Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Por que? Bom, você já parou para pensar em como as coisas mais simples do dia a dia
envolvem o compartilhamento de dados? E isso vai desde o login nas redes sociais até
uma compra no cartão de crédito.
São situações onde o consumidor con a às empresas seus dados pessoais. Entregam o
CPF, o número do cartão de crédito, senhas, endereço, email, telefones… a lista não tem
m. Mas raramente as pessoas param para pensar no que acontece depois que aquela
compra é nalizada ou a página do Facebook é fechada.
Por exemplo: vamos supor que um usuário se cadastra em uma página num dia e, de
repente, passa receber anúncios online de outras marcas, as quais ele nunca viu, quem
dirá compartilhou seus dados com elas.
Será que aquele site, para o qual ele deu suas informações em primeiro lugar, não faz
cookie pool – uma prática de compartilhamento de base que fere os direitos de
privacidade dos consumidores?
Pois então. A verdade é que, até 2018, o Brasil ainda não contava com uma legislação
que garantisse os direitos de privacidade de dados dos seus consumidores. Mas isso
mudou com a aprovação da Lei Geral de Proteção de Dados (LGPD).
Índice [ocultar]
Bem, se seu negócio lida com dados pessoais dos consumidores, é certo que a nova
legislação irá impactar na sua operação. Especialmente porque a ela prevê altas
penalidades para quem não estiver de acordo com seus princípios e boas práticas. Ou
seja, qualquer erro pode sair muito caro para o sua empresa.
Mas, calma! Antes de se desesperar e acionar seu advogado, que tal entender melhor o
que propõe a nova lei?
Nós explicamos os aspectos mais importantes e, mesmo sabendo que não dá para
esgotar o tema em um só post (são cerca de 60 páginas de legislação), dá para ter uma
boa ideia de como a regulamentação vai mudar a rotina do seu negócio e os pontos de
atenção para sua empresa.
Aliás, se você quiser ter esse conteúdo em PDF, para usar como referência, você pode
baixá-lo gratuitamente aqui.
Quero!
Na Europa
O ato trouxe para o público a noção de que os dados são uma propriedade de cada
indivíduo e que as pessoas têm poder de decisão sobre eles. Essa consciência,
despertada a partir daí, foi tão importante que, alguns anos depois, em 1995, a União
Européia se baseou na lei para criar e aprovar uma diretriz geral para todos os países do
bloco.
O tempo passou, a tecnologia não parou de evoluir e, mesmo com a lei passando por
revisões para acompanhar esse movimento, diversos escândalos de vazamento de
dados continuaram a ser registrados. Foi então que a União Européia entendeu que era
necessário criar uma legislação única, com o objetivo de proteger e garantir segurança
jurídica para seus cidadãos.
Em paralelo, no Brasil, vez ou outra eram criadas leis voltadas para proteção de dados. O
Código de Defesa do Consumidor, por exemplo, cita a possibilidade de obtenção de
dados por parte das empresas. Já a Lei Carolina Dieckmann penaliza a invasão de
dispositivos.
Por sua vez, o Marco Civil, de 2014, pontua alguns dos direitos que são melhor
elaborados na nova lei. Mas o fato é que, antes da LGPD, o Brasil nunca tinha contado
com um documento que contemplasse todos os aspectos desses sistema, desde a
manipulação de dados e as questões de privacidade, até alternativas e cientes para
scalização desses processos.
Essa é, inclusive, uma estratégia política. Especialmente porque o nosso país busca
conquistar uma cadeira na Organização para Cooperação e Desenvolvimento
Econômico.
Daí a importância de leis como a GDPR e a LGPD, que trazem segurança jurídica para os
cidadãos e inibem o descuido, por parte das empresas, na manipulação e
processamento de dados. Isso porque um mesmo documento consegue regular a
atividade econômica digital, vetando práticas já mal-vistas ou mesmo ilegais, como o
cookie pool e a venda de base.
Além disso, a lei traz exibilidade, uma vez que pode ser adaptada de acordo com os
avanços tecnológicos e, melhor: abre, também, o mercado para parcerias internacionais,
uma vez que países que seguem leis similares restringem suas relações comerciais à
empresas de países que garantam a segurança de dados.
