E aí galera da SEMrush? Eu sou o Rafael Zanatta.
Eu coordeno as pesquisas do Data Privacy Brasil, uma organização de ensino e pesquisa em produção de dados pessoais e vim falar com vocês de um assunto bem importante. Qual que é o impacto da lei geral de dados pessoais para o profissional de marketing? Ou seja, quem trabalha com captação de vídeo, colaboração estratégica de campanhas, com todo esse universo de marketing que é muito intensivo em dados.
Então a gente vai falar de três coisas hoje:
- O que é que a Lei Geral de Proteção de Dados, de onde ela veio,
- Quais são os principais conceitos da LGPD (o que são dados sensíveis, o que são dados pessoais, o que são dados anônimos),
- Qual é o impacto da LGPD, quais devem ser as preocupações do profissional de marketing diante essa nova legislação.
Vamos lá?
O que é que a Lei Geral de Proteção de Dados?
Primeira dúvida. O que é isso? O que é a lei de dados pessoais? De onde ela veio? Essa lei não caiu do céu, de uma hora para a outra. Na verdade ela é fruto de um trabalho de quase dez anos de execução do Congresso Brasileiro. A idéia surgiu lá atrás, em 2010 com um monte de projeto de governo, passou por oito anos de execução, duas constas públicas, dois anos de uma comissão especial, e acompanhou também o movimento internacional de aprovação de outras leis de dados pessoais.
Muitos de vocês já devem ter ouvido do GDPR, que é a General Data Protection Regulation da União Europeia. A lei brasileira de dados é parecida com o GDPR, ou seja, ela tem a mesma estrutura, está preocupada em determinar quem que é o titular dos dados, as pessoas que são os titulares dos dados, e quem controla esses dados.
A LGPD foi aprovada em 2018 e ela entra em vigor em 16 de Agosto de 2020. Então a gente está nesse período agora de dois anos de pausa da legislação. Ela ainda não está valendo. Ela passa a valer a partir de Agosto de 2020.
Quais são os principais conceitos da LGPD?
A legislação começa estabelecendo conceitos, o significado de de algumas palavras para interpretar essa legislação.
O que são dados pessoais?
O dado pessoal é qualquer informação que se relaciona a uma pessoa natural identificada, ou identificável. Identificada é fácil: você pode pensar em RG, nome completo, CPF, endereço etc.
Identificável, é um conceito aberto. Isso foi feito para definir informações como geo-localização, endereço IP, Device ID, redes de Wifi, antena e localização, tudo isso combinado, se for possível combinar essas várias informações e singularizar um indivíduo. Você está falando de dado pessoal, então não necessariamente são as informações cadastrais.
Muita gente pensa que o dado pessoal simplesmente é o dado cadastral. Não é isso, é mais que isso. Pode ser o dado que você retira do dispositivo, conjunto de metadados, e pode ser também dados que você infere a partir do tipo de navegação, e técnicas de perfilagem, de profiling. Tudo isso pode também ser considerado dado pessoal.
O que é que são os dados pessoais sensíveis?
São aqueles que qualificam a vida na pessoa. Informações de, por exemplo, raça, gênero, orientação de vida sexual, orientação filosófica, orientação religiosa - tudo isso são elementos, atributos de personalidade e de vida social que podem levar uma pessoa a ser descrita de forma melhor, inclusive gerando mais riscos. Especialmente diante de conflitos étnicos, no caso de perseguição a certas comunidades, e esse tipo de informação tende a ser um pouco mais sensível e é mais protegido pela legislação.
Então, tem uma diferença entre um dado pessoal e um dado pessoal sensível. Um dado pessoal sensível, vai demandar mais cuidados na hora do tratamento. A gente vai chegar nesse ponto.
O que são dados anônimos?
Este conceito é mais difícil de ser atingido porque a anonimização é quando você consegue de fato extrair, eliminar, as condições de identificação de um indivíduo. Então na hora de tratar uma base de dados, por exemplo, você gera o arquivo dela, elimina com uma técnica de rastreamento ou uma sequência de letras e números as informações “Nome”, “CPF”, etc. Mas se você faz isso com uma chave criptográfica específica, e você gera um arquivo separado, se na mesma máquina você consegue voltar e recombinar, e reidentificar, você não está anonimizando a 100%, você está apenas pseudo anonimizando. Esse é o termo técnico na legislação. Então a anonimização é mais difícil, mas ela também está prevista.
