LGPD – Conheça a Lei Geral de Proteção de Dados

Nota: o objetivo deste artigo é meramente informativo. O conteúdo não possui qualquer intuito de fornecer consultoria jurídica aos nossos clientes. A Agência Link disponibiliza ferramentas e conteúdos para auxiliar no processo de adequação dos nossos clientes às leis de Proteção de Dados (em especial LGPD e GDPR). Contudo, é importante que a sua empresa conte com o apoio de um profissional especializado, capaz de auxiliar na adequação aos pontos exigidos por lei.

O que é a LGPD?

A LGPD (Lei Geral de Proteção de Dados), sancionada em agosto de 2018, estipula uma série de obrigações para empresas e organizações sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, tanto online quanto offline. A lei prevê multas e penalidades consideráveis no caso de não cumprimento dos requisitos impostos na lei.

Com a LGPD, o Brasil entra para o rol de mais de 120 países que possuem lei específica para a proteção de dados pessoais.

Uma das principais influências na criação da LGPD, é o GDPR (General Data Protection Regulation), lei de proteção de dados que regulamenta a questão para a União Européia. O GDPR é a mais significante legislação recente sobre proteção de dados, que passou a servir de modelo para muitos outros países adotarem disposições semelhantes ou reforçarem políticas pré-existentes.

A quem a LGPD se aplica?

A LGPD possui aplicação chamada extraterritorial. Isso significa que a LGPD se aplica independentemente da localização da sede, ou a localização em que os dados são processados.

A lei é aplicável para empresas e organizações que processam dados pessoais de cidadãos brasileiros, independente da localização física da empresa. Se os dados pertencem a indivíduos localizados em Brasil, ou se os dados foram coletados no Brasil (casos em que o titular dos dados estava no Brasil no momento da coleta).

Principais conceitos da LGPD

O que é um dado pessoal?
“Dado pessoal” é toda e qualquer informação que identifique, ou que possa vir a identificar uma pessoa. O conceito de dado pessoal adotado pela LGPD é bastante amplo: qualquer dado, isolado ou em conjunto com outros dados, que possa identificar uma pessoa, ou que possa sujeitar uma pessoa a determinado comportamento, pode vir a ser considerado um dado pessoal.

Isso mostra que a LGPD não resume o conceito de dados pessoais a informações básicas de uma pessoa (nome, email, RG, CPF). Por exemplo: se uma empresa realiza estratégias de remarketing através do uso de cookies, está utilizando dados de navegação de uma pessoa, para impactá-la com publicidade digital. A pergunta aqui é: um cookie pode ser considerado um dado pessoal? A resposta é sim. Isso porque também pode ser considerado dado pessoal um conjunto de informações que torne a pessoa identificável.

Por exemplo: um usuário visita com frequência o site da minha empresa. Eu posso não saber o seu nome, nem o seu email, mas, através do uso de cookies, posso inferir perfis comportamentais (o usuário gosta de viagens, livros e filmes).

Esses dados são suficientes para que a empresa possa criar anúncios de publicidade online e impactar o usuário. Nesse caso, mesmo sem saber ao certo quem é o usuário, a empresa conseguiu impactá-lo com informações que possuía sobre ele. Portanto, os cookies podem ser considerados dados pessoais.

O que é um dado pessoal sensível?
Uma das categorias de dados presente na lei são os dados pessoais sensíveis. A LGPD indica uma lista dos dados pessoais considerados sensíveis: aqueles sobre “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

O que pode ser considerado um tratamento de dados?
Tratamento é qualquer operação realizada com um dado, da coleta ao descarte. A LGPD estipula normas para qualquer ação de tratamento de dados pessoais: como a coleta, classificação, utilização, compartilhamento, reprodução, processamento, arquivamento, armazenamento etc.

Atores e papeis

Existem dois principais agentes, com papeis e responsabilidades específicas, de acordo com a LGPD: o controlador e o operador.

Controlador
É a empresa/organização que toma as decisões em relação aos dados pessoais: que defini quando e como os dados serão coletados, para quais finalidades serão utilizados, onde e por quanto tempo serão armazenados etc.
Operador
É a empresa/organização que realiza o processamento de dados pessoais sob as ordens do controlador. O operador não toma decisões em relação ao uso dos dados.
Na prática, vamos supor que a sua empresa precise contratar um serviço de armazenamento em nuvem para armazenar os dados que possui. Nessa relação, a sua empresa é considerada controladora de dados, enquanto a empresa contratada para armazenar os dados pode ser considerada operadora.

