Lei Geral de Proteção de Dados: como se preparar em 2019?  

LGPD-Brasil

O ano de 2018 foi marcado por grandes evoluções no campo da proteção de dados pessoais, tanto para o mercado quanto para a sociedade civil. Em maio, o Regulamento Geral de Proteção de Dados (GPDR, na sigla em inglês) passou a valer na União Europeia e refletiu no Brasil com a sanção presidencial da Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais (LGDP), em agosto.

Como parte da série que aborda as tendências para 2019, o ExchangeWire Brasil traz a visão de especialistas do mercado de mídia digital para comentar os avanços em privacidade e proteção de dados conquistados ao longo do ano, bem como as medidas que devem ser adotadas para se adequar às normas, que entram em vigor em fevereiro de 2020.

Aumento da transparência no tratamento de informações

“A Lei Geral de Proteção de Dados Pessoais (LGDP) vem em boa hora e ajudará a regulamentar e desenvolver o mercado e o setor público. Na publicidade, afetará anunciantes, agências, plataformas e provedores de soluções – todos aqueles que utilizam dados pessoais de algum modo. Vejo como resultado positivo o aumento da transparência no tratamento dessas informações, pois poderá reduzir casos de fraudes e de vazamento de dados. Além disso, o consumidor terá mais confiança para compartilhar seus dados com o setor privado.

A partir da sanção presidencial, as empresas têm um prazo de 18 meses para se adequar às normas. A adequação varia de acordo com as atividades exercidas, bem como com o volume de dados tratados e as finalidades do tratamento. É possível que a exigência de maior transparência cause algumas alterações nos modelos de negócios de algumas empresas, mas é cedo para dizer. Em primeiro lugar, é importante ressaltar que a lei regula o tratamento de dados pessoais, ou seja, estabelece regras para as relações entre as empresas que coletam, armazenam e utilizam dados e as pessoas físicas que são os titulares desses dados pessoais.

De modo bastante simplificado, o primeiro passo para a conformidade é mapear os fluxos de dados da empresa. Posteriormente, é necessário encontrar a base legal mais adequada para o tratamento desses dados pessoais, tais como o consentimento, o legítimo interesse, o cumprimento de obrigação legal ou regulatória, a execução de contrato, etc. E, finalmente, fazer as adaptações necessárias em contratos, políticas e outros documentos jurídicos, além de adequar sistemas internos de segurança da informação.

No caso de segmentação de campanhas, é necessário analisar se bancos de dados podem ser utilizados, entender a origem desses dados, encontrar qual a melhor base legal para realizar o tratamento e dar transparência aos usuários para quais finalidades específicas esses dados pessoais estão sendo utilizados. Esses processos internos podem ser liderados por diversos profissionais de cada empresa, envolvendo jurídico, operacional, compliance e marketing, conforme a atividade. A lei inclusive exige que cada empresa ou entidade que efetua o tratamento de dados pessoais indique um encarregado, também conhecido como ‘data protection officer – DPO’”.

Marcel Leonardi, Presidente do Comitê de Assuntos Jurídicos do IAB Brasil

Adequação à lei deve ser prioridade

“Esta é uma agenda global e o Brasil tende a acompanhar os países onde o tema foi regulamentado. No exterior, houve um impacto com a entrada do GDPR em vigor e, em dois meses de funcionamento da lei, o uso de dados 3rd party já havia caído mais de 20%, assim como esperado no mercado europeu e previsto também para o brasileiro. É um reflexo natural e mostra um cuidado maior com os dados utilizados pelas empresas.

No Brasil, vimos um mercado muito organizado e orientado para regulação, sinergia que deve continuar em 2019. As empresas ainda têm interesse na criação do órgão regulador de dados, um dos itens excluídos da lei aprovada, e devem buscar o apoio do novo governo para que seja viabilizado. Além disso, uma legislação própria para dados indica que o mercado caminha para um processo de amadurecimento. As empresas devem repensar a função dos dados para o funcionamento do negócio, o que indicaria mais um passo para o fim dos data lakes e o momento de colocar a privacidade em primeiro lugar, de priorizar o interesse do consumidor.

