LGPD E MARKETING: GUIA PRÁTICO PARA O

PROFISSIONAL DE MARKETING DIGITAL

Três quartos de nós não confiam nas empresas para fazer a coisa certa com nossos endereços de e-mail, números de
telefone, preferências e detalhes bancários. Eu acho isso chocante.”  Elizabeth Denham, Comissária de Informação do
Reino Unido
 
Se você tem clientes no Brasil ou tem dados de pessoas localizadas no Brasil (como funcionários, por exemplo), não
importando onde sua empresa está localizada, você definitivamente precisa se adequar à Lei Geral de Proteção de Dados
Pessoais (LGPD). Em caso de não adequação, você estará mais exposto às sanções da regulação.
Apesar de eventualmente não ser a pior das sanções, sua empresa poderá ser multada em 2% de seu faturamento, podendo
chegar a R$50 milhões.
Em determinados casos, pode ser pior: uma atividade específica de tratamento de dados pode ser bloqueada. Sua empresa
pode ser proibida, por exemplo, de coletar endereços de e-mail em campanhas de mídia de performance.
Tem outras sanções possíveis, mas apesar de causarem medo, é muito importante ressaltar o outro lado da moeda em
relação à LGPD. Sim, ela tem um lado muito positivo.

As novas regulações forçam as organizações a criarem ordem sobre os dados que elas possuem, ao passo que esta ordem
habilita as organizações a obterem insights que antes estavam escondidos em informações desorganizadas. Por
consequência, além de garantir a proteção de direitos e liberdades fundamentais, se bem encarada, gera fomento ao
desenvolvimento econômico e tecnológico.
Concordando ou não com os impactos positivos, é fato que a adequação à lei implica em maior habilidade para continuar no
mercado. Operacionalmente, será muito difícil ignorá-la, uma vez que a LGPD, por meio especialmente da Autoridade
Nacional de Proteção de Dados Pessoais (ANPD), trará maior conscientização para as pessoas, que por sua vez estarão
mais atentas ao quanto as empresas com que se relacionam são bem sucedidas em garantir seus direitos como titulares de
dados.
Quais dados são afetados pela LGPD?
Talvez um dos aspectos mais interessantes da LGPD, inspirado na General Data Protection Regulation (GDPR), a
regulação de proteção de dados da União Européia, seja o escopo estendido do chamado PII (Personally Identifiable
Information — Informação Pessoal Identificável, em português).
O texto da lei define dado pessoal como “informação relacionada à pessoa natural identificada ou identificável”. Não se
limita, portanto, a nome, sobrenome, apelido, idade, foto, endereço residencial ou endereço de e-mail, mas pode incluir
também endereço de IP, dados acadêmicos, identificador de dispositivos, cookies, histórico médico, histórico de compras,
entre outros. 

LGPD e Marketing
Ok, mas como isso impacta especificamente as iniciativas de marketing?
Essencialmente, a lei cobre qualquer dado que você esteja usando para atividades de marketing e vendas, redes sociais,
campanhas de geração de leads, eventos etc.

Não é segredo para ninguém que quase tudo o que fazemos no ambiente online é rastreado e usado para viabilizar o
direcionamento de mídia conforme navegamos na internet. Com a LGPD em vigor, anunciantes e publishers terão também
que solicitar permissão para registrar cookies nos navegadores de seus usuários.
Detalhando melhor esses impactos, descrevo a partir daqui três áreas da regulação que acredito que são aquelas que todo
profissional de marketing deve sempre se manter muito atento: consentimento, direitos dos titulares dos dados e princípios
do tratamento de dados.
A. Consentimento
Há um consenso no meio da privacidade e proteção de dados de que, em geral, consentimento é a justificativa mais
adequada para a maior parte das iniciativas de marketing, apesar de não ser a única base legal que justifica o tratamento de
dados pessoais (há outras 9 base aplicáveis que devem ser avaliadas para definição estratégica de enquadramento caso a
caso).

A LGPD define que o consentimento precisa ser uma “manifestação livre, informada e inequívoca pela qual o titular
concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.

Ou seja, profissionais de marketing não podem mais confiar, por exemplo, em formulários e outros processos de captação
de dados pessoais com opção de opt-in pré-selecionada. O usuário precisa explicitamente consentir com a coleta
(selecionando a caixa responsável por isso na interface em que estiver navegando). Essa coleta deve ter uma finalidade
específica e explicitamente informada.

O mesmo vale para a coleta de cookies de terceiros (como Facebook, Google, Retargeting, etc). Sua empresa precisará
implementar, no mínimo, o banner de consentimento em todas as suas propriedades digitais, além do painel de preferências
no qual o usuário poderá consentir livremente com todos os cookies, só alguns ou até mesmo rejeitar todos (com exceção
daqueles estritamente necessários para o funcionamento e que, portanto, não demandam o consentimento).

