Escolar Documentos
Profissional Documentos
Cultura Documentos
Guia LGPD
Guia LGPD
Pedro H. Ramos
Sócio do Baptista Luz Advogados
Mestre em Direito e Desenvolvimento pela FGV/SP
2
SOBRE O AUTOR
3
INTRODUÇÃO
A publicidade digital tem ganhado cada vez mais holofotes desde que a União Europeia aprovou,
em 2016, a sua regulação geral de proteção de dados (conhecida mundialmente sob a sigla
GDPR), e que entrou em vigor no ano passado. A GDPR motivou discursos de pânico e
desinformação no setor de publicidade online desde sua publicação, em especial porque algumas
de suas principais premissas foram (e tem sido) mal interpretadas.
O fato de que algumas das ideias mais restritivas da GDPR foram transplantadas para diversas
legislações do mundo, acabou aproximando essa tendência de desinformação também no Brasil,
onde ano passado foi aprovada a nossa lei geral de proteção de dados (“LGPD”).
Nesse artigo, vamos esclarecer alguns desses mal-entendidos sobre proteção de dados e mídia
digital, apresentando de que forma o mercado pode não só sobreviver, como também crescer e
amadurecer muito com a legislação brasileira.
4
COMO A PUBLICIDADE
DIGITAL FUNCIONA?
A mídia digital é um negócio complexo, baseado Com o surgimento da internet comercial nos
numa cadeia de stakeholders extensa e cheia anos 1990, a publicidade contextual ganhou
de particularidades. No entanto, seus objetivos ainda mais importância: com sites de conteúdo
e premissas continuam sendo os mesmos de cada vez mais especializados, agências e
toda indústria de publicidade. anunciantes buscavam prever o público desses
sites, utilizando como referência o conteúdo de
O modelo de negócio de toda e qualquer mídia uma determinada página. Evidente, isso trazia
sempre foi baseado em dados, desde o início. um desafio: se o conteúdo de determinada
Como até mesmo escritores como Noam página (como um portal de notícias) muda
Chomsky reconhecem, se jornais vivessem frequentemente, ou se o usuário consegue
somente de assinaturas e o preço de venda, personalizar esse conteúdo através de sua
esses simplesmente faliriam. A publicidade interação com o site, como automatizar o
direcionada, baseada em dados, sempre foi a processo de inserção de publicidade, evitando
forma mais eficiente de permitir que as pessoas que agências precisem negociar pessoalmente,
tivessem acesso a conteúdo pagando menos, e espaço por espaço, com cada veículo?
pudessem ter acesso a anúncios mais
relevantes e valiosos para cada perfil. Quando Como resposta a esse desafio, surgem
a mídia digital surge nos anos 1990, essa ferramentas de tecnologia cujo objetivo
estrutura torna-se ainda mais radical, pois é principal é automatizar os processos de
nessa época em que se forma a ideia de todo identificação de conteúdo nas páginas e
um setor baseado na premissa de que o acesso entregar publicidade segmentada de acordo
a conteúdo deve ser o mais aberto, livre e com o conteúdo identificado. Por meio de
democrático possível, patrocinado por cookies, tags, gerenciadores de base de dados
empresas que estivessem dispostas a pagar e outras tecnologias, essas ferramentas não
pela atenção dos usuários e oferecendo buscavam redefinir o processo de negociação
anúncios personalizados e relevantes. de publicidade, mas tão somente automatizá-
lo. Surgem então tecnologias de publicidade
5
comportamental, que permitem a oferecer anúncios de maior relevância e úteis
identificação do histórico de navegação do para os usuários, com uma redução de custo
usuário e o processamento dessas informações para anunciantes e aumento de receitas para
em grandes bases de dados, de forma a veículos.
segmentar a entrega de publicidade
especificamente para aquele usuário que Em outras palavras, essas adtechs permitiram
atende ao perfil de determinado anunciante. o que hoje chamamos de compra de mídia
programática. Esse termo é, na verdade, um
Há, nesse momento, uma mudança gênero para diversas espécies de modelos de
paradigmática em relação ao valor da negócio e protocolos técnicos para compra
publicidade A qualidade do espaço publicitária automatizada de espaços de mídia, sendo o
disponibilizado por determinado veículo para a mais conhecido deles o leilão em tempo real
inserção de um anúncio (ex. a capa de um site, (real time bidding, “RTB”).
