LGPD e Marketing Digital: como se adequar?

A Lei Geral de Proteção de Dados Pessoais entrou em vigor em 2020 e afetou a rotina de empresas de diversos segmentos que lidam diretamente com pessoas.

Agências de marketing digital e profissionais da área estão na lista dos que precisam se adaptar ao que regulamenta a lei. Como é um tema um tanto quanto recente, é normal que os profissionais da área estejam repletos de dúvidas sobre o assunto.

Pensando nisso, decidimos trazer um especialista em direito para te ajudar a entender como a LGPD se relaciona com o marketing. Vamos lá?

Navegue e entenda mais sobre a LGPD – Lei Geral de Proteção de Dados Pessoais

• O que é a Lei Geral de Proteção de Dados?
• Quando a LGPD é aplicada?
• Quais são os agentes de tratamento na LGPD?
• Quais são os 10 princípios que devem ser cumpridos pelos agentes de tratamento?
• E sobre as bases legais?
• Consentimento e legítimo interesse
• A Guideline 8/2020 da European Data Protection Board
• E então, como a LGPD se aplica?
• Dúvidas Frequentes

O que é a Lei Geral de Proteção de Dados?

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018), conhecida como LGPD, entrou em vigor em 18 de setembro de 2020 para regular o tratamento de dados pessoais por pessoa natural ou por pessoa jurídica de direito público ou privado, inclusive nos meios digitais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade das pessoas naturais (artigo 1º).

A Lei conceitua o que é tratamento como toda operação realizada com dados pessoais e conceitua dados pessoais como toda a informação relacionada a uma pessoa natural identificada ou identificável, ou seja, uma informação que, por si só, já seja capaz de identificar a pessoa diretamente (Ex: RG e CPF) ou que, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento, tornam a pessoa identificável (Ex: Geolocalização, Endereço de IP).

Neste ponto, é importante destacar que o tratamento de informações puramente de pessoas jurídicas ou que não podem ser associadas direta ou indiretamente a uma pessoa natural (dado anonimizado) estão fora do escopo da Lei.

A Lei conceitua também dados sensíveis, como todo dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Quando a LGPD é aplicada?

Via de regra, a LGPD é aplicada sempre que: (i) houver uma operação de tratamento de dados pessoais em território nacional, (ii) a atividade de tratamento tenha por objetivo a oferta ou fornecimento de bens ou serviços no país; ou (iii) quando houver uma coleta de dados pessoais em território nacional (artigo 3º).

Excepcionalmente, a Lei Geral de Proteção de Dados não será aplicada quando o tratamento de dados pessoais for realizado para fins exclusivamente jornalísticos, artísticos, de segurança pública, segurança do Estado e atividades de investigação de infrações penais, ou, realizado por pessoa natural para fins exclusivamente particulares e não econômicos (artigo 4º).

Quem são os agentes de tratamento na LGPD?

A fim de delimitar e atribuir responsabilidades específicas, a LGPD criou a figura dos agentes de tratamento: (i) o controlador, a quem competem as decisões referentes ao tratamento de dados pessoais; e (ii) o operador, que é quem realiza o tratamento de dados pessoais em nome do controlador. Ambos podem ser pessoas físicas ou jurídicas de direito público ou privado.

A Lei também cria a figura do encarregado que, em linhas gerais, é quem atua como canal de comunicação entre o controlador – que tem a obrigação de nomeá-lo –, com os titulares dos dados (pessoas) e a Autoridade Nacional de Proteção de Dados (ANPD), a quem cabe zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

Quais são os 10 princípios que devem ser cumpridos pelos agentes de tratamento?

A LGPD instituiu 10 princípios que devem ser cumpridos pelos agentes de tratamento e observados em cada operação de tratamento que realizarem. São eles: finalidade, adequação, necessidade, livre acesso, qualidade, transparência, segurança, prevenção, não discriminação e prestação de contas.

De acordo com os princípios da Lei, uma vez identificados pelo agente de tratamento quais são os dados pessoais tratados e quais são os tratamentos realizados com estes dados, é essencial que se identifique para quais finalidades isso ocorre e se estas finalidades são legítimas, específicas, explícitas e informadas ao titular dos dados pessoais.