Ferramentas como CookieBot, OneTrust, Osano, Iubenda e Privacy Tools facilitam este processo.
Se sua empresa não está em conformidade com um desses elementos, os dados que atualmente sua empresa tem precisam
ser atualizados, o que significa que os titulares dos dados precisarão ser contatados e um novo consentimento precisa ser
solicitado. Caso contrário, você não poderá mais tratar estes dados para iniciativas de
marketing a partir da entrada em vigor da lei.

B. Direitos dos titulares dos dados

O texto da lei define, no artigo 17, que toda pessoa natural tem assegurada a titularidade de seus dados pessoais e que estão
garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade.

Genérico demais, certo? Em tese, sempre tivemos tais direitos. É aí que entra o artigo 18 para detalhar exatamente o que os
titulares podem obter do controlador (a empresa que está tratando seus dados):

Confirmação da existência do tratamento

Como o próprio nome sugere, o titular tem o direito de solicitar à empresa a confirmação de que trata ou não seus dados.
Essa confirmação pode ser simplificada, com apenas o “sim” ou “não”, caso esse em que a resposta deve ser dada de forma
imediata; ou pode ser em formato de declaração completa, que indique a origem dos dados, a inexistência de registro, os
critérios utilizados e a finalidade do tratamento. Neste último caso, a resposta deve ser enviada no prazo máximo de 15 dias
após a solicitação do titular.

Parece complexo operacionalizar isso em caso de grande volume de requisições, não é?

E realmente é, mas lembre-se de que a conformidade com a LGPD não é de responsabilidade apenas de uma área, mas sim
de toda a empresa. Exercer o direito dos titulares não é uma exceção, mas o que nós como profissionais de marketing
podemos e devemos fazer para viabilizar que a empresa responda às requisições dentro do prazo definido?

Vamos às principais ações:

1. O titular precisa de um canal de fácil acesso para fazer a solicitação. Você não quer correr o risco de que os titulares
façam esse tipo de solicitação pelo canal comercial (aquele que você recebe prospects, por exemplo) e que a sua empresa
acabe não lidando adequadamente com o assunto, certo?
Caso não queira desenvolver sua própria solução de atendimento especializado, há dezenas de ferramentas que facilitam a
implementação deste canal. Há desde soluções nacionais como Privacy Tools até internacionais como OneTrust. Você vai
encontrar soluções do tipo buscando por “DSAR” (Data Subject Access Request).

2. Garanta que nenhuma base de contatos esteja por aí armazenada em arquivos de Excel desorganizados. Sua empresa
precisará encontrar rapidamente todas as informações referentes ao titular que solicitou confirmação da existência do
tratamento.
Sabe aquela base exportada do CRM que você usou para subir uma audiência customizada no Facebook Ads? Então,
verifique se sua empresa tem ferramentas e processos adequados para registrar esse rastro de movimentação dos dados entre
áreas, parceiros e ferramentas.

A definição de tais processos geralmente começa pelo mapeamento dos fluxos de dados existentes na organização e pela
documentação do inventário de dados, que deve ser sempre atualizado.

Essa atividade não é de responsabilidade apenas da sua área, mas é importante que você, como profissional de marketing
envolvido diretamente com o fluxo dos dados, tenha conhecimento prático deste processo para atuar colaborativamente com
a empresa.

Acesso aos dados

Da mesma forma que no primeiro direito citado, o titular pode requisitar o acesso a uma cópia de todos os seus dados em
uma versão simplificada de forma imediata ou em formato completo, que deve ser entregue em até 15 dias.

Correção de dados incompletos, inexatos ou desatualizados

Imagine que um lead na sua base recebeu um e-mail marketing de parabenização pelo aniversário dele mas na data errada.
Isso poderia facilmente ser um gatilho para o lead exercer seus direito de solicitar a correção de seus dados.

Até aqui você já deve ter percebido que a adequação à lei implica em maior complexidade operacional mas também pode
beneficiar a inteligência das suas iniciativas envolvendo dados. Você poderá inclusive disparar uma notificação para sua
base com a finalidade de corrigir os gaps de informação, de forma justa, abordando o Art. 18. Benéfico para as duas partes.

Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em

desconformidade
A qualquer momento, o titular tem o direito de pedir anonimização, bloqueio ou eliminação de seus dados caso sejam
considerados desnecessários ou excessivos para a finalidade do tratamento aceita no momento da coleta ou caso não seja
justificável por nenhuma base legal (como o consentimento).
Portabilidade dos dados a outro fornecedor de serviço ou produto
Ele também pode solicitar que sua empresa compartilhe seus dados em formato estruturado, em linguagem comum e de
forma legível em qualquer computador, para outros fornecedores de serviços ou produtos.

