Lei Geral de Proteção de Dados - LGPD: O que diz a nova lei brasileira que protege os dados pessoais e como ela impacta as estratégias de marketing de agora em diante?
A Lei de Proteção de Dados Pessoais, Lei nº13.709/2018, é a legislação sancionada em Agosto de 2018, que estabelece novas regras sobre a coleta, armazenamento, tratamento e compartilhamento de dados pessoais, tanto no meio digital quanto no offline. Ela impõe maior proteção das informações pessoais e penalidades para o seu não cumprimento.
Tal lei entrou em vigência em Agosto de 2020, e as empresas têm um período de 18 meses para se adaptarem ao novo regulamento.
O marketing é um dos principais setores que deverão se adaptar a nova regulamentação. E para te ajudar no processo, reunimos as principais informações sobre a LGPD e instruímos como o seu negócio terá de agir daqui pra frente, para que as estratégias de marketing permaneçam na licitude e tragam vendas.
- DO QUE SE TRATA A LGPD?
Seguindo a diretriz da GDPR (General Data Protection Regulation) - regulamentação de dados dos países europeus, a LGPD veio para mudar a forma como as organizações e empresas adquirem e utilizam as informações pessoais, impondo um padrão mais rígido de proteção a esses dados.
A lei define como “dados pessoais” toda informação relacionada à pessoa natural identificada ou identificável, e por “tratamentos de dados” toda operação realizada com a base de dados. Desde a coleta até a eliminação.
O novo código prevê 10 princípios que tornam lícito o tratamento de dados.
E eles são regidos por 2 ideais: o consentimento do titular e o seu legítimo interesse.
Ou seja, as empresas que usarem dados pessoais, seja para qualquer ação, sem a autorização prévia e explícita dos titulares, estarão agindo contra a lei.
- OS 10 PRINCÍPIOS DA LGPD
A seguir, citaremos os 10 princípios que norteiam a LGPD e devem ser respeitados. Enfatizamos que, para fins publicitários, os 2 primeiros são os mais importantes:
1) Princípio da Finalidade:
O tratamento de cada informação pessoal deve ser feito com fins específicos, legítimos, explícitos e informados. A LGPD proíbe tratar dados pessoais com finalidades genéricas ou indeterminadas.
Toda finalidade deve ser expressamente acompanhada de informações relevantes para o titular. Sendo algumas:
- Dados completos do fornecedor e fabricante;
- Endereços completos dos fornecedores;
- Informação sobre características do serviço ou produto;
- Informações sobre despesas adicionais;
- Condições de oferta, entre outras.
Além disso, as empresas e organizações são expressamente proibidas de modificar a finalidade durante o tratamento. Um exemplo seria uma empresa usar uma lista de leads, conseguida nos termos da lei, para enviar aos usuários, e-mails promocionais de produtos náuticos, sendo que os titulares consentiram que a empresa utilizasse seus dados para encaminhar e-mails promocionais de semi-joias. A finalidade foi alterada, portanto, o consentimento não ocorreu.
O consentimento deve ser específico para cada finalidade de uso.
2) Princípio da Transparência:
O titular dos dados precisa dar o consentimento explícito para o tratamento de suas informações. Isso significa que já não é mais permitido esconder detalhes importantes no formulário ou rodapé nas estratégias de marketing. Por exemplo, os termos de uso e as políticas de privacidade devem estar nitidamente identificáveis para os internautas. Caso o contrário, a aceitação não é livre.
Além disso, as empresas não podem compartilhar dados pessoais com outras pessoas de forma oculta. Se você repassa dados pessoais para terceiros, inclusive para operadores, o titular precisa saber.
3) Princípio da Adequação:
Esse princípio refere-se à compatibilidade do tratamento com as finalidades informadas pelo titular. Ou seja, sua justificativa deve fazer sentido com o caráter da informação que você pede.
Por exemplo: se seu negócio é um e-commerce de produtos eletrônicos, não é justificável que você solicite dados de saúde aos usuários.
4) Princípio da Necessidade: As empresas e organizações, em geral, devem utilizar apenas os dados pertinentes às finalidades. O ideal é que cada negócio pondere o que é essencial e o que é apenas conveniente.
Isso significa também que não é mais permitido acumular dados antes mesmo de ter um objetivo para utilizá-los. Portanto, o recolhimento de informações pessoais deve ser adequado, relevante e limitado ao mínimo necessário - em relação às finalidades para as quais são processadas.
E lembre-se que, quanto mais dados você lidar, maior será a sua responsabilidade. Aqui cabe ressaltar o cuidado que se deve ter para que não ocorra vazamentos e incidentes de segurança.