É essencial também que os tratamentos estejam adequados às finalidades informadas ao titular e não tenham fins discriminatórios ilícitos ou abusivos.

Além disso, o agente de tratamento precisa ter consciência de que só pode realizar o tratamento dos dados pessoais que forem realmente necessários para as finalidades informadas, de modo que dados e tratamentos em excesso e desnecessários não são bem-vindos.

Quem realiza o tratamento deve se preocupar, ainda, em garantir ao titular dos dados pessoais a transparência sobre as operações de tratamento e permitir o livre acesso aos dados pessoais tratados, que devem estar sempre atualizados para cumprir com sua finalidade, ou seja, devem ser de qualidade.

No aspecto de segurança e prevenção, quem realiza o tratamento de dados pessoais deve, de forma preventiva e seguindo padrões de boas práticas e de governança, assegurar a implementação de medidas de segurança para proteção dos dados pessoais em suas operações de tratamento, a exemplo de sistemas baseados em criptografia e estruturados para atender demandas relacionadas de privacidade (artigo 49).

Além de exigir a observância dos princípios acima, a LGPD exige que, para cada finalidade de tratamento, o agente de tratamento defina qual a base legal – hipótese – que autoriza referido tratamento. A Lei traz bases legais para dados pessoais e para dados sensíveis.

E sobre as bases legais?

Para os dados pessoais, a LGPD traz como hipóteses autorizativas:

• (i) o consentimento;
• (ii) para o cumprimento de obrigação legal ou regulatória pelo controlador;
• (iii) pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
• (iv) para a realização de estudos por órgão de pesquisa;
• (v) quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
• (vi) para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
• (vii) para a proteção da vida ou da incolumidade física do titular ou de terceiro;
• (viii) para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
• (ix) o legítimo interesse (x) para a proteção do crédito.

Para os dados sensíveis, a Lei traz as mesmas hipóteses autorizativas que traz para os dados pessoais, excluindo-se o (i) o legítimo interesse, (ii) a execução do contrato, e (iii) proteção ao crédito, e incluindo-se (i) a hipótese de prevenção à fraude e segurança em processos de identificação/autenticação.

Dentro do mundo do marketing, as bases legais mais adequadas para se utilizar a fim de legitimar o tratamento de dados pessoais perante o titular são o (i) consentimento e o (ii) legítimo interesse.

Consentimento e legítimo interesse

Sobre o consentimento, a Lei exige que este seja fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular (artigo 8º) e, caso seja fornecido por escrito, deverá constar de cláusula destacada das demais cláusulas contratuais (artigo 8º, §1º), já que é vedado o tratamento de dados pessoais decorrentes de consentimento viciado (artigo 8º, §3º).

Além disso, é importante que o agente de tratamento saiba que o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular (artigo 8º, §5º) por escrito (artigo 18, VI e §3º) e sem custo (artigo 18, §5º).

A respeito do legítimo interesse, para sua implementação, é necessário que a empresa fundamente o tratamento de seus dados para finalidades legítimas, que, segundo a legislação (artigo 10, I e II), podem compreender o apoio e promoção de atividades do controlador e a proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais.

No mais, quando o tratamento for baseado no legítimo interesse, somente os dados pessoais estritamente necessários à finalidade poderão ser tratados (artigo 10, §1º), devendo o controlador reforçar medidas de transparência (artigo 10, §2º), criar medidas de mitigação de riscos, atualizar seu relatório de impacto à proteção de dados pessoais, em especial para cumprimento de exigências regulatórias por parte da ANPD e, em alguns casos, criar mecanismos de opt-out, viabilizando o exercício do direito de oposição por parte do titular dos dados.

A Guideline 8/2020 da European Data Protection Board

Um outro parâmetro que, embora não seja vinculante no Brasil, pode ser utilizado quando falamos de atividade de marketing, é aquele apresentado pela Guideline 8/2020 fornecido pelo European Data Protection Board.