Eliminação dos dados pessoais tratados com o consentimento do titular

No caso de tratamento de dados com a finalidade de marketing, a qualquer momento o titular do dado pode solicitar a
eliminação de seus dados. Esse direito parece redundante com o último que vou abordar nesta seção (revogação do
consentimento), mas haverá casos onde o mesmo dado que o titular solicitou a exclusão será importante para outras
atividades de tratamento da empresa com finalidade legítima ( veja o Art. 7º ), como para cumprimento de obrigação legal
ou regulatória.

Nestes casos, o dado será removido da sua esteira de tratamento para marketing (em outras palavras, você como profissional
de marketing não mais poderá utilizá-lo), mas a sua empresa poderá manter este dado para outras finalidades legítimas.

Informação das entidades públicas e privadas com as quais o controlador realizou uso
compartilhado de dados
Este talvez seja um dos direitos mais complexos de garantir nas atividades de tratamento de dados para marketing.  Os
titulares têm o direito de saber, desde a coleta, com quem seus dados são compartilhados.

Aqui entra forte o princípio da transparência: não vale mais informações genéricas como “compartilhado com terceiros”.
Você precisará informar isso muito claramente no formulário, no banner de consentimento do site e nas políticas de
privacidade e de cookies.

Agora, sabe aquele plano de mídia digital com dezenas de veículos (como Facebook, Google, Criteo, Oath, Afiliados, etc.)?
Então, você precisará listá-los no momento da coleta e manter essa lista atualizada nas suas políticas enquanto houver uso
compartilhado de dados.

Pensando aqui no exemplo específico do plano de mídia, complicado atualizar com frequência as políticas manualmente,
certo? Mas para facilitar este processo existem ferramentas que dinamizam essa atualização, como é o caso da solução
italiana Iubenda.

Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da

negativa
A transparência aqui também é o principal princípio aplicado. Sua empresa deve informar claramente quais são as
consequências em caso do não fornecimento do consentimento, como menor customização da experiência, limitação de
acesso à áreas que demandem este consentimento, dentre outras.
Mas lembrando que você não pode bloquear o acesso a um conteúdo público pela ausência do consentimento sem uma
justificativa legítima. O consentimento não pode ser “forçado”.

Revogação do consentimento
O titular pode a qualquer momento revogar o consentimento por meio gratuito e facilitado (como no formulário “DSAR”
apresentado neste artigo). Como consequência, as atividades de tratamento que eram legitimadas por este consentimento
devem ser interrompidas.

C. Princípios do tratamento de dados pessoais

O artigo 6º da lei destaca a importância de “observar a boa-fé” e descreve 10 princípios que devem ser respeitados. Esses
princípios são essenciais de serem compreendidos pois eles permeiam todas as demais definições da LGPD e são
fundamentais para que, inclusive, a autoridade nacional possa criar as boas práticas de implementação e padrões técnicos
mínimos.
Além disso, no dia a dia das atividades de marketing, a clareza sobre a definição de cada um desses princípios pode servir
como bússola para ajudar a tomar decisões adequadas de forma ágil.

1. Finalidade: toda atividade de tratamento de dados pessoais deve ser realizada com propósitos legítimos, específicos e
informados ao titular.
2. Adequação: uma vez que a finalidade para o tratamento é bem determinada, este tratamento deve se manter compatível
com o que foi informado ao titular. Nada de, por exemplo, usar cookies para criar campanhas de retargeting quando o
consentimento foi obtido apenas para disparo de newsletters.
3. Necessidade: o tratamento deve se manter limitado ao mínimo necessário para a realização da finalidade informada. Sabe
aquela história de colocar mais campos no formulário pensando que no futuro aquilo pode ser útil? Então, isso não só gera
custos operacionais e tende a prejudicar suas taxas de conversão, como também se tornará ilegal.
O planejamento adequado da atividade de tratamento aqui é essencial.

4. Livre Acesso: é mandatório garantir ao titular a consulta facilitada e gratuita sobre a forma e a duração do tratamento,
bem como da integralidade (precisão e consistência) de seus dados pessoais.
5. Qualidade: também é necessário garantir a exatidão, clareza, relevância e atualização dos dados de acordo com a
necessidade e para o cumprimento da finalidade do tratamento. Nessa altura você já entendeu qual é o caminho do titular
para fazer valer seus direitos.
6. Transparência: conforme os exemplos que trouxe neste texto, é essencial fornecer ao titular informações claras, precisas
e facilmente acessíveis sobre a atividade de tratamento de seus dados e os agentes envolvidos.
7. Segurança: a empresa precisa demonstrar que é capaz de utilizar medidas técnicas e administrativas para proteger os
dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.
Sabe aquele arquivo Excel com dados de clientes navegando pelas caixas de e-mails dos colaboradores da empresa? Sua
empresa precisará definir processos e garantir a infraestrutura tecnológica necessária para evitar ao máximo, por exemplo,
“vazamento” desses dados.