A sua empresa é controladora, operadora ou, dependendo do contexto, ambos? É importante entender quais são esses papéis e quais responsabilidades eles trazem para a sua empresa em relação à LGPD.

Bases legais

Você sabe como e em quais casos a LGPD autoriza a sua empresa a utilizar os dados pessoais de um lead? Para responder a essa pergunta, é necessário entender o conceito de bases legais.

As bases legais são hipóteses da LGPD que autorizam o tratamento de dados pessoais. A lei estabelece que para que qualquer pessoa, física ou jurídica, possa realizar qualquer operação com um dado pessoal – seja coletar, transmitir ou processar -, é necessário possuir uma base legal presente na LGPD que justifique o tratamento desses dados. Como a LGPD já entrou em vigor, empresas que utilizarem dados pessoais sem uma base legal adequada, estarão tratando dados de forma ilegal.

A LGPD prevê dez bases legais que autorizam o tratamento de dados pessoais. As bases legais não têm dependência ou predominância entre si, e para todo caso de tratamento de dados, existe uma base legal mais apropriada.

Vamos examinar as bases legais previstas na LGPD com alguns exemplos práticos?

Atenção: os exemplos de casos de uso de bases legais são meramente informativos, não devem ser aplicados, sem a devida análise e decisão própria. Cada empresa é responsável por escolher a base legal mais adequada, de acordo com as particularidades dos seus respectivos cenários internos.

Consentimento
Consentimento é definido como uma declaração clara e inequívoca de vontade. É o caso em que a pessoa concorda com o uso dos seus dados para as finalidades propostas pela empresa.

Um exemplo prático da base legal do consentimento, no contexto do Marketing Digital, é o checkbox (opt-in) em campos de formulário, para pedir autorização para o envio de comunicações.

  1. Requisitos do consentimento

Contudo, o consentimento, como previsto na LGPD, precisa de alguns requisitos para que possa ser considerado válido:

O consentimento precisa ser livre
O lead não pode ser forçado a fornecer consentimento. Deve ser uma escolha. Se uma empresa insere um checkbox de consentimento em um formulário, mas exige que o preenchimento do checkbox seja obrigatório, o lead não terá escolha sobre fornecer ou não o consentimento.

O consentimento precisa ser informado
O usuário deve entender com o que está consentindo. As organizações devem certificar-se que explicam de forma clara exatamente o que a pessoa está concordando. Incluir informações em uma política de privacidade densa ou ocultas em letras pequenas, difíceis de encontrar, difíceis de entender ou raramente lidas, não será suficiente para estabelecer o consentimento informado.

O consentimento precisa ser inequívoco
Depende de manifestação por meio de um ato positivo do usuário. Em outras palavras, deve haver uma ação do usuário indicando sua aceitação, seja pelo envio de um e-mail, assinatura eletrônica, ou até mesmo por um clique em local determinado. Não podem haver dúvidas acerca de o consentimento ter sido fornecido ou não.

O consentimento precisa ser fornecido para fins específicos e determinados
O consentimento deve ser fornecido para uma finalidade específica e determinada. Faz parte de toda a lógica da LGPD especificar o motivo pelo qual um dado pessoal é utilizado. A empresa não pode utilizar os dados para uma finalidade diferente daquela que o lead forneceu consentimento.

  1. Eu sempre vou precisar de consentimento para me comunicar com os meus leads?

Eu sempre precisarei obter consentimento para o envio de comunicações de marketing aos meus leads? Não necessariamente. O consentimento é apenas uma das dez bases legais que autorizam o tratamento de dados. Existem outras bases legais que podem ser utilizadas além do consentimento, em especial: legítimo interesse e contratos.

Legítimo Interesse
Outra hipótese que autoriza o uso dos dados é o legítimo interesse. O legítimo interesse é mais flexível das bases legais da LGPD, mas a sua aplicação não é simples.

O legítimo interesse permite o uso dos dados, sem a necessidade de obtenção de consentimento. Contudo, é necessário tomar alguns cuidados para entender em quais casos o legítimo interesse realmente pode ser aplicado.

