LGPD no Marketing Digital: saiba como se adequar

A Lei Geral de Proteção de Dados Pessoais (LGPD) está em vigor desde 2020 e impactou profundamente a rotina de empresas de diversos setores que lidam diretamente com pessoas. 

A LGPD no Marketing Digital regulamenta o tratamento de dados de clientes por empresas privadas e órgãos públicos, com o objetivo principal de garantir a proteção de materiais pessoais e a privacidade dos brasileiros. 

A lei estabelece princípios e obrigações que as organizações devem seguir, como a necessidade de obter consentimento explícito dos titulares, a transparência nas práticas de coleta, processamento de informações e a implementação de medidas de segurança para proteger os materiais contra acessos não autorizados.

Portanto, algumas adequações como nas landing pages, nos formulários para obtenção de consentimento, no uso responsável de e-mail marketing, no desenvolvimento de anúncios patrocinados que respeitem a privacidade dos usuários, além de outras estratégias de Marketing Digital, devem ser priorizadas.

Agências de Marketing Digital e profissionais da área estão na linha de frente das adaptações exigidas e precisam entender como coletar, armazenar e utilizar de maneira legal e ética, garantindo a privacidade e a segurança das informações pessoais. 

Entre as principais mudanças necessárias estão:

• A implementação de sistemas de gestão de consentimento;
• Anonimização de dados sempre que possível;
• Realização de avaliações de impacto sobre a proteção de dados (DPIA) para identificar e mitigar riscos.

A falta de conhecimento pode resultar em práticas inadequadas que colocam as empresas em risco de sanções e multas significativas. 

Para esclarecer essas questões e ajudar na implementação das melhores práticas, discutiremos neste post sobre como gerenciar os elementos de forma segura e a relevância da transparência nas comunicações com os clientes. Vamos lá?

O que é a Lei Geral de Proteção de Dados?

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018), mais conhecida como LGPD, entrou em vigor em 18 de setembro de 2020. Seu propósito é regular o tratamento de dados pessoais por pessoas naturais e jurídicas, tanto de direito público quanto privado, inclusive nos meios digitais.

A LGPD no Marketing Digital foi criada para proteger os direitos fundamentais de liberdade e privacidade das pessoas naturais, conforme disposto no artigo 1º.

Mas o que isso significa na prática? A LGPD afeta todas as operações realizadas com dados pessoais. Materiais pessoais são definidos como qualquer informação relacionada a uma pessoa natural identificada ou identificável. 

Isso inclui informações que podem identificar alguém diretamente, como RG e CPF, ou indiretamente, através de meios técnicos razoáveis e disponíveis, como geolocalização e endereço de IP.

Um ponto crucial é que o tratamento de informações puramente de pessoas jurídicas que não podem ser associados direta ou indiretamente a uma pessoa natural (dados anonimizados) está fora do escopo da LGPD. 

Portanto, se você está lidando apenas com materiais de empresas ou anonimizados, a LGPD não se aplica.

Além disso, ela também define o que são dados sensíveis, ou seja:

• São aqueles que revelam informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, filiação a sindicatos ou organizações de caráter religioso, filosófico ou político, dados sobre saúde ou vida sexual;
• Como também podem ser os dados genéticos ou biométricos, quando vinculados a uma pessoa natural. Eles requerem um nível de proteção ainda mais elevado devido à sua natureza delicada.

Para quem trabalha com Marketing Digital, entender a LGPD é essencial. É importante adequar suas práticas de coleta e tratamento de dados, como:

• Landing pages;
• Formulários de consentimento;
• Estratégias de e-mail marketing;
• Anúncios patrocinados.

Quando a LGPD é aplicada?

Via de regra, a LGPD é aplicada sempre que:

• Houver uma operação de tratamento de materiais pessoais em território nacional;
• A atividade de tratamento tenha por objetivo a oferta ou fornecimento de bens, ou serviços no país;
• Houver uma coleta de dados pessoais em território nacional (artigo 3º).

A Lei Geral de Proteção de Dados não será aplicada quando:

• O tratamento de dados pessoais for realizado para fins exclusivamente jornalísticos, artísticos, de segurança pública, segurança do Estado;
• Atividades de investigação de infrações penais;
• Realizado por pessoa natural para fins exclusivamente particulares e não econômicos (artigo 4º).

No contexto do Marketing Digital, essas diretrizes são particularmente relevantes. As empresas que utilizam estratégias de Marketing Digital, como e-mail marketing, anúncios patrocinados e coleta através de formulários e landing pages, precisam estar em conformidade com a LGPD. 

Diretrizes para coleta de dados no Marketing Digital

No contexto do Marketing Digital, a coleta deve ser realizada de acordo com diretrizes que garantem a conformidade com a Lei como:

1. Obtenção de consentimento

O consentimento dos usuários deve ser obtido de forma clara e explícita. Isso pode ser feito através de caixas de seleção nos formulários onde o usuário concorda com a coleta e o uso de seus dados.

Deve ser específico, indicando claramente para quais finalidades os dados serão usados (ex.: envio de newsletters, ofertas personalizadas), além de ter que ser fácil para os usuários revogar seu consentimento a qualquer momento.

2. Transparência e informação

Mantenha uma política de privacidade acessível e escrita em linguagem simples, explicando como os dados serão coletados, usados, armazenados e compartilhados. Informe os usuários sobre quaisquer mudanças na política de privacidade ou nas práticas de coleta de dados.

