Introdução

Vivemos na era da transformação digital, onde praticamente tudo que vemos ou tocamos é tecnologia. Tal transformação implica diretamente na vida de cada um, no qual tudo gira em torno de dados, de tal modo que com a conquista da internet sobre uma abrangência fez com que ela fosse capaz de disseminar e processar informações mais rapidamente, assim facilitando a obtenção de dados.

Com a geração de dados crescendo de maneira exponencial, se tornou necessário a criação de uma ferramenta que fizesse a leitura de grandes volumes de dados, de maneira rápida e com grande variedade, que sejam verídicos e, por fim, que retornassem algum valor. Hoje conhecemos esse conceito como Big Data, que nada mais é a junção desses 5 pilares ( volume, velocidade, variedade, veracidade e valor).

Ao fazer uma citação que se tornou muito presente no meio de marketing, "se você não está pagando pelo produto, você é o produto", fica-se nítido que, a partir do momento que os dados começam a retornar um valor, a utilização de tais dados se faz lucrativa em diversos âmbitos e estratégias, como perfis de visitantes, documentar experiências, concorrentes e, assim, desenvolvendo a monetização de dados pelas empresas.

Mesmo com tantos benefícios da monetização de dados, houve uma criminalização desse meio, começando assim uma onda de crimes virtuais ( cibernéticos ) como fraudes de identidade, roubo de dados financeiros e corporativos, espionagem, com relatos de empresas vendendo dados de usuários para outras empresas. Um dos casos mais notórios acerca de tais atos é o da empresa Cambridge Analytica, que teria utilizado ilegalmente dados de cerca de 50 milhões de contas de usuários do Facebook para traçar perfis psicológicos detalhados de eleitores dos Estados Unidos, na campanha pró-Trump - no qual a consultoria política da empresa alega que foi a responsável pela vitória. Ou seja, fica-se claro a necessidade de maior controle na segurança desses dados dentro das empresas.

O que é LGPD ?

Trazendo para a nossa realidade, o pensamento de uma solução vem sendo motivo de debate desde 2010. A criação de uma lei sobre a proteção de dados pessoais de usuários gerou diversos projetos de lei. Até que, em 14/08/2018 a Lei nº 13.709, denominada Lei Geral de Proteção de Dados – LGPD, surge tendo como objetivo usar os direitos fundamentais de liberdade e de privacidade para estabelecer regras a respeito da coleta e armazenamento de dados pessoais e seu compartilhamento. Ou seja, a regulamentação do tratamento de dados pessoais, por meios físicos ou digitais.

Conforme aprovada, determinou-se que a lei passaria a vigorar em 18 meses após a publicação. Porém, ainda em 2018, a lei sofreu alguns vetos na sanção presidencial e teve a sua vigência alterada para agosto de 2020. Desde então as empresas e órgão públicos vêm se preparando para o momento em que a LGPD passara a entrar em vigor no Brasil. Como reflexo dos efeitos da pandemia da covid-19, imaginava-se que seu prazo de vigência fosse mais uma vez adiado, porém essa data não foi aprovada no Senado e, portanto, a LGPD entrou em vigor a partir do início de setembro de 2020, e inicialmente apenas de forma educativa.

A LGPD foi criada se inspirando na GDPR (Regulamento Geral sobre a Proteção de Dados), uma lei europeia que entrou em vigor em 2018 e que trata sobre a relação de empresas e órgãos públicos com o processamento e armazenamento dos mais diversos tipos de dados pessoais, com propósito de harmonizar os interesses legítimos de titulares de dados e de empresas. A lei não tem como fim frear o desenvolvimento tecnológico, mas sim compatibilizar direitos e expectativas, de forma a fomentar a inovação e viabilizar o tratamento legítimo dos dados pessoais.

O que são dados e seus tipos ?

A LGPD traz a necessidade do melhor tratamento possível nos mais diversos tipos de dados pessoais, sendo assim se faz necessário entender os tipos de dados pessoais para entrar em conformidade com a LGPD.

O primeiro tipo de dado é o pessoal, que é referente a todas as informações relacionadas a um titular em que seja possível identificá-lo. Como exemplos de dados pessoais temos nome, CPF, RG, telefone, e-mail, endereço, dentre outros. Além dos dados pessoais, temos uma vertente desses dados, denominados dados pessoais sensíveis. Esses tipos de dados são dados que, além de possibilitar a identificação do titular, podem gerar qualquer tipo de discriminação. Como exemplo origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político. Também são dados sensíveis os dados referentes à saúde ou à vida sexual, dado genético ou biométrico.

Além dos dados pessoais e suas vertentes, temos alguns tipos de dados que abrangem um pouco mais o arco dos dados pessoais. Um desses dados são os anonimizados, que são dados que não permitem a identificação de seu titular, portanto estão fora do escopo de proteção da LGPD. Contudo, se o processo de anonimização de dados puder ser revertido, seja por meios próprios do controlador ou mediante esforços razoáveis, a LGPD será aplicável. Adverso aos dados anônimos, temos os dados públicos, que são compartilhados pelo próprio titular (como dados de redes sociais). Porém, mesmo esses dados sendo públicos, só podem ser tratados considerando uma finalidade, boa-fé e o interesse público.