5) Princípio do Livre Acesso: A pessoa física titular dos dados tem o direito de consultar, de forma simples e gratuita, todos os dados que a empresa detenha a seu respeito.
E mais, algumas questões devem ser especificadas, como: o que a empresa faz com as informações das pessoas, de que forma o tratamento desses dados é realizado e por quanto tempo.
As empresas têm um prazo de 15 dias para entregar todas as informações, de forma clara e completa aos titulares. Contanto a partir da data da solicitação.
6) Princípio da Qualidade dos Dados: Deve ser garantido aos titulares que as informações que a empresa tenha sobre eles sejam verdadeiras e atualizadas. É necessário ter atenção à exatidão, clareza e relevância dos dados, de acordo com a necessidade e a finalidade de seu tratamento.
7) Princípio da Segurança: É de responsabilidade de toda empresa buscar procedimentos, meios e tecnologias que protejam os dados pessoais de acessos de terceiros, como nos casos de invasões de hackers.
Além disso, é preciso adotar medidas que solucionem imprevistos como: destruição, perda, alteração, comunicação ou difusão dos dados pessoais das bases.
8) Princípio da Prevenção: Complementando o Princípio da Segurança, o Princípio da Prevenção prevê a adoção de práticas prévias que evitam a ocorrência de acidentes que colocam os dados pessoais em risco.
Aqui, é essencial investir em tecnologia, e ainda, ter um alinhamento de processos e conscientização de pessoas com toda a organização. Dessa forma, se constrói Políticas Sólidas da Informação, onde a corporação viabiliza um ambiente coerente com a LGPD e, assim, mais seguro aos dados pessoais.
9) Princípio da Não Discriminação:
Os dados pessoais JAMAIS podem ser usados para discriminar ou promover abusos contra seus titulares.
A LGPD determinou regras específicas para o tratamento de dados que, frequentemente, são utilizados para discriminação. Os chamados dados sensíveis, como os que tratam sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual e dado genético ou biométrico.
Um exemplo de ato discriminatório seria uma empresa, que ao fazer uma análise de crédito, percebeu que determinado consumidor estava passando por dificuldades financeiras. A partir daí, o usuário passa a ser bombardeado com ofertas de empréstimos, o que potencialmente o faz aceitar a proposta, devido a sua dor atual. Só que detalhe: o crédito vem com juros abusivos.
O que se conclui é que a empresa aproveitou-se dos dados do titular para lhe fazer uma oferta tentadora mas danosa. Utilizar informações pessoais assim para tirar vantagem financeira em cima dos consumidores, pode se enquadrar como uma atitude discriminatória, que não será permitida pela LGPD.
10) Princípio da Responsabilização e Prestação de Contas:
De acordo com LGPD, as empresas precisam provar e deixar em evidência todas as medidas adotadas, para demonstrarem a sua boa-fé e diligência.
Alguns bons exemplos estão na comprovação que fizeram treinamentos de equipe, a contratação de consultorias especializadas, a utilização de protocolos e sistemas que garantam a segurança dos dados e o acesso facilitado do titular a empresa sempre que preciso.
- OS AGENTES ENVOLVIDOS
Dentro da lei, definem-se quatro importantes papéis: o titular, o controlador, o operador e o encarregado.
Titular: é a pessoa física a quem se referem os dados pessoais;
Controlador: é a empresa ou pessoa física que coleta os dados pessoais e é responsável por como essas informações são captadas, para que serão utilizadas e por quanto tempo ficarão armazenadas.
Operador: é a empresa ou pessoa física que maneja o tratamento e processamento dos dados pessoais, sob o comando do controlador.
Encarregado: pessoa física indicada pelo controlador e que atua como canal de comunicação entre as partes (controlador, titulares e a autoridade nacional) - além de orientar os funcionários do controlador sobre práticas de tratamento de dados.
- LGPD E O MARKETING DIGITAL
Com tantos princípios, a LGPD pode parecer um verdadeiro “pisar em ovos” para a equipe de marketing. Mas saiba que, apesar das grandes mudanças da nova lei, isso não significa que os profissionais da área devam parar de trabalhar com os dados. Longe disso! Para garantir os leads, é preciso elaborar ações mais inteligentes e específicas.
Por utilizar os interesses dos consumidores para produzir conteúdos, o Marketing Digital já está habituado a obter consentimento dos usuários. Portanto, o que se deve ser feito agora com a LGPD, é redobrar o cuidado para que a autorização do cliente seja a mais clara e espontânea possível. Assim, a equipe de marketing ganha mais confiança e fortalece o relacionamento que é de interesse de ambas as partes.
