Quem acompanha notícias diariamente — seja pela internet ou até mesmo pela televisão — com certeza viu pelo menos uma manchete sobre o escândalo de vazamento de dados do Facebook e da Cambridge Analytica. Logo depois desse caso, a União Europeia aprovou uma lei de proteção de dados, a GDPR (em inglês, General Data Protection Regulation). Claro que a lei já estava sendo debatida antes dos problemas com o Facebook, mas esses dois fatos tão próximos trouxeram à tona uma das grandes preocupações do cenário atual: a segurança dos dados dos usuários. Isso é uma preocupação tão generalizada que o Brasil também está implementando a sua própria lei de proteção de dados: a PLC 53/2018, ou a GDPR brasileira. Nos próximos parágrafos, a gente explica tudo sobre ela e porque você deve se importar com isso.

O fenômeno dos dados pessoais na internet

Você já deve ter reparado que as redes sociais, sites de compras e até o sistema do seu celular parecem “adivinhar” o que você precisa, não é mesmo? Talvez você já saiba também que eles fazem isso através dos dados que você fornece enquanto usa os sistemas. O rastreamento de dados dos usuários é uma das bases do marketing digital, atualmente. Isso sem contar os dados que nós preenchemos em formulários.

Hoje, o Facebook, Google e a Netshoes sabem até mais sobre você do que alguém que o conhece em sua vida pessoal. Fazendo um teste rápido por aqui, descobrimos que sites de notícias rastreiam cerca de 20 a 25 dados sobre seu acesso, sem que você dê qualquer clique. Em e-commerces, esse número pode chegar a 50.

Isso traz uma série de vantagens para o seu dia-a-dia: o Android envia notificações avisando sobre o tempo, trânsito e horários de ônibus, porque tem acesso aos dados do seu GPS e sabe por onde você anda, por exemplo. Além disso, muitos desses dados são utilizados para criar anúncios personalizados, o que é essencial para os profissionais de marketing produzirem campanhas mais assertivas e os próprios consumidores receberem anúncios que sejam úteis para suas compras.

Tudo isso acontece porque é a publicidade que mantém esses serviços funcionando. É lógico deduzir isto. A rede social é grátis, os mecanismos de buscas e e-mails são grátis, o sistema operacional do seu celular é grátis. E são coisas que custam bilhões de dólares para serem criadas e mantidas em funcionamento. Por que você não paga por elas?

Simples: se você não paga por um produto, é porque o produto é você. Em troca dos serviços que você utiliza sem pagar, você oferece seus dados para que a empresa ganhe dinheiro vendendo publicidade. Como diz o ditado, não existe almoço grátis. Inclusive, durante seu depoimento ao Senado americano, o mesmo questionamento que fizemos aqui foi feito a Mark Zuckerberg. Ele respondeu apenas com a seguinte frase, que virou meme: “Senator, we run ads” (em português: “Senador, nós veiculamos anúncios).

Por que proteger dados?

Os dados pessoais são usados pelas empresas de tecnologia desde que a internet existe. E isso, como dissemos acima, não é uma coisa necessariamente ruim. Inclusive, há muitas pessoas que entendem essa dinâmica de troca por serviços grátis. Segundo uma pesquisa realizada em 2015 pela Universidade de Columbia, embora 86% dos entrevistados afirmem que desejam ter maior controle sobre as informações que as empresas coletam sobre eles, 80% disse também que está disposto a compartilhar esses dados se receber benefícios em troca.

Mas a principal questão é o cuidado que as empresas têm com os dados que elas armazenam. Já ocorreram diversos casos de sites invadidos e informações vazadas. O que acontece conosco, os usuários, caso um site que nós utilizamos seja atacado? Se nós nem mesmo sabemos que informações eles possuem sobre nós? Aliás, por que esses sites armazenam tantos dados sobre nós? E se essas informações forem utilizadas com interesses escusos?

É o que aconteceu no escândalo do Facebook. Os usuários forneciam muitos dados para a plataforma, apenas por estarem inscritos nela, além de toda a experiência de uso, que diz muito sobre cada pessoa. Esses dados, de posse do Facebook, eram fornecidos livremente para desenvolvedores de apps. A consultoria de marketing político Cambridge Analytica aproveitou-se disso para entender o comportamento dos usuários e criar anúncios para as campanhas de Trump e do Brexit. Tudo por causa de testes simples que as pessoas fazem todo dia na rede.

Quem iria imaginar que uma brincadeira de “que celebridade você seria” poderia influenciar na eleição para presidente de um país? Será que, se as pessoas soubessem disso, elas clicariam no teste? São questões como essa que influenciam a criação de leis como a GDPR e a PLC 53/2018.