Um último tipo de dado muito importante a ser destacado, são os relacionados a crianças e adolescentes. Por se tratar de um assunto sensível, a LGPD trouxe consigo uma inovação ao estabelecer proteções específicas aos dados pessoais desses, a fim de evitar o tratamento indevido e abusivo dos dados de menores. Há a garantia da necessidade do consentimento de um responsável legal para o compartilhamento de tais dados, sendo permitida somente em casos de necessidade de contatar o responsável da criança ou adolescente.
Nota: De acordo com o Estatuto da Criança e do Adolescente (ECA), considera-se “criança”, o indivíduo com até 12 (doze) anos de idade incompletos, e “adolescente” aquele entre 12 (doze) e 18 (dezoito) anos.

Definições importantes para o entendimento da LGPD como um todo

Essas definições são extremamente importantes de se ter para um entendimento com clareza acerca de quais pontos são cobertos pela LGPD. Sendo assim tem-se as seguintes definições:

• Tratamento de dados: toda operação realizada com dados pessoais para fins econômicos, como a coleta, produção, classificação, utilização, acesso, armazenamento, eliminação, modificação e transferência.
• Controlador: pessoa física ou jurídica, pública ou privada, que determina quais tratamentos serão realizados nos dados. É possível que o controlador não faça nenhum tratamento, mas ele ainda possui responsabilidades pelos tratamentos determinados. Operador: pessoa física ou jurídica, pública ou privada, que de fato realiza os tratamentos dos dados, em nome do controlador. Em muitos casos, o Controlador e o Operador são a mesma entidade, porém isso não é obrigatório. Autoridade Nacional de Proteção de Dados (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da lei em todo território nacional. Encarregado dos Dados (DPO): pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.

Princípios legais para o tratamento legítimo de dados pessoais

Uma das principais novidades da LGPD é a indicação de outras hipóteses legais para o tratamento legítimo de dados pessoais, ou seja, o estabelecimento deverá seguir todos os seguintes fundamentos para o tratamento de dados pessoais.

• Finalidade: todo tratamento de dados deve ser feito para propósitos legítimos, claramente informados ao titular, sem possibilidade de, posteriormente, utilizar os mesmos dados para um propósito diferente.
• Adequação: deve-se garantir que realmente os dados coletados estão sendo tratados de forma compatível com as finalidades informadas ao titular.
• Necessidade: deve-se limitar os dados e os seus tratamentos sempre ao mínimo necessário para cumprimento de suas finalidades.
• Livre Acesso: o controlador deve garantir aos titulares uma forma facilitada e gratuita sobre a forma e duração do tratamento dos dados, assim como quais são os dados pessoais que estão sendo tratados.
• Qualidade dos Dados: deve ser garantido ao titular a exatidão e clareza dos dados, assim como uma forma de atualização deles conforme necessidade.
• Segurança: os controladores e os operadores dos dados devem utilizar de medidas técnicas e administrativas que garantam a proteção dos dados de acessos não autorizados e de situações acidentais ou ilícitas (perda, alteração indevida, etc.).
• Não Discriminação: os dados tratados não devem ser utilizados para fins discriminatórios ilícitos ou abusivos.
• Responsabilização e Prestação de Contas: tanto o controlador quanto o operador devem conseguir demonstrar e comprovar o cumprimento das normas, incluindo a eficácia dessas medidas.

Além de observar todos os princípios definidos na LGPD, o controlador ou operador somente poderão realizar o tratamento de dados pessoais desde que seja cumprido, obrigatoriamente, uma das seguintes hipóteses:

• com o consentimento do titular;
• para obrigações legais;
• pela administração pública;
• para estudos e pesquisas;
• para proteção da vida;

Direitos dos titulares

Assim como qualquer outra lei, a LGPD trás consigo direitos (aos usuários) e deveres (a quem ter acesso a dados de usuários) que devem ser seguidos. Sendo assim detalhei alguns dos direitos que são concedidos aos usuários e que devemos seguir para estar em conformidade com a lei:

• Confirmação e Acesso aos Dados: ao titular dos dados pessoais é garantido o direito de confirmação da existência de tratamento e, por consequência, o de acessar todos os dados pessoais de sua titularidade que estão sendo coletados e tratados pelo controlador.
• Retificação: os titulares possuem o direito de corrigir dados incompletos, inexatos ou desatualizados que lhes digam respeito.
• Cancelamento ou Exclusão: de dados desnecessários, excessivos ou tratado sem desconformidade com a LGPD ou cujo consentimento do usuário for retirado.
• Restrição de tratamento: os titulares possuem o direito de restringir o tratamento de dados pessoais, por meio da recusa em fornecer o consentimento.
• Portabilidade: o titular tem o direito de receber todos os seus dados pessoais que tenham sido fornecidos a um controlador, inclusive em formato eletrônico, a fim de que estes sejam transmitidos a outro fornecedor de serviço ou produto, de escolha do titular
• Informação: das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados, bem como sobre a possibilidade de o titular não fornecer consentimento e as consequentes negativas.
• Revogação de Consentimento: o titular dos dados pode revogar o consentimento para tratamento de seus dados pessoais a qualquer momento, mediante manifestação expressa, por procedimento gratuito e facilitado.
• Oposição: o titular dos dados tem o direito de se opor a quaisquer tratamentos e informações que não estejam em conformidade com a lei, bem como a decisões automatizadas que afetem seus interesses, como decisões destinadas a definir seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

