LGPD: os cuidados que as empresas de tecnologia devem tomar

Publicado em 26 de março de 2021

LGPD

Em setembro de 2020 entrou em vigor a LGPD, lei que visa proteger os dados da população de comportamentos abusivos de empresas, que até então, coletavam dados pessoais, utilizavam como bem entendiam e ainda vendiam estes dados para outras empresas fazerem o mesmo.

A história da segurança e proteção de dados no Brasil mostra que neste quesito, o país estava atrás de outras nações pois até a sanção da LGPD, o país não tinha uma política sólida para tratar especificamente deste assunto, deixando buracos e brechas na lei.

Em pesquisa do Instituto Ponemon, cerca de 63% de pequenas e médias empresas brasileiras tiveram algum vazamento de dados em 2019. Parte por ataques cibernéticos, parte por perda ou roubo de equipamentos ou por fragilidade na segurança de dispositivos e e-mails enviados.

Em janeiro de 2021, acordamos com a notícia de um mega vazamento de dados pessoais de 223 milhões de brasileiros, até mesmo falecidos, o maior da história do país. Entre os dados vazados, estavam CPFs, endereços, telefones, dados de CNPJs, de veículos, e muitos outros detalhes.

Este vazamento está sob investigação da Polícia Federal e pode ser caracterizado como um teste para a nova LGPD e para as políticas de proteção de dados que estão sendo construídas pelo Brasil nos últimos anos.

Neste artigo, vamos entender o que é a LGPD, seus impactos para as empresas e estratégias de marketing, e te dar dicas de boas práticas deste novo formato de cuidados de dados.

O que é a LGPD?


LGPD é a Lei geral de Proteção de Dados, de número 13.709/2018, sancionada em agosto de 2018 pelo ex-presidente Michel Temer, que tem como objetivo, regular como os dados pessoais devem ser tratados pelas empresas, inclusive nos meios digitais.

Entende-se na lei, que tratamento é toda operação realizada com dados pessoais: “coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

Tanto as empresas nacionais quanto as empresas estrangeiras como Google, Facebook e outras, precisam se adequar também a LGPD.

Michel Temer na época, estipulou um prazo de até 1 ano e meio para que a medida entrasse em vigor, prazo determinado como necessário para a plena adaptação das empresas às novas formas de tratamento de dados.

Mas em meio a muitas discussões, tentativas de flexibilização e enfraquecimento da lei, além da investida em prorrogar este prazo, a LGPD começou a valer em 18 de setembro de 2020.

Um dos pilares da LGPD são as bases legais, hipóteses que autorizam as empresas a operar sobre dados pessoais. Com esta lei, sem as bases legais adequadas, as operações em dados pessoais serão consideradas como práticas ilegais.

Para garantir a fiscalização e aplicação de punições relacionadas à LGPD, foi criado um órgão federal chamado ANPD (Autoridade Nacional de Proteção de Dados), que será responsável também pela investigação e avaliação de denúncias referentes a vazamentos de dados.

Após o enorme vazamento de dados que ocorreu no Brasil em janeiro de 2021, a ANPD já começou a tomar medidas para investigação, trabalhando em conjunto com a Polícia Federal, PSafe (empresa de cibersegurança), Gabinete de Segurança Institucional (GSI), e com o Comitê Gestor da Internet no Brasil (CGI.br).

Embora ainda não possa aplicar advertências e multas estabelecidas na LGPD, pois estas medidas só podem ser aplicadas a partir de agosto de 2021, a ANPD pode utilizar de punições previstas no Código de Defesa do Consumidor.

A LGPD não abrange o tratamento de dados pelo Estado em prol da segurança pública e defesa nacional, ou para fins artísticos, jornalísticos, acadêmicos, particulares e não econômicos. Para estes casos, existe legislação específica.

Qual a finalidade e o motivo da LGPD?

A LGPD tem como finalidade proteger dados pessoais em território nacional, que são coletados e utilizados por empresas públicas ou privadas, para evitar seu uso indevido, bem como o vazamento dessas informações.