Por que leis como a GDPR existem?

Continuando nessa ideia, leis de proteção de dados estão sendo criadas para trazer segurança jurídica para usuários e empresas. Elas servem para orientar a todos como agir em relação aos dados colhidos e armazenados na internet: Que dados as empresas estão coletando sobre mim?; Como elas estão processando esses dados?; Eles podem ser fornecidos para terceiros que eu não conheço?; O que acontece se esses dados vazarem?

Com as leis de proteção de dados, tudo isso passa a ser definido com regras. As empresas precisam ser mais responsáveis com as informações que elas pedem, mais transparentes nesse pedido e ter mais cuidado com o processamento e utilização dos dados.

Além disso, várias práticas que já não eram bem vistas passam a ser realmente proibidas. É o caso da venda de base de e-mails, por exemplo. Qualquer profissional de marketing sabe que comprar uma lista de contatos de outra empresa é uma das piores estratégias possíveis, afinal, aquelas pessoas não sabem quem é você e não querem receber seus e-mails.

O mesmo acontecia com o Cookie Pool: você acessava um site que pegava seus cookies (o que por si só não é ruim), e eles consultavam uma base de cookies de outros sites para coletar informações que você forneceu para esses sites externos, mas não para aquele. E o que acontecia: você recebia e-mails indesejados desse site que você não se inscreveu.

Como dissemos, são práticas não recomendadas em uma estratégia de marketing séria, mas que várias empresas faziam mesmo assim. E agora não poderão mais fazer.

Qual o impacto do GDPR no Brasil?

Primeiramente, qualquer empresa que tenha negócios na União Europeia e possua dados de algum cidadão dessa região deve se adequar à lei. Entretanto, mesmo que você não seja empresário em uma multinacional, houve, sim, algum impacto. Para nós, brasileiros, a principal mudança foi a atualização das Políticas de Privacidade de softwares e plataformas online que utilizamos diariamente. Como seria muito complicado e custoso manter políticas diferentes para vários países, a maioria das empresas de tecnologia estendeu as regras do GDPR para usuários do mundo inteiro, incluindo nós. Além disso, é possível observar a proliferação de botões para concordar com a captura de informações por cookies em diversos sites estrangeiros que acessamos.

Mas a maior mudança ainda está por vir: influenciado pela GDPR, o Congresso Nacional aprovou uma lei de proteção de dados brasileira, a PLC 53/2018. Com ela, todas as empresas que operam no Brasil terão que fazer as mesmas adaptações que aquelas com negócios na Europa estão fazendo.

O que diz a PLC 53/2018?

A PLC 53/2018 é o “código” de identificação da lei no Congresso. Agora, que foi sancionada pelo presidente Michel Temer, provavelmente será conhecida pela sigla LGPD — Lei Geral de Proteção de Dados Pessoais.

Em resumo, os princípios são parecidos com o da GDPR: exige que as empresas peçam o consentimento do usuário explicitamente para coletar dados, esclareçam quais informações são capturadas, de que maneira são armazenadas, para que são utilizadas e por quanto tempo são mantidas.

A lei inteira tem cerca de 50 páginas (e pode ser lida aqui), que explicam em detalhes os direitos do consumidor e as obrigações das empresas. A seguir, detalhamos alguns pontos mais importantes.

Dados pessoais x dados anônimos

gdpr-brasil-plc-53-dados-pessoais

Antes de compreender a lei, é bom entender o que a lei define como dados pessoais: são todos aqueles que podem identificar alguém, individualmente (ex: CPF), além de outros dados que estejam indiretamente associados a essa pessoa (como endereço, idade, atributos físicos, etc).

Já os dados anônimos são aqueles que não possibilitam identificar uma pessoa específica. Ou seja, apenas ter uma lista de endereços ou um perfil geral de público, tudo bem. Mas se o seu site tem um cadastro com informações pessoais, como nome e e-mail, é necessário protegê-lo de acordo com a lei. Ou se o seu banco de dados cruza várias informações ou soma com outras, de forma que seja possível identificar um usuário.

E se você está em dúvida se cookies são informações pessoais, nesse caso, o site do Senado publicou a lista ao lado. Segundo ela, sim, IP e registros de navegação são considerados dados pessoais.

A lei também define o conceito de “dado pessoal sensível”, que são todos aqueles que podem gerar discriminação em relação à pessoa, como origem racial ou étnica, convicção religiosa, orientação sexual, opinião política e informações genéticas ou biométricas da pessoa.