A dificuldade de estar em conformidade com a LGPD

Além da necessidade de se converter a lei não só em algo a ser seguido e sim em uma cultura, surgem outras dificuldades, como o fato da LGPD apresentar poucas descrições e não possui uma introdução explicativa contendo suas diretrizes para que seja realizada a interpretação completa, o que torna a implementação da regulamentação da lei mais desafiadora. Outra dificuldade é que a lei deixa questões, como o prazo das notificações obrigatórias de violação de dados, em aberto: a LGPD estabelece que a comunicação deve ser feita em “prazo razoável”, o que fortalece o questionamento da eficácia da lei brasileira e se ela conseguirá de fato passar pelos desafios jurídicos e técnicos.

Impactos no marketing digital

A tendência é que as empresas busquem utilizar métodos mais limpos para alcançar pessoas. Isso não significa parar de trabalhar com os dados, mas sim que as empresas terão que ficar mais inteligentes e mais específicas para ganhar Leads e aplicar o tratamento a grupos menores de dados, porém potencialmente mais ricos.

Na geração de leads, por exemplo, o consentimento deverá ser explícito, onde deve ser apresentada uma opção para o consumidor clicar e autorizar o uso e armazenamento de seus dados para a finalidade descrita. Mas atenção, os opt-ins não poderão mais ser genéricos ou pré-preenchidos. Será preciso fornecer um caixa de check sem pré-marcação.

Além da geração de leads, o Outbound marketing não pode mais ser dirigido de maneira focada em vendas robóticas e spam, mas sim com uma estratégia focada no cliente, no qual deve ser totalmente consultivo e customizado. Com isso surgiu um novo modelo que seria o marketing de conteúdo, que traz consigo exatamente o que deve acontecer com o outbound: prezar por um relacionamento orgânico e ativo com os potenciais clientes, para, assim, promover engajamento e fazer com que os leads queiram receber os seus conteúdos.

A utilização de anúncios segmentados é o principal desafio que surgirá com a nova lei, no qual utilizam os dados de usuários para personalizar campanhas, o que torna possível entregar mensagens relevantes a cada tipo de público. Como no caso de Facebook - que utiliza dados de usuários para direcionar os anúncios - será mais fácil para o usuário da rede social descobrir quais informações sobre si mesmo estão armazenadas, além de poder autorizar ou não essa coleta e uso.

Implementação: como começar ?

Agora que já entendemos o que é a LGPD, o que são dados e seus tipos, direitos e deveres a serem seguidos, começamos a nos perguntar como implementar a LGPD de uma maneira correta e como iniciar essa implementação. Para responder tais perguntas, temos a seguir um passo a passo a ser seguido para entrar em conformidade com a lei. Veja a baixo:

• Entender o propósito e os princípios básicos da LGPD.
• Definir uma pessoa para liderar um Projeto de Proteção de Dados, bem como uma equipe ou departamento que auxilie na Proteção de Dados da sua organização.

• Mapeamento de:

  → categorias de dados coletados, inclusive de funcionários;

  → fluxo de dados pessoais;

  → as leis e/ou normas regulatórias aplicáveis ao negócio;

  → localização dos servidores e quem tem acesso;

  → as empresas terceirizadas que prestam
  serviços para a instituição;

  → a existência de Políticas, Normas e Processos Internos relacionados à Segurança da Informação, Retenção e Exclusão de Dados, Resposta à Incidentes, Gestão de Riscos;

  → a existência de protocolos e processos para opt-in e opt-out em ações de marketing direto da instituição;

• Criar um Programa de Proteção de Dados Pessoais, o qual deve estar devidamente documentado, indicando todas as políticas e normas que compõem o programa, além de todas as ações a serem realizadas durante o prazo de vigência do Programa.

• Implementar

  → Gestão e Segurança das Informações (afim de evitar perdas e/ou vazamento de dados e informações confidenciais;

  → Conhecimento da importância da LGPD e de sua implementação, assim como pregar uma cultura;

• Fiscalizar desde a aplicação e eficácia do Programa de Proteção de Dados até o monitoramento de novos regulamentos e/ou diretrizes a serem publicadas pela Autoridade Nacional de Proteção de Dados.

Conclusão

Como dito anteriormente a LGPD não vem com o intuito da frear o avanço tecnológico, mas sim com o objetivo de assegurar a privacidade da população como um todo. Com isso abre para todas as empresas, não um novo método de promover gastos desnecessários, mas sim uma porta para melhorar não só sua inteligência, mas também a ganhar tempo em tratamento e diagnóstico de dados que geraram lucros.