A LGPD visa trazer mais segurança dos dados pessoais de pessoas físicas e jurídicas, e fazer com que a tratativa destes dados seja clara, justa, de forma consensual entre as partes, e que seja restrita somente às finalidades previamente especificadas.

Com a sanção da LGPD, a compra de listas de clientes, técnica muito utilizada anteriormente em Outbound Marketing, tendem a ser ilegais, por exemplo. Isso reduz a quantidade de contatos recebidos pelos titulares sem sua devida permissão e interesse.

Além disso, a lei é importantíssima para aplicação de punições específicas para casos de ataques a dados pessoais, o que não se tinha anteriormente, restringindo as punições somente ao Código de Defesa do Consumidor.

Conforme a LGPD, os fundamentos para a proteção de dados pessoais são:

  • Respeitar a privacidade dos titulares;
  • Autonomia informativa;
  • Liberdade de expressão, informação, comunicação e opinião;
  • Inviolabilidade da intimidade, honra e imagem dos titulares;
  • Desenvolvimento econômico, tecnológico e inovação;
  • Livre iniciativa e concorrência;
  • Defesa do consumidor;
  • Direitos humanos;
  • Livre desenvolvimento de personalidade;
  • Dignidade e exercício da cidadania pelas pessoas.

Algumas das sanções aplicadas no descumprimento da LGPD são:

  • Advertência, com determinação de prazos para medidas corretivas;
  • Multa de até 2% em cima do faturamento da empresa, limitada a R$ 50 milhões por infração;
  • Multa diária;
  • Bloqueio de dados pessoais até sua regularização;
  • Suspensão parcial do banco de dados por até 6 meses, sendo que este prazo pode ser prorrogado pelo mesmo período até que ocorra a regularização por parte do controlador;
  • Proibição parcial ou total de atividades relacionadas ao tratamento de dados.

Outras leis similares a LGPD

  • GDPR

A GDPR (em português Regulamento Geral sobre a Proteção de Dados), é um conjunto de medidas aprovado em 2016 para proteção da privacidade da população da União Europeia.

As leis de proteção à privacidade na União Europeia já existiam desde 1995, porém, não estavam atendendo a demanda tecnológica dos tempos atuais.

As principais obrigações das empresas que trabalham com coleta e tratamento de dados, conforme a GDPR, são:

  • Permitir ao usuário escolher como seus dados serão tratados, bem como se autorizam ou não seu uso;
  • Dar informações claras sobre a finalidade da utilização dos dados dos usuários, assim como quais dados estão sendo utilizados;
  • Trabalhar em alguns casos com profissionais Data Protection Officer, que supervisionam o tratamento dos dados e prestam esclarecimentos para as autoridades, caso necessário;
  • Notificar autoridades sobre vazamento de dados, caso ocorra, em até 72 horas;
  • Permitir de forma clara que o usuário exclua e cancele as informações pessoais já fornecidas, respeitando sua decisão de fazê-lo.

Caso ocorra descumprimento da GDPR, a empresa pode ser punida com simples notificações ou multas de até 4% sobre sua receita anual global.

Premissas da LGPD

Conforme a Serpro (Serviço Federal de Processamento de Dados), os princípios e bases legais da LGPD são:

  • A finalidade do uso de dados pessoais deve ser informada e especificada de forma explícita ao titular;
  • Adaptação à finalidade acordada e divulgada previamente;
  • A necessidade do tratamento deve ser restrita de acordo com a essencialidade de cada dado para atingir a finalidade pré acordada;
  • Fornecimento de acesso livre, fácil e gratuito aos titulares sobre como seus dados estão sendo tratados;
  • Qualificar os dados, mantendo-os exatos e atualizados conforme a necessidade do tratamento;
  • Dar transparência aos titulares sobre o tratamento de seus dados, bem como dos responsáveis pela tratativa com informações claras e coerentes;
  • Dar toda a segurança contra situações acidentais ou ilícitas que podem vir a ocorrer, como perda, roubo ou invasão;
  • Prevenir titulares e demais envolvidos contra danos;
  • Responsabilização do agente, que deve demonstrar a eficiência das medidas adotadas;

E para falar sobre o último princípio referente à discriminação, falaremos sobre os dados sensíveis.

