Entendendo a LGPD – Lei Geral de Proteção de Dados

A LGPD, lei sancionada em agosto de 2018 que entrou em vigor em setembro de 2020, estipula uma série de obrigações para empresas e organizações sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, tanto online quanto offline.

Com a LGPD, o Brasil entra para o rol de mais de 120 países que possuem lei específica para a proteção de dados pessoais. A lei prevê multas e penalidades consideráveis no caso de não cumprimento dos requisitos impostos na lei.

Uma das principais influências na criação da LGPD, é o GDPR (General Data Protection Regulation), lei de proteção de dados que regulamenta a questão para a União Européia. O GDPR é a mais significante legislação recente sobre proteção de dados, que passou a servir de modelo para muitos outros países adotarem disposições semelhantes ou reforçarem políticas pré-existentes.

A quem a LGPD se aplica?

A LGPD possui aplicação chamada extraterritorial. Isso significa que a LGPD se aplica independentemente da localização da sede, ou a localização em que os dados são processados.

Nesse caso, a lei é aplicável para empresas e organizações que processam dados pessoais de cidadãos brasileiros, independente da localização física da empresa (se os dados pertencem a indivíduos localizados em Brasil, ou se os dados foram coletados no Brasil – casos em que o titular dos dados estava no Brasil no momento da coleta).

Quais os principais conceitos da LGPD?

É importante conhecer os conceitos básicos que norteiam as especificações da LGPD.

O que é um dado pessoal?

“Dado pessoal” é toda e qualquer informação que identifique ou que possa vir a identificar uma pessoa. O conceito de dado pessoal adotado pela LGPD é bastante amplo:

qualquer dado, isolado ou em conjunto com outros dados, que possa identificar uma pessoa, ou que possa sujeitar uma pessoa a determinado comportamento, pode vir a ser considerado um dado pessoal. 

Isso mostra que a LGPD não resume o conceito de dados pessoais a informações básicas de uma pessoa, como nome, email, RG ou CPF. Por exemplo: se uma empresa realiza estratégias de remarketing através do uso de cookies, está utilizando dados de navegação de uma pessoa para impactá-la com publicidade digital.

A pergunta aqui é: um cookie pode ser considerado um dado pessoal? A resposta é sim. Isso porque também pode ser considerado dado pessoal um conjunto de informações que torne a pessoa identificável.

Digamos que um usuário visita com frequência o site da minha empresa. Eu posso não saber o seu nome, nem o seu email, mas, através do uso de cookies, posso inferir perfis comportamentais dele. Podemos identificar se o usuário gosta mais de viagens, livros ou filmes, só para citar alguns exemplos.

Esses dados são suficientes para que a empresa possa criar anúncios de publicidade online e impactar o usuário. Nesse caso, mesmo sem saber ao certo quem é o usuário, a empresa conseguiu impactá-lo com informações que possuía sobre ele. Portanto os cookies podem ser considerados dados pessoais.

O que é um dado pessoal sensível?

Uma das categorias de dados presente na lei são os dados pessoais sensíveis. A LGPD indica uma lista dos dados pessoais considerados sensíveis:

aqueles sobre “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

O que pode ser considerado um tratamento de dados?

Tratamento é qualquer operação realizada com um dado, da coleta ao descarte. A LGPD estipula normas para qualquer ação de tratamento de dados pessoais: como a coleta, classificação, utilização, compartilhamento, reprodução, processamento, arquivamento, armazenamento etc.

Atores e papéis

Existem dois principais agentes, com papéis e responsabilidades específicas, de acordo com a LGPD: o controlador e o operador.

Na prática, vamos supor que a sua empresa precise contratar um serviço de armazenamento em nuvem para armazenar os dados que possui. Nessa relação, a sua empresa é considerada controladora de dados, enquanto a empresa contratada para armazenar os dados pode ser considerada operadora.

