BREVE HISTÓRICO

Para evitar o uso de dados pessoais de forma indevida, diferentes

países criaram leis para regulamentar as diretrizes da utilização de
informações pessoais em ambientes online. A lei mais famosa é a
GDPR, da União Europeia. A norma entrou em vigor no dia 25 de
maio de 2018 e impactou empresas e governos do mundo todo.

Inspirado na iniciativa, o governo brasileiro sancionou, em 14 de

agosto de 2018, a Lei 13.709/18, chamada de Lei Geral de
Proteção de Dados, ou LGPD. Ela modifica o Marco Civil da Internet
e cria regras para o uso, proteção e transferência de dados
pessoais no Brasil.

Além das adequações práticas que a Lei impõe às empresas que

trabalham com dados pessoais no país, ela incentiva uma mudança
de mindset do mercado e dos usuários: quem trabalhar com
informações terá que se adequar às regras e quem as fornece
precisa entender que a autorização do uso de seus dados é crucial
para uma publicidade mais direcionada e que realmente faça
sentido.

As empresas têm até agosto de 2020 para se adaptarem por

completo a nova regulamentação.

Traduzindo a LGPD

Mas antes de falarmos sobre quais adequações os negócios

orientados a dados precisam fazer para estar em compliance com a
Lei, é preciso ter claro como a norma conceitua os agentes e
processos envolvidos na utilização de dados pessoais.

Os principais conceitos para se ter claro, são:

– Dados pessoais: informações que têm uma relação com a

identificação de uma pessoa, como nome, RG, CPF, profissão e
outros;
– Dados sensíveis: se referem aqueles relacionados com a origem
racial ou étnica, convicção religiosa, opinião política, dados de
saúde, entre outros;

– Titular: pessoa detentora dos dados objeto de tratamento;

– Tratamento: operação realizada com dados relativos a coleta,

produção, recepção, classificação, utilização, acesso, reprodução,
transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou extração.

As dez bases legais da LGPD

Com esses termos claros é possível entender sem ruídos as

diretrizes propostas pela regulamentação. A LGPD estabelece 10
bases legais para justificar o tratamento de dados pessoais, são
elas:

1 – O consentimento do titular;

2 – O cumprimento de obrigação legal ou regulatória pelo

controlador;

3 – A execução de Políticas Públicas;

4 – A realização de estudos por órgãos de pesquisa;

5 – A execução de contrato de qual seja parte o titular;

6 – Exercício regular de direito em processo judicial, administrativo

ou arbitral;

7 – A proteção à vida;

8 – A tutela da saúde;

9 – O legítimo interesse; e

10 – A proteção ao crédito.
Todas as empresas que atuam com dados precisam estar atentas a
estas dez diretrizes e se adequar a elas para estar em
conformidade com a Lei. Resumidamente, é essencial que elas
observem se os dados pessoais que coletam são realmente
necessários para suas operações, se está explícito ao usuário todas
as formas de uso dessas informações e se ele autoriza o uso de
seus dados.

Caso haja descumprimento da normativa e suas diretrizes de uso

de dados, as empresas poderão ser advertidas, multadas ou
proibidas de continuar exercendo o tratamento de dados. A multa
pode ter o custo de até 2% do faturamento da empresa, sendo
limitada em R$ 50 milhões por infração.

Como a LGPD impacta as empresas de

marketing

A regulamentação impacta diretamente a forma

como o marketing online vem sendo feito nos
últimos anos, muito baseado em mídia
programática que tem como premissa usar os
dados do comportamento online dos usuários da
internet para entender suas preferências e
oferecer anúncios que realmente façam sentido
para cada perfil.

Com as mudanças na regulamentação do

tratamento destas informações, algumas práticas
precisarão de adaptações. Será preciso, entre os
outras implicações que já citamos de acordo com
as diretrizes da lei, adequar a captação de dados
apenas paras as finalidades de legítimo interesse
das empresas, garantir a segurança dos mesmos e
expor ao titular como suas informações estão
sendo usadas e protegidas.

No geral, as empresas que participam do

ecossistema de publicidade online terão que ter
processos mais restritos e maior controle sobre
quem terá acesso aos dados captados de
audiência, para garantir que o compliance com a
lei.

Toda a cadeia de mídia programática terá que se

adequar à legislação. Do lado dos publishers, por
exemplo, para fornecer conteúdo ou anúncios
personalizados para sua audiência será preciso
usar a base legal apropriada, fornecendo
transparência às empresas que desejam rastreá-lo
e aos usuários que visitam os sites. Estes precisam
estar atentos, também, a questões como
necessidade, adequação, garantia da integridade
dos dados, segurança e todas as hipóteses
levantadas pela lei.

As empresas de publicidade que consomem dados

provenientes de data centers ou DMPs, por outro
lado, além de adequar suas próprias ações,
precisarão ter o cuidado de verificar se seus
fornecedores de informação estão também em
conformidade com a lei.

Para o onboarding de CRM, por exemplo, os

titulares precisam autorizar o uso de suas
informações, tendo claro como e para quê serão
usadas. Além disso, os dados pessoais precisam
primeiro passar por um processo de anonimização
para tirar informações identificáveis. Dessa forma
é possível traçar perfis e moldar audiências sem
infringir a lei.

