Primeiro, LGPD é a sigla para Lei Geral de Proteção de Dados (Lei nº 13.709/2018), sancionada ainda em 2018 pelo então presidente Michel Temer.
Essa Lei teve prazo de 18 meses para entrar em vigor, de forma a dar tempo para as empresas se adequarem às exigências de proteção à captação, armazenamento e tratamento de dados pessoais.
Prazo este que se esgotou no final de agosto de 2020.
Mas, com a pandemia de Coronavírus, foi editada a MP 959/2020 que estendeu o prazo do início da vigência da LGPD para maio de 2021.
O Congresso Nacional e Senado decidiram, em agosto/20 pela sua vigência ia partir de 18 de setembro/20, jogando apenas o início das sanções para agosto/21.
Agora, com a Lei em vigor e suas sanções vigentes, as empresas estão ainda correndo para entrar em conformidade e se adequarem para trabalhar dentro da legalidade, sem maiores riscos.
E, não pense que só as empresas que fazem coleta de dados através de Inbound Marketing que vão ter “dores de cabeça” para atenderem a nova legislação.
Todas as empresas e profissionais que coletam e tratam dados pessoais precisam estar em Compliance, pois precisam rastrear e garantir a segurança de dados pessoais de funcionários, fornecedores, e todos os demais stakeholders do seu negócio.
Por que todas as empresas precisam se adequar à LGPD?
Todas as empresas precisam se adequar à LGPD porque, em algum momento, coletam e tratam dados pessoais, sejam de clientes, funcionários, fornecedores, prestadores de serviços, entre outros pontos de contato.
E o simples armazenamento destes dados, seja de forma digital ou física, deve estar baseado em um motivo aceito pela Lei, ou melhor, deve ter uma base legal.
Por isso, é preciso colocar as mãos à obra, e começar a organizar os dados pessoais coletados, armazenados e tratados pela empresa, de forma séria, profissional e segura.
Você deve estar se perguntando: não posso mais guardar os dados dos clientes e currículos que recebo?
Não é bem assim. Como comentamos, é preciso encaixar a coleta e o tratamento destes dados numa das bases legais definidas pela LGPD.
O que e quais são as bases legais da LGPD?
De forma bastante objetiva, podemos dizer que as bases legais da LGPD, para captação e tratamento de dados pessoais, são os motivos pelos quais a empresa coleta e trata os dados pessoais.
São elas:
- Consentimento
- Cumprir lei ou regulamento
- Execução de políticas públicas
- Realização de estudos por órgãos de pesquisa
- Execução de contrato ou procedimentos pré-contratuais
- Exercício regular de direitos
- Proteção da vida
- Tutela da saúde
- Legítimo interesse
- Proteção ao crédito
Se a coleta de dados estiver embasada num destes itens, a empresa já terá a justificativa para esse procedimento, desde que, especifique ao titular dos dados a finalidade da coleta e tratamento, e possibilite a ele exercer os seus direitos, definidos pela Lei, a qualquer momento.
O que são dados pessoais segundo a LGPD?
Segundo a Lei Geral de Proteção de Dados Pessoais brasileira, no seu Art. 5º, capítulo I, dado pessoal é qualquer “informação relacionada a pessoa natural identificada ou identificável”.
Ou seja, nome, telefone, CPF, endereço, estado civil são considerados exemplos de dados pessoais comumente coletados em qualquer empresa que você for fazer um cadastro dos mais simples.
A Lei também define o que são dados sensíveis:
“dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Importante também entender que o titular dos dados pessoais, ou seja, o proprietário das informações possui uma série de direitos que precisam ser respeitados e acatados pelas empresas que coletam seus dados.
Assim, os direitos do Titular dos Dados Pessoais, segundo a LGPD, são:
- Direito de acesso aos dados
- Direito de confirmação da existência do tratamento dos dados
- Direito de correção dos dados a qualquer momento
- Direito de exclusão, anonimização e bloqueio de dados
- Direito à limitação e à oposição ao tratamento dos dados
- Direito à portabilidade de dados
- Direito à informação sobre compartilhamento com entidades públicas e privadas
- Direito de revogar o consentimento
- Direito à informação sobre a possibilidade de não consentir o tratamento e as consequências disso.
- Direito a não ser submetido a decisões automatizadas.
Com tudo isso, você deve estar pensando: e agora, como faço para continuar o trabalho da minha empresa se preciso prospectar clientes e guardar seus dados?
Como faço para coletar leads e enviar e-mails para bases de dados?
Bem, a Lei não veio para impedir o trabalho de ninguém. Mas, sim, para organizar os processos, e garantir direitos e maior segurança aos titulares dos dados.
Quais impactos da LGPD no marketing das empresas?
Sim, a LGPD vai impactar em quase todas as ações de marketing das empresas.
Principalmente, nas organizações que trabalham com marketing digital, coletando leads nas mídias sociais.
