Aprendizados dos 30 dias da LGPD
A Lei Geral de Proteção de Dados entrou em vigor em 18 de Setembro, com a expectativa de modificar integralmente forma como as empresas coletam, armazenam e utilizam dados dos seus públicos de interesse. Estamos complementando os primeiros 30 dias de sua vigência.
A exemplo da legislação europeia GDPR, seu principal objetivo é regulamentar o uso de dados pessoais pelas empresas, de forma que os cidadãos brasileiros tenham mais segurança e controle sobre os seus dados pessoais. Apenas para alinharmos conceitos, “dado pessoal” é toda e qualquer informação que identifique ou que possa vir a identificar uma pessoa. Isso mostra que a LGPD não resume o conceito de dados pessoais a informações básicas de uma pessoa, como nome, email, RG ou CPF. Por exemplo: se a farmácia no ato da compra de um simples produto o CPF do cliente para em troca oferecer um desconto, ou se realiza estratégias de marketing através do uso de cookies, está utilizando dados de navegação de uma pessoa para impactá-la com mensagens nem sempre consentidas previamente.
Ainda é cedo para uma avaliação geral sobre a abrangência e efetividade da lei, mas baseados nesses primeitos 30 dias algumas conclusões já podemos tomar:
1 – A lei veio para ficar – Já tivemos registros de empresas formalmente penalizadas pelo descumprimento da legislação. A primeira foi uma das maiores imobiliárias do país, que foi penalizada a pagar uma multa de R$ 10 mil por ter realizado uma prática corriqueira: compartilhar dados de um dos seus clientes com outra empresa. A ação foi movida seguindo a alegação de que esse compartilhamento aconteceu sem o prévio consentimento do cliente. Além dessa multa, a empresa será penalizada de forma adicional por cada contato que venha a ser novamente compartilhado. Isso significa na prática que empresas que não atentarem para esse procedimento, terão a multa aumentada tantas vezes forem suas infrações. Pegaremos o caso acima apenas pelo seu caráter de ineditismo e também de nos trazer um ponto muito importante: o consentimento prévio.
2 – Preparação das empresas para a atender aos critérios da lei. Antes tarde do que nunca! – Em artigo prévio sobre o tema, alertei que muitas empresas ainda não se prepararam adequadamente para a legislação. Porém o desconhecimento e a não aplicação dos conceitos centrais da nova lei pode gerar crises desnecessárias e impactar a reputação das organizações. Um grande número de pequenos e médios empreendimentos como farmácias, varejistas, restaurantes, escolas e bares precisam se adequar o mais breve possível. Todas elas precisarão repensar suas práticas de coleta de informações dos seus clientes para futuras ações de marketing. As empresas que não se adequarem sofrerão punições legais de até 2 por cento do faturamento da empresa, no limite de até 50 milhões de reais.
3 – Tratamento de dados é fundamental – Um dos requisitos básicos de adequação é o tratamento da informação. Esse conceito engloba qualquer operação realizada com um dado, da coleta ao uso correto. A LGPD estipula normas para qualquer ação de tratamento de dados pessoais: como a coleta, classificação, utilização, compartilhamento, reprodução, processamento, arquivamento, armazenamento etc. empresas que utilizarem dados pessoais sem uma base legal adequada, estarão tratando e utilizando os dados de forma ilegal. Fique atento.
4 – Ao revisar processos a LGPD pode se tornar um instrumento para melhoria do seu processo de comunicação – Como? Transformando o processo de consentimento em uma estratégia de aproximação e relacionamento com seus públicos. Utilizando acima de tudo uma certeira estratégia de marketing de conteúdo trazendo informações relevantes e de forma constante para os seus públicos. Quanto mais relevante for o conteúdo disponibilizado, maior será a predisposição dos públicos em darem o seu consentimento, entendendo que esse fluxo baseia-se na confiança mútua. E que essa confiança leve ao consentimento, o Santo Graal da LGPD.
5 – Consentimento: o novo petróleo – Para entendermos melhor, consentimento é definido como uma declaração clara e inequívoca de vontade do consumidor. É o caso em que a pessoa concorda com o uso dos seus dados para as finalidades propostas pela empresa e toda a relação se desenvolve de forma transparente e segura. Um exemplo rotineiro da ação de consentimento, é o checkbox (opt-in) em campos de formulário, para pedir autorização para o envio de comunicações (exemplo: Gostaria de obter informações adicionais sobre…)
Contudo, o consentimento, como previsto na LGPD, precisa de alguns requisitos para que possa ser considerado válido:
– O consentimento precisa ser livre e refletir uma escolha pessoal.
– O consentimento precisa ser inequívoco: Depende de uma manifestação clara por meio de um ato positivo do usuário. Não pode haver dúvidas acerca de o consentimento ter sido fornecido ou não.
– A regra é clara: o usuário deve entender com o que está consentindo e o futuro uso desses dados. As organizações devem certificar-se que explicam de forma clara exatamente o que a pessoa está concordando.
– O consentimento deve ser fornecido para uma finalidade específica e determinada.
– Outra hipótese que autoriza o uso dos dados é o legítimo interesse. Essa é mais flexível das bases legais da LGPD, mas a sua aplicação ainda precisa ser melhor compreendida
6 – Dicas finais:
– Faça benchmarks com empresas de ponta. De preferência a empresas do exterior que já passaram por todo esse processo de adequação.
– Conscientize sua empresa sobre o novo contexto. As empresas precisam estar preparadas para erem questionadas pelos seus clientes sobre quais dados estão sendo coletados e sua respectiva finalidade.
– Realize um mapeamento dos dados em poder da sua empresa
– Classifique todos os dados necessários à finalidade do negócio e armazenados na empresa, assim como a existência ou não de consentimento de uso.
– Solicite a aprovação do cliente para que você mantenha os dados sobre eles na sua base de dados
– Contrate uma assessoria jurídica para adaptar e criar documentos e contratos com cláusula de proteção à privacidade
– Treine o seu time para esse novo contexto
– Proteja seus dados contra potenciais ataques cibernéticos de hackers
– Organize seus documentos sobre proteção de dados para eventuais fiscalizações
Para evitarmos futuras manchas nas reputações das organizações, é fundamental prepará-las para este novo contexto.
Dario Menezes (dario@groupcaliber.com) é diretor-executivo da Caliber