A LGPD, portanto, altera substancialmente a forma

como os profissionais de marketing lidam com os
dados, mas não, necessariamente, os processos de
utilização dos mesmos. Todos os agentes
envolvidos na operação precisarão demonstrar
como estão adequados às normativas legais e,
para isso, um dos fatores mais importantes é a
comprovação da relevância da coleta de
dados — quanto mais segmentada para a
audiência correta for a campanha, mais ela será
relevante para o usuário final.

Como saber se está em conformidade

Apesar das diretrizes da LGPD serem relativamente

claras, muitas empresas tendem a ficar com
dúvidas de como adaptá-las ao seu modelo de
negócio. Os principais fatores que devem ser
executados nas operações orientadas a dados
para manter o compliance com a Lei são:

– Consentimento do usuário;

– A possibilidade do titular revogar tal

consentimento a qualquer instante;

– Ser claro, transparente e acessível nas

informações;

– Não oferecer restrições sem justificativas para os

usuário que não autorizarem o uso de seus dados;

– Usar ferramentas que mapeiam o fluxo do uso de

dados dentro da própria empresa, para garantir a
segurança.
É praticamente impossível pensar em um modelo de negócio
onde não exista tratamento de dados. Vejamos, a título de
exemplo, alguns questionamentos:

- A empresa tem funcionários? Então ela trata dados deles.

- A empresa possui cliente final pessoa física? Então ela trata

dados deles.

- A empresa é fornecedora de alguma empresa que utiliza

dados pessoais? Então ela também trata dados pessoais.

Enfim, as possibilidades são infinitas. E, como falamos

anteriormente, se aplicam também às pessoas físicas que
utilizam dados pessoais com alguma finalidade econômica ou
no caso de profissionais liberais, como os advogados e
contadores, por exemplo.

Por isso, é preciso seguir à risca os preceitos da nova Lei. E um

cronograma de implementação é essencial e deve ser
construído com base nas particularidades de cada agente de
tratamento.

Implementar a LGPD é muito mais que criar uma Política de

Privacidade. São vários os instrumentos de adequação, várias
políticas. E a de privacidade é apenas uma delas. Temos
também, por exemplo:

 Política de Segurança da Informação

 Política de Retenção e Descarte
 Política de Hierarquização
 Política de Portabilidade
 Termo de Uso
 Termo de Consentimento
  Código de Ética e de Conduta
 E muito mais!
Além de tudo isso, a implementação deve passar, ainda, pela
fase de aculturamento da organização, por meio de campanhas
de conscientização e uma mudança radical de cultura
organizacional. Por último e não menos importante, é preciso
ainda que seja feito um monitoramento contínuo de
Compliance, essencial à manutenção e à eficácia do projeto.

O que você está esperando para se adequar à nova Lei Geral de

Proteção de Dados? Procure um profissional e faça do jeito
certo. As penalidades administrativas já poderão ser aplicadas
em agosto de 2021, mas as demandas na Justiça já estão a todo
vapor!

Compliance Stricto Sensu:

Compliance Lato Sensu:

Traduzido do latim, lato sensu significa: em sentido amplo. Portanto,
compliance lato sensu quer dizer instituir um programa de
compliance que vai abranger várias áreas de determinada empresa.
Dessa forma, é possível analisar possíveis riscos e antecipar
soluções de uma forma mais ampla dentro da empresa,
gerenciando situações de ordem trabalhista, penal, regulatória,
empresarial, entre outras.

Dentro do âmbito empresarial, o recomendado sempre é tentar

abranger o máximo de áreas possível, otimizando a estrutura criada
pelo programa e gerenciando um maior número de riscos de
conformidade.
Seguindo o exemplo no Ministério da Transparência e
Controladoria-Geral da União, o programa de compliance pode ser
formado por cinco pilares, sendo eles: apoio da alta administração;
instância responsável; análise de perfil e monitoramento de riscos;
regras e instrumentos; monitoramento contínuo.

A LGPD veio para regulamentar a utilização de dados pessoais

para a automatização de processos na internet trouxe muitos
benefícios para as empresas e também aos portadores destes
dados, que a partir de então começaram a receber ofertas de
produtos e serviços mais personalizados, por exemplo. Mas,
nem todos usam as informações pessoais de terceiros de
forma responsável.

os benefícios do compliance são expressivos para empresas

que querem manter uma boa reputação, zelar por uma imagem
desvinculada de atitudes ilícitas e manter as informações seguras,
inclusive pela intensidade dos meios digitais, contribuindo para
construção de um ambiente empresarial seguro e eficiente, por
consequência, gerando transparência e confiança aos clientes e
parceiros de negócio.

A Lei Geral de Proteção de Dados (LGPD) é para profissionais

liberais?
Os agentes de tratamento, pessoas jurídicas de direito público ou
privado, devem se adequar à nova legislação. E isso se aplica a
todas as pessoas jurídicas, inclusive ao microempreendedor
individual (MEI). Mas e os profissionais liberais ou autônomos? E o
contador, o advogado, o médico, o arquiteto... estão imunes à lei,
portanto? Não! Pessoas físicas que realizam o tratamento de
dados pessoais com finalidade econômica também devem se
adequar.