A LGPD ainda não possui diretrizes específicas sobre a utilização dessa base legal. Isso tende a ocorrer após a criação da ANPD – Agência Nacional de Proteção de Dados. Por hora, é sabido que a base legal do legítimo interesse pode ser utilizada em situações em que:

quando o consentimento do usuário for muito difícil de ser obtido;
quando o consentimento do usuário pode ser considerado desnecessário;
quando houver um impacto mínimo no indivíduo ou uma justificativa convincente para a sua utilização.

Requisitos do legítimo interesse
Quando uma empresa decide utilizar o legítimo interesse, deve realizar um teste de proporcionalidade. O teste de proporcionalidade possui o objetivo de balancear, de um lado, os interesses da sua empresa, e, do outro, os direitos e liberdades do titular dos dados pessoais.

O teste leva em consideração detalhes específicos de cada caso de uso de dados, portanto, é importante que cada empresa conte com auxílio especializado de consultoria jurídica, ou através da figura de um Data Protection Officer (um encarregado), para nortear a realização dos testes.

  1. Por que é tão difícil entender quando utilizar o legítimo interesse?

Você já tentou ler a LGPD para entender o que deve fazer para adequar as suas práticas de Marketing e Vendas? Para entender, por exemplo, quando pode utilizar a base legal do legítimo interesse? Caso você já tenha tentado, provavelmente sentiu uma certa frustração.

Uma das maiores dificuldades que empresas brasileiras encontram no processo de adequação à LGPD é a ausência de orientações e diretrizes específicas. Não existe um entendimento claro de quais casos de uso de dados pessoais para práticas de Marketing e Vendas podem utilizar a base legal do legítimo interesse, o que traz incerteza e risco para a adaptação à lei.

Isso acontece porque a LGPD não foi feita para responder a todos esses detalhes. A nova lei precisa da criação de diretrizes específicas para cada caso de uso. O órgão que será responsável por criar essas diretrizes (além de fiscalizar e multar), será a ANPD – Autoridade Nacional de Proteção de Dados. A ANPD ainda não foi constituída, até que isso ocorra, empresas terão que tomar decisões mais difíceis para adequar os pontos da lei que ainda estão abertos à interpretação.

Legítimo Interesse para práticas de Marketing
Com a ausência da ANPD, em relação ao Marketing, ainda não existem posicionamentos específicos para a LGPD. Por isso, os exemplos de legítimo interesse abordados a seguir, são pautados em orientações de órgãos de regulamentação europeu, ou referências de juristas/especialistas brasileiros.

O ICO, órgão de regulamentação britânico, defende que o legítimo interesse pode ser, em alguns casos, utilizado para atividades de marketing. O que não significa que qualquer atividade de marketing constitua legítimo interesse.

Vamos a dois exemplos de casos onde existem maiores chances de uma empresa ou organização poder utilizar o legítimo interesse?

  1. No caso de um marketing que seja do interesse do indivíduo

Por exemplo: quando for comprovadamente relevante que é benéfico para um lead receber descontos da sua empresa. Sobre esse exemplo, é muito importante mencionar que: esse benefício não pode ser presumido pela empresa. É diferente eu enviar um desconto para o lead (que já comprou produtos da minha empresa no passado), ou enviar um desconto para a Beatriz (um lead que eu adquiri em uma lista fria de contatos, e que nunca teve interação com a minha empresa).

  1. Nos casos em que a empresa entender desnecessário obter novo consentimento, dentro de uma relação já pré-estabelecida com o lead

Vamos supor que a sua empresa tenha interações recorrentes com o lead. Ele abre todos os emails que a sua empresa envia, e acessa todos os novos conteúdos. Nesse caso, pode-se presumir que ambas as partes são beneficiadas com essa relação. Nesse caso, poderia ser utilizada a base legal do legítimo interesse? No fim do dia, a decisão de utilizar ou não, depende de maiores detalhes do teste de proporcionalidade, e é uma decisão da empresa, mas existe uma maior propensão à utilização desta base legal no exemplo.

Apesar das incertezas, se utilizada com responsabilidade, a base legal do legítimo interesse pode ser uma grande aliada no processo de adequação de empresas de uma sociedade movida a dados.

Contratos

No caso da base legal de contratos, os dados de uma pessoa podem ser processados em dois casos: o primeiro é para que seja cumprida uma obrigação prevista em contrato, e o segundo quando o tratamento de dados serve para a validação e início de vigência de um acordo.

Para contratar os serviços da um novo colaborador, a Empresa X, você precisa fornecer de uma série de informações pessoais necessárias para formalizar o contrato (dados do contratante, dados para faturamento, etc.) que farão parte do futuro contrato de emprego do titular dos dados.