Com a sanção da LGPD, foi criada uma categoria chamada de “dado sensível”, que vai além dos dados normais de identificação de um indivíduo (CPF, endereço e telefone, por exemplo).

Os dados sensíveis são informações sobre origem racial, étnica, religião, opinião política ou questões relacionadas à saúde. Estes dados começaram a ter maior atenção e proteção para evitar formas de discriminação e/ou segregação.

A base legal da LGPD é o consentimento do titular dos dados, onde se torna obrigatória a solicitação de autorização ao titular, de forma explícita e inequívoca por parte de quem irá realizar a tratativa.

Quem é quem na LGPD

A lei considera 4 tipos de pessoas:

  • Titular: pessoa física detentora dos dados pessoais que serão tratados;
  • Controlador: empresa ou pessoa física responsável pela coleta dos dados pessoais, bem como pela administração de como estes dados serão coletados, para qual finalidade serão utilizados e como e por quanto tempo serão armazenados;
  • Operador: empresa ou pessoa física que realiza o tratamento e processamento dos dados pessoais coletados de acordo com as orientações do controlador;
  • Encarregado: pessoa física indicada pelo controlador e operador, que atua como canal de comunicação entre as partes (controlador, titulares e a autoridade nacional), além de orientar os funcionários do controlador sobre práticas de tratamento de dados.

E agora, como fica a geração de leads?

O mercado precisou se adaptar à LGPD para não sofrer punições, e principalmente, para ganhar a confiança de seus clientes. Uma empresa que segue às leis de proteção de dados sem burlar o sistema, tende a ser diferenciada e estar à frente das demais.

Afinal, quem não quer se sentir seguro com seus dados pessoais?

A partir da vigência da LGPD, será necessário encontrar bases de Leads qualificadas e até segmentadas, que sejam adaptadas às principais bases legais previstas na lei: consentimento e interesse legítimo.

Uma estratégia ao “obstáculo” consentimento, seria a inserção de checkbox em seu site, landing page ou em outros meios utilizados para divulgação, perguntando se o usuário deseja receber seus e-mails ou conteúdos, ou inserindo os termos de uso e políticas de privacidade para assinalar.

A utilização de cookies também é uma prática imprescindível. Você dá transparência ao que sua página está coletando de dados dos usuários.

Para ocasiões onde o usuário demonstrou legítimo interesse, é legal deixar um informativo de que você usará os dados fornecidos por ele para enviar e-mails relacionados aos seus interesses, mas que ele pode optar a qualquer momento pela saída de sua plataforma.

Tenha o aceite do usuário!

Ter o aceite do usuário não significa obrigá-lo a assinar uma autorização para que você obtenha os dados dele. Práticas de “tudo ou nada”, onde ou o usuário aceita tudo para ter acesso a seu conteúdo ou não terá acesso a nada, nem de longe é o ideal.

O usuário não pode se sentir coagido ao te dar as informações pessoais. Isso tem que fluir de forma natural. Ele precisa ser livre para fazer sua escolha, faz parte de respeitar a privacidade dele.

O plano ideal, é o usuário ter acesso a uma parte do seu conteúdo, se interessar por ele, para que neste momento ele se sinta confortável em aceitar os seus termos para obter acesso aos conteúdos mais completos.

E ainda mais, para conseguir o aceite do usuário dentro da LGPD, você precisa ser completamente explícito ao informar a finalidade do uso de seus dados, bem como quais dados você irá utilizar, sendo que se torna uma prática ilícita utilizar estes dados para outras finalidades que não as informadas.