Todas as vezes que uma pessoa física coleta, armazena ou

manipula dados de outras pessoas físicas com o intuito financeiro
ou de gerar rentabilidade direta ou indireta, essa atividade será
controlada pela LGPD.

Parece fácil de entender que as pessoas jurídicas (empresas)

coletem e manipulem os dados pessoais das pessoas físicas, mas,
que pessoa física pode coletar ou manipular dados de outra pessoa
física?

Os profissionais liberais, como advogados, médicos, dentistas,

psicólogos, fisioterapeutas, arquitetos dentre outras profissões,
coletam e manipulam dados de outras pessoas físicas (seus
clientes ou pacientes) e, em alguns casos, dados que são
considerados como “sensíveis” perante a lei. Dentre esses dados
sensíveis cujo vazamento trará risco de discriminação ao “titular do
dado[2]” e multas para a quem não gerenciou de forma segura
estes dados temos:

1. dados pessoais que revelem a origem racial ou étnica,

opiniões -políticas e convicções religiosas ou filosóficas;
2. filiação sindical;
3. dados genéticos, dados biométricos tratados simplesmente
para identificar um ser humano;
4. dados relacionados com a saúde;
5. dados relativos à vida sexual ou orientação sexual da pessoa;
 6. dados de crianças e adolescentes
7. Existem ainda outros profissionais que precisam estar atentos
para evitar multas.

Atualmente temos muitas pessoas que possuem uma alta

exposição nas mídias sociais e estas pessoas, através de
mecanismos tecnológicos possuem inúmeros seguidores, que
geram direta ou indiretamente receita para estes influenciadores.
Onde está o problema então? O fato de ter seguidores não é o
problema.

Os riscos acontecem quando estes influenciadores digitais coletam

dados pessoais de seus seguidores através de formulários ou
aplicativos para por exemplo, fazer um concurso ou um sorteio de
um produto ou serviço. Isso independe da plataforma (instagram,
facebook, APPs específicos, formulários on-line). O primeiro
cuidado a ser tomado é que existe, desde 1971 a lei 5.768 que
define a necessidade de autorização prévia do Ministério da
Fazenda. Perante a LGPD o risco é o vazamento desses dados
coletados ou o seu uso indevido.

De uma maneira macro, todos os cuidados que uma empresa tem

com os dados pessoais coletados se espera de uma pessoa física.
Por óbvio, não será necessário um data center com camadas
distintas de segurança, controle de acesso e demais requisitos
técnicos, mas, no mínimo quem coleta dados pessoais para a sua
atividade econômica não deve, por exemplo, ter um antivírus
gratuito ou software não licenciado.

Quem está imune à LGPD?

No caso das pessoas físicas que utilizam dados pessoais, só estão

imunes à Lei aquelas que não o fazem com finalidade econômica,
ou seja, exclusivamente particulares (por exemplo, ter uma lista de
nomes para envio de convites de uma festa de aniversário, etc.).

Além disso, a Lei também traz um pequeno rol de situações em que

os agentes de tratamento não estão sujeitos ao regramento da
LGPD. São elas:

1. Quando o agente de tratamento transforma os dados pessoais

em dados anônimos, ou seja, os dados se tornam dados
anonimizados, que não podem identificar a pessoa natural, o
titular dos dados (caso contrário, se for possível reverter a
anonimização, esses dados se tornam pseudoanonimizados,
e aí as regras da LGPD permanecem); Para esclarecer
melhor a questão, é possível que a Autoridade Nacional
venha a estabelecer os padrões a serem seguidos em
processos de anonimização de dados.

Art. 12. Os dados anonimizados não serão

considerados dados pessoais para os fins
desta Lei, salvo quando o processo de
anonimização ao qual foram submetidos for
revertido, utilizando exclusivamente meios
próprios, ou quando, com esforços razoáveis,
puder ser revertido.

2. Quando o tratamento de dados for realizado para fins

exclusivamente jornalísticos, artísticos ou acadêmicos;
3. Quando o tratamento for realizado para fins exclusivos
de segurança pública, defesa nacional, segurança do Estado,
atividades de investigação e repressão de infrações penais.

Pense sempre assim:

 1. Qual é o propósito da coleta do dado pessoal?
2. Vai existir um ganho direto ou indireto?
3. O dado coletado está sendo utilizado para o propósito
correto? (de maneira bem simplificada - a lista de e-mail do
amigo secreto é para fazer a troca de presentes, não para ser
vendida para uma empresa de mala direta).

Sendo assim, não se preocupe. A LGPD não vai impactar nisso.

[1] Dados pessoais: é toda e qualquer informação relacionada a

pessoa natural identificada ou identificável. Entre os exemplos de
dados pessoais podemos citar o nome, RG, CPF, e-mail, telefone
fixo e celular, endereço residencial etc.

[2] Titular: pessoa natural a quem se referem os dados pessoais

coletados ou manipulados.