Artigos

LGPD e Marketing: guia prático para o profissional de marketing digital

LGPD e Marketing: se você tem clientes no Brasil ou tem dados de pessoas localizadas no Brasil, você precisa se adequar à Lei Geral de Proteção de Dados Pessoais

 

Este artigo foi escrito em co-autoria com a Looptimize como parte de uma sequência de textos que visa cobrir aspectos comumente ignorados em jornadas online dos usuários. 

———

 

Três quartos de nós não confiam nas empresas para fazer a coisa certa com nossos endereços de e-mail, números de telefone, preferências e detalhes bancários. Eu acho isso chocante.” Elizabeth Denham, Comissária de Informação do Reino Unido

 

Se você tem clientes no Brasil ou tem dados de pessoas localizadas no Brasil (como funcionários, por exemplo), não importando onde sua empresa está localizada, você definitivamente precisa se adequar à Lei Geral de Proteção de Dados Pessoais (LGPD). Em caso de não adequação, você estará mais exposto às sanções da regulação.

Apesar de eventualmente não ser a pior das sanções, sua empresa poderá ser multada em 2% de seu faturamento, podendo chegar a R$50 milhões.

Em determinados casos, pode ser pior: uma atividade específica de tratamento de dados pode ser bloqueada. Sua empresa pode ser proibida, por exemplo, de coletar endereços de e-mail em campanhas de mídia de performance.
Tem outras sanções possíveis, mas apesar de causarem medo, é muito importante ressaltar o outro lado da moeda em relação à LGPD. Sim, ela tem um lado muito positivo.

As novas regulações forçam as organizações a criarem ordem sobre os dados que elas possuem, ao passo que esta ordem habilita as organizações a obterem insights que antes estavam escondidos em informações desorganizadas. Por consequência, além de garantir a proteção de direitos e liberdades fundamentais, se bem encarada, gera fomento ao desenvolvimento econômico e tecnológico.

Concordando ou não com os impactos positivos, é fato que a adequação à lei implica em maior habilidade para continuar no mercado. Operacionalmente, será muito difícil ignorá-la, uma vez que a LGPD, por meio especialmente da Autoridade Nacional de Proteção de Dados Pessoais (ANPD), trará maior conscientização para as pessoas, que por sua vez estarão mais atentas ao quanto as empresas com que se relacionam são bem sucedidas em garantir seus direitos como titulares de dados.

 

Quais dados são afetados pela LGPD?

Talvez um dos aspectos mais interessantes da LGPD, inspirado na General Data Protection Regulation (GDPR), a regulação de proteção de dados da União Européia, seja o escopo estendido do chamado PII (Personally Identifiable Information — Informação Pessoal Identificável, em português).

O texto da lei define dado pessoal como “informação relacionada à pessoa natural identificada ou identificável”. Não se limita, portanto, a nome, sobrenome, apelido, idade, foto, endereço residencial ou endereço de e-mail, mas pode incluir também endereço de IP, dados acadêmicos, identificador de dispositivos, cookies, histórico médico, histórico de compras, entre outros.

 

LGPD e Marketing

Ok, mas como isso impacta especificamente as iniciativas de marketing?

Essencialmente, a lei cobre qualquer dado que você esteja usando para atividades de marketing e vendas, redes sociais, campanhas de geração de leads, eventos etc.

Não é segredo para ninguém que quase tudo o que fazemos no ambiente online é rastreado e usado para viabilizar o direcionamento de mídia conforme navegamos na internet. Com a LGPD em vigor, anunciantes e publishers terão também que solicitar permissão para registrar cookies nos navegadores de seus usuários.

Detalhando melhor esses impactos, descrevo a partir daqui três áreas da regulação que acredito que são aquelas que todo profissional de marketing deve sempre se manter muito atento: consentimento, direitos dos titulares dos dados e princípios do tratamento de dados.