o banner central, etc.) perde cada vez mais
importância em precificação. De nada adianta O RTB é um modelo transformador para o
um banner numa página importante de um site, mercado, baseado em eficiência de custos e
se este anúncio não será relevante para a que ajudou o setor a ser mais assertivo e, ao
audiência. Essa transformação altera, inclusive, mesmo tempo, garantir que os usuários
a forma como os valores são cobrados na pudessem receber anúncios melhores e mais
publicidade online, que não são mais baseados atraentes. O modelo funciona, de forma bem
na posição de determinado anúncio em um site, simplificada, a partir de uma cadeia de dois
mas sim em modelos de monetização que lados, da seguinte forma:
contabilizam impressões (cost per mile,
“CPM"), cliques (cost per click, “CPC”) ou (i) no “lado da oferta”, um veículo (como
aquisições (cost per acquisition, “CPA”), um site ou aplicativo) disponibiliza seu
mostrando cada vez mais a posição central que inventário de espaços publicitários por
a audiência possui no processo de inserção de meio de soluções de software conhecidas
publicidade. como supply-side platforms (“SSP”);
Quando esse processo começa a evoluir nos (ii) essas SSPs vão enviar um pedido
anos 2010, novos atores começam a surgir para (conhecido como bid request), por conta
além da tríade anunciante/agência/veículo. e ordem do veículo, para um outro tipo de
Esse novo ecossistema, formado por empresas tecnologia, as ad exchanges;
que operam e distribuem tecnologias hoje
conhecidas como adtechs, oferece um (iii) as ad exchanges, por sua vez, vão
conhecimento ainda mais preciso para garantir solicitar que compradores realizem uma
que os dados capturados da audiência possam oferta para aquele espaço publicitário;
6
(iv) do outro lado da cadeia (o “lado da (viii) a DSP que oferecer o maior lance será
demanda”), possíveis compradores vencedora, e as tecnologias irão trabalhar
(anunciantes e agências de publicidade) para que o anúncio vencedor seja inserido
vão enviar as suas ofertas de compra por no espaço publicitário do publisher - todo
meio de tecnologias conhecidas como esse processo dura apenas alguns
demand-side platforms (“DSP”); milissegundos!
7
Em suma, o modelo acima funciona como mídia – o equivalente a mais de 16 bilhões
uma referência didática e ilustrativa para de reais. O modelo de compra direta, em que
entendermos as questões de proteção de a agência negocia diretamente com o
dados no ambiente de RTB, mas está longe veículo, representa hoje pouco menos de
de representar todo o ecossistema – que 22% os investimentos de publicidade – ou
está em constante evolução. Atualmente, o seja, a grande maioria do mercado utiliza-
investimento um publicidade online no Brasil se, direta ou indiretamente, de adtechs para
representar cerca de 33% do mercado de realizar a compra de mídia digital.
Ad Exchanges são plataformas de software que facilitam a compra e venda de inventário por
meio de leilões, com várias partes envolvidas, que incluem: anunciantes, veículos, ad networks
e plataformas de demanda (DSP).
Agency Trading Desks (ATDs) são empresas (ou uma divisão de uma empresa) focada na
operação de tecnologias de compra de mídia.
Demand Side Platforms (DSPs) são plataformas de software com foco no lado da demanda
(anunciantes, trading desks e agências), e que automatizam a compra de mídia junto a Ad
Exchanges e outras tecnologias.
Real Time Bidding (RTB) é uma modalidade de mídia programática, que se utiliza de um
protocolo para avaliação e realização de lances em impressões individuais em tempo real, no
ambiente de Ad Exchanges.
Supply Side Platforms (SSPs) são plataformas de software com foco no lado da oferta
(veículos), e que automatizam a venda de espaços publicitários junto a Ad Exchanges e outras
tecnologias.
