Em 14 de agosto de 2018 foi sancionada a Lei Geral de Proteção de Dados Pessoais (LGPD), lei n°13.709/2018, pelo presidente Michel Temer. A LGPD está em seu período de ‘vacatio legis’, ou seja, é o prazo para que as empresas públicas e privadas se adequem as novas exigências da lei.
O prazo inicial para o fim do ‘vacatio legis’ e inicio efetivo da lei ainda está em aberto. Pode ser mantido para 15 de agosto de 2020 (prazo estabelecido na lei), ou prorrogada para 2021, com algumas possibilidades para início em maio/21 (MP N°959 de 2020), entre outras que tramitam no Congresso Nacional.
O grande debate não deve ser qual será a data de vigência efetiva da Lei, e sim, qual será o impacto nas empresas e quais mudanças as organizações precisarão realizar.
Resumidamente, a LGPD tem o principal objetivo de proteger os direitos fundamentais de liberdade e privacidade dos Titular dos dados (pessoa natural -> nós seres humanos).
Por meio dos seus 65 artigos, a LGPD apresenta de forma clara, objetiva e estruturada quais são os fundamentos, princípios, definições e atividades necessária para que as empresas ‘Tratem’ os Dados Pessoais dos Titulares em conformidade com a Lei.
O tratamento, segundo à LGPD, é qualquer operação realizada com os dados pessoais, podendo ser, acesso, armazenamento, cópia, transferência, processamento, arquivamento, exclusão, entre outros.
O conceito de ‘Dado Pessoal’, assim como o de ‘Tratamento’ é expansionista, uma vez que aborda como: “dado pessoal: informação relacionada a pessoa natural identificada ou identificável” – Inc. I – Art. 5º
Toda empresa que realize qualquer operação/tratamento com dados pessoais, seja de clientes, parceiros, funcionários, leads, entre outros, deverá observar a LGPD e suas exigências, podendo, inclusive, em casos de ‘não conformidade’, receber sanções administrativas, como multas de 2% do faturamento bruto limitado à R$ 50.000.000,00 por infração, até a publicização da infração e suspensão do banco de dados. Ou seja, as sanções visam gerar um dano real para as organizações, com o objetivo de que as empresas respeitem e se ajustem para atender aos critérios da LGPD.
Após a breve introdução do cenário da LGPD e seu contexto macro, precisamos entender qual é a relação do Marketing Digital com a LGPD. Caso queira conhecer melhor os conceitos envolvidos na LGPD, acesse o link: https://www.pdcati.com.br/lgpd
Antes de entrar em um exemplo prático da LGPD e o Marketing digital, precisamos conhecer superficialmente mais 3 artigos que são chave para o entendimento do cenário.
No artigo 6° da LGPD são apresentados os 10 princípios, sendo eles, Finalidade, Adequação, Necessidade, Livre Acesso, Qualidade dos Dados, Transparência, Segurança e Prevenção, Não Discriminação e Responsabilização e Prestação de Contas.
Para cada tratamento realizado pela empresa, deverá ser apresentado a justificativa para cada princípio da LGPD e a definição da sua Base Legal para cada Tratamento.
O artigo 7° da LGPD define 10 bases legais que as empresas terão que embasar e justificar para cada tratamento realizado. As bases legais são: Consentimento, Cumprimento de obrigação legal ou regulatória; Estudos por órgãos de pesquisa, Execução de Contrato, Exercício regular de direitos em processos, Proteção a vida, Tutela da saúde, Legítimo Interesse e para Proteção do Crédito.
Caso a empresa não encontre a Base Legal para algum tratamento, o mesmo não deverá ser realizado, visto que irá violar a LGPD.
Para o artigo não ficar muito conceitual, irei abordar somente mais um artigo, dentre os 65 existentes, que diz respeito aos Direitos do Titulares dos Dados -> Art. 18°. Por meio deste artigo o Titular poderá solicitar, para qualquer empresa, informações como, se a empresa trata seus dados, quais foram ou são estes tratamentos, quais dados pessoais a empresa coletou e para qual finalidade, exercer seu direito de acesso, direito de correção, direito de exclusão, direito de portabilidade, até o direito de revogar o consentimento, a qualquer momento.