Outro detalhe importante é que o usuário precisa se sentir tão livre para entrar em sua rede de leads quanto para sair. É preciso deixar clara a porta de saída de seu negócio, assim como a de entrada.

Cuidados com os dados do usuário

Conseguiu os dados pessoais do titular? Agora é a hora de tomar os devidos cuidados com eles.

Uma boa prática para segurança de dados dos seus usuários é classificar os tipos de dados que você trabalha, e customizar o grau de proteção. A proteção dos dados não precisa ser padronizada, mas sim, eficiente.

Não utilizar programas piratas também é uma boa prática para assegurar que seus usuários não terão dados vazados, pois eles podem vir com surpresinhas.

É importante mencionar a participação dos colaboradores. Instruir seus colaboradores a não entrarem em sites ou plataformas duvidosas a partir dos equipamentos da empresa, e criar políticas internas de segurança da informação, também é uma boa prática para proteção de dados.

Dicas de boas práticas em relação a LGPD

Veremos agora, algumas boas práticas de uso de E-mail marketing, Facebook Ads e Pixel para ficar dentro da LGPD. 

A primeira boa prática que deve ser adotada é a de sempre informar para qual finalidade os dados estão sendo coletados, isso independente da estratégia utilizada para captação de leads.

E-mail marketing

O e-mail marketing, se utilizado de forma correta, pode ser uma fonte rica de leads. 

Algumas boas práticas para se adotar são:

  • Não comprar listas de e-mails;
  • Garantir que sua base de leads esteja atualizada conforme as bases legais da LGPD;
  • Separar os leads em 2 grupos: os que estão dentro de uma das bases legais (consentimento, interesse legítimo ou contratos) e os que não estão nessas bases;
  • Para os que não estão nas bases legais, é possível criar e-mails retroativos, informando sobre a lei e perguntando diretamente sobre sua vontade de receber e-mails ou não;
  • Incluir checkbox em seus canais de divulgação solicitando permissão para envio de e-mails;
  • Segmentar seus leads para ser assertivo na estratégia de marketing, assim, há maior possibilidade do usuário certo cair em sua página e aceitar o recebimento de seu material.

Facebook Ads e Pixel

No caso do Facebook Ads e da coleta de leads por Pixel, a melhor estratégia de boa prática que pode ser utilizada, são ações de remarketing com utilização de cookies de consentimento, pois desta forma, os dados serão atualizados e reenviados ao Facebook, impactando diretamente também na atuação por Pixel.

Conclusão 

Como vimos, a segurança e proteção de dados de usuários é a principal preocupação de todos os brasileiros. Dormimos muito tempo sem saber se ao acordar, nossos dados estariam vazados e se vagariam entre empresas.

Passamos muitos anos utilizando as tecnologias sem garantia de que nossa privacidade seria respeitada, e muitas vezes recebíamos contatos de empresas que nunca nem tínhamos ouvido falar. 

A LGPD surgiu para colocar regras mais rígidas na coleta de nossos dados, bem como para seu tratamento, sendo que agora, temos que ser informados sobre quais dados estão sendo coletados e qual é sua finalidade, para que possamos decidir com clareza se autorizaremos ou não que estes dados sejam captados e utilizados.

Outra garantia que a LGPD nos dá, é que assim que quisermos nos desvincular de tal empresa, nossa decisão seja acatada e respeitada de imediato, evitando assim que tenhamos que passar horas ou dias tentando achar uma maneira de não recebermos mais contatos indesejados.

E aí, sua empresa já está por dentro da LGPD? Veja mais sobre LGPD no Departamento Jurídico em nosso blog e acesse a categoria de Softwares Jurídicos para saber mais sobre a digitalização do setor Jurídico.

Publicado por Marcia Lira

Bióloga, apaixonada pela natureza e recém inserida no mundo da tecnologia, acredito no poder gigantesco das ferramentas tecnológicas para melhorar a qualidade de vida das pessoas e do meio ambiente. Nada precisa ser massante e árduo para funcionar, mas sim, inteligente, inovador e prático.

Artigos relacionados