Quando sua empresa pode armazenar dados pessoais

Basicamente, se houver um “aceite” explícito do usuário, a empresa pode coletar dados. Mas a lei ainda especifica alguns casos especiais, como execução de políticas públicas pelo governo, processos judiciais, proteção da saúde por profissionais da área ou da vida e integridade física. Ainda é permitido caso seja necessário para cumprir outra lei, para serviços de proteção do crédito, para execução de contratos ou para garantir interesses legítimos da empresa.

Mas a regra de ouro, que importa para a maioria das empresas, é essa: pedir a autorização do usuário.

A regra do consentimento

Ainda falando sobre consentimento, é necessário prestar atenção a mais alguns detalhes. Segundo a PLC 53/2018, os pedidos de autorização devem ser claros e específicos, não genéricos. O usuário precisa ter conhecimento de que dados, exatamente, estão sendo colhidos e para qual finalidade eles serão usados. Se a empresa usar os dados para outro fim, mesmo que sejam informações que ela já possui, deve haver um novo consentimento.

Os dados são do usuário

O usuário é dono dos dados e pode fazer o que quiser com eles. Portanto, de acordo com a regra, a pessoa tem liberdade de pedir as informações dela a qualquer momento, bem como pedir para que a empresa pare de rastrear sua navegação ou exclua seus registros da base de dados. A pessoa também pode solicitar a correção de algum cadastro e a portabilidade. De acordo com a EBC (Empresa Brasil de Comunicação, do governo), isso tornaria possível trocar de provedor de e-mail e manter as mensagens, por exemplo. Ou exportar seus dados do Facebook para outra rede social.

Segurança dos dados

A lei também especifica que é responsabilidade da empresa garantir a segurança dos dados. No caso de qualquer falha ou vazamento, ela também é obrigada a avisar aos donos dessas informações. A GDPR europeia explicita que esse aviso deve ocorrer em, no máximo, 72 horas após a ocorrência, “sem demoras injustificadas”. Já na lei brasileira, não encontramos o mesmo tipo de limitação.

Quem vai fiscalizar a aplicação da lei?

A PLC 53/2018 sugeria a criação de um órgão fiscalizador, a ANPD (Autoridade Nacional de Proteção de Dados). Em caso de infrações, ele poderia aplicar multas de até 2% do faturamento da organização, com limite de R$ 50 milhões, e até pedir o bloqueio do banco de dados. Entretanto, a criação da Autoridade foi vetada pelo presidente Michel Temer, quando sancionou a lei. Segundo ele, isso aumentaria ainda mais a máquina do Estado. Ainda será enviado um projeto para o Congresso Nacional, para resolver esse problema. Por enquanto, ainda não sabemos como a fiscalização vai funcionar.

A lei geral de proteção de dados brasileira já está valendo?

Sim e não. Ela foi aprovada pelas duas casas do Poder Legislativo, em julho. No dia 14 de agosto, o presidente sancionou a lei, vetando o trecho que falava da criação da Autoridade Nacional de fiscalização. A partir da data de assinatura, as empresas têm 18 meses para se adaptar.

Ou seja, a lei começa a valer mesmo a partir de fevereiro de 2020. 

O que a PLC 53/2018 muda para minha empresa?

Não importa se sua empresa está ligada ao setor de tecnologia ou não, nem mesmo se ela tem um site: se você coleta e armazena qualquer tipo de informação pessoal de seus clientes, será impactado pela Lei Geral de Proteção de Dados.

Apesar de o prazo de 18 meses após a assinatura da lei, é necessário se preparar desde já, pois a lei vai mudar muito a forma como coletamos e armazenamos cadastros de clientes, listas de e-mails, fluxos de nutrição de leads, campanhas de marketing digital por perfis… Como dissemos anteriormente, o rastreamento de dados é um dos pilares mais importantes do marketing, atualmente. A partir do momento que há uma lei determinando mudanças nesse processo, as estratégias das empresas também precisam mudar totalmente.

Sim é sim!

No mesmo sentido, é importante ter em mente o que realmente é consentimento. Há dois meios de expressar vontade por alguma coisa: opt-out e opt-in. No opt-out, você presume que a pessoa quer algo e ela precisa expressar sua vontade de sair. No opt-in, você só presume que a pessoa quer algo se ela diz que quer. É o caso do compartilhamento de informações com a nova lei: você só pode colher os dados se a pessoa clicar em algum botão dizendo que concorda com aquilo.

