LGPD: Quando os recursos digitais vão de encontro aos humanos
Publicado em 20/03/2020
Muito se fala sobre LGPD ! Mas há dez anos, quando ainda se vivia na era do Orkut e dos celulares sem internet, segurança da informação era um tópico restrito aos desconhecidos profissionais de tecnologia e a pessoas ligeiramente paranoicas. Com a cabeça da época, o auge da preocupação era, quem sabe, aquele medo de esquecer a conta logada em uma Lan House. Mas lá se vai uma década desde então – e não é preciso dizer que absolutamente tudo mudou.
Apesar da explosão de dados nas redes, que naturalmente acompanha o avanço informativo, o debate sobre e hiperexposição de informações pessoais na internet ganhou força em 2016. Naquele ano, o escândalo envolvendo a empresa britânica Cambridge Analytica colocou lenha em uma discussão que já rondava o ciberespaço.
Banida do Facebook após ser acusada de roubar dados de usuários para favorecer campanhas políticas, a companhia utilizava testes simples de rede social para coletar dados privados, tornando-os matéria-prima para o mapeamento do comportamento humano no ambiente virtual.
Além de acender o alerta de especialistas e autoridades, o “truque” usado pela empresa também deixou uma mensagem importante: hoje em dia, cada vez mais, dados são sinônimos de poder e dinheiro. Nos três anos subsequentes ao alvoroço, o mundo logicamente já vem ficando mais calejado. E o universo do marketing e dos recursos humanos deve fazer o mesmo se não quiser cair em armadilhas.
Com novas iniciativas em curso, mais de 120 países já definiram legislações que atendem à necessidade de se fortificar o manuseio da informação, além de levar mais confiabilidade aos usuários. O Brasil, desde 2018, vai nessa rota com a Lei Geral de Proteção de Dados.
Até o momento, a medida está em fase de adaptação. Segundo autoridades, é o tempo necessário para que todos os agentes assimilem as mudanças previstas. Em todo caso, essa nova etapa da segurança da informação é crucial para o país, sobretudo para mercados que lidam com novos clientes todos os dias. E ela veio para ficar.
Entendendo a LGPD e seus impactos
A Lei no 13.709 de 2018, conhecida como Lei Geral de Proteção de Dados (LGPD), foi criada para inserir o Brasil em um contexto de maior segurança digital. Além de estabelecer normas de coleta, tratamento e armazenamento de informações pessoais, a LGPD também formaliza as bases desse universo, definindo uma hierarquização dos componentes.
De que forma isso é possível?
A partir de agosto de 2020, quando essas diretrizes passam a valer oficialmente, em- presas – de apps de celular a registros para eventos – terão mais obrigações e cidadãos devem ter seus dados muito mais protegidos. Isso significa mais confiança nos sistemas digitais, de acordo com uma pesquisa da KPMG Internacional, chamada “guardiões da verdade” com tema “na era digital, você acredita nos dados?”.
O estudo detalha que, pelo mundo, mais de 60% dos CEOs enxergam a confiabilidade da empresa como elemento prioritário. Olhando apenas o caso brasileiro, em contrapartida, só 47% dos executivos manifestam um nível alto de confiança.
Com a aplicação da nova lei, duas garantias surgem logo de cara. Primeiro, firmas passam a ter obrigação de explicar com detalhes a finalidade da coleta dos dados. Mesmo após essa apuração, o tratamento do dado dali em diante deve respeitar as condições previstas na lei. O usuário deve ser informado, por exemplo, se houver um incidente que viole a segurança da empresa, ou mesmo detalhes caso os dados forem repassados para terceiros.
De que forma isso será útil ao mercado brasileiro? Segundo o analista de sistemas Guilherme Chafy Tahan, ainda não há um mesmo nível de aderência por parte de todas as empresas e setores. Algumas já ligaram a luz vermelha. Outras, ainda estão na amarela.