Para entrar em conformidade, o primeiro passo é entender, internamente, como melhorar o uso e a qualidade dos dados nas empresas. Como no exterior, é esperada uma retração inicial nesse mercado de dados, tanto na sua oferta, quanto no próprio uso. Então as empresas do mercado de publicidade digital têm um desafio traduzido em oportunidade: encontrar parceiros que, usando dados em conformidade com a lei, gerem insights e análises que agreguem valor não só à campanha, mas que também gerem valor para o negócio em si, com análises sob medida que orientem a otimização do investimento publicitário e melhores resultados de campanha.

Por fim, ter a adequação à lei como prioridade é fundamental – embora um ano pareça bastante tempo, é um prazo apertado. Estamos falando de um novo tipo de publicidade digital, que requer não só mais processos com os dados, mas um uso mais inteligente deles. O esforço para cumprir essa agenda rapidamente garantirá que o player tenha um diferencial competitivo”.

Essio Floridi, CEO da Tradelab

Tecnologia também deve se adaptar

“Em 2018, vimos poucas discussões nas empresas sobre a nova lei. À medida em que nos aproximarmos do prazo para a implementação, certamente veremos esse tópico se tornar cada vez mais relevante em 2019. As empresas devem começar fazendo uma revisão completa de suas práticas existentes em torno da coleta e armazenamento de dados do consumidor. É interessante que as organizações já estejam pedindo autorização para coletar dados dos usuários, com uma política de privacidade clara exibida nas páginas onde essas informações são solicitadas. Dependendo do nível de complexidade da empresa, esse pode ser um exercício de curto ou longo prazo. O próximo passo será explorar os detalhes da nova lei e onde é preciso realizar alterações e adequações. Novamente, isso será mais fácil para organizações com poucos canais de coleta de dados e mais complicado para as maiores, que coletam dados de várias maneiras.

Além disso, na nova legislação existe uma regra sobre a noção de interesse legítimo e é preciso que as empresas fiquem atentas a esse ponto. Por exemplo, se um usuário baixa um e-book da companhia, a empresa pode entender que existe um interesse legítimo desse usuário por seus conteúdos e, dessa forma, pode enviar outros materiais para essa pessoa. Essa regra é mais tranquila de ser aplicada para empresas B2B, mas, no caso de companhias B2C, existe a necessidade de mais interpretação e respaldo da lei para aplicá-la de forma correta. Outra consideração importante é: se a tecnologia será capaz de se adaptar às novas leis. O software utilizado para coletar dados por meio de formulários, ou para enviar comunicações via e-mail/chat ao vivo, deve ser idealmente configurado para facilitar o trabalho de adaptação. Isso é importante para pequenas e médias empresas. A boa notícia é que em boa parte do mundo existem leis semelhantes à nova legislação e todas as companhias conseguiram se adaptar. O cenário no Brasil não deverá ser radicalmente diferente, desde que as empresas invistam o tempo e os recursos necessários para estarem em conformidade com a lei”.

Rodrigo Souto, gerente de marketing da HubSpot Brasil

Movimento em direção ao uso de 1st party data

“Os temas de privacidade e proteção de dados vêm ganhando importância ano após ano. Em 2018 não foi diferente. Com o início da vigência da GDPR fomos impactados por dezenas de e-mails informando alterações nas políticas de privacidade de muitos serviços, mostrando que de fato entrávamos em um novo momento no relacionamento com essas empresas. Meses depois, tivemos nossa LGPD sancionada pelo governo Temer. Em 2019, podemos esperar muitas decisões já pautadas na nova lei, ainda que sua vigência ocorra apenas 2020. Será o ano da consolidação desses valores dentro da cultura organizacional das empresas e deixará de ficar restrito apenas às áreas de compliance, jurídico e risk management.

As empresas devem começar por duas grandes frentes: revisão de seus processos internos e revisão de seus parceiros. Ser corresponsável pelos processos é a nova tônica, uma vez que há responsabilidade solidária por toda a cadeia. Acreditamos que as empresas terão que rever muitos de seus prestadores de serviço e reduzir o número de parceiros, para que consigam ter accountabilitty sobre os processos. A publicidade digital deve dar largos passos em direção ao uso maior de dados próprios (1st party data), que não só trazem os melhores resultados como também são os que podem garantir que sua coleta, organização e uso ocorrem dentro das leis e melhores práticas. Já providers de soluções generalistas terão muita dificuldade em se adaptar à essa nova regulamentação e devem perder força, uma vez que os grandes anunciantes deverão ser muito mais exigentes com relação a origem de dados e soluções, além de contratos e garantias mais sólidas”.

Marcelo Pincherle, diretor geral do Global Data Bank (GDB)