A nova dinâmica ainda propõe uma oportunidade de evolução para o profissional de marketing digital, que terá de repensar sua táticas, de modo a gerar valor para o cliente, através do reconhecimento de suas preferências, interações mais significativas e transparentes.
Separamos 8 formas para que o Marketing Digital da sua empresa esteja em conformidade com a LGPD e atraia potenciais clientes:
1) CAPACITE A SUA EQUIPE
Toda equipe de marketing deve estar por dentro das bases legais da LGPD. Só assim ela conseguirá identificar quais são as hipóteses que permitem o tratamento de dados.
2) CUIDADO COM O OUTBOUND MARKETING
Ações invasivas do Outbound Marketing, como a compra de listas, são expressamente proibidas pela LGPD. Isso porque, táticas como essa, não têm o consentimento por parte do titular de dados e vão contra aos princípios da Finalidade e Transparência;
3) NÃO SE ESQUEÇA DOS COOKIES
Aqueles que trabalharem com dados de Cookies, precisarão obter consentimento específico. Isso porque, os Cookies, podem impactar pessoas com campanhas de marketing, mesmo que estas não tenham oferecido nenhum dado específico, como nome, e-mail, telefone etc. Atingir usuários dessa forma, por si, cai dentro do contato de dado pessoal, e portanto, é objeto da LGPD;
4) FACILITE A SAÍDA DOS SEUS LEADS
Com a Lei Geral de Proteção de Dados, a saída de leads deve ser tão fácil quanto a entrada. Converse com o seu consumidor e estabeleça esse caminho de transparência com ele. Diga exatamente onde ele precisa ir e o que ele precisa fazer.
5) ORGANIZE A SEGMENTAÇÃO DE LEADS E ESTABELEÇA BOAS PRÁTICAS DE AUTOMAÇÕES
A LGPD não inviabiliza as tomadas de decisões automatizadas. Contudo, alguns cuidados precisam ser tomados para que os princípios da LGPD não sejam infringidos.
6) SEMPRE OBTENHA CONSENTIMENTO
Não usamos muito a palavra “consentimento” neste conteúdo à toa. É imprescindível obter a autorização EXPLÍCITA dos consumidores para que estes optem livremente em engajar ou não.
Por consentimento evidente, a lei esclarece que não serão inválidas as concessões genéricas para o tratamento de dados pessoais. Logo, é hora de dar adeus às práticas de soft-opt-in; ou, em outras palavras, não é permitido enviar e-mail marketing para a lista de contatos obtidas pelos formulários ou landing pages genéricas ou com finalidade distinta.
Exemplificamos:
Acima, vemos uma landing page de um site imobiliário, cujo objetivo aparente é dar suporte ao consumidor via WhatsApp, mas antes, ele precisa preencher passar alguns de seus dados, como: nome, e-mail e celular.
A LGPD proíbe aproveitar-se dessas listas para enviar campanhas não solicitadas para os leads. Por exemplo, usar os e-mails cadastrados nessa landing page para encaminhar campanhas do mundo imobiliário, estará desrespeitando o princípio da Finalidade e Transparência da Lei Geral de Proteção de Dados; pois, no formulário, não está explícito que os dados seriam usados para esses fins. A escolha não foi livre.
Há algumas maneiras de conseguir o consentimento dos leads para fins de e-mail marketing, como:
Forneça uma chamada para a ação que solicita que um usuário forneça o consentimento informado – como um checkbox sem pré-marcação:
Uma outra solução mais criativa, é oferecer um campo de escolha no formulário. Assim, o lead tem uma variedade de opções e isso ajuda não só a estar em conformidade com a LGPD, mas também auxilia na segmentação dos seus clientes e concentra a sua comunicação com base em interesses específicos. O que é muito importante para tornar as estratégias de relacionamento por e-mail marketing mais personalidades e assertivas.
Exemplo:
Qual tipo de conteúdo abaixo você gostaria receber no seu e-mail?:
-> Promoções
-> Novidades
-> Lançamentos
-> Curiosidades
7) SEJA DATA-DRIVE E NÃO DATA HUNGRY
Ser data-driven significa ter uma base sólida para tomar decisões, ao invés de partir de suposições. Já ser data-hungry revela coletar dados massivamente e bombardear e-mails com conteúdos nada filtrados. E em se tratando deste último, sabemos que vai contra ao Princípio da Necessidade. Limite a coleta de dados ao que é necessário para uma finalidade comercial tangível hoje.
8) REVISE SUA BASE DE E-MAILS
Chegou o momento de dizer adeus às listas de contatos “frias”ou compradas. A prática de acumular e-mails aleatórios já era ultrapassada e ineficaz, e a LGPD veio para torná-la oficialmente ilegal para os profissionais de marketing.