LGPD e o Marketing

 

A. Consentimento

Há um consenso no meio da privacidade e proteção de dados de que, em geral, consentimento é a justificativa mais adequada para a maior parte das iniciativas de marketing, apesar de não ser a única base legal que justifica o tratamento de dados pessoais (há outras 9 base aplicáveis que devem ser avaliadas para definição estratégica de enquadramento caso a caso).

A LGPD define que o consentimento precisa ser uma “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.

Ou seja, profissionais de marketing não podem mais confiar, por exemplo, em formulários e outros processos de captação de dados pessoais com opção de opt-in pré-selecionada. O usuário precisa explicitamente consentir com a coleta (selecionando a caixa responsável por isso na interface em que estiver navegando). Essa coleta deve ter uma finalidade específica e explicitamente informada.

formulário de consenso

O mesmo vale para a coleta de cookies de terceiros (como Facebook, Google, Retargeting, etc). Sua empresa precisará implementar, no mínimo, o banner de consentimento em todas as suas propriedades digitais, além do painel de preferências no qual o usuário poderá consentir livremente com todos os cookies, só alguns ou até mesmo rejeitar todos (com exceção daqueles estritamente necessários para o funcionamento e que, portanto, não demandam o consentimento).

Ferramentas como CookieBot, OneTrust, Osano, Iubenda e Privacy Tools facilitam este processo.

consentimento de cookies

Se sua empresa não está em conformidade com um desses elementos, os dados que atualmente sua empresa tem precisam ser atualizados, o que significa que os titulares dos dados precisarão ser contatados e um novo consentimento precisa ser solicitado. Caso contrário, você não poderá mais tratar estes dados para iniciativas de
marketing a partir da entrada em vigor da lei.

 

B. Direitos dos titulares dos dados

O texto da lei define, no artigo 17, que toda pessoa natural tem assegurada a titularidade de seus dados pessoais e que estão garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade.

Genérico demais, certo? Em tese, sempre tivemos tais direitos. É aí que entra o artigo 18 para detalhar exatamente o que os titulares podem obter do controlador (a empresa que está tratando seus dados):

Direito dos titulares dos dados

Confirmação da existência do tratamento

Como o próprio nome sugere, o titular tem o direito de solicitar à empresa a confirmação de que trata ou não seus dados. Essa confirmação pode ser simplificada, com apenas o “sim” ou “não”, caso esse em que a resposta deve ser dada de forma imediata; ou pode ser em formato de declaração completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento. Neste último caso, a resposta deve ser enviada no prazo máximo de 15 dias após a solicitação do titular.

Parece complexo operacionalizar isso em caso de grande volume de requisições, não é?

E realmente é, mas lembre-se de que a conformidade com a LGPD não é de responsabilidade apenas de uma área, mas sim de toda a empresa. Exercer o direito dos titulares não é uma exceção, mas o que nós como profissionais de marketing podemos e devemos fazer para viabilizar que a empresa responda às requisições dentro do prazo definido?

 

Vamos às principais ações:

1. O titular precisa de um canal de fácil acesso para fazer a solicitação. Você não quer correr o risco de que os titulares façam esse tipo de solicitação pelo canal comercial (aquele que você recebe prospects, por exemplo) e que a sua empresa acabe não lidando adequadamente com o assunto, certo?

Caso não queira desenvolver sua própria solução de atendimento especializado, há dezenas de ferramentas que facilitam a implementação deste canal. Há desde soluções nacionais como Privacy Tools até internacionais como OneTrust. Você vai encontrar soluções do tipo buscando por “DSAR” (Data Subject Access Request).

(Data Subject Access Request

2. Garanta que nenhuma base de contatos esteja por aí armazenada em arquivos de Excel desorganizados. Sua empresa precisará encontrar rapidamente todas as informações referentes ao titular que solicitou confirmação da existência do tratamento.

Sabe aquela base exportada do CRM que você usou para subir uma audiência customizada no Facebook Ads? Então, verifique se sua empresa tem ferramentas e processos adequados para registrar esse rastro de movimentação dos dados entre áreas, parceiros e ferramentas.

