Notícias

Papo Reto Zoly: descomplicando a LGPD na publicidade

Por: Bianca Borges, novembro 12, 2020

A LGPD (Lei Geral de Proteção de Dados) entrou em vigor em 18 de setembro no Brasil e, quase dois meses depois, muitas empresas estão correndo contra o tempo para se adequar às exigências da nova legislação.

Antes de mais nada, é importante falar que, apesar de a LGPD atingir indiretamente a publicidade, é possível desenvolver meios para amenizar possíveis impactos. Usando a lei a favor da sua marca ou empresa, você pode superar as adversidades. 

Vale ressaltar também, que o foco da legislação não é prejudicar as empresas, mas preservar o consumidor e os seus dados pessoais a ponto de evitar que alguns limites sejam ultrapassados. Quer um exemplo disso? Aqui vai um case real contado por Charles Duhigg, no livro “O poder do hábito”:

Em 2002, o estatístico Andrew Pole, decidiu tratar e segmentar os dados das 1100 lojas da Target, uma grande rede varejista norte-americana. O intuito era conhecer melhor o comportamento do consumidor e seus hábitos para oferecer produtos que fizessem mais sentido para cada cliente e, consequentemente, aumentar as vendas da empresa.

Foi observado que mulheres grávidas gastavam muito mais nas lojas, então, dentro do projeto surgiu o desafio de prever a gravidez das clientes e fazer comunicações específicas para essas consumidoras. Para isso, foi desenvolvido um modelo de análise preditiva que conseguia dizer com bastante precisão se as clientes estavam grávidas ou não, mesmo que elas não tenham compartilhado essa informação com a rede de varejo.

Depois de um ano de execução do programa, um cliente acusou a loja de estar incentivando a filha dele a engravidar porque ficava recebendo propagandas relacionadas a itens para bebês. O fato é que a adolescente estava grávida, mas não havia contado para o pai ainda. Ou seja, a empresa soube primeiro dessa informação e a filha não teve a chance de contar para o pai quando estivesse preparada para isso.

Após essa interferência na vida do cliente, começamos a entender que certos limites não podem ser ultrapassados, quando falamos de dados pessoais. As leis gerais de proteção de dados, GDPR na Europa e LGPD aqui no Brasil, podem ajudar a evitar esse tipo de situação e fornecer mais segurança ao consumidor em relação à sua privacidade.

Tem dúvidas sobre a nova legislação? Então confere essa entrevista que fizemos com Alan Stampini, Data Strategy Lead na Zoly. Ele conta tudo e mais um pouco sobre essa lei.

(Zoly) Para começar, quem são as partes envolvidas no processo e as responsabilidades de cada uma delas?

(Alan) Primeiro temos o titular que é a pessoa física detentora dos dados, o controlador que toma as decisões e determina as finalidades do tratamento de dados, e o operador que recebe as instruções do controlador e realiza o processo de tratamento.

Além disso, é necessário ter um encarregado, também conhecido como Data Protection Officer (DPO). Essa pessoa será responsável pela comunicação entre todas as partes envolvidas no processo, bem como pela documentação de todas as ações.  No início, foi se falado que os DPOs poderiam ser apenas advogados, mas agora ficou estipulado que qualquer pessoa que tenha um conhecimento sólido sobre a lei e sobre tecnologia pode exercer essa função.

Tanto o operador como o encarregado podem ser empresas terceirizadas pelo “controlador”. Mas mesmo terceirizando o serviço, é importante ressaltar que a empresa controladora continua responsável pelos dados do seu cliente.

(Zoly) A adaptação à LGPD exige cautela e atenção para evitar equívocos.  Com quase dois meses de lei, algumas empresas já sofreram penalidades. Como se dá a fiscalização desse processo?

(Alan) O órgão responsável é a Autoridade Nacional de Proteção de Dados (ANPD), porém, ela ainda não está estruturada para atuar.

Quem está exercendo esse papel, por enquanto, é o Ministério Público. O perigo disso é que podem ocorrer interpretações erradas da lei, e multas ainda maiores serem cobradas.

Em um possível vazamento, a empresa precisa mostrar que se esforçou para ter um ambiente seguro, e isso precisa de um acompanhamento e fiscalização que deveria ser feito pela ANPD. Porém, como o órgão ainda não está atuando, essa questão do julgamento fica a cargo do Ministério Público que, na prática, não tem como fazer esse acompanhamento.