Demais Bases Legais

Além das três bases legais mencionadas, existem outras 7 bases legais que autorizam o tratamento de dados pessoais. Contudo, para práticas de Marketing e Vendas, a utilização destas bases legais tende a ser menos comum e recorrente.

Obrigação Legal
Nesse caso, o tratamento de dados pessoais é justificado por exigências de outras leis. São os cenários onde uma empresa precisa utilizar ou armazenar dados pessoais para cumprir obrigações legais.

Execução de Políticas Públicas
Quando o tratamento de dados pessoais é resguardado pelo interesse público ou por necessidade de uma autoridade oficial exercendo o papel de controlador daquele dado.

Estudos por órgãos de pesquisa
Dados pessoais podem ser tratados para fins de estudos de órgãos oficialmente credenciados como de pesquisa. Nesse caso, sempre que possível o dado deve ser anonimizado garantindo ao máximo a privacidade dos titulares.

Processo Judicial
Dados pessoais ainda podem ser tratados para exercício de direito em ações judiciais.

Proteção da Vida
É possível justificar o tratamento de dados pessoais quando o seu uso é de interesse vital seja do titular do dado ou ainda de outra pessoa.

Tutela da Saúde
Quando profissionais de saúde, serviços de saúde ou autoridade sanitária precisam tratar dados pessoais.

Proteção de Crédito
Para a aprovação de crédito, reduzindo os riscos da transação, é possível que dados pessoais sejam consultados avaliando o perfil de pagador do cidadão.

Em resumo, as bases legais são o ponto de partida para empresas criarem relações mais justas com o consumidor. Quando a sua empresa for pensar em bases legais é importante repensar a ética por trás das formas que estes dados são coletados e utilizados. Pensando dessa forma fica mais fácil entender o motivo de existir essa temática na lei.

Direitos dos usuários

Quais são os direitos dos usuários a partir da LGPD?
O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

  • Direito de confirmação de existência do tratamento;
  • Direito de acesso aos dados;
  • Direito de correção de dados incompletos, inexatos ou desatualizados;
  • Direito de anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
  • Direito de portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
  • Direito de eliminação dos dados pessoais tratados com o consentimento do titular;
  • Direito de informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  • Direito de informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  • Direito de revogação do consentimento.

Como a sua empresa precisa se preparar para atender a esses direitos?
Hoje, muitas empresas possuem dados pessoais de usuários em diversas áreas e sistemas. Por exemplo, para muitos clientes da agencialink, a realidade é que o nosso produto é apenas uma das ferramentas da empresa que contém dados pessoais. Em muitos casos, dados dos usuários estão presentes em outras áreas, como Financeiro, Vendas, Marketing, Suporte etc).

Com isso em mente, cada empresa precisa estabelecer mecanismos e processos internos, a partir dos seus próprios fluxos de dados e sistemas, que viabilizem o atendimento às solicitações de direitos dos titulares de dados que controlam.

A melhor saída, é buscar consultoria especializada, para auxiliar no processo de mapeamento dos dados pessoais da empresa, e no estabelecimento de processos específicos para cada cenário.

Princípios

Empresas e organizações deverão adotar medidas de adequação aos seguintes princípios previstos na LGPD:

Finalidade
A coleta de dados deve atender a um propósito legítimo, específico, explícito e informado ao titular. Empresas e organizações devem sempre estipular qual é a finalidade específica para cada coleta de dados e a justificação clara e completa que justifique sua coleta. Hoje, muitas empresas, por exemplo, coletam dados em formulários e os utilizam para diversas finalidades: envios de email marketing, propostas comerciais, análises, monitoramento, criação de perfis etc. Isso não poderá mais ocorrer.

Adequação
Os dados devem ser tratados de forma compatível com a finalidade que foi informada ao usuário. Ou seja, os dados coletados não podem ser utilizados pela empresa para um fim diferente do que foi informado. Por exemplo: O usuário X comprou um ingresso para participar de um evento da empresa Y. A finalidade, nesse caso, é garantir a participação no evento. A empresa não pode utilizar esses dados para finalidades diversas, como encaminhá-los para a equipe de vendas realizar uma abordagem comercial oferecendo produtos ou serviços.