O ponto positivo da anonimização é que se você conseguir garantir que você anonimizou, isso não é mais dado pessoal. Então, você não tem que cumprir os direitos básicos de titulares e outras obrigações que a lei impõe. Beleza? Passamos esses conceitos básicos, vamos entender agora essa carga da legislação que são as obrigações que a empresa ou o controlador tem que ter. Então vamos lá!
As obrigações e os direitos básicos das pessoas pela LGPD.
Aí entra uma questão importante - a lei vai separar duas figuras: o controlador e o operador.
O controlador é a pessoa natural, eu, Rafael, ou a pessoa jurídica - a minha empresa - que toma as decisões de como o dado vai ser usado.
O operador é aquele que presta um serviço, ou que performa em razão de uma ordem de um controlador.
Então eu vou dar um exemplo bem simples: eu tenho um hospital, aqui em São Paulo, que quer desenvolver algum aprimoramento, com uma técnica de inteligência artificial, para identificar padrões de mudança de pacientes na UTI. Ela contrata uma empresa especializada de software, matemática, para desenvolver esse tipo de cálculo e essa empresa evidentemente acessa as informações e as bases de dados do hospital. O hospital é o controlador. Ele é que toma as decisões, ele é que decidiu fazer esse tipo de inovação, ele que se relaciona diretamente com as pessoas.
Essa empresa B, que está aqui simplesmente acessando os dados para promover o estudo e oferecer uma solução algorítmica, ela é operadora. Se ela não tomar decisões de reutilização desses dados, ela fica na figura de operadora.
Por que é que isso importa? Porque o conjunto de direitos novos são direitos de acesso, de modificação de dados, de oposição, de exclusão, e de portabilidade. Esses vários direitos que estão no artigo 18 da legislação, são exercidos perante o controlador. Então o controlador enfrenta essa dificuldade de ter que lidar com os direitos básicos dos titulares. Ele é que vai responder isso diretamente, por meio da sua figura do encarregado, que é um profissional que é indicado para sempre quase como um ombudsman é quase como profissional de compliance, mas é mais que isso porque, na verdade, ele assume a obrigação de lidar com a LGPD e ser um ponto de contato com as pessoas. Mas é o controlador que reage, ele que tem que cumprir esses direitos básicos.
O operador está na posição mais light, mais tranquilo. Então, vai gerar uma discussão muito importante para o campo de marketing que é: se você é uma empresa especializada na prestação desses serviços, e você é contratado para desenhar uma estratégia de marketing para uma empresa - essa empresa é a controladora dos dados. Quando que você não está cruzando a fronteira de não ser mais um operador e se transformar também em um controlador? Isso vai gerar dúvidas sobre: primeiro, o contrato - como desenhar esse contrato de transferência das bases de dados, e segundo, o tipo de decisão que você pode tomar, uma vez que você acessou esses dados.
Se o fluxo está bem desenhado no caminho de ir e voltar e tem a entrega para o cliente, você não vai tomar decisões futuras com relação a esses dados, você é um operador. Se você está tendo a possibilidade de tomar decisões estratégicas, não só o desenho de estratégias de marketing, mas do modo como você vai usar esses dados e você também vai reter os dados para usar posteriormente - para uma troca de base de leads etc - aí você se transformou num controlador. Aí você também tem uma série de obrigações perante LGPD. Esses pontos são muito importante de comparar de perto - quando que os profissionais de marketing vão estar como operadores, quando que eles vão estar como controladores.
Uma questão importante é: a lei tem uma carga muito pesada em transparência. Isso não é uma ideia nova, isso é uma ideia já talvez desde o código de defesa do consumidor, honestidade, transparência, mas a LGPD passa a exigir mais por parte de quem detém os dados. Então ela vai te exigir ter uma política de privacidade, a dar um aviso de privacidade antes do tratamento com as pessoas, e ser muito ágil na sua resposta com os titulares de dados diante desses pedidos. Vou aumentar esse ponto específico, ele é bem importante:
O que são as obrigações de transparência na LGPD?
Vamos considerar o seguinte cenário: você é um profissional de marketing, você tem uma base de leads, você tem toda uma ideia de inovar e fazer coisas diferentes a partir desses dados, você não obteve o consentimento para tratar esses dados com essas finalidades e, surge algumas perguntas. Será que vocês teriam legítimo interesse para tratar esses dados? Que tipo de obrigação você tem? De informar o público sobre deixar um certo conjunto de informações na sua página, no site, etc.