8. Prevenção: aqui tem uma sobreposição com os demais princípios, em especial o de segurança. Basicamente, a empresa
precisa adotar medidas para prevenir eventuais danos decorrentes do tratamento de dados pessoais. Aqui vai desde evitar
“vazamento”, o que pode acarretar em desdobramentos indesejáveis, até evitar, por exemplo, comunicações que possam
prejudicar uma pessoa.
Você talvez se lembre do caso da Target (a rede varejista americana) que “descobriu”, por meio de análise de dados e da
criação de um score de probabilidade de gravidez, que uma adolescente estava grávida e enviou para a casa de sua família
cupons com ofertas de roupas de bebê e berços.

A história conta que o pai da adolescente ainda não tinha ciência de que um bebê estava a caminho e, claro, ficou
constrangido com o fato. É exatamente esse tipo de desdobramento que deve ser evitado.

9. Não discriminação: esse é óbvio: o tratamento de dados não deve ser utilizado para fins discriminatórios ilícitos ou
abusivos.
10. Responsabilização e prestação de contas: não basta tomar as medidas para garantir a conformidade com a lei, a
empresa precisa saber demonstrar a eficácia das medidas adotadas e a adequação às normas. Será papel da ANPD exigir
isso.
Entendi a teoria, mas quais são os primeiros passos práticos?
● Se sua empresa já nomeou um encarregado de proteção de dados (que a lei pede no artigo 41), verifique com ele como
está o programa de adequação e se já existe um planejamento com fases bem definidas para que você possa,
inclusive, saber em quais etapas pode contribuir ativamente.

● Na estrutura de marketing, sugiro começar pelo mapeamento dos fluxos de dados da sua empresa. Fluxo de dados nada
mais é que o caminho que os dados percorrem nas áreas da empresa, em parceiros e sistemas. Você pode usar ferramentas
como Lucidchart, Draw.io e Office Visio para desenhar esses fluxos. Você vai encontrar exemplos para se familiarizar
buscando no Google Imagens por “GDPR Dataflow”.

Imagem desenvolvida por Lucidchart. Template disponível no artigo de Nathan Cooper

● Feito o desenho dos fluxos de dados, agora você tem um suporte visual detalhado para documentar o inventário de dados.
Esse documento tem um papel importante não só para cumprir o exigido no artigo 37 da LGPD (que pede para manter um
registro das operações de tratamento de dados) mas também para organizar, dar visibilidade e, consequentemente,
possibilitar a priorização das atividades que precisam ser adequadas com mais urgência. Tem uma série de softwares (como
você pode ver nesse relatório da Associação Internacional de Profissionais de Privacidade) e até mesmo modelos em Excel
que podem te ajudar nesse processo. Você vai encontrar referências buscando pelo termo “Data Mapping”.

● Agora, após o desenvolvimento destes documentos (que precisarão se manter atualizados), você deve avaliar quais são os
riscos e brechas possíveis que possam ferir os direitos dos titulares que foram apresentados neste artigo. Aqui a avaliação é
caso a caso e não é uma tarefa fácil. Você precisará exercitar o entendimento desses direitos e conversar com outras pessoas
envolvidas com os fluxos de dados que você mapeou para entender onde há riscos.

● As primeiras atividades acima vão se desdobrar em uma série de iniciativas de adequação, o que pode envolver revisão de
contratos, criação de políticas de privacidade e de cookies, conversas com fornecedores, implementação de sistemas que vão
te ajudar a garantir o direito dos titulares (como o banner de coleta de consentimento, o painel de gestão de preferências, o
“DSAR” e a ferramenta de gestão de consentimento) e por aí vai.

● Lembre-se de que marketing é apenas um dos departamentos envolvidos com os fluxos de dados da empresa. Você tem
um papel importante nesse processo, mas não deve atuar sozinho. Tudo começa com o comprometimento da alta gestão
para garantir o engajamento de todos os departamentos, de RH, financeiro e jurídico à tecnologia, marketing e gestão de
projetos.

Pontos finais na relação da LGPD e Marketing

As responsabilidades da empresa perante a LGPD vão muito além do citado aqui. Diversas outras áreas da regulação têm
grande impacto sobre toda a operação. Entretanto, as três áreas exploradas nesse artigo são, sem dúvida, o ponto de partida
que todo profissional de marketing deveria considerar para posteriormente se aprofundar no estudo.

A atitude de deixar para depois, neste caso, pode significar perda de vantagem competitiva e dificuldade para lidar com o
público quando as requisições começarem a chegar. Entendo como muito necessário não só iniciar desde já o estudo dos
processos e tecnologias que vão auxiliar na adequação, mas também educar todas as áreas da empresa envolvidas com os
fluxos de dados. Sem dúvida nenhuma, a área de marketing não poderá ficar de fora disso.