A definição de tais processos geralmente começa pelo mapeamento dos fluxos de dados existentes na organização e pela documentação do inventário de dados, que deve ser sempre atualizado.

Essa atividade não é de responsabilidade apenas da sua área, mas é importante que você, como profissional de marketing envolvido diretamente com o fluxo dos dados, tenha conhecimento prático deste processo para atuar colaborativamente com a empresa.

Acesso aos dados

Da mesma forma que no primeiro direito citado, o titular pode requisitar o acesso a uma cópia de todos os seus dados em uma versão simplificada de forma imediata ou em formato completo, que deve ser entregue em até 15 dias.

Correção de dados incompletos, inexatos ou desatualizados

Imagine que um lead na sua base recebeu um e-mail marketing de parabenização pelo aniversário dele mas na data errada. Isso poderia facilmente ser um gatilho para o lead exercer seus direito de solicitar a correção de seus dados.

Até aqui você já deve ter percebido que a adequação à lei implica em maior complexidade operacional mas também pode beneficiar a inteligência das suas iniciativas envolvendo dados. Você poderá inclusive disparar uma notificação para sua base com a finalidade de corrigir os gaps de informação, de forma justa, abordando o Art. 18. Benéfico para as duas partes.

Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade

A qualquer momento, o titular tem o direito de pedir anonimização, bloqueio ou eliminação de seus dados caso sejam considerados desnecessários ou excessivos para a finalidade do tratamento aceita no momento da coleta ou caso não seja justificável por nenhuma base legal (como o consentimento).

Portabilidade dos dados a outro fornecedor de serviço ou produto

Ele também pode solicitar que sua empresa compartilhe seus dados em formato estruturado, em linguagem comum e de forma legível em qualquer computador, para outros fornecedores de serviços ou produtos.

Eliminação dos dados pessoais tratados com o consentimento do titular

No caso de tratamento de dados com a finalidade de marketing, a qualquer momento o titular do dado pode solicitar a eliminação de seus dados. Esse direito parece redundante com o último que vou abordar nesta seção (revogação do consentimento), mas haverá casos onde o mesmo dado que o titular solicitou a exclusão será importante para outras atividades de tratamento da empresa com finalidade legítima ( veja o Art. 7º ), como para cumprimento de obrigação legal ou regulatória.

Nestes casos, o dado será removido da sua esteira de tratamento para marketing (em outras palavras, você como profissional de marketing não mais poderá utilizá-lo), mas a sua empresa poderá manter este dado para outras finalidades legítimas.

Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados

Este talvez seja um dos direitos mais complexos de garantir nas atividades de tratamento de dados para marketing.  Os titulares têm o direito de saber, desde a coleta, com quem seus dados são compartilhados.

Aqui entra forte o princípio da transparência: não vale mais informações genéricas como “compartilhado com terceiros”. Você precisará informar isso muito claramente no formulário, no banner de consentimento do site e nas políticas de privacidade e de cookies.

Agora, sabe aquele plano de mídia digital com dezenas de veículos (como Facebook, Google, Criteo, Oath, Afiliados, etc.)? Então, você precisará listá-los no momento da coleta e manter essa lista atualizada nas suas políticas enquanto houver uso compartilhado de dados.

Pensando aqui no exemplo específico do plano de mídia, complicado atualizar com frequência as políticas manualmente, certo? Mas para facilitar este processo existem ferramentas que dinamizam essa atualização, como é o caso da solução italiana Iubenda.

direitos

Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa

A transparência aqui também é o principal princípio aplicado. Sua empresa deve informar claramente quais são as consequências em caso do não fornecimento do consentimento, como menor customização da experiência, limitação de acesso à áreas que demandem este consentimento, dentre outras.

Mas lembrando que você não pode bloquear o acesso a um conteúdo público pela ausência do consentimento sem uma justificativa legítima. O consentimento não pode ser “forçado”.