Outra pergunta bem importante, a LGPD vai dizer que o consentimento não é a única forma de ter a base legal para tratar esses dados. Você também pode contar com um legítimo interesse, que é uma ideia de que existe uma expectativa de privacidade legítima, entre as partes, entre o controlador e entre o titular. Isso é um conceito aberto mas isso significa que: você pode se valer o legítimo interesse, se tomar algumas precauções. Você tem que pelo menos tentar documentar porque é que você precisa tratar esses dados, qual é a necessidade, qual é a finalidade, explicar que você não vai colocar aquelas pessoas em risco.
Ao mesmo tempo você tem que estar preparado para que caso essa pessoa queira exercer qualquer direito com relação a você - ela quer se opor ao tratamento de dados, quer saber porque você trata os dados - você precisa cumprir esses direitos. Então esse é um jogo novo que a LGPD vai colocar. Independentemente de ter obtido o consentimento ou não, se você também usa o legítimo interesse com base legal, você também se torna obrigado a cumprir com esses pedidos.
Existem questões mais polêmicas, e um pouco mais cuidadosas, com relação até que ponto você pode ir quando você não tem uma relação com aquelas pessoas. Aquelas pessoas não são clientes da sua empresa. Você está tentando justamente gerar um maior número de leads, você quer chegar a uma comunicação estratégica para um público que não está se relacionando diretamente. Aí você precisa ter um pouco de cuidado para calibrar esse apetite de risco por parte da empresa. Porque no limite, pode haver sim, pedidos de oposição e pode haver pessoas dizendo que você não teria uma base legal para tratar o dado dela, porque não há consentimento. Então esse vai ser um jogo muito dinâmico, que a LGPD vai colocar em prática a partir de agosto desse ano.
Uma outra situação diferente: por exemplo, você é uma empresa de eCommerce, você já tem uma base grande de 30 mil titulares, de pessoas que estão relacionados com a sua empresa. Você está pensando em coisas novas, incrementar outras estratégias de comunicação, com relação a esses clientes, mas você não informou previamente especificamente que você iria tratar aquele dado para fazer uma comunicação por Whatsapp, por tentar uma outra mídia, ou algum outro mecanismo de interação, de engajamento, com a sua marca, com o seu produto. Esse é um ponto importante mas é um pouco mais fácil de lidar, porque se a pessoa já é cliente, já existe uma relação de privacidade acontecendo.
O que não pode acontecer é um desvirtuamento muito grande daquela finalidade originária, para essas outras finalidades que você vai utilizar.
Então esse princípio da finalidade do artigo 6º do RGPD, é muito importante para todos os profissionais entenderem: qual era a finalidade que eu tinha tratando o dado anteriormente e qual que é essa nova finalidade que eu quero dar para esse tratamento de dados. Você pode ter coisas mais próximas e mais distantes, quanto mais distante - mais arriscado, e aí entra em jogo essa avaliação de toda equipe de profissionais para saber qual é o risco, e até quando você quer promover esse tipo de inovação, valendo-se do legítimo interesse.
Então a legislação vai demandar evidentemente uma movimentação do próprio mercado.
Uma coisa positiva da legislação é que ela abre no artigo 50 a possibilidade de que as entidades de certos mercados, como por exemplo o próprio mercado de marketing, começam a se organizar e discutir os seus códigos de boas práticas e boas condutas, e possam validar esses códigos perante a autoridade nacional de protecção de dados pessoais. Então isso significa que os profissionais não precisam esperar passivamente, para começar a discutir e implementar as melhores práticas, eles podem se adequar a LGPD, podem assumir as obrigações que ela impõe e discutir entre eles, por conta própria, as melhores práticas para o setor de marketing, que é específico.
Então vai ser muito importante esse engajamento ativo da comunidade de marketing na interpretação da LGPD, perante a autoridade de dados pessoais.
Vocês podem conferir mais materiais, e mais publicações por parte do nosso centro de pesquisa que é o dataprivacy.com.br, e a gente vai comunicar e soltar mais materiais para o setor de marketing, e também para outros setores, e para todos os que querem acompanhar os desdobramentos da LGPD.
Fiquem ligados então!
Gostou da nossa análise da Lei Geral de Proteção de Dados que entra em vigor no dia 16 de Agosto de 2020? Se você tiver alguma dúvida ou quer discutir algum caso de tratamento de dados com o nosso especialista, Rafael Zanatta, fique a vontade de fazê-lo na seção de comentários!
Quer saber mais sobre as novidades que o 2020 preparou para o setor de marketing digital brasileiro? Confira a nossa mesa redonda Tendências de Marketing Digital 2020!
