A LGPD e os seus impactos no marketing das empresas

A LGPD e os seus impactos no marketing das empresas

Como já foi comentado em blogposts anteriores aqui e aqui a LGPD entrará em vigor assim que o presidente Jair Bolsonaro sancionar a Lei, com prazo até 15 de setembro de 2020. E as suas sanções entrarão em vigor em Agosto de 2021.

Muitas empresas ficaram na esperança da LGPD ser postergada e não se prepararam como deviam para a sua vigência, e agora correm para recuperar o tempo perdido.

Outras, como a Forza, agiram com antecipação e estão atuando em compliance com a LGPD bem antes dela ser votada no Congresso.

Apesar de muito ter sido falado e escrito sobre a Lei proposta ainda em 2018, muitos ainda têm uma série de dúvidas sobre o que pode e o que não pode ser feito em termos de coleta e tratamento de dados pessoais.

Neste último blogpost sobre o assunto, vamos esclarecer como ficam as compras de listas de contato, os dados coletados em redes sociais e Whatsapp, como deve ser o termo de consentimento, quem são e quais as responsabilidades dos agentes, e como é o ressarcimento de danos em caso de processo.

Então, vamos lá?

Como fica a compra de listas de contato a partir da vigência da LGPD?

Uma prática um tanto quanto controversa, a compra de listas de contatos ficará mais difícil e complicada.

Primeiro, o vendedor, ao coletar os dados pessoais, deverá informar aos titulares a finalidade para a qual está fazendo a coleta e ter o consentimento, livre e voluntário, destes.

Assim, a finalidade deve ser compatível com o tratamento que será aplicado aos dados.

Por exemplo, se a empresa X coletar os dados para a empresa Y enviar e-mails mkt, deverá constar no Termo de Consentimento que a finalidade da coleta é compartilhar os dados com a empresa Y para essa enviar e-mails mkt.

Dessa forma, o fornecedor de dados externo deverá saber antes da coleta com quem irá compartilhar esses dados, e explicar isso para o titular no Termo de Consentimento de forma clara e didática.

Posso continuar coletando dados pessoais em redes sociais e WhatsApp?

Toda a coleta de dados, seja por formulários de cadastro, e-mail, redes sociais e WhatsApp deve se limitar a uma das bases legais da LGPD, comentadas aqui.

Isso quer dizer que, mesmo que os dados pessoais sejam informados em conversas privadas ou em grupos de pessoas, o uso destes dados deve estar em conformidade com a lei.

Por exemplo, a empresa Y tem um perfil no Facebook e os interessados entram em contato através do chat da rede social (Messenger) solicitando orçamento de um determinado produto. O funcionário da empresa Y fornecerá a informação solicitada e pedirá os dados dos potenciais clientes para cadastro no CRM.

Se estes dados forem utilizados para outras finalidades que não sejam apenas o fornecimento do orçamento, a empresa Y precisará do Consentimento do Titular para as demais finalidades, como envio de e-mails mkt ou publicidade direcional nas mídias digitais.

Agora, se o potencial cliente informar seus dados publicamente nos comentários das publicações, a fim de receber orçamento, o titular estará informando seus dados publicamente, de forma que a empresa poderá entrar em contato, desde que se restrinja à informação solicitada pelo potencial cliente. Caso haja cadastro dos dados no CRM, este deve ser usado apenas com a base legal de execução pré-contratual. A partir do momento em que a empresa Y tiver intenção de usar o dado para envio de e-mails mkt, por exemplo, este titular deverá dar seu consentimento para tal finalidade.

Termo de Consentimento de dados pessoais. Que bicho é esse?

Muito se falou até aqui sobre Termo de Consentimento de Dados Pessoais, mas o que é e como fazer?

Bem, este termo deverá ser aceito por todos os titulares dos dados pessoais que a sua empresa coletar, a partir da base legal: Consentimento.
Nele deverá constar:

  • a finalidade específica do tratamento;
  • com quem os dados pessoais serão compartilhados;
  • qual será o período de duração do tratamento;
  • a possibilidade de não dar o consentimento;
  • e quais as consequências dessa negativa;

E mais, este Termo deverá ser uma manifestação voluntária (de livre escolha), informada (clara e objetiva) e inequívoca (sem margens de dúvida), para que o titular entenda claramente o que e para que está dando o consentimento para tal empresa.

Quem são e quais as responsabilidades dos agentes de tratamento de dados?

Os agentes de tratamento de dados pessoais se dividem em Controlador, Operador e Encarregado da Segurança (DPO – Data Protector Office).

O Controlador é a empresa ou pessoa física que demanda a coleta e tratamento de dados, e define quais dados serão coletados, suas finalidades e bases legais.

Operador é a empresa ou pessoa física que executa a coleta e o tratamento dos dados pessoais, a partir das definições do controlador.

E o encarregado pela segurança (DPO) pode ser uma empresa ou pessoa física também, contratada pelo Controlador, para executar todos os procedimentos e medidas necessárias que resguardem a segurança dos dados coletados, atuando para manter a confidencialidade e, em caso de solicitação do titular, atender às demandas de direitos recebidas.

Caso o operador (ou agente digital no caso das agências) perceba um incidente de segurança, este deverá notificar o controlador imediatamente, notificando o incidente e as medidas protetivas tomadas para prestação de contas à ANPD (Autoridade Nacional de Proteção de Dados) ou como eventual prova em caso de processos judiciais.

A GDPR fixa em 72 horas o prazo para o Controlador comunicar a autoridade de proteção de dados sobre o incidente. No caso da LGPD, não existe na lei nenhuma determinação de prazo para esta comunicação. Até porque, o governo brasileiro ainda não criou a ANPD, sendo que, enquanto tal autoridade não for criada, fica eleito o juizado comum como responsável por julgar qualquer processo de dano requisitado por titulares de dados pessoais.

Em caso de processo, quem deverá ressarcir os danos do titular?

Visto que o Controlador é a parte decisora da coleta e do tratamento dos dados pessoais, a reparação de danos ao titular será de sua responsabilidade, assim como eventuais sanções quando da sua vigência.

Mas, se o operador tomar decisões por si só de compartilhar os dados pessoais com empresas terceiras, e estes forem vazados, o agente digital será entendido como controlador em tal ação, sendo corresponsável, de forma que deverá reparar solidariamente os eventuais danos comprovados pelos titulares dos dados pessoais.

Vale lembrar aqui que, mesmo que as sanções não estejam vigorando ainda, qualquer titular que entender que seus direitos não estão sendo respeitados pelas empresas, de acordo com a LGPD, este poderá entrar com processo na justiça comum ou no Procon, solicitando ressarcimento dos danos causados por tal ação.

Assim, é de suma importância que as empresas que coletam e tratam dados pessoais busquem assessorias jurídicas o quanto antes para atuarem em conformidade com a lei, e comprovarem que estão em Compliance em eventuais processos judiciais.

Agora que a gente já ajudou você e a sua empresa a entenderem um pouco mais sobre essa nova lei que está tirando o sono de muita gente, você já sabe que, quando se trata de Marketing Digital, Branding e Propaganda feitos com seriedade e compromisso com os resultados, é melhor ficar com a Forza.

Conheça nossos cases!