grávida e enviou para a casa de sua família
cupons com ofertas de roupas de bebê e berços.
A história conta que o pai da adolescente ainda não tinha ciência de que um bebê estava a caminho e, claro, ficou
constrangido com o fato. É exatamente esse tipo de desdobramento que deve ser evitado.
9. Não discriminação: esse é óbvio: o tratamento de dados não deve ser utilizado para fins discriminatórios ilícitos ou
abusivos.
10. Responsabilização e prestação de contas: não basta tomar as medidas para garantir a conformidade com a lei, a
empresa precisa saber demonstrar a eficácia das medidas adotadas e a adequação às normas. Será papel da ANPD exigir
isso.
Entendi a teoria, mas quais são os primeiros passos práticos?
● Se sua empresa já nomeou um encarregado de proteção de dados (que a lei pede no artigo 41), verifique com ele como
está o programa de adequação e se já existe um planejamento com fases bem definidas para que você possa,
inclusive, saber em quais etapas pode contribuir ativamente.
● Na estrutura de marketing, sugiro começar pelo mapeamento dos fluxos de dados da sua empresa. Fluxo de dados nada
mais é que o caminho que os dados percorrem nas áreas da empresa, em parceiros e sistemas. Você pode usar ferramentas
como Lucidchart, Draw.io e Office Visio para desenhar esses fluxos. Você vai encontrar exemplos para se familiarizar
buscando no Google Imagens por “GDPR Dataflow”.
● Agora, após o desenvolvimento destes documentos (que precisarão se manter atualizados), você deve avaliar quais são os
riscos e brechas possíveis que possam ferir os direitos dos titulares que foram apresentados neste artigo. Aqui a avaliação é
caso a caso e não é uma tarefa fácil. Você precisará exercitar o entendimento desses direitos e conversar com outras pessoas
envolvidas com os fluxos de dados que você mapeou para entender onde há riscos.
● As primeiras atividades acima vão se desdobrar em uma série de iniciativas de adequação, o que pode envolver revisão de
contratos, criação de políticas de privacidade e de cookies, conversas com fornecedores, implementação de sistemas que vão
te ajudar a garantir o direito dos titulares (como o banner de coleta de consentimento, o painel de gestão de preferências, o
“DSAR” e a ferramenta de gestão de consentimento) e por aí vai.
● Lembre-se de que marketing é apenas um dos departamentos envolvidos com os fluxos de dados da empresa. Você tem
um papel importante nesse processo, mas não deve atuar sozinho. Tudo começa com o comprometimento da alta gestão
para garantir o engajamento de todos os departamentos, de RH, financeiro e jurídico à tecnologia, marketing e gestão de
projetos.
A atitude de deixar para depois, neste caso, pode significar perda de vantagem competitiva e dificuldade para lidar com o
público quando as requisições começarem a chegar. Entendo como muito necessário não só iniciar desde já o estudo dos
processos e tecnologias que vão auxiliar na adequação, mas também educar todas as áreas da empresa envolvidas com os
fluxos de dados. Sem dúvida nenhuma, a área de marketing não poderá ficar de fora disso.