Necessidade
A lei prevê que o tratamento de dados deve se limitar ao mínimo necessário para a realização das suas finalidades comerciais tangíveis hoje. Por exemplo: o eCommerce X realiza todas as suas vendas online, não havendo contato telefônico com o usuário no ciclo comercial. Se este eCommerce solicitar o telefone dos usuários, não estará obedecendo ao princípio da necessidade, visto que não há justificativa para a sua coleta.

Livre Acesso
Empresas e organizações devem garantir aos usuários a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.

Qualidade dos dados
Empresas devem garantir aos usuários que as informações que possuírem sobre eles sejam verdadeiras, precisas e atualizadas. Conforme visto na própria Lei Geral de Proteção de Dados, o titular dos dados tem o direito de correção de dados incompletos, inexatos ou desatualizados.

Transparência
O titular tem direito a saber exatamente o quê, porquê e para quê seus dados estão sendo coletados. Empresas precisam garantir, aos titulares, informações claras, precisas e facilmente acessíveis sobre o que é feito com os seus dados pessoais. O foco deve estar em garantir que a informação seja passada com uma linguagem clara e simples. Importante mencionar que o princípio da transparência deve ser trabalhado nos mais diversos contextos: Políticas de Privacidade, Contratos, formulários etc.

Segurança
Princípio que prevê que empresas adotem medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.

Prevenção
Princípio que prevê a adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. Além de reforçar a segurança através da tecnologia, é imprescindível revisar processos internos e promover a conscientização de pessoas de toda a organização.

Não discriminação
O tratamento de dados não pode ser realizado para fins discriminatórios ilícitos ou abusivos. Em alguns casos, o marketing tem o potencial de ter um efeito negativo significativo no indivíduo, dependendo de suas circunstâncias pessoais. Por exemplo, alguém conhecido ou com probabilidade de estar em dificuldades financeiras que é regularmente alvo de marketing para empréstimos com juros altos pode se inscrever nessas ofertas e potencialmente contrair dívidas adicionais.

Responsabilização e prestação de contas
O princípio da responsabilização e da prestação de contas determina que empresas devem ser capazes de demonstrar todas as medidas adotadas capazes de comprovar o cumprimento da LGPD. Em outras palavras, é o dever de prestar contas.

Inbound Marketing

Uma das principais tendências para o novo cenário de regulamentação é o Inbound Marketing. O Inbound, se aplicado de forma correta e dentro do previsto em lei, respeitando as bases legais e os direitos dos titulares, o Inbound não só será permitido, como amplamente utilizado.

Isso porque, o Inbound Marketing é justamente fundado na ideia de atrair um potencial cliente de de forma natural e espontânea, de fornecer informações e conteúdos que os potenciais clientes estejam procurando, para conquistar a permissão de se comunicar com seu potencial cliente e construir um relacionamento que seja de interesse de ambas as partes.

Assim, cabe aos visitantes do site da sua empresa optarem por deixar as suas informações e dizer exatamente o que desejam de você.

A ideia é justamente pôr fim às práticas invasivas de marketing, para que o consumidor só receba conteúdos e publicidades que tenha consentido para os seus interesses.

Landing Pages e Formulários

As práticas de geração de leads ainda serão possíveis e amplamente utilizadas. Contudo, o principal cuidado é em relação à adequação de bases legais.

Vamos analisar este ponto?

Bases legais na geração de leads
Para coletar os dados de um lead, é necessário definir qual a base legal adequada para cada caso de coleta, ou seja, qual a hipótese da lei que autoriza a coleta e utilização dos dados deste lead.

Existem duas bases legais que tendem a ser as mais utilizadas para geração de leads: o consentimento e o legítimo interesse.

  1. Consentimento em Landing Pages e Formulários

Quando a sua empresa optar pela base legal do consentimento, o que é necessário fazer?

Primeiramente, é importante mencionar que tendem a ser nulas as práticas de soft opt-in (as caixas de seleção pré-marcadas, em que quando o usuário se cadastra na Landing Page já está automaticamente inscrito na sua lista).

É possível solicitar consentimento através de um checkbox sem pré-marcação.

Outra opção, é substituir os checkboxes pelos campos de “sim”, ou “não”. Neste caso, diferente do checkbox, o preenchimento do campo pode ser obrigatório, porque o lead tem a opção de recusa.

Sobre os campos de formulário, existem diversas outras maneiras para conquisar o consentimento dos seus leads. O importante é apostar na criatividade e transparência de informações.
Outra mudança importante é a inserção de informações sobre a Política de Privacidade da sua empresa, preferencialmente, através de um checkbox, ou de um hiperlink no rodapé do formulário (em letras claras) que redirecione para a Política.