Inclusive, antes mesmo da aprovação da LGPD, quando ela ainda era um projeto de lei (a
PLC 53/2018) e a GDPR tinha acabado de entrar em vigor nos países da União Europeia,
a gente fez um webinar especial, dando detalhes sobre as duas regulamentações. Dá só
uma olhada:
Ou seja, tanto sua empresa, quanto nós, da Social Miner, precisamos estar em acordo
com a nova lei.
lei E a gente já está, diga-se de passagem.
Sempre prezamos muito pela experiência do consumidor, sendo isso um dos pilares do
nosso negócio e da metodologia do People Marketing. E, desde que a GDPR entrou em
vigor, em maio de 2018, já adaptamos nossas políticas de privacidade e cookies para
garantir que tanto nossos clientes quanto os seus consumidores nais estejam
protegidos.
É importante destacar que alguns dados não permitem atribuir uma identidade a um
usuário. No entanto, se essas informações anônimas forem complementadas com
outros dados, como endereço de e-mail, por exemplo, ou de alguma forma permita que a
empresa atinja o usuário de alguma forma individualizada, esta pessoa acaba sendo
identi cada e a lei passa a valer para esse usuário.
Como a LGPD foi baseada na lei europeia, apresenta basicamente os mesmos princípios
e eles funcionam de forma complementar. Isto é: cada princípio traz implicações para os
outros.
Dados coletados só podem ser tratados para ns legítimos e especi cados aos titulares.
Ou seja: as empresas não podem coletar informações e, depois, usá-las para outros ns.
Ex: Você tem um blog, onde pessoas podem se cadastrar para receber conteúdos, e
resolve criar um e-commerce de livros. Você não pode usar sua base de leads
cadastrados do blog para divulgar suas ofertas da loja virtual.
O tratamento dos dados deve ser compatível com a nalidade que foi informada para o
usuário. Então, as empresas não podem usar os dados dos seus usuários para qualquer
m que não tenha sido previamente informado.
Ex: Se seu usuário deu permissão para envio apenas de emails, você não deve usar suas
informações para enviar comunicações através de outros canais.
Dados devem ter seu uso limitado ao necessário para realização das suas nalidades.
Isto é, as empresas devem coletar apenas aquelas informações estritamente
necessárias para prestação dos seus serviços.
Ex: Se o seu objetivo é disparar emails, não tem por que pedir informações como número
do telefone ou endereço.
Os titulares dos dados devem sempre ter acesso fácil e gratuito às suas informações,
serem informados sobre como esses dados estão sendo usados e por quanto tempo
eles serão tratados.
Ex: Um cliente, cadastrado na sua base há 6 meses, pode decidir revisar suas
informações e/ou excluir dados que não queira mais compartilhar com sua empresa.
Este é um princípio que garante aos titulares que seus dados serão exatos, terão
informações claras, relevantes e atualizadas para tratamento.
Ex: Se seu cliente, cadastrado na sua base há algum tempo, notou que os dados estão
desatualizados, poderá solicitar alteração a qualquer momento.
O objetivo desse princípio é garantir aos usuários informações claras e de fácil acesso
sobre o tratamento dos seus dados e sobre quem são os responsáveis por tratá-los.
Ex: Se seu cliente receber um SMS da sua marca falando sobre uma promoção limitada
a região onde ele mora, pode questionar o motivo para que tenha recebido essa
mensagem e qual critério usaram para seleciona-lo para o envio.
De ne que as empresas que tratam de dados devem adotar medidas para proteger
essas informações de acessos não autorizados, de eventos acidentais ou ilícitos de
destruição, alteração, perda, comunicação ou difusão.
Ex: Seu cliente informou o número do seu cartão de crédito e o CCV para realizar uma
compra, é responsabilidade da empresa proteger esses dados para que esse usuário
não sofra fraudes.
Na prática: Se sua empresa usa dados pessoais, deve ter meios de assegurar que não
ocorrerá invasões aos computadores, servidores e tomar outras medidas de segurança
De acordo com esse princípio, os dados não podem ser utilizados para ns
discriminatórios ilícitos ou abusivos.