8
QUAL A RELAÇÃO ENTRE MÍDIA
PROGRAMÁTICA E PROTEÇÃO DE DADOS?
9
atores que abusam do discernimento do legislações de proteção de dados, e uma
usuário e tentam difamar a mídia online por compreensão geral de que este momento é,
meio de tecnologias de ad blocking. na verdade, uma oportunidade para ganhar
a confiança dos usuários, incentivar boas
É importante ressaltar que, como já dito, as práticas e, ao final expurgar as práticas
tecnologias de mídia programática são, per abusivas de alguns poucos players. A
se, agnósticas. Por exemplo, o protocolo publicidade direcionada, quando feita
OpenRTB (principal protocolo técnico aberto de forma responsável, gera uma melhor
utilizado no mercado) não exige que você experiência para o usuário, um ganho
inclua User IDs em nenhum lance. Se uma efetivo para todo ecossistema de mídia
organização inclui informações em e incentiva a criatividade e inovação na
determinado bid request sem um indústria.
fundamento legal que a autorize a fazer isso
(“base legal”), isso não significa que a Alguns números mostram isso. Em pesquisa
tecnologia em si é ilegal. Seria o mesmo de da Data and Marketing Association mostra
culpar o Microsoft Excel por permitir que um que 71% dos profissionais de marketing do
usuário faça uma planilha de caixa 2 com o Reino Unido acreditam que a GDPR é uma
programa. Da mesma forma, a cadeia de oportunidade para aumentar a criatividade
mídia programática não é uma “zona livre de de campanhas publicitárias. A mesma
proteção de dados”, pois diversas melhoras associação reportou que, após um ano da
técnicas e operacionais tem sido GDPR, houve um aumento qualitativo nas
implementadas pelas empresas, com altos métricas de e-mail marketing, com avanços
gastos, para proteger a privacidade dos significativos das taxas de abertura (74%) e
usuários no ecossistema de mídia digital. cliques (75%) no último ano. Evidente, tudo
isso não significa que se adequar às
Evidente, é preciso reconhecer que há maçãs legislações de proteção de dados seja
podres, que utilizam de retargeting abusivo, simples. O custo e o tempo para adequação
pop-ups intrusivos e auto-plays irritantes e correta ainda são enormes.
que hoje estragam um pouco o valor da
publicidade para os usuários. Todavia, é Nos próximos tópicos, vamos explorar
importante reconhecer que essas são as alguns dos principais desafios para que
ovelhas negras de uma indústria que já vem anunciantes, agências, veículos e adtechs
há muitos anos condenando essas práticas. possam se adequar à LGPD, que entrará em
vigor em agosto de 2020.
No geral, o que temos visto é que há esforço
grande da indústria em se adequar às
10
O QUE É BASE LEGAL PARA
TRATAMENTO DE DADOS?
atentar que o consentimento genérico, sem pode ser desafiador no contexto da mídia
(i) manifestação livre: o usuário deve social e requer que o usuário realize um
11
meio de um opt-in em uma política de opt-out, mas há referências interessantes
privacidade, que deve ter disposições no mercado de avisos consistentes com a
razoáveis, claras e bem escritas sobre legislação e que criam uma boa
como e para que finalidades específicas experiência de usuário, incluindo o uso de
você irá utilizar os dados do usuário, plataformas de gestão de consentimento
incluindo como o usuário pode exercer (consent management platforms –
seus direitos. O consentimento, nesse CMPs), sobre as quais vamos falar mais
caso, pode ser documentado de forma pra frente. O próprio IAB disponibiliza
granular, o que garantiria ainda mais gratuitamente protocolos para
transparência para o usuário; implementação de um aviso de cookies
com ferramentas que permitem a
(ii) Agora, se você é um portal e, em geral, adequação a leis de proteção de dados –
não exige que os usuários realizem um padrão semelhante ao que tem sido
cadastro para usar seu site, você pode adotado pela própria autoridade britância
obter o consentimento por meio de um de proteção de dados.