(Zoly) Agora entrando mais nas características da nova lei que vai reestruturar todo o processo de coleta e tratamento de dados pessoais. Uma dessas mudanças é a classificação das informações que, a partir de agora, passa a ser feita três níveis. Pode explicar cada um deles?

(Alan) Os três grupos de dados são:

Dados pessoais: qualquer informação que te permite chegar de forma direta ou indireta em um indivíduo.

Dados sensíveis: através deles, você consegue identificar quem é a pessoa e tem informações que revelam a sua origem racial ou étnica, opinião política ou filosófica, convicção religiosa e dados genéticos ou biométricos

Dados anonimizados: são dados pessoais e sensíveis que foram tratados para que suas informações não possam ser vinculadas, nem de forma direta ou indireta, ao seu titular original. É preciso tomar cuidado para que o tratamento desses dados seja irreversível, como recomenda o Google.

(Zoly) Uma nova classificação de dados pede também uma adaptação no armazenamento. Que alterações você sugere que as organizações façam nesse processo?

(Alan) As empresas precisam estabelecer medidas de segurança para ter facilidade de reverter ou mitigar os efeitos de um possível vazamento. O ideal é ter vários bancos de dados para organizar as informações. Vou dar um exemplo de uma situação:

Tratando-se de um usuário que acessa um site para comprar uma passagem aérea, você pode ter o seu cold storage, aqueles dados que só serão acessados em uma auditoria e um banco de dados que não coleta informações pessoais, como o Google Analytics.

Se quem está comprando a passagem for um menor de idade, você até pode armazenar as informações em um banco temporário, mas precisa do consentimento do responsável legal para coletá-las.

Outras boas opções de banco de dados são: o banco unificado para alocar os dados autorizados pelos seus clientes como: CEP, país, e-mail, telefone, e o banco transacional, destinado aos consumidores que finalizaram a compra ou fazem parte de um programa de fidelidade. 

Vale ressaltar que usar bancos de dados segmentados por grupos de cliente ou etapas da jornada, além de facilitar o tratamento, também otimiza o encontro das informações, caso o seu cliente peça um overview dos dados que a sua empresa possui dele, solicite alguma alteração ou até exclusão de cadastro.

Mais um benefício dessa prática é que você consegue manter os dados transacionais para fins fiscais, mas tem a possibilidade de remover a base de clientes para não utilizar em campanhas publicitárias, criação de audiência, etc. 

(Zoly) A LGPD fala, principalmente, da importância da autorização do cliente para a coleta dos dados, mas existe alguma informação que pode ser obtida sem essa necessidade de consentimento?

(Alan) Sim, alguns exemplos são os dados para o cumprimento de obrigações legais e para a execução de políticas públicas com fins de segurança e defesa nacional. Dados sobre infrações penais, proteção ao crédito e dados hospitalares também não precisam de consentimento.  

Estudos realizados por órgãos de pesquisa, apesar de não carecerem desse consentimento, devem restringir ao máximo os dados sensíveis e, no resultado, evitar mostrar informações pessoais, optando pelo compartilhamento do valor geral dos dados.

Além disso, também temos a questão do legítimo interesse.  Você pode coletar dados sensíveis se eles se enquadrarem no legítimo interesse do usuário e gerarem algum benefício para o titular dos dados.

O problema aqui é que muitas organizações podem usar de má fé, alegando que estão trazendo vantagens para o usuário, quando na verdade estão usando as informações somente para aumentar suas vendas. Se esse for o seu objetivo, em uma auditoria, você pode sofrer represálias.  

(Zoly) O consentimento é um fator que preocupa muitas marcas, isso porque elas acreditam que a publicidade segmentada e campanhas personalizadas serão levadas à extinção. Essa é uma preocupação real?

(Alan) Muitas empresas acham que tem que parar de fazer campanhas segmentadas e personalizadas que coletam informações do titular dos dados, mas não é isso.

O que precisa mudar é a informação. Hoje, a sua página de política de privacidade explica exatamente o que está sendo feito com os dados e como essas campanhas podem ser enviadas para o cliente? Isso precisa ser esclarecido de forma fácil.

Você pode continuar fazendo campanhas segmentadas se o consumidor der o consentimento para uso dos dados, o que muda é que você tem que ter isso explicado de forma clara e objetiva.

Além disso, a credibilidade que a sua marca construiu com o seu cliente até hoje vai influenciar muito nessa questão do consentimento. Marcas que detém a confiança dos consumidores não terão problemas para continuar segmentando campanhas.  

