Em maio de 2021 as áreas judiciais, administrativas e as que envolviam segurança da informação sofreram impactos significativos em seus processos, isso se deve ao fato de que, nesta época, a Lei Geral de Proteção de Dados entrou em vigor. Por mais que pareça algo sobre proibição de ações, a LGPD não é necessariamente para isso, um grande exemplo disto é a área de Marketing onde a lei não veio para impedir ações deste setor, mas sim impor limites.
Neste guia você entenderá mais sobre a LGPD, desde a inspiração para sua criação, passando pelas áreas que ela pode ter afetado mais, até a maneira como ela funciona e age caso punições se façam necessárias em alguns cenários.
Alguns dos principais pontos do nosso guia foram discutidos no evento Impactos da Lei Geral de Proteção de Dados sobre as marcas brasileiras, realizado no auditório da IBM, e que contou com a participação de nomes como Marcel Ghiraldini, Henrique R. Mascarenhas (mediador do evento), Éber Gustavo e Rodrigo Azevedo.
A Lei Geral de Proteção de Dados
A LGPD determina que o dado tem um ciclo de vida, ele nasce com uma finalidade e precisa ser excluído após seu uso. As informações sobre o uso de dados devem ser sempre transparentes e o não cumprimento com a lei pode gerar penalidades, afinal, deve-se ter cuidado redobrado quando se trata de dados pessoais.
A Lei Geral de Proteção de dados surgiu em um cenário político e econômico onde a mesma era crucial para fatores como, por exemplo, o quanto nosso mercado sofreria caso não pudéssemos processar dados de cidadãos que vivem na Europa.
A fiscalização desta área se faz muito importante por se tratar da sensibilidade do uso de dados. Além de ser um dever de todos, o ministério público é o responsável pela fiscalização da lei em geral e da lei de proteção de dados. É importante frisar que este assunto envolve, também, as entidades de defesa ao consumidor!
LGPD vs. Marketing
Ao contrário do que muitos podem pensar, nada morreu por conta do surgimento da LGPD, e isso inclui as estratégias de marketing. Por exemplo, para ações de e-mail marketing, é preciso ter ciência da forma como os dados pessoais são adquiridos e da finalidade da estratégia em questão.
Portanto, as empresas precisam se atentar em saber as origens das informações utilizadas em suas campanhas em prol de ter consentimento do uso destes dados. Também é importante que os clientes saibam os passos que serão dados e as formas de comunicação que serão realizadas.
Ainda nessa lista de áreas que, apesar de parecer, não acabarão por conta da LGPD, podemos incluir, também, o marketing digital. O fato de as coisas mudarem não faz significa que elas têm de deixar de existir, neste caso, exige-se uma responsabilidade das marcas para que a base de dados seja organizada e sempre lembrando que o dado não a pertence.
As diferenças entre a LGPD e a GPDR
Aqueles que possuem grande contato com dados já ouviram falar sobre a General Data Protection Regulation (em português, Regulamento Geral sobre a Proteção de Dados), a lei de proteção de dados em vigor na União Europeia e a inspiração para a criação da LGPD. Entretanto, há algumas diferenças entre as duas leis.
Existem diferenças sutis, como a imposição da GDPR de 72 horas para as empresas notificarem obrigatoriamente as autoridades sobre as violações de dados, que, na lei brasileira, essa notificação não possui exigência de tempo, ele deve ser razoável apesar de ser indefinido.
Há algumas distinções em detalhes, como na exigência da lei brasileira de que as empresas possuam um responsável encarregado de garantir boas práticas, realizar atendimentos e receber reclamações. Apesar disso, o texto da GDPR ainda sim é mais detalhado, chegando a 80 páginas.
Algumas sanções são mais amenas no Brasil, onde as multas vão desde advertências, passam por eliminação de dados e chegam a 2% do faturamento total. Já na lei europeia, as multas podem variar entre € 20 milhões e 4% do faturamento anual global de uma empresa.
Além disso, uma das principais diferenças envolve a base legal para o processamento de dados. Enquanto a GDPR inclui somente consentimento explícito, desempenho contratual, tarefa pública, interesse vital, obrigação legal e interesse legítimo, a LGPD, além destas seis, inclui mais quatro: estudos de um órgão de pesquisa, exercício de direitos em processos judiciais, proteção à saúde e proteção ao crédito.
Por fim, enquanto a lei vigente na União Europeia dá o direito do esquecimento dos dados, ou seja, dá ao usuário a opção de excluir informações que não são mais relevantes. Enquanto isso, a LGPD não possui este direito previsto para os usuários brasileiros.
Perfis lookalike
Os perfis lookalike são aqueles criados com embasamento no comportamento individual de cada usuário, eles são artifícios para aqueles que fazem campanhas em mídias sociais e no Facebook Ads, estes protagonizaram discussões no evento Impactos da Lei Geral de Proteção de Dados.
Os perfis ainda são permitidos, mas as organizações acham estes lookalikes e criam macroperfis, sem compartilhar os dados dos seus usuários que originaram o produto final e mandando para fora os segundos. Ainda assim, é importante estudar os impactos da lei e saber sobre consentimento quando se trata de qualquer assunto que envolva dados.
Pesquisas de mercado
Em primeiro pensamento, pode ser levantado que a Lei Geral de Proteção de Dados pode afetar as instituições dedicadas a pesquisas de mercado realizadas na web, porém, estas pesquisas são realizadas levando em conta informações da empresa vendedora, isto é, elas acontecem já num estágio final da decisão de compra. Este fator citado garante a realização das pesquisas sem que haja impedimentos.
É importante lembrar que haviam regras envolvendo o sigilo de dados mesmo antes da LGPD. Este sigilo sempre foi prioridade dos institutos e a destruição dos dados dos clientes após a realização das pesquisas é parte do código de ética das entidades.
Clientes inadimplentes
Sabemos que para que os dados de um cliente possam ser mantidos você precisa provar que o mesmo está ativo, então, como podemos lidar com clientes inadimplentes neste caso? Essa situação se encaixa em dois itens da LGPD: cumprimento de contrato (se o cliente firmou o compromisso via contrato, a marca possui motivação para utilização do dado) e a proteção do crédito (este garante para as marcas o legítimo interesse na busca de dados para permitir a cobrança do que lhe devem).
Portanto, nem todo dado é adquirido por consentimento, mas, como citado anteriormente, caso o cliente solicite a exclusão dos dados, a marca possui a obrigação de fazê-lo com aqueles que são relativos ao consentimento, ou seja, dados fornecidos com consentimento devem ser apagados. Aqueles de interesse legítimo da marca, dados de contrato e obrigações legais as marcas não precisam apagar.
Como a LGPD afeta as ações de CRM das marcas
A lei em questão não possui efeitos negativos sobre os dados de CRM, com ela, as informações já coletadas ao longo do tempo têm de serem avaliadas e, consecutivamente, registros inválidos que poluem a base de dados são eliminados. Esse fator resulta em um controle mais aprimorado da mineração e auxiliar na tomada de decisões, visto que a empresa terá apenas as informações relevantes e dados válidos.
Caso ainda reste alguma dúvida sobre a Lei Geral de Proteção de Dados, que tal ouvir o episódio 14 do nosso podcast? Nesta edição do DoTheMATH, Rodrigo Azevedo (sócio e coordenador da área de proteção e dados da Silveiro Advogados) responde a treze perguntas sobre a LGPD para empresas, um conteúdo completo para você!