A sua empresa é controladora, operadora ou, dependendo do contexto, ambos. É importante entender quais são esses papéis e quais responsabilidades eles trazem para a sua empresa em relação à LGPD.

Bases legais

Você sabe como e em quais casos a LGPD autoriza a sua empresa a utilizar os dados pessoais de um Lead? Para responder a essa pergunta, é necessário entender o conceito de bases legais.

As bases legais são hipóteses da LGPD que autorizam o tratamento de dados pessoais. A lei estabelece que para que qualquer pessoa, física ou jurídica, possa realizar qualquer operação com um dado pessoal – seja coletar, transmitir ou processar – é necessário possuir uma base legal presente na LGPD que justifique o tratamento desses dados.

No momento em que a LGPD entrar em vigor, empresas que utilizarem dados pessoais sem uma base legal adequada, estarão tratando dados de forma ilegal.

A LGPD prevê dez bases legais que autorizam o tratamento de dados pessoais. As bases legais não têm dependência ou predominância entre si, e para todo caso de tratamento de dados, existe uma base legal mais apropriada.

Agora vamos examinar as 3 principais bases legais previstas na LGPD com alguns exemplos práticos.

Os exemplos de casos de uso de bases legais abaixo são meramente informativos. Eles não devem ser aplicados sem a devida análise e decisão própria. Cada empresa é responsável por escolher a base legal mais adequada, de acordo com as particularidades dos seus respectivos cenários internos.

1. Consentimento

Consentimento é definido como uma declaração clara e inequívoca de vontade. É o caso em que a pessoa concorda com o uso dos seus dados para as finalidades propostas pela empresa.

Um exemplo prático da base legal do consentimento, no contexto do Marketing Digital, é o checkbox (opt-in) em campos de formulário, para pedir autorização para o envio de comunicações.

Exemplo de caixa de seleção para consentimento LGPD

Contudo, o consentimento, como previsto na LGPD, precisa de alguns requisitos para que possa ser considerado válido:

Eu sempre vou precisar de consentimento para me comunicar com os meus Leads?

Não necessariamente. O consentimento é apenas uma das dez bases legais que autorizam o tratamento de dados. Existem outras bases legais que podem ser utilizadas além do consentimento, em especial: legítimo interesse e contratos.

2. Legítimo Interesse

Outra hipótese que autoriza o uso dos dados é o legítimo interesse. Essa é mais flexível das bases legais da LGPD, mas a sua aplicação não é simples.

O legítimo interesse permite o uso dos dados, sem a necessidade de obtenção de consentimento. Contudo, é necessário tomar alguns cuidados para entender em quais casos o legítimo interesse realmente pode ser aplicado.

A LGPD ainda não possui diretrizes específicas sobre a utilização dessa base legal. Isso tende a ocorrer após a criação da ANPD – Agência Nacional de Proteção de Dados. Por hora, é sabido que a base legal do legítimo interesse pode ser utilizada em situações em que:

Requisitos do legítimo interesse

Quando uma empresa decide utilizar o legítimo interesse, deve realizar um teste de proporcionalidade. Esse teste possui o objetivo de balancear, de um lado, os interesses da sua empresa, e do outro os direitos e liberdades do titular dos dados pessoais.

O teste leva em consideração detalhes específicos de cada caso de uso de dados, portanto, é importante que cada empresa conte com auxílio especializado de consultoria jurídica, ou através da figura de um Data Protection Officer (um encarregado), para nortear a realização dos testes.

Por que é tão difícil entender quando utilizar o legítimo interesse?

Você já tentou ler a LGPD para entender o que deve fazer para adequar as suas práticas de Marketing e Vendas? Para entender, por exemplo, quando pode utilizar a base legal do legítimo interesse? Caso você já tenha tentado, provavelmente sentiu uma certa frustração.

Uma das maiores dificuldades que empresas brasileiras encontram no processo de adequação à LGPD é a ausência de orientações e diretrizes específicas. Não existe um entendimento claro de quais casos de uso de dados pessoais para práticas de Marketing e Vendas podem utilizar a base legal do legítimo interesse, o que traz incerteza e risco para a adaptação à lei.