Ou seja, opções pré-marcadas em formulários ou contratos em que a pessoa automaticamente concorda com tudo ao clicar em avançar não são mais recomendados. É necessário pedir, pelo menos, que a pessoa dê um clique em cada item do seu contrato de privacidade. O recomendado é usar o double opt-in: você pede para a pessoa clicar e, em seguida, envia um e-mail de confirmação.

Isso significa, também, que se você pediu o consentimento do usuário para coletar os dados e compartilhá-los com uma empresa terceira A, mas depois resolve dividi-los também com uma empresa B, você precisa pedir novamente o consentimento em relação a essa empresa B. A palavra-chave é ser transparente em tudo, o que nos leva ao próximo item.

Tenha o máximo de transparência

É extremamente importante levar isso em conta, quando falamos na Lei Geral de Proteção de Dados. Considerando o que houve ao redor do mundo com a implementação da GPDR, observa-se que empresas e usuários estão dando uma importância cada vez maior para relações transparentes.

O que isso quer dizer? Nada de colocar um milhão de cláusulas, em letras pequenas, naqueles textos enormes de “Termos e Condições” que ninguém lê. Os contratos devem ser de fácil acesso e leitura.

Cada vez mais, os usuários estão valorizando empresas que são abertas na relação com eles e com seus dados. Com os escândalos dos últimos anos, as pessoas estão começando a se preocupar de verdade com a questão da privacidade. Organizações que simplifiquem o acesso às informações e às configurações de privacidade tendem a ganhar espaço.

As empresas estão começando a perceber isso. O próprio Facebook, por exemplo, notificou todos os usuários para que revissem suas configurações de privacidade e escolhessem o que desejavam compartilhar. O Google foi além e criou um “check-up de privacidade”, em que o usuário é guiado por menus extremamente simples onde pode revisar o que está compartilhando com a empresa e escolher exatamente que dados deseja enviar e por quê. Na ferramenta, é possível até mesmo programar alertas para revisar as configurações de tempos em tempos.

Nem todas as empresas precisam chegar a esse ponto, afinal o Google colhe muito mais informações — e consequentemente, causa mais impacto no dia-a-dia do usuário — do que um e-commerce de pequeno porte. Mas esse é um ótimo exemplo de como as relações estão mudando e vão mudar cada vez mais, no que diz respeito à privacidade na era digital.

A importância do relacionamento

Algumas pessoas podem argumentar que as novas regulamentações vão fazer o marketing digital regredir, acabar com a personalização e dificultar as estratégias. Na nossa opinião, esse pensamento está totalmente errado. Isso porque, por mais que as leis de proteção de dados tragam novos desafios, os bons profissionais continuarão encontrando meios para fazerem seus trabalhos com qualidade.

Acima de tudo, o que a lei traz é maior poder para os usuários e transparência para os negócios. Empresas que investirem em um bom relacionamento com seus clientes e demonstrarem as vantagens práticas do compartilhamento de dados facilmente conseguirão o consentimento. De acordo com a pesquisa da Universidade de Columbia, já citada nesse texto, 75% das pessoas estão dispostas a compartilhar informações com empresas em que elas confiam.

Veja o exemplo do Google. Claro que não é 100% das pessoas que vai concordar com os rastreamentos propostos pela empresa. Mas, com opções de privacidade tão claras e sabendo que permitir a coleta dos dados traz vantagens práticas para o dia-a-dia  — melhora o uso da ferramenta de busca, do Android no celular, sugere conteúdos interessantes, etc —, a probabilidade de dar o consentimento é muito maior.

Nesse sentido, realmente, quem busca por atalhos como compra de listas de contatos ou Cookie Pools — práticas já condenáveis, mesmo sem a lei — ou quem usa os dados apenas em benefício próprio, gerando uma impressão ruim no consumidor, realmente vai encontrar dificuldades. É hora de repensar estratégias e investir em relacionamento.

Valorize o consentimento do usuário

Esse é um ponto diretamente ligado ao item anterior. Se o momento pede maior relacionamento com o consumidor, é necessário também respeitá-lo e valorizá-lo. Ou seja, entender que o consentimento dele com a coleta e armazenamento de dados é um voto de confiança na sua empresa.

Se você conseguir o “aceite” da pessoa, é necessário usar esses dados com cuidado, para a finalidade que ela concordou, para não quebrar esse voto de confiança e fazer com que ela peça a exclusão dos dados — o que é possível com a lei. Se o usuário chegar ao ponto de pedir a exclusão dos dados, quer dizer que ele está muito insatisfeito com sua empresa, não é mesmo?