aviso de cookies (cookies são
considerados dados pessoais tanto pela Não se deve começar a coletar dados pessoais
LGPD quanto pela GDPR, assim como antes do consentimento do usuário, e não se
qualquer outra tecnologia que atribua um deve coletar dados além daqueles para os
identificador único, mesmo que aleatório, quais foi dado o consentimento. A tabela
a um usuário). Sim, esses avisos abaixo resume alguns dos principais cuidados
costumam ser pouco atraentes para o que o setor de mídia deve ter ao obter o
usuário e, com poucas exceções, não consentimento dos usuários:
podem ser mecanismos meramente de
12
Além dos cuidados acima, é importante usuários que utilizem-se de adblockers
destacar que a experiência europeia, embora ou que não aceitem cookies de
mais rígida que o modelo brasileiro, pode publicidade, abordagem que tem sido
também trazer algumas reflexões práticas adotada por grandes veículos como o
importantes para publishers, como por Washington Post;
exemplo:
13
o legítimo interesse ou qualquer das outras oito explícita que a GDPR, inclusive. Mas,
bases. Ao fundamentar o tratamento dos dados naturalmente, a LGPD traz também todo um
com base no legíitmo interesse, não é cuidado para que esse tratamento não seja
necessário obter o consentimento do usuário. feito de forma abusiva ou sem qualquer
Entretanto, é sempre necessário identificar a explicação ao usuário.
base legais mais adequada ao contexto do
tratamento. A base legal do legitimo interesse oferece a
anunciantes uma maneira válida e legítima de
O legítimo interesse somente poderá garantir o tratamento de dados pessoais para
fundamentar o tratamento de dados para fins de publicidade, em especial nas situações
finalidades legítimas, consideradas a partir de em que o consentimento é pouco viável. Ainda,
situações concretas, respeitadas as legítimas essa base legal, após um teste de
expectativas do usuário e os direitos previstos proporcionalidade, permite o uso dos dados
na LGPD. A lei brasileira é muito clara ao prever para propósitos diferentes para os quais os
que o legítimo interesse pode, inclusive, dados foram originalmente coletados ou
legitimar e autorizar o tratamento de dados criados, enquanto o consentimento sempre vai
pessoais com os fins de apoio e promoção das exigir que as finalidades sejam previamente
atividades de uma empresa e, logo, a apresentadas e acordadas com o usuário.
realização de publicidade – de forma mais
14
Para o leitor atento, o teste acima traz uma publicidade própria em uma rede social,
inferência importante: o legítimo interesse da comunicando que um novo vídeo já está
empresa deve ser balanceado com as legítimas disponível no canal;
expectativas do usuário no uso dos seus dados
(iii) determinado usuário realizou, nas duas
e justifica-lo pode ser mais simples quando o
últimas semanas, diversas pesquisas de
controlador dos dados já possui uma relação
preço em um mesmo site de passagens
pré-estabelecida com o usuário, e mais
aéreas; o site, identificando que o preço
complexo quando não há essa relação. Na
da passagem desejada pelo usuário caiu
Europa, reguladores de proteção de dados tem
consideravelmente, resolve impactar o
usado as expressões marketing direto e
usuário com publicidade sobre essa
marketing indireto para diferenciar essas
passagem, por meio de uma rede de
situações (ainda que, no mundo da
anúncios.
publicidade, esses conceitos sejam aplicados
de maneira bem diferente). Isso não significa dizer que toda e qualquer
prática de marketing indireto seria considerada
Isso ocorre, em especial, quando vamos inválida dentro da LGPD – até porque o teste
analisar a legítima expectativa do usuário. Se de legítimo interesse acima descrito não exige
já existe uma relação pré-estabelecida esse relacionamento prévio. Muito pelo
(marketing direto), há uma série de situações contrário. Há diversas situações em que seria
concretas em que parece ser razoável defender razoável vislumbrar, no contexto do
a base legal do legítimo interesse na LGPD por tratamento dos dados, que dados pessoais
esta situação favorecer que haveria legítimas poderiam ser tratados para finalidades de
expectativas do usuário que seus dados marketing indireto, especialmente nos casos
poderiam ser utilizados para fins de marketing, em que o controlador dos dados não possui
como por exemplo: interface direta com o cliente – algo que ocorre
frequentemente em situações de prospecção
(i) um usuário já é consumidor de comercial e, claro, na mídia programática.