No tópico Requisitos de Consentimento deste documento, você encontra mais informações sobre os requisitos para a base legal do consentimento.

  1. Consentimento em pop-ups de newsletter?

Preciso pedir consentimento em um Pop-up de Newsletter? O campo de formulário para obtenção de consentimento não será necessário nesse caso. Isso porque, quando um usuário preenche um Pop-Up de Newsletter, está justamente solicitando o recebimento de email marketing, assim, o próprio ato de preencher o Pop-Up já caracteriza o fornecimento de consentimento.

  1. Legítimo Interesse

Em relação às capturas de leads que realizadas base no legítimo interesse, não será necessário inserir o checkbox de consentimento. Contudo, é extremamente importante que as Landing Pages e formulários contenham:

Informações claras e transparentes
Informando que os dados serão utilizados para envio de comunicações, mas também deixando claro que o lead pode optar por se desinscrever a qualquer tempo.

Informações sobre a Política de Privacidade
Inserção de informações e hiperlink re-direcionando para a Política de Privacidade da empresa.

Essas foram algumas dicas sobre adequação de estratégias de geração de leads, espero que ajudem na adequação da sua empresa.

Cookies

Qual a finalidade dos cookies?
Cookies são identificadores que podem ser gerados ou coletados a partir do navegador ou dispositivo utilizado por determinado usuário, a fim de disponibilizar uma página para que esse usuário acesse, ou ainda identificar o seu perfil de navegação.

Os cookies podem ser utilizados para diversas finalidades, por exemplo:

“cookies operacionais, essenciais ou estritamente necessários”, são utilizados para poder tornar aquela página visível para o usuário, de acordo com o sistema operacional do dispositivo conectado por exemplo: se você usa Android ou iOS muito provavelmente a resolução da “tela” seguirá especificações de cada um desses sistema operacionais;.
já os “cookies de análise ou analytics”, são usados para medir audiência da página ou gerar estatísticas;
outro exemplo, são os “cookies de marketing”, utilizados para impactar audiência através de publicidade direcionada.

Por que os cookies podem ser considerados dados pessoais?
Dados pessoais são informações relacionadas a uma pessoa natural que podem torná-la identificável ou identificada. Neste ponto, é importante entender duas coisas: tanto a LGPD quanto a GDPR seguiram uma linha de interpretação expansionista em relação ao conceito de dado pessoal.

De acordo com a teoria expansionista, dados pessoais são um conjunto de informações que quando reunidos podem individualizar alguém. Por exemplo, um cookie, que por meio de dados de navegação permite inferir perfis comportamentais (gostar de viagens), quando associado a outros dados, como um CPF, podem tornar uma pessoa identificável.

Por isso, a definição de dado pessoal na lei, utiliza a palavra “identificável” é utilizada na lei, e não apenas “identificada”.

Email Marketing

Compras de listas
Uma prática utilizada por certas empresas é a compra de listas de contatos, geralmente de empresas conhecidas como “data brokers”, entidades que compilam e a vendem informação de consumidores na Internet.

Os data brokers não usam apenas os dados crus, mas também os chamados dados derivados, que são as inferências já realizadas a partir dos dados crus. Além disso, também combinam dados obtidos online e off-line para atingirem os consumidores online.

Todavia, o modelo de negócios dos data brokers e as práticas de compras de listas apresentam grandes incompatibilidades com a LGPD, começando pelo fato de não obedecer aos princípio da finalidade, adequação e transparência, além de não possuírem uma base legal que autorize o uso dos dados pela empresa.

Email de double opt-in (dupla confirmação)
Apesar de não ser considerada uma prática obrigatória, o envio de email de dupla confirmação para os Leads é uma boa prática de email marketing, assegurando que aquela pessoa de fato forneceu o email correto e que está interessada em continuar recebendo conteúdos.

Base de Leads

O que posso fazer para adequar a minha base de leads já existente?
Empresas que trabalham com email marketing, possuem até a entrada em vigor da lei para garantir que todos os leads da base estejam de acordo com a lei. Para isso, é preciso garantir que todos os leads possuam uma base legal que autorize a sua empresa a armazenar e utilizar esses dados.

