Players do Live Marketing: a LGPD também é para vocês
Recentemente, participei de um evento organizado pela Associação de Marketing Promocional (AMPRO) e um dado apresentado me chamou a atenção. De acordo com discurso de Alan Fonseca, da Guardians Consulting, grande parte das empresas não sabe como agir, caso se envolvam em episódios de vazamento ou ataque de dados. No meu entender, essa realidade é bastante preocupante, em um país que está às vésperas da Lei Geral de Proteção de Dados, sancionada em 2018 e prevista para entrar em vigor em agosto de 2020.
Neste artigo, especificamente, minhas considerações terão um viés para a cadeia de Live Marketing. Mas se você é de outro segmento, acredito que a leitura também vá valer à pena. Seja você representante de agência, cliente ou fornecedor, passe a olhar com mais atenção rotinas que podem parecer simples, como preenchimento de formulários de clientes, recebimento de currículos, pesquisas de mercado e dados estatísticos de campanhas, entre outras, mas que serão diretamente impactos com a entrada em vigor da LGPD.
Inicialmente é preciso entender que, todas as empresas ou pessoas que, de alguma forma, tratam dados de pessoas físicas no Brasil precisam ter atenção aos movimentos da LGPD, cujo descumprimento pode implicar em pesadas punições. A lei visa regular o tratamento de dados pessoais em geral, que podem ser, ainda, classificados como sensíveis. Além disso, é preciso considerar que os dados anônimos não serão fiscalizados, porém os anonimizados estão na mira da nova regra. Abaixo definimos esses conceitos, para melhor compreensão.
Na cadeia de Live Marketing, todos têm alguma parcela de responsabilidade no sistema de tratamento de dados pessoais, sejam eles controladores ou operadores da ação. Para facilitar essa análise, colo abaixo as principais questões do mercado em geral relacionadas à LGPD.
Dez dúvidas frequentes das agências sobre LGPD:
1. Quais dados são considerados pessoais? Qualquer informação que identifique diretamente ou possibilite identificar uma pessoa física. Isso inclui, nome, CPF, registro profissional, data de nascimento, time de preferência e características física, entre outros dados.
2. Quais dados pessoais são considerados sensíveis? Em geral, aqueles que podem gerar discriminação, como relacionados à saúde, filiação político-partidária, preferência religiosa e opção sexual, entre outras informações
3. Quais tipos de tratamento dos dados pessoais passam a ser regulados pela LGPD?Basicamente qualquer ação que possa ser feita com base nos dados pessoais, ou seja, desde uma simples coleta, armazenamento, cruzamento, utilização, eliminação.
4. O que são dados anônimos? Aqueles que não possibilitam a identificação da pessoa, seja direta, seja indiretamente.
5. O que são dados anonimizados? Aqueles que, originalmente, permitiriam a identificação do titular, mas que passam por um processo para que deixem de permitir a identificação de seu titular.
6. Quem são os controladores e os operadores da ação? O primeiro grupo é formado pelos que têm o poder de decisão sobre o tratamento de dados pessoais. O segundo, realiza o tratamento de dados pessoais a pedido e conforme orientações dos controladores.
7. Na prática, como é dividida a ação entre controladores e operadores? Quando o cliente contrata uma agência para fazer uma ação e repassa seu banco de dados a ela, ele é o controlador e tem o poder de decisão das regras. O operador é quem executa, apenas. Porém, existem casos em que a agência pode ser o controlador, como em projetos proprietários. O fato Mas independentemente de ser um controlador ou um operador, o importante é termos em vista é que há situações em que um pode responder pela falha do outro e vice-versa.
8. Como formalizar a parceria entre controladores e operadores? É importante que toda a cadeia esteja compliant, exigindo, cada parte e conforme o caso específico, todas as autorizações, junto aos titulares, para tratamento dos dados pessoais. O cliente precisa ter todas as regras definidas, inclusive o contrato com a agência, como se dará o tratamento de dados pessoais, e a agência precisa ter essa mesma política com seus fornecedores. Alguns clientes já estão exigindo que seus fornecedores estejam em compliance com a LGPD.
9. O que o titular dos dados precisa saber sobre o uso das suas informações? É fundamental ter o consentimento explícito do titular dos dados para que as informações sejam usadas em determinadas situações, informando-o sobre quem coleta qual dado e o objetivo do mapeamento. Em alguns casos, como quando a lei exija que os dados pessoais sejam comunicados ao Governo, não haverá necessidade desse consentimento. Há ainda isenção da obrigatoriedade quando o tratamento se der para cumprimento do contrato com o titular, como, por exemplo, quando o consumidor realizou compra de produto ou serviço online e a própria empresa utilizará os dados pessoais para realizar a entrega.
10. Quando procurar ajuda especializada? Para empresas e agências, o momento mais crítico é o de adequação de suas ações à LGPD. Nesta fase, o ideal é buscar auxílio de um especialista para olhar para dentro de casa, analisar ponto a ponto todas as operações e fazer o mapeamento completo da situação dos dados pessoais que já são tratados. Em um segundo momento – mas tão importante quanto o primeiro – terá ainda a fase de treinamento periódico com todos os colaboradores da organização.
Tenha consciência sobre o grau de importância de se adequar à LGPD e dos riscos legais no caso de não-conformidade. E, não esqueça de cascatear esse compromisso aos colaboradores e fornecedores. Afinal, de alguma forma, todos estão envolvidos.
Paulo Foccacia é sócio do FAS Advogados