“Muitas empresas do Brasil ainda não estão preparadas para essa mudança. Você vê muitos exemplos entre os gigantes como Twitter e Facebook, que já foram influenciados pelas legislações europeias, por isso já têm essa abordagem”, explica Chafy.
(foto: Divulgação)
E mesmo no caso dos gigantes “rivais” de social media, a questão ainda vive sob uma nuvem de polêmica. No dia 24 de outubro, Jack Dorsey, CEO do passarinho azul, alfinetou seu homólogo Mark Zuckeberg, que vive no centro de uma polêmica envolvendo justamente o mau uso de informações. Se eles devem ficar ligados, você deve ainda mais!
“Quais informações o cliente está compartilhando com o sistema? Esse cliente é capaz de compartilhar e ‘descompartilhar’ seus dados? Como o sistema vai se comunicar com seu usuário? A empresa precisa ter essa clareza”, comenta.
O analista explica também que a LGPD chega de uma forma abrangente.
“Hoje você já tem regras para os setores. No mundo financeiro, por exemplo, em que se mexe com dados bastante sensíveis como os de cartão, já se possui PCI [sigla para sistema de segurança Payment Card Industry] para evitar que a informação não caia em lugares que não contam com nenhum tipo de criptografia. O dado nunca pode vir de forma bruta, sendo necessário ‘anonimizá-lo’ para evitar a cópia”.
Além dos dados relativos a contas bancárias e cartões – os que estão mais sujeitos a golpes e fraudes pela rede – a LGPD também garante que o usuário tenha outros tipos de direitos zelados.
A categoria “dados sensíveis”, prevista na iminente aplicação da lei em 2020, define a preservação de informações sobre origem racial ou étnica, manifestações religiosas, políticas ou dados ligados à saúde e à vida sexual.
Para o analista, uma série de melhorias vem no pacote. “Ao impor requisitos, fundamentalmente o cuidado com o que o cliente traz para você, a empresa fica mais protegida. Além disso, ao seguir a LGPD, caso haja uma maior vulnerabilidade no sistema, a implementação de todas as novas camadas de proteção faz com que o uso indevido dos dados seja muito mais difícil”.
Para que a nova era da segurança digital brasileira não fique no plano das ideias, a fiscalização é de responsabilidade da Autoridade Nacional de Proteção de Dados (ANPD), sendo passiva de mudanças que podem vir via Medida Provisória.
Isso, claro, falando em garantia na esfera pública, no sentido do cumpri- mento de normas internas – ou até mesmo da criação delas -, quem precisa redobrar a atenção é justamente quem pode, eventualmente, acabar punido por cometer erros.
Na hora de passar o pente fino e detectar furos no tratamento dos dados, a justiça não se apega necessariamente à intenção dos profissionais, mas sim ao resultado.
Com a LGPD: Mudam nome e endereço
Saindo um pouco do campo técnico, é preciso falar da vida prática. Dentro do universo expandido do marketing e dos setores de recursos humanos, existem pontos de encontro, seja na comunicação ou mesmo na busca pela satisfação – do público para um e do funcionário para outro – que fazem com que as áreas conversem quando o assunto é LGPD.
Seja para a elaboração de uma campanha, criação de um e-mail marketing ou para um processo de recrutamento e seleção, buscar e filtrar informações pessoais é quase uma trivialidade.
No entanto, muitos profissionais que lidam com esses dados de forma operacional
– mas que não são necessariamente responsáveis diretos – não se sentem na obrigação de entender os cuidados ligados a essa atividade.
“Dados? Ué, isso não é assunto para o T.I?”
Pois é, não só. De forma orgânica, todos os membros da operação são parte importante do processo de res- guardar as informações, como elucida a coordenadora de Marketing de Transações da JLL Consultoria, Gabriela Barros. “Além do T.I e do RH alinhados quanto à coleta desses dados, é preciso que o jurídico da empresa esteja a par da estratégia de marketing que se desenha na empresa”, aponta.