determinado site de e-commerce, e este
deseja enviar, por meio de e-mail Mais especificamente sobre esse campo,
marketing, ofertas de produtos parece-nos haver fortes argumentos para
semelhantes ao histórico de compra do sustentar o legítimo interesse como uma base
usuário; legal válida para fins de entrega de mídia
direcionada no âmbito da LGPD, ainda que não
(ii) um usuário é assinante de um canal de
haja um relacionamento prévio:
vídeo online, costuma assistir os vídeos
do canal com frequência, e o detentor do (i) Legitimidade. Anunciantes, agências,
canal deseja impactar este usuário com adtechs e veículos possuem um claro
15
interesse no uso de dados pessoais como
parte dos bid requests, já que, caso não Evidente, o quadro acima não justifica a
houvesse esse uso, o retorno sobre inclusão de todo e qualquer dado pessoal em
investimento seria certamente menor. E um bid request, já que a quantidade e os tipos
tal prática de marketing não é vedada pela de dados utilizados devem ser sempre
legislação, sendo, portanto, lícita; balanceados com os direitos e liberdades dos
titulares, devendo ser coletados e tratados
(ii) Necessidade. O consentimento, como
apenas os dados estritamente necessários para
vimos acima, nem sempre será possível
atingir as finalidades almejadas pelo empresa
obter; entretanto, sem dados pessoais, as
(princípio da necessidade), além de ser
empresas não seriam capazes de entender
simplista afirmar que toda e qualquer situação
as preferências dos usuários, e isso
concreta seria certamente válida dentro do
resultaria em um ciclo vicioso em que os
regime do legítimo interesse. Da mesma
anúncios seriam menos relevantes para os
forma, é um desafio de anunciantes e agências
usuários, gerando menos cliques e
criarem anúncios relevantes, criativos e que
conversões, o que levaria a menores
revertam a impressão negativa que compras
receitas com publicidade e,
indiscriminadas de base de dados e algumas
potencialmente, menos conteúdo gratuito
tecnologias de retargeting desqualificado e
à disposição dos usuários; portanto, é
intrusivo criaram junto a usuários, e pensarem
necessário tratar tais dados pessoais para
em formas claras e suficientes para descrever
uma efetiva entrega de conteúdo
para seus usuários, de forma transparente,
direcionado;
como funciona a cadeia de valor do mercado de
publicidade (na Inglaterra, somente 13% é desafiador, pois oferece uma oportunidade
gratuito a sites; nos EUA, 85% dos lado o hype do Big Data e focar no Good Data
usuários preferem acessar sites para entender melhor quais dados que estão
publicidade, do que sites pagos). Além valor para os usuários, assim como uma
usuários.
16
GARANTINDO A TRANSPARÊNCIA E O
CONTROLE DO USUÁRIO
Com o objetivo de balancear os direitos dos aumento das legítimas expectativas dos
titulares de dados com os interesses legítimos usuários. Finalmente, a Direct Marketing
dos controladores, as empresas precisam Association recentemente se uniu a
endereçar melhor a questão da transparência, Association of National Advertisers nos EUA
isto é, o que estão fazendo com os dados para também atualizar seus guias de
pessoais e o controle que os titulares possuem melhores práticas para o setor.
sobre essas decisões.
Após a GDPR, diversas plataformas tem
Essa é uma tendência que começou bem aumentado suas ferramentas de
antes da GDPR, com a Digital Advertising transparência e controle dos dados pessoais,
Alliance (DAA) que, em 2010, lançou o incluindo Facebook, Google e Verizon Media.
