Quando o assunto é a regulamentação das políticas de uso de dados, o panorama atual deixa evidente o surgimento de novas tendências globais, com mudanças significativas em sistemas jurídicos de inúmeros países, cujo foco está em traçar diretrizes claras rumo à privacidade e segurança.
No Brasil, essa tendência também ganhou espaço. Após oito anos de debates e redações, em 14 de agosto de 2018, o presidente Michel Temer sancionou a Lei Geral de Proteção de Dados do Brasil (LGPD). A lei entrou em vigor em setembro de 2020, possibilitando às empresas e organizações um período de 18 meses para se adaptarem.
O que diz a LGPD?
A LGPD irá transformar a maneira de funcionamento e operação das organizações ao estabelecer normas sobre a coleta, armazenamento, tratamento e compartilhamento de dados pessoais, exigindo um padrão mais elevado de proteção e penalidades consideráveis para o não cumprimento da nova lei.
A lei entende por “dados pessoais” qualquer informação relacionada à pessoa natural identificada ou identificável, e por “tratamento de dados” toda operação realizada com dados pessoais, como as que se referem à coleta, classificação, utilização, acesso, reprodução, processamento, armazenamento, eliminação, controle da informação, entre outros.
Bases legais para o tratamento de dados
A coleta e processamento de dados deverá atentar às bases legais impostas pela lei. O novo trecho prevê nove hipóteses que tornam lícitos os tratamentos de dados, com destaque a duas principais: fornecimento de consentimento e o legítimo interesse.
É necessária a obtenção de consentimento explícito pelo titular dos dados, ou seja, este deve ser informado livremente, para que os consumidores optem ativamente por engajar ou não.
Outra hipótese que autoriza o uso dos dados é o legítimo interesse do controlador, que poderá promover o tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas.
Quem são os envolvidos?
A lei detalha os papéis de quatro diferentes agentes: o titular, o controlador, o operador e o encarregado.
O titular: é a pessoa física a quem se referem os dados pessoais
O controlador: é a empresa ou pessoa física que coleta dados pessoais e toma todas as decisões em relação a forma e finalidade do tratamento dos dados. O controlador é responsável por como os dados são coletados, para que estão sendo utilizados e por quanto tempo serão armazenados.
O operador: é a empresa ou pessoa física que realiza o tratamento e processamento de dados pessoais sob as ordens do controlador.
O encarregado: é a pessoa física indicada pelo controlador e que atua como canal de comunicação entre as partes (controlador, os titulares e a autoridade nacional), além de orientar os funcionários do controlador sobre práticas de tratamento de dados.
Abaixo elencamos 3 situações frequentes e que, certamente, são comuns nas áreas de gestão, marketing e vendas.
Geração de leads
Para tornar legítima a coleta dos dados pessoais de um lead é imprescindível obter o seu consentimento explícito para que os consumidores optem ativamente por engajar ou não.
Por consentimento explícito, a lei esclarece que serão nulas as autorizações genéricas para o tratamento de dados pessoais.
Para ganhar consentimento dos seus leads há mais de uma maneira. É possível fornecer uma chamada para a ação que solicita que um usuário forneça o consentimento informado – como um checkbox sem pré-marcação.
E-mail marketing
O objetivo aqui é garantir que todos os nomes em seu banco de dados e todos os emails em seu sistema de automação lhe deram permissão para contatá-los. Para isso, será necessário analisar toda a sua base de leads para identificar e segmentar os leads que têm registro de opt-in.
Para os demais, é possível começar uma estratégia de reengajamento, mas para isso será importante um planejamento antecipado, para que isso ocorra antes de a lei entrar em vigor.
Passarão por este processo os leads sem opt-in, os leads com opt-in não-especificado e os leads que vieram através de terceiros.
Armazenamento de dados
O cliente passa a ganhar mais controle sobre o uso de seus dados e tem o direito de solicitar à empresa o acesso ou a remoção de todas as informações mantidas dessa pessoa específica, em toda a organização.
O acesso aos dados pessoais do consumidor deve ser fornecido de forma clara e completa em até 15 (quinze) dias da data da solicitação.
Isso pode se tornar uma dor de cabeça para empresas que mantêm seus dados em lugares diferentes e para finalidades diferentes.
Isso porque, além da facilitação de acesso aos dados para o consumidor, as empresas precisarão comprovar o cumprimento da norma, que deve ser feito através da elaboração de um Relatório de Impacto de Proteção de Dados.
Uma das soluções para esse ponto é ter uma única plataforma capaz de hospedar o registro de consentimento de cada usuário.
Ter a centralização de dados em uma única plataforma, ou em plataformas integradas, além de auxiliar no acompanhamento, alteração e atualização de todos os seus dados de permissões, é também um modo de facilitar a comprovação do cumprimento da norma.
Por onde começar?
Não se engane em pensar que 18 meses é tempo de sobra para adequar a sua empresa à nova lei. Desde já, o ideal é instituir um plano de ação para atender aos requisitos mínimos de conformidade com a LGPD – que vão muito além de uma simples notificação de “Atualizamos nossa política de privacidade”.
A reforma legislativa pode ser muito positiva para aqueles capazes de trabalhar com estratégias mais personalizadas e eficientes de marketing. O segredo está em focar não apenas na adequação à norma, mas principalmente na adequação de mindset.
Como a Logus pode me ajudar com a LGPD?
Nosso time de suporte está à disposição para nossos clientes e parceiros que queiram entender melhor como se adaptar à LGPD.
Entre em contato conosco e se prepare para realizar as mudanças até a data em que o regulamento entra em vigor.