Ex: Sabendo que, em São Paulo, o valor médio de um produto é de R$700 e, em Natal, o
mesmo produto custa R$500, a venda desse artigo por preços diferentes de acordo com
a região dos usuários que você consegue identi car é uma prática proibida.
Este princípio fala que as empresas têm que se responsabilizar pelos dados e, para isso,
têm o dever de mostrar quem são os parceiros responsáveis pelo tratamento dessas
informações, tendo também o dever de determinar um encarregado pela tarefa.
Ex: Você deve possuir em sua empresa a documentação que comprove que o
tratamento de dados está sendo realizado de forma regular, em concordância com a lei.
Além dos seus princípios, as leis de proteção de dados garantem também alguns
direitos aos titulares dessas informações. Portanto, de acordo com as novas normas, os
usuários que acessam um site e têm seus dados coletados e processados têm o direito
de:
No entanto, se ao cookie são associados dados que permitam identi car aquele usuário
– como um endereço de email, nome, entre outros -, no processo de anonimização, o
usuário pode pedir que essas informações de identidade sejam desvinculadas do seu
registro, tornando o usuário anônimo mais uma vez.
É importante lembrar que, para ser válido para lei, o processo de anonimização deve ser
irreversível;
5- solicitar a portabilidade dos dados. Ou seja, se desejar, o usuário pode ter os seus
dados transferidos para outra organização;
6- pedir a eliminação dos seus dados da base de uma empresa, com garantia de que
isso aconteça*;
9- informar a empresa que trata seus dados que não quer mais estar na base, revogando
o seu consentimento.
10- solicitar a revisão de decisões tomadas por computadores com base em tratamento
automatizado de dados pessoais, solicitando informações claras sobre como aquela
decisão foi tomada, observados os segredos comercial e industrial, hipótese em que a
autoridade nacional poderá ser acionada para veri car tais questões.
Ex: Se um site de empréstimos validar automaticamente seu crédito a partir de
informações de banco de dados, você pode pedir que a análise seja refeita ou pedir
informações sobre como aquela decisão foi tomada.
E eu, como empresa: o que preciso fazer para lidar com dados dentro da
lei?
Tudo bem, deu para entender bem os princípios que regem a lei e ter uma boa ideia da
extensão dos direitos dos usuários. Mas quais são os requisitos que as empresas
precisam atender para que possam coletar e tratar dados?
Bem, caso você tenha curiosidade de consultar a lei, essas condições, em especí co,
estão dispostas no art. 7º. E quem avisa, amigo é: essa parte da lei é taxativa. Ou seja,
ela não admite que os dados sejam tratados de qualquer outra forma, diferente do que
foi especi cado no texto.
Então é bom car de olho em cada um dos requisitos. Nós explicamos um a um, dá só
uma olhada:
Requisito #1 Consentimento
O primeiro requisito que as empresas precisam cumprir para lidar com dados é, talvez, o
mais importante para e-commerces e sites, quando se trata de tratamento para ns de
marketing. Trata-se do requisito de “consentimento”, fornecido pelo titular das
informações que serão coletadas e tratadas.
Mas, não se engane. Não é tão simples quanto aquele conhecido “clicar no ‘ok’ signi ca
que você aceita nossos termos de uso”.
Agora, além de estar de acordo com todos os princípios da LGPD, as empresas precisam
deixar seus usuários bem cientes sobre o que ele está consentindo, incluindo que tipo de
dados serão coletado, como eles serão tratados, para quais nalidades e avisá-lo sobre
todos os seus direitos.
Um exemplo de boas práticas desse requisito – coisa que você pode ter visto em alguns
sites ultimamente – é aquele “aviso de cookies”.
Ele informa o usuário que, ao acessar aquele site, a empresa estará coletando um
pacote de dados, chamado de cookies. E mais: o aviso especí ca o objetivo da ação –
que, em geral, é de melhorar a experiência de navegação – e avisa para o titular dos
dados que, a partir do momento em que ele ceder algum dado pessoal (como seu per l
em redes sociais ou e-mail), terá essas informações vinculadas ao seus dados de
navegação.