Leads são pessoas que deixaram seus dados pessoais em alguma ponto de contato da empresa, seja uma página de cadastro na web ou um formulário preenchido à mão num evento, por exemplo.
Esses dados são coletados, geralmente, em troca de um benefício como um e-book, um conteúdo rico, uma informação importante ou uma solicitação de contato/orçamento.
As empresas coletam esses dados com o objetivo de criar um relacionamento com esse interessado, por entenderem que sejam, estes, potenciais clientes para seus produtos ou serviços.
Antes da Lei entrar em vigor, haviam no mercado, inclusive, empresas que vendiam listas de contato para outras organizações, de forma que o titular nem sempre sabia por que determinada empresa estava lhe ligando ou enviando e-mails.
A LGPD veio, então, para garantir aos titulares dos dados o direito de escolha se desejam ou não manter um relacionamento com cada empresa que possui seus dados.
Então, como fica a compra de listas de acordo com LGPD?
Uma prática um tanto quanto controversa, a compra de listas de contatos ficará mais difícil e complicada.
Primeiro, o vendedor, ao coletar os dados pessoais, deverá informar aos titulares a finalidade para a qual está fazendo a coleta e ter o consentimento, livre e voluntário, destes.
Assim, a finalidade deve ser compatível com o tratamento que será aplicado aos dados.
Por exemplo, se a empresa X coletar os dados para a empresa Y enviar e-mails mkt, deverá constar no Termo de Consentimento que a finalidade da coleta é compartilhar os dados com a empresa Y para essa enviar e-mails mkt.
Dessa forma, o fornecedor de dados externo deverá saber, antes da coleta ,com quem irá compartilhar esses dados, e explicar isso para o titular no Termo de Consentimento ou na sua Política de Privacidade de forma clara e didática.
Posso continuar coletando dados pessoais em redes sociais e WhatsApp?
Toda a coleta de dados, seja por formulários de cadastro, e-mail, redes sociais e WhatsApp deve se limitar a uma das bases legais da LGPD, comentadas acima.
Isso quer dizer que, mesmo que os dados pessoais sejam informados em conversas privadas ou em grupos de pessoas, o uso destes dados deve estar em conformidade com a lei.
Por exemplo, a empresa Y tem um perfil no Facebook e os interessados entram em contato através do chat da rede social (Messenger), solicitando orçamento de um determinado produto.
O funcionário da empresa Y fornecerá a informação solicitada e pedirá os dados dos potenciais clientes para cadastro no CRM, utilizando, neste momento, a base legal de Execução Contratual ou procedimentos pré-contratuais.
Agora, se a empresa deseja usar estes mesmos dados para outras finalidades, como envio de e-mails mkt, precisará do Consentimento do Titular para essa outra finalidade.
O mesmo caso acontece se o potencial cliente informar seus dados nos comentários das publicações, a fim de receber orçamento.
Mesmo que o titular informe seus dados publicamente, a empresa só poderá usar estes dados para entrar em contato para responder a informação solicitada pelo potencial cliente.
Caso esses dados sejam cadastrados num CRM, estes devem ser usados apenas com a base legal de execução pré-contratual.
A partir do momento em que a empresa Y tiver intenção de usar o dado para envio de e-mails mkt, por exemplo, este titular deverá dar seu consentimento para tal finalidade.
Consentimento de dados pessoais. Que bicho é esse?
Bem, o Consentimento é uma das principais bases legais da LGPD.
Ele é uma das formas das empresas justificarem a sua coleta e tratamento de dados pessoais.
É preciso do Consentimento para que a empresa envie comunicações de marketing e propaganda por e-mail, SMS ou faça ligações fora do que está descrito em seu contrato.
Para coletar o consentimento do titular, na hora da coleta dos dados, a empresa precisa disponibilizar claramente:
- a finalidade específica da coleta e tratamento;
- com quem os dados pessoais serão compartilhados (caso forem);
- qual será o período de duração do tratamento;
- a possibilidade de não dar o consentimento;
- e quais as consequências dessa negativa.
E mais, o titular deve se manifestar de forma voluntária (de livre escolha), informada (clara e objetiva) e inequívoca (sem margens de dúvida), para que entenda claramente o que e para que está dando o consentimento para tal empresa.
Esse Consentimento pode ser fornecido através de páginas de cadastro, ao aceitar a Política de Privacidade das empresas, clicando nos checkboxes correspondentes.
Mas, afinal, o que é tratamento de dados pessoais?
De acordo com a LGPD, tratamento de dados pode ser entendido como toda operação ou processo realizado com dados pessoais, desde:
- . a coleta e recepção;
- . armazenamento, segmentação e utilização;
- . acesso, transmissão e compartilhamento;
- . eliminação, avaliação ou controle da informação;
- . modificação, comunicação e transferência;
enfim, qualquer atividade em que as informações permitam a identificação de uma pessoa.