Revogação do consentimento

O titular pode a qualquer momento revogar o consentimento por meio gratuito e facilitado (como no formulário “DSAR” apresentado neste artigo). Como consequência, as atividades de tratamento que eram legitimadas por este consentimento devem ser interrompidas.

 

C. Princípios do tratamento de dados pessoais

O artigo 6º da lei destaca a importância de “observar a boa-fé” e descreve 10 princípios que devem ser respeitados. Esses princípios são essenciais de serem compreendidos pois eles permeiam todas as demais definições da LGPD e são fundamentais para que, inclusive, a autoridade nacional possa criar as boas práticas de implementação e padrões técnicos mínimos.

Além disso, no dia a dia das atividades de marketing, a clareza sobre a definição de cada um desses princípios pode servir como bússola para ajudar a tomar decisões adequadas de forma ágil.

10 princípios do artigo 6º

1. Finalidade: toda atividade de tratamento de dados pessoais deve ser realizada com propósitos legítimos, específicos e informados ao titular.

2. Adequação: uma vez que a finalidade para o tratamento é bem determinada, este tratamento deve se manter compatível com o que foi informado ao titular. Nada de, por exemplo, usar cookies para criar campanhas de retargeting quando o consentimento foi obtido apenas para disparo de newsletters.

3. Necessidade: o tratamento deve se manter limitado ao mínimo necessário para a realização da finalidade informada. Sabe aquela história de colocar mais campos no formulário pensando que no futuro aquilo pode ser útil? Então, isso não só gera custos operacionais e tende a prejudicar suas taxas de conversão, como também se tornará ilegal.

O planejamento adequado da atividade de tratamento aqui é essencial.

4. Livre Acesso: é mandatório garantir ao titular a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como da integralidade (precisão e consistência) de seus dados pessoais.

5. Qualidade: também é necessário garantir a exatidão, clareza, relevância e atualização dos dados de acordo com a necessidade e para o cumprimento da finalidade do tratamento. Nessa altura você já entendeu qual é o caminho do titular para fazer valer seus direitos.

6. Transparência: conforme os exemplos que trouxe neste texto, é essencial fornecer ao titular informações claras, precisas e facilmente acessíveis sobre a atividade de tratamento de seus dados e os agentes envolvidos.

7. Segurança: a empresa precisa demonstrar que é capaz de utilizar medidas técnicas e administrativas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.

Sabe aquele arquivo Excel com dados de clientes navegando pelas caixas de e-mails dos colaboradores da empresa? Sua empresa precisará definir processos e garantir a infraestrutura tecnológica necessária para evitar ao máximo, por exemplo, “vazamento” desses dados.

8. Prevenção: aqui tem uma sobreposição com os demais princípios, em especial o de segurança. Basicamente, a empresa precisa adotar medidas para prevenir eventuais danos decorrentes do tratamento de dados pessoais. Aqui vai desde evitar “vazamento”, o que pode acarretar em desdobramentos indesejáveis, até evitar, por exemplo, comunicações que possam prejudicar uma pessoa.

Você talvez se lembre do caso da Target (a rede varejista americana) que “descobriu”, por meio de análise de dados e da criação de um score de probabilidade de gravidez, que uma adolescente estava grávida e enviou para a casa de sua família cupons com ofertas de roupas de bebê e berços.

A história conta que o pai da adolescente ainda não tinha ciência de que um bebê estava a caminho e, claro, ficou constrangido com o fato. É exatamente esse tipo de desdobramento que deve ser evitado.

9. Não discriminação: esse é óbvio: o tratamento de dados não deve ser utilizado para fins discriminatórios ilícitos ou abusivos.

10. Responsabilização e prestação de contas: não basta tomar as medidas para garantir a conformidade com a lei, a empresa precisa saber demonstrar a eficácia das medidas adotadas e a adequação às normas. Será papel da ANPD exigir isso.

 

Entendi a teoria, mas quais são os primeiros passos práticos?