As formas pelas quais o marketing vai incorporar as práticas da LGDP ainda são um vasto campo a se explorar dentro do ambiente empresarial.
“No Brasil, já temos certa abertura e algumas interpretações dessa lei, que já está muito mais desenvolvida lá fora. O que percebemos é que há um grande esforço no mercado local em se adaptar a essa nova lei. Nós, como marqueteiros, já desempenhávamos esse papel de transparência. Só não havia ainda um órgão regulatório”, revela Gabriela.
Segundo descreve o governo brasileiro, uma série de multas estão previstas caso não se cumpra com as exigências da lei. Dessa forma, muitos portais já até profetizam que iniciativas que envolvem o uso de e-mails, por exemplo, estão com os dias contados.
Isso não é verdade. Há uma diferença bem grande entre fiscalizar e proibir. O propósito da LGPD é gerar maior controle e preservar cada vez mais o usuário, não se tornar um impeditivo. Pense bem: se o mundo foi da banda larga ao Smartwatch em pouco mais de uma década, já imaginou o que está por vir?
Ensaios como os do Brandon Hall Group’s 2016 Learning Technology atestam que as discrepâncias entre as gerações tecnológicas crescem a uma velocidade exponencial. Ou seja: o marketing será alvo de um avanço que evolui em saltos progressivamente mais rápidos.
Há oito anos no mercado de comunicação e marketing, a publicitária tem uma visão otimista desse novo cenário, mas detalha o caminho que o setor per- correu até o momento.
“Viemos de um histórico em que uma publicidade 100% comercial em massa era importante para atingir o maior número de pessoas. No entanto, a partir de 2016, é visível que o conteúdo é criado e entregue de forma bem mais personalizada, o que também melhora a experiência do público”.
Não criemos pânico. Por mais que se pense que tudo está acabado, o mundo sempre foi uma roda gigante e teve seus altos e baixos no quesito relação homem-máquina. Com as novas condições que surgem via LGPD, não será diferente. Com o tempo, é habitual que novas táticas surjam. A executiva narra algumas delas.
Para pisar em terra firme, segundo Barros, o ideal é ter bom entendimento do seu próprio público; criar canais que façam sentido para a empresa, de forma a qualificar cada alvo e tipo de entrega. Além disso, investir na personalização e direcionamento do conteúdo – o que por si só já elimina o estilo “varejo” da comunicação. Por último, analisar exata- mente o que os clientes estão dispostos a receber, seja por meio de um pensa- mento mais criativo e estratégico, uso de optins e análises de métricas.
Não é preciso que se tenha medo de continuar criando boas iniciativas. O risco grande é quando uma empresa vira as costas para a novidade, deixando o acaso tomar conta do resto. Pode parecer chocante, mas a falta de conhecimento básico do uso de dados pode ser determinante para o andamento do negócio – o que pode se agravar quando a LGPD passar a valer.
É preciso lembrar que, no Brasil, como conta uma pesquisa do Boston Consulting Group, empresas deixam de crescer cerca de 20% pela má utilização dos dados na estratégia do negócio. O mesmo estudo revela que um sistema de dados mais organizado impactaria positivamente a eficiência em até 30%.
Dado é Vento. Como estar dentro das exigências LGPD?
Nomes vêm e vão em um evento, seja ele de pequeno ou grande porte. Para a construção de uma ação de sucesso, por exemplo, um survey ou formulário com diversos nomes, dados, endereços e preferências será criado a fim de sedimentara pré-produção.
Se um profissional fica encarre- gado de reunir uma lista para desenvolver um coffee break para a jornalistas, um estande para novos talentos, um processo seletivo na empresa ou mesmo uma campanha interna para os filhos dos colaboradores, já está diante do desafio de lidar com informações pessoais. E isso esbarra em exigências da LGPD.
O que fazer, então? E o que não se fazer?