A fim de delimitar se o consentimento e o legítimo interesse são de fato opções a serem consideradas para fins de marketing, referida Guideline cria 3 categorias de dados para ajudar no raciocínio:

• (i) dados fornecidos, como aqueles que o próprio titular fornece ativamente ao controlador (ex: idade, e-mail);
• (ii) dados observados, como aqueles que o titular fornece ao controlador por meio do uso de algum serviço ou dispositivo (ex: curtidas, compartilhamentos, páginas procuradas);
• (iii) dados inferidos, como aqueles criados pelo controlador com base nos dados fornecidos ou observados (ex: inferência sobre interesse em anúncio de uma academia em razão de curtidas de posts de esporte).

A partir desta identificação, a Guideline indica que o legítimo interesse só seria uma base legal adequada para dados fornecidos, uma vez que o risco oferecido ao titular dos dados observados e inferidos tratados sem o consentimento seria médio ou alto, o que inviabilizaria o uso desta base legal.

E então, como a LGPD se aplica?

Superado esse ponto, pode surgir a seguinte questão: será que saber que existem opções para enquadrar as finalidades de tratamento em uma base legal para o marketing é o suficiente para se adequar à LGPD? A resposta é não.

Conforme delineado no início do texto, a Lei determina que os agentes de tratamento apliquem 10 princípios fundamentais em cada finalidade de tratamento identificada nas operações. Referidos princípios se desdobram em uma série de outras regras e medidas que devem ser adotadas pelas empresas, a exemplo do registro das operações de tratamento, revisão ou elaboração de contratos, criação de avisos de privacidade, criação de políticas internas, treinamento dos colaboradores, implementação de medidas de segurança, entre outras medidas.

Além disso, a empresa deve estar preparada para atender os direitos dos titulares dos dados, ou seja, das pessoas naturais cujos dados ela trata, que podem exigir:

• (i) a confirmação da existência de tratamento dos dados;
• (ii) o acesso aos dados;
• (iii) a correção de dados incompletos, inexatos ou desatualizados;
• (iv) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
• (v) a portabilidade dos dados a outro fornecedor de serviço ou produto;
• (vi) a eliminação dos dados pessoais tratados com o consentimento do titular;
• (vii) a informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
• (viii) a informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
• (ix) revogação do consentimento.

Diante destes fatores, observa-se que, de fato, trata-se de legislação complexa e que demanda bastante cuidado por parte de quem realiza o tratamento de dados pessoais. Não existe fórmula mágica ou pronta que determina se uma empresa esta ou não adequada a Lei, uma vez que cada empresa possui um fluxo de dados, desde a coleta até a eliminação.

Além disso, considerando que as operações de tratamento são dinâmicas e muitas vezes mudam nas empresas, na prática, o processo de adequação à LGPD  será contínuo e sem prazo final enquanto houver o tratamento de dados pessoais.

Por fim, sugere-se que o primeiro passo que toda empresa deve dar antes de realizar qualquer investimento relacionado à LGPD, é conhecer a sua realidade por meio de um mapeamento interno feito por profissional qualificado, que aponte os riscos existentes na empresa, diante de informações como (i) quais dados pessoais a empresa trata; (ii) quem são os titulares desses dados; (iii) qual o fluxo e o ciclo de vida desses dados; (iv) quem são os agentes de tratamento envolvidos; e (v) para quais finalidades os dados são tratados e quais as operações de tratamento que a empresa realiza.

Esperamos que com esse texto você tenha entendido como a Lei Geral de Proteção de Dados se aplica às ações de marketing!

Por mais recente que seja, a LGPD é algo que deve ser levada a sério por todas as agências e profissionais da área do marketing. Negligenciar as práticas citadas aqui pode trazer sérias consequências para o seu negócio.

Este conteúdo foi escrito por Giulio Franchi Martins, sócio da Jacinto Vilela Brito e Franchi Advogados.

Giulio é Especialista em Direito Empresarial pela Fundação Getúlio Vargas – FGV Law, membro da International Association of Privacy Professionals (IAPP) e certificado pela Data Privacy Brasil. Também é membro da comissão do novo advogado do IASP.

Se tiver dúvidas sobre como adequar as suas operações de marketing ou a sua empresa inteira à LGPD, entre em contato com a Jacinto Vilela Brito e Franchi Advogados.

Gostou deste conteúdo? Compartilhe este post com os seus amigos!

Dúvidas Frequentes