● Se sua empresa já nomeou um encarregado de proteção de dados (que a lei pede no artigo 41), verifique com ele como está o programa de adequação e se já existe um planejamento com fases bem definidas para que você possa,
inclusive, saber em quais etapas pode contribuir ativamente.

● Na estrutura de marketing, sugiro começar pelo mapeamento dos fluxos de dados da sua empresa. Fluxo de dados nada mais é que o caminho que os dados percorrem nas áreas da empresa, em parceiros e sistemas. Você pode usar ferramentas como Lucidchart, Draw.io e Office Visio para desenhar esses fluxos. Você vai encontrar exemplos para se familiarizar buscando no Google Imagens por “GDPR Dataflow”.

GDPR Dataflow
Imagem desenvolvida por Lucidchart. Template disponível no artigo de Nathan Cooper

● Feito o desenho dos fluxos de dados, agora você tem um suporte visual detalhado para documentar o inventário de dados. Esse documento tem um papel importante não só para cumprir o exigido no artigo 37 da LGPD (que pede para manter um registro das operações de tratamento de dados) mas também para organizar, dar visibilidade e, consequentemente, possibilitar a priorização das atividades que precisam ser adequadas com mais urgência. Tem uma série de softwares (como você pode ver nesse relatório da Associação Internacional de Profissionais de Privacidade) e até mesmo modelos em Excel que podem te ajudar nesse processo. Você vai encontrar referências buscando pelo termo “Data Mapping”.

● Agora, após o desenvolvimento destes documentos (que precisarão se manter atualizados), você deve avaliar quais são os riscos e brechas possíveis que possam ferir os direitos dos titulares que foram apresentados neste artigo. Aqui a avaliação é caso a caso e não é uma tarefa fácil. Você precisará exercitar o entendimento desses direitos e conversar com outras pessoas envolvidas com os fluxos de dados que você mapeou para entender onde há riscos.

● As primeiras atividades acima vão se desdobrar em uma série de iniciativas de adequação, o que pode envolver revisão de contratos, criação de políticas de privacidade e de cookies, conversas com fornecedores, implementação de sistemas que vão te ajudar a garantir o direito dos titulares (como o banner de coleta de consentimento, o painel de gestão de preferências, o “DSAR” e a ferramenta de gestão de consentimento) e por aí vai.

● Lembre-se de que marketing é apenas um dos departamentos envolvidos com os fluxos de dados da empresa. Você tem um papel importante nesse processo, mas não deve atuar sozinho. Tudo começa com o comprometimento da alta gestão para garantir o engajamento de todos os departamentos, de RH, financeiro e jurídico à tecnologia, marketing e gestão de projetos.

 

Pontos finais na relação da LGPD e Marketing

As responsabilidades da empresa perante a LGPD vão muito além do citado aqui. Diversas outras áreas da regulação tem grande impacto sobre toda a operação. Entretanto, as três áreas exploradas nesse artigo são, sem dúvida, o ponto de partida que todo profissional de marketing deveria considerar para posteriormente se aprofundar no estudo.

A atitude de deixar para depois, neste caso, pode significar perda de vantagem competitiva e dificuldade para lidar com o público quando as requisições começarem a chegar. Entendo como muito necessário não só iniciar desde já o estudo dos processos e tecnologias que vão auxiliar na adequação, mas também educar todas as áreas da empresa envolvidas com os fluxos de dados. Sem dúvida nenhuma, a área de marketing não poderá ficar de fora disso.

Weverton Guedes

Diretor de Data & Digital Performance da REF+, liderando um time multidisciplinar de Business Intelligence, Mídia e Tecnologia para entregar inteligência de dados em marketing e inovação para grandes marcas como Oracle, Decolar, Eudora/Boticário, Porto Seguro, dentre outros. Mais de 10 anos de experiência com as diferentes facetas da área de marketing e negócios, especialmente Web Analytics, Mídia Digital, Growth Marketing, Creative Technology e desenvolvimento de produto digital. Certificações EXIN PDPE® e ISFS®.

Comentários

PUBLICIDADE