Em primeiro lugar, é necessário ter clareza e designação de funções. Como forma de investir em compliance, o responsável pelo evento deve situar as áreas de tecnologia da informação, auditoria, recursos humanos e todo o time à frente da divulgação da campanha. Se míseros nomes e telefones serão onerados, é importante ficar de olho no que manda a lei.
Um bom pontapé inicial é reunir todas as áreas e alertar sobre a necessidade de um banco de dados sólido, seguro e constantemente auditado, a definição de normas de segurança caso os dados acabem acessados por pessoas indesejadas, ferramentais de controle que respondam pelo o que entra e sai das planilhas e listas e respostas rápidas para caso clientes e/ou público-alvo tenham interesse em saber dos seus dados.
Dali em diante, começam a envolver outras áreas-chaves como Compliance, TI, Segurança, RH e, principalmente, o Marketing, que por sua vez, está sendo pego de surpresa com temas não tão agradáveis de mudanças em seu jeito de trabalhar.
Para não abusar da sorte, nada de brincar com DADOS!
De forma geral, tudo tem a ver com o entendimento do processo legal, como conta Marcelo Spinel Cárgano, especialista em Direito Digital e Compliance da Abe Giovanini Advogados. Além dos impactos imediatos e futuros da lei, muito se pergunta sobre como a legislação vai encarar fatos passados. Para não esperar o destino dizer, é sempre bom consultar peritos no tema.
Para o advogado, “retroação” não é o termo mais adequado. Ao se apegar à palavra, é possível que não se entenda as etapas de forma precisa, o que, consequentemente, abre uma brecha para equívocos no dia a dia.
“Por um olhar específico, não é correto dizer que a lei ‘retroage’, uma vez que não será aplicada a fatos que ocorreram antes de sua vigência. Contudo, conforme o art. 1º da LGPD, a lei dispõe sobre o tratamento de dados pessoais, e para a lei, tratamento é toda e qual- quer operação realizada com dados pessoais, incluindo a coleta, classificação, uso, acesso, reprodução, transmissão, armazenamento etc. Ou seja, ainda que a coleta tenha ocorrido antes da entrada em vigor da lei, quaisquer tratamentos ocorridos após sua vigência já terão de ocorrer de acordo com as normas”, salienta.
E para que a empresa não careça de uma empreitada audaciosa, como um serviço denso de consultoria, por exemplo, o que fazer? O especialista recomenda, primeiro, que se entenda exatamente quais dados estão sobre a mesa.
O primeiro passo de qualquer projeto de adequação à LGPD, explica Cárgano, é a realização de um mapeamento de dados, como é nomeado o processo de identificação dos dados tratados por uma firma – como e por que foram coletados, de que forma estão sendo usados, com quem são compartilhados e quem tem acesso a estes dados quando são descartados.
Nenhum bicho de sete cabeças, certo? Certo!
Ao passo que se consegue ter um overview de todo esse sistema de pequenas informações, a empresa poderá, então, identificar qual o objetivo de cada dado coletado, bem como o fundamento jurídico dentro dos 10 previstos pela LGPD. Imagine que você é um monitor de excursão infantil. Não é preciso ter o nome, rosto e paradeiro de cada criança, sem dar um vacilo sequer? A lógica é a mesma. Dá trabalho, mas é uma ótima forma para manter tudo sob controle.
“Assim, é mais fácil entender quais medidas precisarão ser tomadas para se adequar à lei. Por exemplo: caso o fundamento jurídico para o tratamento de dados seja o consentimento, a empresa precisará então obter o consentimento de cada ‘titular’ (pessoa a quem os dados se referem) para continuar a tratar estes dados”, explica o jurista.
Esse consentimento, por sua vez, vai demandar vários requisitos previstos na lei, como a informação ao titular de qual a finalidade do tratamento, qual a sua forma e duração e com quem os dados serão compartilhados. E claro, vai precisar de um esforço coletivo. A dica é começar a pensar nessa virada de chave desde agora.