Um exemplo é o caso das empresas de telefonia que guardam dados de I.P e demais
conexões, que podem identi car um usuário, para ns de cumprimento da legislação.
É possível, ainda, o tratamento de dados para estudos, quando realizados por um órgão
de pesquisa. No entanto, é importante ressaltar que, em primeiro lugar, essas
instituições devem buscar anonimizar essas informações.
Mas, o que é isso? Basicamente, dentro dos processos, as instituições acabam lidando
com dados pessoais de terceiros – seja para quali cação, para indicar bens que um
devedor possua, entre outros. Então a lei já traz essa hipótese, para garantir que, nesses
casos, seja possível tratar dados pessoais.
Por exemplo: imagine que uma pessoa passa mal e precisa ser internada às pressas.
Será necessário manipular seus dados para dar entrada no hospital, contatar seus
parentes, etc.
Esse termo não é um carta branca para que empresas façam uso de dados como
quiserem. É, na verdade, para não causar empecilhos para que algumas instituições,
como bancos, que precisam manipular dados para efetuar transações com e ciência.
A importância do consentimento
A primeira exigência é que o consentimento do usuário seja dado por escrito ou por
outro meio. E quando a legislação fala sobre “outro meio”, ela faz referência, também, ao
meio virtual.
Então é importante que empresas que lidam com dados – sejam elas mesmas ou
através de parceiros – tenham meios de comprovar que aquele usuário deu seu
consentimento, autorizando seu compartilhamento de dados, através de um canal de
opt-in, check-box, ok, entre outros.
#2 Ônus da prova
E porque a empresa precisa ter o registro desse consentimento? Porque ela vai ter o
ônus da prova. Ou seja: vai precisar comprovar que teve o consentimento daquela
pessoa para acessar aqueles dados e tratá-los.
Então é sempre importante que os sites contem com ferramentas digitais para
conseguir comprovar que aquela pessoa deu o opt-in para receber informações,
conteúdos e promoções.
A nova lei veda o tratamento mediante vício de consentimento. Essa exigência tem
relação com o princípio da transparência.
Portanto as empresas não podem, de maneira alguma, induzir a pessoa a erro ou coagir
o usuário para conseguir seus dados, ou seja, a pessoa precisa dar seu consentimento
por livre e espontânea vontade.
Portanto, uma empresa não pode falar para o visitante do seu site algo como “a partir de
agora você cede os seus dados para que sejam tratados para todos os ns que
considerarmos apropriados”.
É preciso dizer, com clareza, que a empresa terá acesso aos dados para ns especí cos.
Um exemplo? “Vamos pegar os seus dados para poder fornecer ofertas adequadas,
poder te enviar os melhores produtos ou para personalizar a sua navegação no nosso
site”.
A nova lei demanda que, para recolher e tratar dados, as empresas contem com
mecanismos que permitam que seus usuários possam revogar, a qualquer momento, o
seu consentimento para o compartilhamento de dados.
Isso signi ca que, a partir do momento que um usuário decida não mais estar na sua
base, ele tem a garantia de revogar de imediato sua autorização para que esses dados
sejam tratados.
Empresas que lidam com dados devem informar seus usuários sempre que houver
qualquer alteração de informação no processo. E isso seja na coleta, tratamento ou
nalidade para o uso dessas informações. É possível, ainda, a revogação do
consentimento no caso de não concordância do titular.
Um exemplo: se sua empresa estava tratando certos dados para nalidade X e, a partir
de agora, deseja tratá-los para outros ns, é preciso conseguir um novo consentimento
do titular dessas informações. E mais, você deve informar que ele ou ela tem o direito
de, a partir de então, não ter mais seus dados tratados por você.
Porque, caso o contrário, o consentimento pode ser considerado nulo. A lei, inclusive, já
prevê que o consentimento não será válido caso as informações tenham conteúdo
enganoso, abusivo ou ausência de transparência.