Isso acontece porque a LGPD não foi feita para responder a todos esses detalhes. A nova lei precisa da criação de diretrizes específicas para cada caso de uso.

O órgão que será responsável por criar essas diretrizes (além de fiscalizar e multar), será a ANPD – Autoridade Nacional de Proteção de Dados. A ANPD ainda não foi constituída, até que isso ocorra, empresas terão que tomar decisões mais difíceis para adequar os pontos da lei que ainda estão abertos à interpretação.

Legítimo Interesse para práticas de Marketing

Com a ausência da ANPD, em relação ao Marketing, ainda não existem posicionamentos específicos para a LGPD. Por isso, os exemplos de legítimo interesse abordados a seguir são pautados em orientações de órgãos de regulamentação europeu, ou referências de juristas/especialistas brasileiros.

ICO, órgão de regulamentação britânico, defende que o legítimo interesse pode ser, em alguns casos, utilizado para atividades de marketing. O que não significa que qualquer atividade de marketing constitua legítimo interesse.

Vamos a dois exemplos de casos onde existem maiores chances de uma empresa ou organização poder utilizar o legítimo interesse?

  1. No caso de um marketing que seja do interesse do indivíduo: quando for comprovadamente relevante que é benéfico para um Lead receber descontos da sua empresa. Sobre esse exemplo, é muito importante mencionar que esse benefício não pode ser presumido pela empresa. É diferente enviar um desconto para o Lead chamado Marcos (que já comprou produtos da minha empresa no passado), ou enviar um desconto para a Beatriz (um Lead que eu adquiri em uma lista fria de contatos, e que nunca teve interação com a minha empresa);
  2. Nos casos em que a empresa entender desnecessário obter novo consentimento, dentro de uma relação já pré-estabelecida com o Lead: Vamos supor que a sua empresa tenha interações recorrentes com o Lead Marcos. Ele abre todos os emails que a sua empresa envia, e acessa todos os novos conteúdos. Nesse caso, pode-se presumir que ambas as partes são beneficiadas com essa relação. Nesse caso, poderia ser utilizada a base legal do legítimo interesse? No fim do dia, a decisão de utilizar ou não, depende de maiores detalhes do teste de proporcionalidade, e é uma decisão da empresa. Mas existe uma maior propensão à utilização desta base legal neste exemplo.

Apesar das incertezas, se utilizada com responsabilidade, a base legal do legítimo interesse pode ser uma grande aliada no processo de adequação de empresas de uma sociedade movida a dados.

3. Contratos

No caso da base legal de contratos, os dados de uma pessoa podem ser processados em dois casos:

Para contratar os serviços de um novo colaborador, é preciso fornecer uma série de informações pessoais necessárias para formalizar o contrato (dados do contratante, dados para faturamento, etc.) que farão parte do futuro contrato de emprego do titular dos dados.

Demais bases legais

Além das três bases legais mencionadas, existem outras 7 bases legais que autorizam o tratamento de dados pessoais. Contudo, para práticas de Marketing e Vendas, a utilização destas bases legais tende a ser menos comum e recorrente.

  1. Obrigação Legal;
  2. Execução de Políticas Públicas;
  3. Estudos por órgãos de pesquisa;
  4. Processo Judicial;
  5. Proteção da Vida;
  6. Tutela da Saúde;
  7. Proteção de Crédito.

Em resumo, as bases legais são o ponto de partida para empresas criarem relações mais justas com o consumidor. Quando a sua empresa for pensar em bases legais é importante repensar a ética por trás das formas que estes dados são coletados e utilizados.

Pensando dessa forma, fica mais fácil entender o motivo de existir essa temática na lei.

fonte: https://www.rdstation.com/resources/ebooks/lgpd-marketing-digital



Wednesday, September 23, 2020





<< Geri