Para o expert, a mudança significa uma nova etapa no ramo. “A LGPD representará uma mudança de paradigma jurídico considerável à entrada em vigor do Código de Defesa do Consumidor na década de 1990. Em- presas e governos terão de entender que deixarão de ter a ‘propriedade’ dos dados pessoais para passar a ter sua ‘custódia’. As empresas terão de se equipar para atender a estes novos direitos, que terão de ser garantidos gratuitamente aos titulares”, encerra.
DICAS RÁPIDAS!
Com todas as lições acima, que tal um extrato com os principais pitacos? Em menos de um ano, a Lei Geral de Proteção de Dados estará por todo o País, de mesa em mesa, com olhos bem abertos. Até o mercado se acostumar às mudanças, vale – e como vale – começar a estocar conhecimentos, não dúvidas! Veja as dicas que os especialistas deixaram:
- MENOS É MAIS
Será mesmo que uma empresa precisa saber CPF, endereço, tele- fone, estado civil e outras informações somente para me vender um produto? Empresas que passarem a limitar o tratamento apenas a dados que atendem ao mínimo necessário para a realização de suas finalidades – e este é um dos dez princípios da lei – terão vantagem em sua adaptação à LGPD.
- HOUSTON, WE HAVE A PROBLEM
A relação com um cliente/usuário não acaba no segundo seguinte em que houver o cancelamento do newsletter ou do serviço. É necessário um “extintor de incêndio” – leia-se, um time preparado e informações bem organizadas. Se o histórico de dados estiver sob ameaça ou mesmo se um vazamento de fato acontecer, você já estará preparado!
- OS FINS JUSTIFICAM OS MAILINGS
Outra mudança de mentalidade importante é que o tratamento de dados passa a estar sempre vinculado a uma finalidade, ou seja, só será legal se atender a propósitos legítimos, específicos, explícitos e informados ao titular. O requerimento genérico, não vinculado a nenhum propósito específico, o famoso “CPF por favor” deixa de ser permitido.
- DESBUROCRATIZAR É PRECISO
Que tal tirar textos barrocos e rebuscados de seus servidores e canais? A era da LGPD também é a da transparência na comunicação. Não basta ser claro quanto ao armazenamento e uso dos dados. É preciso fazer perguntas diretas e objetivas. Troque “filiação e logra- douro” por “nome dos pais e endereço” – sempre informando os motivos para solicitar essas informações.
- PROPAGANDA É A ALMA DO NEGÓCIO
Não espere agosto de 2020 bater na porta para conscientizar o time e os colaboradores. Use canais internos para promover campanhas que tragam o bê-á-bá da LGPD. Uma boa dica é usar a metalinguagem em questionários que informem quando o funcionário preencher dados desnecessários.
- LEIA A LEI
O jurídico, com o apoio de especialistas externos, pode ter o papel de coordenar este projeto de adequação. Esse apoio é especialmente necessário, haja vista que a Autoridade Nacional de Proteção de Dados – o órgão responsável por, entre outras atribuições, editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade – só foi criada em julho de 2019 e ainda não está em operação. Também pode auxiliar com a adequação e contratos, políticas de privacidade e formulários de consentimento (consent forms) para estar em conformidade com a lei.
- DADOS SÃO AMIGOS
De qualquer jeito, é preciso entender que esta soberania dos dados pelo titular não pode ser vista como mero entrave burocrático. Dados pessoais representam um recurso cada vez mais importante para a economia mundial. Para que o Brasil seja inserido neste fluxo de dados é necessário que seja reconhecido como provedor de proteção adequada a estes dados e a seus titulares. Empresas que se adaptarem e protegerem estes dados só têm a crescer.
Texto: Lucas Arouca
Reportagem publicada na edição 23 da Revista EBS
Leia também na edição 23:
