LGPD: o que diz a nova lei brasileira de proteção de dados e como ela pode impactar a estratégia de marketing de sua empresa
Entenda como a Lei Geral de Proteção de Dados Pessoais, a “GDPR brasileira”, irá afetar a forma com que as empresas e organizações captam, armazenam e utilizam dados de seus clientes, tanto no meio online quanto offline
O que é a LGPD?
LGPD é a sigla para Lei Geral de Proteção de Dados do Brasil, que estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento.
LGPD é a sigla para Lei Geral de Proteção de Dados do Brasil, sancionada em agosto de 2018. A LGPD estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento.
A data da entrada em vigor da LGPD no Brasil ainda é incerta. Em decorrência do Covid-19, a medida provisória 959/2020 define, dentre outros pontos, que a lei de proteção de dados (com exceção das punições) entrará em vigor em 3 de maio de 2021. Contudo, o prazo apenas será efetivado caso a Medida Provisória seja aprovada no Congresso Nacional. Caso a Medida Provisória não seja convertida em lei, ou caduque, a entrada em vigor da LGPD volta a ser em agosto de 2020.
O objetivo deste post é meramente informativo – não prestamos consultoria jurídica nem nos responsabilizamos por medidas que possam ser adotadas por terceiros.
Quando o assunto é a regulamentação das políticas de uso de dados, o panorama atual evidencia o surgimento de novas tendências globais, com mudanças significativas em sistemas jurídicos de inúmeros países, cujo foco está em traçar diretrizes claras rumo à privacidade e segurança.
No Brasil, essa tendência também ganhou espaço. Após oito anos de debates e redações, em 14 de agosto de 2018, o presidente Michel Temer sancionou a Lei Geral de Proteção de Dados do Brasil (LGPD), Lei 13.709/2018. A lei entrará em vigor em agosto de 2020, possibilitando às empresas e organizações um período de 18 meses para se adaptarem.
Com a LGPD, o país entra para o rol dos 120 países que possuem lei específica para a proteção de dados pessoais. A nova lei irá preencher lacunas para substituir e/ou complementar a estrutura de mais de 40 diplomas legais que, de forma esparsa, regulamentam o uso de dados no país hoje.
Como principal influência para a criação e maturação da LGPD, tem-se o GDPR (General Data Protection Regulation), que entrou em vigor no ano passado e regulamenta a questão para os países europeus. É a mais significante legislação recente sobre privacidade de dados, que passou a servir de modelo para muitos outros países adotarem disposições semelhantes ou reforçarem políticas pré-existentes.
O que diz a LGPD?
Na mesma linha do regulamento europeu, a LGPD irá mudar a forma de funcionamento e operação das organizações ao estabelecer regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo um padrão mais elevado de proteção e penalidades significativas para o não cumprimento da norma.
A lei entende por “dados pessoais” qualquer informação relacionada à pessoa natural identificada ou identificável, e por “tratamento de dados” toda operação realizada com dados pessoais, como as que se referem à coleta, classificação, utilização, acesso, reprodução, processamento, armazenamento, eliminação, controle da informação, entre outros.
Bases legais para o tratamento de dados
A coleta e processamento de dados deverá atentar às bases legais impostas pela lei. O novo texto prevê nove hipóteses que tornam lícitos os tratamentos de dados, com destaque a duas principais: fornecimento de consentimento e o legítimo interesse.
É necessária a obtenção de consentimento explícito pelo titular dos dados, ou seja, este deve ser informado e dado livremente, para que os consumidores optem ativamente por engajar ou não.
Outra hipótese que autoriza o uso dos dados é o legítimo interesse do controlador, que poderá promover o tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas.
Princípios da LGPD
A lei elenca dez princípios que as organizações devem obedecer quanto ao tratamento de dados, com destaque para o princípio da finalidade, da adequação, da necessidade e da transparência.
Em atenção a estes princípios, as organizações públicas e privadas que possuem a cultura de acumular dados antes mesmo de saber o que farão com isso, passarão por uma mudança de mindset.
A LGPD vai contra esse hábito ao defender que a coleta de dados deve se restringir àquilo que é diretamente útil para sua interação imediata com os consumidores. Portanto, a colheita de dados deve ser adequada, relevante e limitada ao mínimo necessário em relação às finalidades para as quais são processados.
Quem são os atores envolvidos?
A lei detalha os papéis de quatro diferentes agentes: o titular, o controlador, o operador e o encarregado.
- O titular: é a pessoa física a quem se referem os dados pessoais.
- O controlador: é a empresa ou pessoa física que coleta dados pessoais e toma todas as decisões em relação a forma e finalidade do tratamento dos dados. O controlador é responsável por como os dados são coletados, para que estão sendo utilizados e por quanto tempo serão armazenados.
- O operador: é a empresa ou pessoa física que realiza o tratamento e processamento de dados pessoais sob as ordens do controlador.
- O encarregado: é a pessoa física indicada pelo controlador e que atua como canal de comunicação entre as partes (controlador, os titulares e a autoridade nacional), além de orientar os funcionários do controlador sobre práticas de tratamento de dados.
Impactos para o Marketing da sua empresa
A tendência é que as empresas busquem utilizar métodos mais limpos e naturais para alcançar pessoas. Isso não significa que os profissionais de marketing irão parar de trabalhar com os dados, longe disso: as empresas terão que ficar mais inteligentes e mais específicas para ganhar Leads e aplicar o pensamento big data a grupos menores de dados, mas potencialmente mais ricos.
Apesar das grandes mudanças impostas pela lei, a nova dinâmica de regulamentação pode ser vista como uma oportunidade única e, inclusive, positiva. O profissional de marketing mais estratégico verá isso como um momento empolgante para repensar e evoluir suas táticas, de modo a gerar valor para o cliente através do reconhecimento de suas preferências, interações mais significativas e transparentes.
Como fica o Inbound Marketing?
O Inbound Marketing é pautado na obtenção e análise de dados e informações. Isso significa que a lei afetará a eficiência desta metodologia? Não, muito pelo contrário.
Por sua natureza, o marketing de atração busca alinhar o conteúdo produzido com os interesses do consumidor para, de forma natural e espontânea, atrair e conquistar a permissão de se comunicar com seu potencial cliente. Assim, o lead consente ativamente apenas com aquilo que desejar, criando um vínculo de confiança para um relacionamento que é interesse de ambas as partes.
A aplicação da metodologia de Inbound Marketing, se feita corretamente e em atenção às regras de transparência, minimização do uso de dados e o consentimento explícito, permitirá a coleta de informações do consumidor e da empresa de forma legal e efetiva. Abaixo estão algumas dicas práticas.
Marketing de Conteúdo
O Marketing de Conteúdo deve ganhar força e terá importância ainda maior daqui para a frente. Os argumentos em favor dessa prática não mudaram, apenas são reforçados. Através da publicação de conteúdo original e relevante, as marcas podem construir um relacionamento mais natural e ativo com os seus potenciais clientes.
O objetivo aqui será promover o engajamento. Quando alguém concede permissão, está agindo conscientemente, tornando-se um participante ativo, em vez de uma fonte passiva de dados a serem pilhados. Permissão é igual à compromisso.
Nessa linha, a ideia de fornecer experiências valiosas baseadas em conteúdo, em que os dados são dados de maneira voluntária, confiante e ativa, é um dos caminhos para não apenas cumprir, mas também prosperar nesta nova dinâmica de negócios.
Geração de leads
A geração de leads por meio de campanhas de Inbound Marketing ainda será possível e amplamente utilizada, mas há dois principais cuidados a serem tomados pelos profissionais de marketing:
1. Obtenha consentimento
Para tornar legítima a coleta dos dados pessoais de um lead é imprescindível obter o seu consentimento explícito para que os consumidores optem ativamente por engajar ou não. Por consentimento explícito, a lei esclarece que serão nulas as autorizações genéricas para o tratamento de dados pessoais. Portanto, é hora de dar adeus às práticas de soft opt-in (opt-ins automáticos e caixas de seleção pré-marcadas).
Para ganhar consentimento dos seus leads há mais de uma maneira. É possível fornecer uma chamada para a ação que solicita que um usuário forneça o consentimento informado – como um checkbox sem pré-marcação.
Outra solução mais criativa é apostar na utilização os campos de formulário como uma opção para segmentação por interesse. A oportunidade aqui reside no fato de que, ao invés de de uma simples opção de “sim ou não”, pode-se fornecer uma variedade de opções para que os leads possam indicar quais informações eles desejam receber de você. Na prática, a utilização do campo de formulário “Quais conteúdos deseja receber?” irá cumprir este papel.
Isso não apenas ajuda a estar em conformidade com o LGPD, mas também ajuda a segmentar ainda mais seus clientes e a concentrar sua comunicação com base em interesses específicos, o que é muito importante para tornar as estratégias de relacionamento por email marketing mais personalizadas e assertivas no médio e longo prazo.
2. Seja data-driven, e não data-hungry
A lei traz, como um de seus pilares, o princípio da necessidade. Os dados devem ser utilizados para a realização das suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados. Limite a coleta de dados ao que é necessário para uma finalidade comercial tangível hoje.
Email marketing
É hora de deixar as suas listas de emails precisas e atualizadas. O objetivo aqui é garantir que todos os nomes em seu banco de dados e todos os emails em seu sistema de automação lhe deram permissão para contatá-los. Para isso, será necessário analisar toda a sua base de leads para identificar e segmentar os leads que têm registro de opt-in.
Para os demais, é possível começar uma estratégia de reengajamento, mas para isso será importante um planejamento antecipado, para que isso ocorra antes de a lei entrar em vigor. Passarão por este processo os lead os leads sem opt-in, os leads com opt-in não-especificado e os leads que vieram através de terceiros. É muito importante documentar o processo.
Ah, e esqueça de vez as já ultrapassadas listas de emails frias e compradas. Apesar de há algum tempo já ser uma técnica ineficaz e desatualizada, será oficialmente ilegal para os profissionais de marketing entrarem em contato com indivíduos sem o seu consentimento, pondo fim a essas táticas antigas.
Anúncios segmentados
Criar campanhas de marketing que utilizam dados de comportamento e informações do usuário talvez seja um dos maiores desafios da nova regulamentação, já que a personalização tornou-se cada vez mais importante para entregar mensagens de marketing que são relevantes para cada consumidor.
Até então, o Facebook tem operado coletando e usando dados para melhorar a experiência geral do usuário. Este usuário é enquadrado em dados demográficos específicos, dependendo de como você comporta na rede social, bem como dos outros sites afiliados que usa.
Com a nova lei, o Facebook vai tornar mais fácil para as pessoas descobrirem quais informações pessoais são armazenadas sobre os indivíduos, além de tornar necessário o pedido de permissão aos usuários antes de qualquer coletar seus dados. Os usuários também têm o poder de recusar a utilização de dados, caso desejarem.
Um ponto que merece atenção é o conjunto de particularidades no tocante às obrigações e responsabilidades do Facebook e do anunciante. Isso porque, a depender das circunstâncias específicas da campanha, o Facebook pode assumir tanto o papel de um controlador de dados (quando lida, faz uso e toma decisões em relação ao uso de dados pessoais), quanto o papel de um operador de dados (quanto processa dados pessoais para outros controladores de dados).
Os maiores cuidados devem ser tomados nos casos em que a empresa assume o papel de controladora de dados na criação de campanhas no Facebook, porque será responsabilidade da organização informar de forma transparente ao usuário o que está acontecendo com os seus dados.
Remarketing no Facebook
A técnica de remarketing, que foca em trabalhar publicidade online direcionada aos usuários que já realizaram alguma interação com você na internet, também precisa de atenção.
Quando um usuário acessou seu site para visualizar um determinado produto e, a partir de uma ação de remarketing, você exibe um anúncio exclusivo sobre o mesmo produto, você está salvando os cookies do seu site e enviando essas informações pessoais no Facebook.
Nesse caso, sua empresa opera como controladora de dados e toda a responsabilidade é sua para informar os usuários do seu site que você está salvando os cookies e como exatamente você está fazendo o uso desses.
Facebook Leads Ads (Geração de Cadastros)
Se a sua empresa cria campanhas com o objetivo de Geração de Cadastros, tanto você quanto o Facebook precisarão manter uma transparência sobre o processamento de dados.
Isso porque, tanto você quanto o Facebook, são considerados controladores de dados para este tipo de anúncio. Assim, as partes são igualmente responsáveis por permitir que os clientes saibam exatamente os dados que estão sendo utilizados e para qual finalidade.
Pixel do Facebook
Se você faz uso do código de pixel do Facebook, você responde como controlador de dados, enquanto o Facebook atua como operador de dados. Na maioria das implementações atuais, o pixel do Facebook é acionado assim que alguém visita seu site.
Com a nova lei, você deve primeiro obter o consentimento antes que o Facebook possa rastrear a atividade de um usuário em seu site. Portanto, este é outro ponto que deverá constar na atualização dos termos de uso e privacidade do seu site.
A lei determina que controlador e operador são solidariamente responsáveis no caso de dano ao titular dos direitos, ou seja a responsabilização é partilhada igualmente entre as partes.
Contudo, a maior atenção recai quando a organização atuar como controladora, já que estará no papel de tomar as decisões em relação a forma e finalidade do tratamento dos dados. O operador pode se eximir da responsabilidade pelo dano, caso prove, por exemplo, que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados, ou que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
Armazenamento de dados
O cliente passa a ganhar mais controle sobre o uso de seus dados e tem o direito de solicitar à empresa o acesso ou a remoção de todas as informações mantidas dessa pessoa específica, em toda a organização. O acesso aos dados pessoais do consumidor deve ser fornecido de forma clara e completa em até 15 (quinze) dias da data da solicitação.
Isso pode se tornar uma dor de cabeça para empresas que mantêm seus dados em lugares diferentes e para finalidades diferentes. Isso porque, além da facilitação de acesso aos dados para o consumidor, as empresas precisarão comprovar o cumprimento da norma, que deve ser feito através da elaboração de um Relatório de Impacto de Proteção de Dados.
Através deste relatório, as empresas deverão avaliar o procedimento completo do tratamento de dados, abarcando detalhes quanto ao processo de coleta, uso e armazenamento e compartilhamento.
Uma das soluções para esse ponto é ter uma única plataforma capaz de hospedar o registro de consentimento de cada usuário. Ter a centralização de dados em uma única plataforma, ou em plataformas integradas, além de auxiliar no acompanhamento, alteração e atualização de todos os seus dados de permissões, é também um modo de facilitar a comprovação do cumprimento da norma.
Por onde começar?
Não se engane em pensar que 18 meses é tempo de sobra para adequar a sua empresa à nova lei. Desde já, o ideal é instituir um plano de ação para atender aos requisitos mínimos de conformidade com a LGPD – que vão muito além de uma simples notificação de “Atualizamos nossa política de privacidade”.
A reforma legislativa pode ser muito positiva para aqueles capazes de trabalhar com estratégias mais personalizadas e eficientes de marketing. O segredo está em focar não apenas na adequação à norma, mas principalmente na adequação de mindset.