AdChoices, uma ferramenta acoplada a Muitas dessas ferramentas utilizam-se de dois
anúncios que permite ao usuário entender conceitos desenvolvidos recentemente, que
como o anúncio foi entregue a ele e, caso são os privacy dashboards e as consent
prefira, possa bloquear a entrega de anúncios management platforms.
semelhantes. Empresas como Google,
Microsoft, Facebook e Verizon Media aderiram Os Privacy Dashboards são ferramentas
aos princípios regulatórios da DAA e utilizam oferecidas por controladores e operadores de
ferramentas semelhantes ao Adchoices desde dados pessoais para garantir o cumprimento
então. Outra organização é a Trustworthy de direitos previstos em regulações como
Accountability Group, que se esforça para GDPR e LGPD. Esses direitos incluem a
promover recomendações de antifraude, confirmação da existência de tratamento, o
transparência e brand safety na indústria, acesso, correção, exclusão de dados,
práticas que podem apresentar soluções e portabilidade e revogação do consentimento,
métodos que provavelmente colaborariam entre outros. Diversos portais, software e
para um embasamento legal do tratamento aplicativos já oferecem seus próprios painéis
no legítimo interesse das empresas e um de controle para seus usuários e há,
17
atualmente, empresas que também Já as Consent Management Platforms (CMPs)
comercializam esses softwares para terceiros, são plataformas que podem ou não incluir
oferecendo aos usuários uma interface ferramentas de dashboards, mas que
amigável para o acesso e controle desses possuem como principal diferencial configurar
dados, como por exemplo: cookie notices em sites e aplicativos. Isso
permite a obtenção do consentimento dos
(i) acesso e explicação. Os privacy usuários em conformidade com as regulações
dashboards permitem ao usuário aplicáveis –o IAB, por exemplo, tem
acessar seus dados e entender disponibilizado gratuitamente artigos e
como esses estão sendo utilizados, protocolos técnicos para que empresas
podendo inclusive entrar em possam desenvolver suas próprias CMPs.
contato direto com o controlador
para solicitar informações; O gráfico na página seguinte explica um pouco
mais do fluxo típico dessas plataformas.
(ii) retificação, oposição e
cancelamento. Essas Finalmente o uso de políticas de
ferramentas também permitem privacidades claras, inteligentes e
que o usuário controle a sua compreensíveis para a maioria da população
privacidade, altere dados e até é um outro desafio. Há abordagens
mesmo cancele todo e qualquer interessantes, como aplicar os conceitos da
tratamento realizado por aquele Creative Commons para privacidade, a
controlador; e aplicação de conceitos de visual law,
geradores automáticos de políticas que
(iii) portabilidade. Por fim, algumas auxiliam startups sem recursos suficientes e
dessas plataformas já estão se exemplos de políticas que misturam gráficos,
adaptando e permitindo o imagens e textos de fácil compreensão para
download de seus dados para o auxiliar o entendimento do usuário. Aqui,
exercício do direito de mais uma oportunidade para não só a
portabilidade previsto na GDPR e indústria da publicidade, mas também o setor
também na LGPD. de advocacia repensar como oferecer a seus
clientes soluções fora do padrão juridiquês
que impera nesse mercado.
18
Gráfico 2. Exemplo de fluxo de Consent Management Platforms
19
MITIGANDO RISCOS DE TRATAMENTO
DE DADOS INVÁLIDOS
Pensando na complexa cadeia de atores com o usuário. Evidente, quem sofre mais
envolvendo a mídia programática, por mais exposição é o anunciante e os veículos, e é
que uma empresa faça sua lição de casa e preciso desenvolver mecanismos de boas
esteja com suas práticas adequadas dentro práticas para reduzir riscos de tratamentos
do cenário da LGPD, é sempre um desafio não-autorizados. Sobre este ponto também é
garantir que todos seus parceiros comerciais importante permitir que haja a
nesse ecossistema também estarão responsabilização correta daqueles agentes
cumprindo as regulações de privacidade e que realmente causaram os danos aos
proteção de dados. usuários.