Para isso, será necessário analisar toda a sua base de leads para:

Analisar Base de Leads
Identificar quais leads possuem uma base legal adequada, ou seja, aqueles que expressamente consentiram em receber emails. existem leads que já forneceram consentimento para a sua empresa? Existem leads que a sua empresa pode utilizar a base legal do legítimo interesse? A base legal de contratos?

Segmentar Base de Leads
Separar os leads que possuem, daqueles que não possuem base legal.

Adequar os leads sem Base Legal
Para os leads que não possuem base legal, pode ser realizada uma estratégia de email de consentimento retroativo. essa estratégia consiste no envio de email marketing para solicitar consentimento aos seus leads para que a sua empresa possa continuar se comunicando com eles, e deve ser conduzida um pouco antes da entrada em vigor da LGPD.

Existem várias possibilidades para a criação deste email. O importante é utilizar a criatividade e descobrir a forma mais efetiva para solicitar consentimento. O importante é que a linguagem esteja clara e transparente, para que os leads compreendam que, ao clicarem no botão do email, estão dando autorização para envios futuros de email marketing.

Exemplos de emails de re-permissão
Para a estratégia de emails de re-permissão, é possível usar bastante criatividade para solicitar consentimento aos leads da sua empresa.
O Marketing possui um template de email de consentimento retroativo (veja mais no tópico agencialink e a LGPD deste documento)

Importante mencionar que o ideal é realizar essa estratégia antes da entrada em vigor da LGPD. Uma boa estratégia de re-permissão pode reduzir os impactos e riscos da lei, pois quanto maior for o número de leads que fornecer consentimento, menor é o número de leads que precisarão ser excluídos da base quando a LGPD entrar em vigor.

Quais cuidados devo ter na hora de importar novos leads?
É importante garantir que a sua empresa adquiriu esses dados dentro da lei, e que possui autorização da lei para tratar esses dados. Sugestões de leitura: para entender como analisar isso, é necessário encontrar a base legal adequada, e respeitar os princípios da lei.

Segmentação e Automação de Marketing

A LGPD vai inviabilizar as práticas de criação de perfis e decisões automatizadas? A resposta é não, mas é importante observar alguns conceitos:

Criação de Perfis
O primeiro conceito é o de perfilamento, ou também conhecido como criação de perfis. Em análise simplificada, o perfilamento refere-se ao uso de dados pessoais de alguém para criar uma imagem deste indivíduo, do seu comportamento e interesses. Um exemplo recorrente no mundo do Marketing, é o caso de criação de publicidades direcionadas para um público específico, como homens, entre 35 e 44 anos, interessados ​​em carros.

As técnicas de perfilamento são capazes de potencializar inferências e previsões através de dados, contam com tecnologias cada vez mais sofisticadas, como Big Data, Inteligência Artificial e Machine Learning.

Decisão automatizada
O que difere profiling de decisão automatizada é justamente a palavra “decisão”. O controlador pode usar o perfil de um indivíduo para tomar uma decisão automatizada, mas o perfil, por si só, não gera uma decisão automatizada.

Assim, conclui-se que há uma independência entre os dois conceitos: decisões automatizadas podem ser feitas com ou sem perfilamento, de modo que o perfilamento pode ocorrer sem ser utilizado para decisões automatizadas.

Cuidados
Um dos cuidados com a nova lei, é que o controlador de dados deve ser capaz de fornecer informações de claras sobre o processamento para a tomada de decisões que ocorram de forma exclusivamente automatizadas, deixando claro ao titular dos dados: a lógica envolvida no processamento, a importância e consequências previstas do processamento e fornecendo informações suficientes para comprovar que o processamento ocorre de forma justa.

Ainda, quando o processamento puder resultar em um alto risco para os titulares de dados, o controlador deve realizar um Data Protection Impact Assessment (DPIA), um estudo para avaliar os riscos para os direitos e liberdades dos titulares de dados que resultam do processamento de dados.

Exemplo:
Em ações de marketing, o perfilamento pode ter um impacto negativo perante a lei, a depender de fatores como a intrusividade na criação de perfis, as expectativas e desejos dos indivíduos envolvidos, o modo como a comunicação de marketing é fornecida e a vulnerabilidade do titular dos dados.

Para fins de análises práticas, pode-se analisar exemplos referentes à variação de preços de produtos ou serviços.