Num exemplo simples, se uma pessoa começa a receber e-mails demais, por mais que ela tenha colocado o endereço em sua lista, no mínimo ela vai se descadastrar. Ou, então, se a pessoa concorda em ter seus dados usados para propaganda em troca de notícias do seu portal, mas você começa a enviar mais anúncios do que conteúdo, a pessoa ficará com uma péssima impressão da sua marca.

Mas qual é o limite? Na verdade, cada caso é um caso, e o segredo é usar o bom senso na hora de traçar as estratégias de marketing baseadas em informações pessoais.

O marketing digital continua vivo

Como dissemos anteriormente, por mais que a Lei Geral de Proteção de Dados Pessoais venha para mudar muita coisa, é exagero temer pela sobrevivência do marketing digital. A personalização de campanhas por perfis, por exemplo, continua sendo possível pela lei. Como explicamos no item sobre dados pessoas X dados anônimos, esses últimos continuam sendo permitidos.

Por exemplo: Bruno, 30 anos, administrador, morador em São Paulo e praticante de atividade física é um indivíduo, portanto seus dados estão protegidos. Agora, jogar os dados dele numa lista que vai mostrar anúncios para pessoas de 25 a 35 anos, moradores em São Paulo e praticantes de atividade física é um dado anônimo, o que é liberado. Desde que a pessoa física do Bruno não possa ser reconhecida no meio da lista, seja por e-mail ou endereço, tudo bem.

Ou seja, contato com a pessoa, só se ela der consentimento. Agora, o contato com pessoas em geral, através de perfis, continua sendo possível. Naturalmente, desde que os processos de anonimização de dados sejam confiáveis. Esse ponto, na verdade, ainda está um pouco nebuloso e dará brecha para outras discussões, conforme a lei começar a ser aplicada. Mas a possibilidade de campanhas por perfis continua existindo e o marketing digital continua vivo.

Como preparar minha empresa para a lei?

O cenário é muito menos apocalíptico do que se pensa. As empresas poderão continuar oferecendo seus serviços e botando em prática suas estratégias de marketing. A questão é se adaptar a esse novo cenário em que consentimento, relacionamento e transparência são palavras-chave, o que demanda repensar algumas estratégias. De fato, muita coisa vai mudar, mas quem começar desde já — não esperar o último momento dos 18 meses após a lei ser assinada — sairá na frente e terá poucas dificuldades nesse processo. Pensando nisso, fizemos um pequeno guia de como se preparar para a Lei Geral de Proteção de Dados (LGPD):

  • Comece desde já: será necessário fazer várias pequenas mudanças, desde a forma como você pega os cookies quando as pessoas entram nos sites, até o tratamento que é dado aos e-mails captados em landing pages. Portanto, é importante começar mesmo antes de ser obrigado, para não se confundir ou esquecer de algo. Além disso, caso você esteja começando, é essencial já fazer tudo de acordo com a lei, para não gastar tempo e dinheiro em uma estratégia que precisará ser mudada dentro de pouco tempo.
    • Revise suas políticas de privacidade: empresas brasileiras já tem a vantagem de poderem consultar o que as europeias fizeram, para tomar como exemplo. Baixe os termos de grandes empresas do seu ramo e veja o que elas fizeram de certo ou errado. As startups de tecnologia, como Google e Facebook, tem dado bons exemplos também. Quanto mais transparente e fácil de entender for sua política, melhor para você e para os usuários.
    • Consulte seus parceiros: se os seus são tratados por terceiros — de listas de e-mails administradas em ferramentas como a RD Station — é algo a mais para colocar em suas políticas de privacidade. Empresas como a RD já estão passando por isso com uma série de clientes e devem saber como agir nesses casos. E se o seu fornecedor não estiver preparado, você também tem tempo de trocá-lo. Aqui, na Motion, nós já estamos alerta para as mudanças da lei.
  • Prepare seu banco de dados: Falando em parceiros, seu banco de dados está preparado para as exigências da lei? É fácil excluir informações, por exemplo? Converse com quem controla isso na sua empresa e previna-se.
  • Invista em relacionamentos transparentes: se práticas como compra de listas já não eram recomendadas, com a lei passam a ser proibidas e passíveis de multa. Como construir uma lista do zero demanda tempo e esforço, comece a investir nisso agora. O mesmo vale para todos os pontos que citamos sobre relacionamento nos itens anteriores: uma comunicação de mão dupla é algo que se constrói com calma, sem forçar.

Ficou com alguma dúvida?

Em casos como esse, é normal ter muitas dúvidas: principalmente na hora de implementar as mudanças. Por isso, estamos à disposição para conversar sobre o assunto. Entre em contato com a gente!