Como exemplo, podemos citar segmentação de públicos para marketing direcional, serviços de geolocalização, criação de algoritmos para BI (Business Intelligence), entre outros.
Visto que, nos dias de hoje, todas as empresas utilizam coleta e tratamento de dados pessoais, seja na farmácia para aplicação de desconto, na encomenda da padaria ou na criação de públicos para anúncios nas mídias sociais, como trabalhar dentro da Lei?
Bem, se você é empresário, a melhor forma de se adequar à legislação é buscando uma assessoria jurídica especializada e colocar a mão na massa o quanto antes.
Esse conteúdo tem como objetivo apenas alertar para a importância da Lei e o quanto ela impacta nas empresas. Não serve como guia para sua empresa fazer o processo de compliance.
Quem são os responsáveis pela coleta e tratamento de dados nas empresas?
As empresas e profissionais que trabalham com coleta e tratamento de dados são definidas, pela LGPD, como agentes de tratamento.
Esses agentes de tratamento se dividem em Controlador, Operador e Encarregado da Segurança (DPO – Data Protector Office).
O Controlador é a empresa ou pessoa física que demanda a coleta e tratamento de dados, e define quais dados serão coletados, suas finalidades e bases legais.
Operador é a empresa ou pessoa física que executa a coleta e o tratamento dos dados pessoais, a partir das definições do controlador.
E o encarregado pela segurança (DPO) pode ser uma empresa ou profissional, contratado pelo Controlador, para executar todos os procedimentos e medidas necessárias que resguardem a segurança dos dados coletados, atuando para manter a confidencialidade e, em caso de solicitação do titular, atender às demandas de direitos recebidas.
Caso o operador ou agente digital (no caso das agências) perceba um incidente de segurança, este deverá notificar o DPO imediatamente, alertando para o incidente.
O DPO deverá tomar as medidas protetivas tomadas para que ele faça a prestação de contas junto à ANPD (Autoridade Nacional de Proteção de Dados) ou como eventual prova em caso de processos judiciais.
Quais as penalidades a quem não estiver em Compliance com a LGPD?
Para você ter uma ideia, as penalidades da LGPD para empresas denunciadas ou flagradas pelos Fiscais em descumprimento à Lei começaram a valer a partir de agosto/21.
Segundo a Lei, começam com uma simples advertência com prazo para adoção das medidas corretivas, e incluem até multas vultosas, simples ou diárias, de até 2% do faturamento da Pessoa Jurídica, limitada ao total de R$ 50.000.000,00, por infração.
E mais, publicização após confirmação da ocorrência – o que prejudica a imagem da empresa -, com possibilidade de sanção em caso de vazamento de dados pessoais, além de bloqueio dos dados, ou eliminação total dos dados a que se referem à infração.
Os incisos: X, XI e XII da Lei ainda sugerem:
- a “suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; (Incluído pela Lei nº 13.853, de 2019)”;
- a “suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; (Incluído pela Lei nº 13.853, de 2019)”;
- e a “proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados”.
Claro que, antes disso, a empresa terá amplo direito e oportunidade de defesa, seguindo os tramites judiciais brasileiros.
Em caso de processo, quem deverá responder judicialmente à LGPD?
Em caso de multa ou processo movido por titular com base na LGPD, a justiça acionará o Controlador, já que ele é a parte decisora da coleta e do tratamento dos dados pessoais.
A reparação de danos ao titular será de sua responsabilidade, assim como as eventuais sanções.
Mas, se o Operador tomar decisões por si só de compartilhar os dados pessoais com empresas terceiras, e estes forem vazados, o agente digital será entendido como controlador em tal ação, sendo corresponsável.
Desta forma, deverá reparar solidariamente os eventuais danos comprovados pelos titulares dos dados pessoais.
Assim, é de suma importância que as empresas que coletam e tratam dados pessoais busquem assessorias jurídicas o quanto antes para atuarem em conformidade com a lei, e comprovarem que estão em Compliance em eventuais fiscalizações e processos judiciais.
Como a Forza auxilia os clientes a atuarem em Compliance com a LGPD?
Desde 2018, quando a Lei foi sancionada, a Forza acompanhou passo a passo os rumos tomados pela Lei, buscando se adequar à legislação e incentivar os clientes a agirem o quanto antes para estarem em Compliance.
Como agente digital e operadora de inúmeras empresas, investiu em conhecimento, documentação de processos e ferramentas de tecnologia para garantir o máximo de confidencialidade aos dados pessoais tratados em nome dos clientes.
E, com este conteúdo, espera ter ajudado você a entender um pouco mais sobre essa Lei que impacta diretamente empresas que investem em Inbound Marketing.
Agora, que tal conversar com a Forza sobre Marketing Digital, Branding e Propaganda feitos com seriedade e compromisso com os resultados?