Direitos de acesso do titular
Isso signi ca que os Controladores dos dados devem informar os titulares sobre:
E como a empresa deve fazer tudo isso? O Processo não é tão simples quanto parece.
Além do aviso de cookies, você pode atualizar sua política de privacidade, criar uma
política de cookies e informar tudo isso ao seu visitante, para iniciar o processo.
Aqui na Social Miner, por exemplo, nós zemos essas alterações no mês de maio de
2018. Além disso, é importante mapear todos os dados que sua empresa coleta de
pessoas e fazer um check-up se todas as exigências da lei estão sendo seguidas.
Além disso, os tipos de dados, a forma como serão utilizados e procedimentos para
exercício de direitos devem ser divulgados; não é permitido se condicionar a coleta
dessas informações com jogos, apps, etc.
Outro ponto importante é que as informações sobre o tratamento dos dados devem ser
claras, de acordo com as características do usuário. Isso quer dizer que, se você está
falando com uma criança, você não pode usar jargões jurídicos ou uma linguagem de
difícil acesso e compreensão, por exemplo.
Portanto o tratamento precisa ser encerrado assim que a nalidade for alcançada ou os
dados não forem mais necessários; assim que alcançar a data limite para o m do
período de tratamento; quando o titular comunicar à empresa que não quer mais que
seus dados sejam tratados; ou se a autoridade nacional determinar esse encerramento.
Por outro lado, o art. 16 da LGPD determina também algumas exceções para que as
empresas possam continuar o tratamento de dados por prazo indeterminado. Por
exemplo, quando o controlador precisa cumprir alguma obrigação legal e, para tal,
precise tratar esses dados; no caso de estudos por órgão de pesquisa, garantida, se
possível, a anonimização; para transferência a terceiros; e para o uso exclusivo do
controlador, desde que os dados sejam anonimizados.
Como a gente falou, as novas leis de proteção de dados aparecem para dar mais
segurança para usuários de serviços que envolvem a coleta e processamento de dados.
Para reforçar sua importância, não só como um mecanismo de prezar pela boa relação
entre consumidores e empresas, mas como uma legislação que previne o vazamento de
informações pessoais e repara esses usuários quando são vítimas de dados, a norma
conta com penalidades que podem pesar – e muito – no bolso das empresas.
No entanto, uma vez que a LGPD foi criada pelas casas legislativas e a Constituição
impede que o poder legislativo crie novas leis que causem impacto no orçamento da
União, o presidente Michel Temer vetou esta parte da lei e previu a criação dessa
instituição em paralelo, através da Medida Provisória de nº 869/18.
Deu pra ver que, com a nova lei, os direitos do usuários de serviços que exigem o
tratamento de dados estão bem alinhados com uma tendência global, que visa proteger
a privacidade dos cidadãos e garantir que empresas tenham acesso e manipulem o
mínimo possível de informações.
E mais: a legislação reforça a importância de marcas investirem, cada vez mais, no seu
relacionamento com os clientes. A nal, é essa proximidade que vai garantir que a sua
empresa se destaque no mercado, ganhando o consentimento para interagir com seus
consumidores.
A gente sabe que muita coisa na regulamentação pode parecer repetida. Mas, a verdade
é que seus capítulos são complementares. Isso para formar uma legislação robusta e
redonda, que seja efetiva.
A GDPR está valendo desde 25/05/2018, para todas as empresas que tratam de dados
de titulares residentes na Europa. Já a LGPD foi sancionada em 14/08/2018. A partir de
então, as empresas tem 24 meses para se adequarem às determinações a partir desta
data.
E é melhor não deixar para colocar o que determina a lei em prática de última hora. Isso
porque, além de correr o risco de perder um alto investimento em aquisição de leads –
que, caso não estejam de acordo com a lei, podem ser eliminados – sua marca pode,
ainda, ter que arcar com altas penalidades e multas.
Posts relacionados
Responda o quiz e descubra se seu negócio está de acordo com a nova lei de
proteção de dados (LGPD)
O que é Marketing de Conteúdo e como ele ajuda sua empresa a vender mais?
E-book dá dicas de engajamento e ensina a calcular resultados
Comments
comments