(Zoly) Ainda em relação ao consentimento, esbarramos em uma prática bem comum no mundo digital: a coleta de cookies de navegação. O que muda nesse processo?

(Alan) Os cookies são frações de informações que a gente pode armazenar durante a navegação do titular em nosso site e, apesar da LGPD não falar sobre esses dados diretamente, eles se enquadram na regra da associação indireta. Vou dar um exemplo aqui:

Através dos cookies, eu consigo saber que o ID 2 entrou no meu site, escolheu um tênis, mas deixou no carrinho e não finalizou a compra. Depois de um tempo, eu posso fazer a propaganda desse tênis que ficou no carinho aparecer para esse usuário, que eu não sei quem é, mas sei que é o ID 2.

Essa identificação do usuário para impactá-lo com alguma publicidade posteriormente, mesmo que não revele seu nome, gênero e outras informações pessoais, é caracterizada como uma associação indireta, e é aí que o cookie entra na LGPD.

Nós podemos usar cookies, mas seguindo os preceitos da nova lei. É crucial que as empresas peçam autorização aos usuários de forma clara e objetiva, explicando o que será coletado, para que finalidade e por quanto tempo esses dados serão armazenados. A chave aqui é entender que o usuário é o dono dos seus dados e não o contrário.

(Zoly) Com essas novas diretrizes sobre os cookies, que boas práticas as empresas devem seguir para trabalhar com os modais ou pop-ups de uma forma benéfica tanto para a organização e para os clientes?

(Alan) Pensando na transparência com os clientes, o ideal é bloquear a navegação e não coletar nenhum cookie antes que o usuário leia o pop-up ou modal. Novamente, explique para o seu cliente o que vai fazer com essas informações e mencione que ele pode escolher que dados vai compartilhar.

Um modelo de modal que tem sido utilizado por algumas marcas é colocar a opção de recusar ou aceitar cookies logo no primeiro momento. Se você deixa essa opção disponível, está sendo transparente, mas de acordo com um teste realizado em um dos clientes da Zoly, é muito mais fácil de o usuário nem ler as informações que estão sendo passadas e já recusar os cookies direto.  Utilizando esse modelo, observamos que apenas 20% dos clientes davam aceite nos cookies.

Decidimos então bloquear a navegação para que o usuário lesse o modal explicativo sobre a coleta de dados e a possibilidade de configurar as preferências. No modal colocamos um link para uma página que fala detalhadamente sobre toda a política de privacidade e como pode ser feita a escolha das informações que serão compartilhadas. Também mantivemos no pop-up a opção para aceitar os cookies.

Com essas mudanças, a aceitação que antes era de 20%, passou para 90%. Tanto a empresa tem um retorno positivo dos seus clientes, como os consumidores ficam bem informados sobre as intenções da organização para com os seus dados pessoais.

(Zoly) Para finalizar, que dicas você dá para as empresas não serem penalizadas pela LGPD e continuarem a obter resultados positivos nas suas campanhas de marketing digital?

(Alan) Agora, mais do que nunca, precisamos ter a quebra de silos. O maior desafio das empresas é colocar suas diferentes áreas para pensarem juntas na melhor solução.

Está na hora do Marketing se unir com o Jurídico, com a equipe de UX e com a de Tecnologia para desenvolver o modelo da publicidade ideal, compatível com as exigências que a LGPD faz, e aliando isso às boas práticas de coleta e tratamento de dados.

As marcas também precisam utilizar as informações concedidas pelos clientes com boa-fé e mantendo o foco no que importa. Recomendo evitar colher dados desnecessários, colete apenas o mínimo que precisa para poder oferecer o melhor para o consumidor.

Investir em uma tecnologia para evitar vazamentos de informações também é outro ponto essencial. Assim como ter um DPO, profissional responsável por toda a documentação dos processos como já citei aqui.

Por fim, seja confiável, transparente e honesto e valorize seu cliente. Muitas empresas estão preocupadas apenas com o valor da multa que vão receber caso cometam algum deslize, mas deveriam estar mais apreensivas com a possibilidade de a infração ser divulgada em público, porque aí elas podem perder o que têm de mais importante: a confiança do cliente.

Sobre o entrevistado: Alan Stampini é líder na área de Data Strategy na Zoly. Apaixonado por tecnologia, projetos e dados é um recente entusiasta da LGPD. Nas horas vagas é gamer e motociclista.

  • Receba nosso conteúdo em primeira mão.