No primeiro exemplo, vamos supor que o perfilamento realizado por determinada empresa identificou que o consumidor que esteja em dificuldades financeiras e, por esse motivo, é frequentemente alvo de ofertas de empréstimos com juros mais elevados do que o normal, correndo o risco de aceitar o empréstimo e potencialmente incorrer em novas dívidas mais altas do que poderia. Nesse caso, a decisão automatizada, que resulta em juros diferenciados com base em dados pessoais, pode ter um efeito significativo e ser considerada prática discriminatória.

Para o segundo exemplo, suponhamos que uma empresa oferece descontos para seus clientes mais valiosos. Esta prática, a princípio, não produz um efeito legal ou significativo, por não infringir os direitos do titular dos dados.

Em ambos os casos há a variação de valores para aquisições de produtos ou serviços, mas a classificação da decisão quanto aos seus efeitos jurídicos ou significativamente similares depende de ampla análise contextual e principiológica das práticas de processamento, no caso concreto.

Como a agencialink está se preparando para a LGPD?

A agencialink está em processo de adequação à LGPD. Estamos comprometidos e focados na adequação à lei, e na adoção de medidas e práticas capazes de aumentarem a privacidade e a proteção de dados pessoais dos nossos clientes e parceiros.

Privacy
A agencialink possui um time de Privacy, composto pela nossa DPO – Data Protection Officer, um líder de privacidade, uma especialista em proteção de dados e um analista de projetos, com foco em mapeamento de dados.

Produto e Engenharia
Atualmente, possuímos três times de Produto e Engenharia totalmente focados em mudanças e melhorias para o Marketing, além de outra equipe responsável pela adequação do CRM, para permitir que nossos clientes desenvolvam estratégias adequadas à lei.

Programa de Adequação
Além das mudanças no produto, estamos em fase de execução de um roadmap de adequação, atualmente com iniciativas em andamento nas principais áreas da empresa: CS, Parceiros, Marketing, Vendas, Segurança, e RH. Além disso, possuímos Comitês focados de Marketing e Segurança.

Papeis e responsabilidades da agencialink

A agencialink, como empresa, é considerada controladora de dados. Como Marketing ou CRM, software, é considerada operadora dos nossos clientes, que atuam como controladores.

TemaO que isso significaO que estamos desenvolvendo
Bases legaisPara que você possa realizar qualquer operação com os dados pessoais dos seus leads, como enviar comunicações para eles, é necessário possuir uma base legal. Na LGPD, as bases legais são hipóteses previstas em lei que autorizam o tratamento de dados pessoais.
A sua empresa precisa estabelecer mecanismos para adequar e registrar as bases legais que atribui aos seus leads. Caso contrário, quando a LGPD entrar em vigor, enviar email marketing, sem possuir uma base legal por exemplo, será considerada uma prática ilegal.
Adicionamos funcionalidades nas ferramentas que irão te ajudar a coletar e gerenciar as autorizações necessárias para processamento de dados pessoais, além de permissão para contato e envio de comunicações.
Consentimento retroativoEmpresas que não possuem bases legais para todos os seus leads, podem desenvolver uma estratégia de obtenção de consentimento retroativo. O intuito é conquistar a permissão dos leads, para que a sua empresa possa continuar enviando email marketing para eles, mesmo após a entrada em vigor da LGPD. A estratégia de consentimento retroativo é uma ótima oportunidade para adequar a base de leads, e evitar que muitos leads precisem ser removidos da base quando a LGPD entrar em vigor.O disponibiliza um novo template de email marketing de consentimento retroativo, para que nossos clientes possam coletar o consentimento dos seus leads e, assim, continuar o relacionamento com eles. Você irá conseguir criar e executar uma campanha com seus atuais clientes para coletar o seu consentimento para envio de comunicações.
Autorização para uso de cookiesAs pessoas que visitam o site da sua empresa precisam receber um aviso de cookies, com o intuito de garantir o consentimento para o rastreamento do seu navegador.Através do é possível configurar um banner de cookies, que será exibido nas páginas do seu site, para avisar/coletar consentimento das pessoas que navegam pelo site da sua empresa sobre a utilização de cookies.
Direitos do titular de dadosDe acordo com a LGPD, o titular de dados possui alguns direitos assegurados e que podem ser exercidos assim que a nova regulamentação entrar em vigor.O já permitem que empresas atendam aos direitos de acesso, alteração e exclusão de leads. Contudo, iremos desenvolver recursos que irão facilitar e otimizar ainda mais a adequação dos nossos clientes e parceiros.
Você já votou!