Os demais conceitos de Controlador, Operador, DPO – Encarregado, Autoridade Nacional de Proteção de Dados e outros, acesse o link: https://www.pdcati.com.br/encarregado-pelo-tratamento-de-dados-dpo-lgpd/
Vamos agora a prática e contextualização do Marketing Digital e a LGPD – Estudo de Caso Prático:
Oferta de produtos e/ou serviços para NOVOS clientes/lead por meio do e-mail marketing e contato via Whatsapp.
Principais conceitos de análise ANTES do tratamento ser realizado:
Como sua empresa conseguiu o banco de dados destes novos clientes?
O Titular dos dados (lead) consentiu, autorizou sua empresa utilizar os seus dados? O lead tem conhecimento que sua empresa tem os dados pessoais dele?
O tratamento irá atender aos princípios da LGPD – Art. 6°?
Qual será a base legal para tal tratamento?
Quais os critérios e estrutura desenvolvida para atender aos direitos dos titulares?
Existe a Política de Privacidade e Proteção dos Dados formalizada?
Quais os critérios de Segurança da Informação e Governança que sua empresa utiliza para atender aos artigos 46° até o artigo 51°?
Principais pontos de atenção DURANTE o tratamento realizado:
Caso sua empresa esteja aderente aos critérios apresentados anteriormente, a empresa deverá utilizar estas informações (dados pessoais), somente para atender a finalidade em questão, neste caso, oferta de produto ou serviço para um novo cliente/lead. Ou seja, para cada tratamento (atividade e/ou processo), deve ser analisado a sua base legal, os princípios, os critérios de segurança, entre outros.
Se a base legal foi o consentimento, o mesmo deve estar em conformidade com o conceito abordado no Art. 5°, Inc. XII: “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”
Ainda sobre a base consentimento, o mesmo poderá ser revogado a qualquer momento; portanto, uma vez solicitada a revogação, a empresa não poderá mais utilizar aqueles dados para a finalidade em questão
A empresa terá um prazo para atender aos direitos dos titulares, conforme consta no Art. 19° da LGPD, sendo até 15 dias para responder a confirmação de existência ou acesso aos dados pessoais.
Controles PÓS tratamento realizado:
Uma vez que o tratamento atendeu a finalidade específica, a mesma deve ser encerrada e os dados excluídos, a menos que exista outro tratamento e base legal para manter as informações. Exemplo: Uma vez que a empresa de marketing digital finalizou a ‘campanha X’, estes dados pessoais deverão ser removidos e não podem ser utilizados para uma outra campanha que não esteja 100% aderente a finalidade e expectativa do titular dos dados.
Obs.: Se a empresa conseguir anonimizar os dados, ou seja, excluir qualquer dado que faça referente a uma pessoa natural, a empresa poderá tratar estes dados sem atender às exigências da LGPD. Entende-se por dado anonimizado: Art. 5°, Inc. XI – “anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo”
Observação importante: Este artigo não tem caráter de consultoria, é apenas uma visão resumida e sintetizada de quais análises e cuidados as empresas terão que ter para tratar qualquer dado pessoal, após o início efetivo da LGPD no Brasil.
Para finalizar, não temos ainda histórico no Brasil de como irá funcionar na prática, as sanções, baselines (diretrizes) das melhores práticas para adequar às exigências, entre outros, porém, a LGPD é inspirada, similar à GDPR (Regulamento Europeu de Proteção de Dados), que já está em vigor na Europa há dois anos. Portanto, caso queria conhecer melhor na prática como funcionará, os critérios necessários, pontos de atenção e outros, procurem pelas Autoridades de Proteção de Dados dos Países Europeus e verifiquem as informações disponíveis, multas aplicadas, boas práticas, entre outros.
A LGPD está disponível no site do Planalto pelo link: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
A GDPR pode ser acessada pelo link: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679&from=PT
Gustavo de Castro Rafael
Consultor especializado nas áreas de Gestão de TIC, Segurança da Informação, Continuidade de Negócios e Proteção de Dados Pessoais.
Formado em Sistemas de Informação, com pós-graduação em Governança de TIC e MBA em Gestão da Segurança da Informação.
Possui certificações internacionais, entre elas DPO, ITIL, COBIT, ISO 27001 emitidas pela EXIN.
Linedin: https://br.linkedin.com/in/gustavocastrorafael