Nesse sentido, um dos aspectos mais Um primeiro caminho que mitiga esses riscos
importantes da legislação brasileira é que, é a elaboração de acordos de tratamento
em caso de violação, a LGPD estabelece que de dados (também conhecidos em inglês
controladores e operadores de dados pela expressão data processing agreements).
pessoais podem ser solidariamente Esses acordos, que podem ser contratos
responsáveis. Trata-se de um regime autônomos ou mesmo anexos a outros
semelhante ao que ocorre no Código de contratos comerciais, estabelecem a relação
Defesa do Consumidor, em que qualquer entre controladores e operadores de dados
agente da cadeia de tratamento pode vir a pessoais. Assim, os data processing
ser responsabilizado perante os titulares, agreements limitam responsabilidades,
ainda que não tenham sido diretamente estabelecem padrões de conduta e, em
responsáveis pelo dano. especial, estabelecem penalidades em caso
de descumprimento das obrigações,
No contexto de mídia programática, este é permitindo o direito de regresso em caso de
um assunto gravíssimo. Os dados passam por responsabilização solidária por terceiros.
dezenas de empresas diferentes na cadeia,
muitas delas que se quer possuem interface
20
Um bom contrato desse tipo deveria conter legais quanto técnicos, e possuem como
cláusulas como: objetivo verificar se os parceiros estão em
conformidade com a legislação aplicável e
(i) a obrigação do operador de com as boas práticas de mercado
somente tratar os dados em relacionadas com o tratamento de dados
conformidade com as instruções pessoais. A constatação de alguma falha no
recebidas pelo controlador; tratamento pode levar a penalidades e até a
rescisão da relação comercial com esse
(ii) a obrigação de ambas as partes parceiro.
em manter os dados em sigilo e
utilizando-se de padrões Uma boa prática durante a negociação dos
adequados de segurança da acordos é requisitar ao parceiro que
informação; apresente evidências de que está em
conformidade com LGPD, ou está realizando
(iii) a obrigação do operador em seus melhores esforços para tanto, mas
colaborar, na medida do possível, garante que os dados serão tratados em nível
com o controlador no de segurança e proteção equivalente ao
cumprimento de suas obrigações estabelecido pela legislação. Isso pode ser
de proteção de dados; feito por meio de documentos executivos
que resumem o trabalho previamente
(iv) a obrigação do operador de desenvolvido de análises de impacto de
devolver e/ou excluir os dados ao proteção de dados, metodologia comumente
término do contrato. conhecida como Data Protection Impact
Assessment (“DPIA”). Apesar do DPIA não
Outras disposições importantes incluem ser obrigatório na LGPD, ele pode ser
cláusulas que garantem o direito de requisitado pelos reguladores, e já vem
auditoria em parceiros comerciais. Essas sendo requisitado pelo mercado.
auditorias podem focar tanto em aspectos
21
CONCLUSÃO: UMA
MENSAGEM PARA REGULADORES
22
que não agregue muito valor para os proteção dos dados pessoais dos
usuários e para a sociedade, gerando usuários; e
empregos, maior arrecadação de
impostos e sendo um dos setores que (iv) a publicidade online desempenha
mais cresce numa economia funções importantes para o
estagnada; desenvolvimento. No campo
econômico, estimula a demanda,
(ii) a mídia interativa tem um papel aumenta a concorrência, reduz custos
fundamental no caráter aberto e de distribuição e introduz novos
participativo da rede. Sem a produtos e serviços no mercado com
publicidade online, a internet poderia rapidez. No campo social, contribui
ser muito mais restrita, fatiada e com para o desenvolvimento do país,
custo muito mais alto para acesso ao informando sobre produtos e serviços
conhecimento. Em um país em que os de diferentes regiões de forma
níveis de educação ainda são baixos e o escalável e rompendo barreiras
custo de acesso à internet é alto em regionais e de renda.
relação à renda, financiar portais e
aplicativos por meio de publicidade Os próximos meses antes da vigência
ainda é um dos principais caminhos definitivo da LGPD serão desafiadores e
para redução de desigualdades no marcantes na constituição do modelo
acesso à rede; regulatório de proteção de dados brasileiro.
Nesta fase embrionária, é preciso
(iii) as associações e empresas do setor tem responsabilidade de governos, empresas e
desenvolvido sólidos trabalhos de boas sociedade civil em balancear todos esses
práticas e criação de padrões técnicos e aspectos, mas sempre com o objetivo comum
operacionais de privacy by design e de contribuir para o desenvolvimento
outras metodologias voltadas para a econômico e social do país. Sem dúvidas, um
grande desafio.
***
23
24