O objetivo aqui é garantir que sua base de e-mails esteja atualizada e que todos os titulares em seu banco de dados lhe deram permissão para contatá-los.
Para tanto, é preciso analisar todos os leads, e os que têm registro de opt-in (permissões genéricas) terão de conceder novas autorizações, com finalidades definidas.
- ANÚNCIOS SEGMENTADOS
Talvez um dos maiores desafios da LGPD seja criar campanhas que utilizam dados de comportamento e informações do usuário.
Com a nova lei, o Facebook tornará mais fácil o acesso das pessoas às informações pessoais armazenadas. Além de tornar imprescindível o pedido de permissão aos usuários antes de qualquer coleta de seus dados. Os usuários também têm o poder de recusar a utilização dos dados, caso desejarem.
Veja abaixo uma maneira:
Clicando em “Por que estou vendo esse anúncio?”, você ainda pode fazer alterações nas suas preferências em posts patrocinados:
O Facebook ainda disponibiliza ferramentas como Verificação de Privacidade para guiar as pessoas em relação a sua privacidade na plataforma.
Um detalhe importante é que: dependendo das circunstâncias, o Facebook pode assumir tanto o papel de controlador de dados (quando lida, faz uso e toma decisões em relação ao uso de dados pessoais), quanto o papel de um operador de dados (quanto processa dados pessoais para outros controladores de dados).
Quando uma outra empresa assume o papel de controladora de dados na criação de campanhas do Facebook, os cuidados devem ser maiores. Porque será responsabilidade total da organização de informar ao usuário, de forma transparente, o que está acontecendo com os seus dados.
- Remarketing
Quando trabalhamos com publicidade online direcionada aos usuários que já realizaram alguma interação com sua empresa na internet, também é preciso muita atenção. Pois as técnicas de remarketing utilizam cookies do seu site e enviam essas informações pessoais ao Facebook, que mostrará anúncios no feed de acordo com esses dados.
Nesse caso, sua empresa opera como controladora de dados e toda a responsabilidade é sua para informar os usuários do seu site que você está salvando os cookies e como exatamente você está fazendo o uso desses.
- Facebook Leads Ads (Geração de Cadastros)
Campanhas de Geração de Cadastro precisam manter a transparência sobre o processamento de dados, tanto por parte do Facebook quanto da empresa anunciante.
Isso porque, tanto a empresa anunciante quanto o Facebook, são considerados controladores de dados para este tipo de anúncio. Assim, as partes são igualmente responsáveis por permitir que os clientes saibam exatamente os dados que estão sendo utilizados e para qual finalidade.
- Pixel do Facebook
Se sua equipe de marketing faz uso do código de pixel do Facebook, logo ela está agindo como controladora de dados, enquanto o Facebook atua como operador de dados.
Portanto, com a Lei Geral de Proteção de Dados, você deve obter primeiro o consentimento, antes que o Facebook rastreie a atividade de um usuário em seu site.
A lei determina que controlador e operador são solidariamente responsáveis no caso de dano ao titular dos direitos, ou seja a responsabilização é partilhada igualmente entre as partes.
Mas a maior atenção recai a organização controladora, já que esta tem o papel de tomar as decisões em relação a forma e a finalidade do tratamentos dos dados.
- O que LGPD muda para o Google?
O Google já era adepto às políticas do GDRP, por isso, a sua transição à LGPD será a mais rápida possível.
A organização, que pode ser um operador ou controlador de dados, já oferece transparência aos usuários e controle sobre suas experiências de anúncios por meio de ferramentas como: Minha Conta, Por que este anúncio?, Desativar este anúncio e Anúncios Não Personalizados.
Se você usa produtos de publicidade do Google, como o AdSense, a recomendação básica é oferecer, nos termos ou políticas de privacidade do seu site, um link para a página Como o Google usa informações de sites ou apps que utilizam seus serviços, porque ali, o usuários já terá todas as informações sobre o uso dos dados pessoais deles pelo Google, te ajudando a cumprir suas obrigações de transparência enquanto operador ou controlador de dados.
DÚVIDAS?
Nosso time está à disposição para nossos clientes que queiram entender melhor sobre a LGPD. Lembrando que, não prestamos consultoria jurídica, nem nos responsabilizamos por medidas que possam ser adotadas por terceiros.
O objetivo deste conteúdo é meramente informativo, a fim de ajudar a sua equipe de marketing a se manter em conformidade com a Lei Geral de Proteção de Dados (LGPD).
Portanto, salve este conteúdo como um apoio e o compartilhe com os amigos.