3. Minimização de dados

Coleta apenas os materiais que são realmente necessários para o propósito específico. Evite a coleta excessiva. Periodicamente, revise os dados coletados para garantir que ainda são necessários e relevantes.

4. Segurança dos dados

Implemente medidas técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados, vazamentos e outros incidentes de segurança. Treine os funcionários sobre as práticas de segurança e proteção de dados.

5. Direitos dos titulares de dados

Garanta que os usuários possam facilmente exercer seus direitos sob a LGPD, como acesso, correção, exclusão e portabilidade de seus dados. Estabeleça procedimentos claros para responder prontamente às solicitações dos usuários.

6. Avaliação de impacto

Realize avaliações de impacto sobre a proteção de dados (DPIA) para identificar e mitigar riscos associados às atividades de coleta e processamento de dados, especialmente em novos projetos ou mudanças significativas.

7. Uso de Cookies e tecnologias de rastreamento

Obtenha o consentimento dos usuários para o uso de cookies e outras tecnologias de rastreamento que coletam dados pessoais. Ofereça uma opção para os usuários aceitarem ou rejeitarem esses cookies.

Explique claramente para que os cookies serão usados, como para personalização de conteúdo ou análise de tráfego.

8. Anonimização e Pseudonimização

Sempre que possível, anonimize ou pseudonimize os dados pessoais para aumentar a segurança e proteger a privacidade dos usuários.

9. Auditorias e monitoramento

Realize auditorias regulares para garantir que as práticas de coleta de dados estejam em conformidade com a LGPD. Monitore continuamente os processos de coleta e tratamento para detectar e corrigir quaisquer falhas de conformidade.

10. Comunicação transparente

Quando houver alguma coleta, explique de forma clara e direta o motivo, como os materiais serão utilizados e por quanto tempo serão mantidos. Ofereça um canal de comunicação onde os usuários possam esclarecer dúvidas e obter informações sobre o tratamento de seus dados.

Quais são os 10 princípios que devem ser cumpridos pelos agentes de tratamento?

A LGPD instituiu 10 princípios que devem ser cumpridos pelos agentes de tratamento.

Os agentes de tratamento nada mais são do que as entidades ou indivíduos responsáveis por realizar o tratamento de dados pessoais, conforme definido pela Lei, e observar em cada operação de tratamento que realizarem. São eles: 

1. Finalidade:

Os materiais pessoais devem ser coletados para propósitos específicos, explícitos e legítimos, e não podem ser tratados de maneira incompatível com essas finalidades. As empresas devem informar claramente aos titulares por que estão coletando suas informações e garantir que não sejam utilizados para outros fins.

2. Adequação:

O tratamento deve ser adequado às finalidades informadas ao titular, de acordo com o contexto do tratamento. As práticas de tratamento de dados devem ser compatíveis com as finalidades para as quais os dados foram coletados.

3. Necessidade:

O tratamento deve se limitar ao mínimo necessário para a realização de suas finalidades, abrangendo dados pertinentes, proporcionais e não excessivos. Colete apenas os dados que são estritamente necessários para atingir as finalidades declaradas.

4. Livre acesso:

Os titulares dos dados devem ter garantido o acesso facilitado e gratuito aos seus materiais pessoais e às informações sobre o tratamento. Proporcione mecanismos para que os titulares possam consultar facilmente quais dados são mantidos sobre eles e como estão sendo utilizados.

5. Qualidade dos dados:

Os dados pessoais devem ser exatos, claros, relevantes e atualizados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento. Implemente procedimentos para garantir a precisão e a atualização dos dados pessoais.

6. Transparência:

Os agentes de tratamento devem garantir aos titulares de dados informações claras, precisas e facilmente acessíveis sobre as práticas e os respectivos responsáveis. Comunique de maneira transparente todo o tratamento de dados, incluindo políticas de privacidade e termos de uso.

7. Segurança:

Os dados pessoais devem ser protegidos contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Adote medidas técnicas e administrativas para proteger os dados pessoais contra violações de segurança.

8. Prevenção:

Deve adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. Desenvolva e implemente políticas de segurança e privacidade que minimizem os riscos de incidentes com dados pessoais.

9. Não discriminação:

Os dados pessoais não podem ser utilizados para fins discriminatórios, ilícitos ou abusivos. Assegure que o tratamento deles não resulte em discriminação contra os titulares dos com a base em informações sensíveis ou outros critérios.

10, Prestação de contas:

Os agentes de tratamento devem demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais. 

Mantenha registros e documentações que comprovem a conformidade com a LGPD e esteja preparado para demonstrar essas práticas às autoridades competentes e aos titulares dos dados.

Consentimento x legítimo interesse

No contexto da LGPD em Marketing Digital, o consentimento e o legítimo interesse são duas bases legais distintas para o tratamento de dados pessoais mais utilizados na área.

Consentimento

A Lei exige que o consentimento seja fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. 

Caso seja fornecido por escrito, deverá constar de uma cláusula destacada das demais cláusulas contratuais, pois é vedado o tratamento de dados pessoais decorrentes de consentimento viciado. Além disso, o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por escrito e sem custo.

Legítimo Interesse

Para implementar o legítimo interesse, é necessário que a empresa fundamente o tratamento de dados para finalidades legítimas. 

Segundo a legislação (artigo 10, I e II), essas finalidades podem incluir o apoio e promoção de atividades do controlador e a proteção do exercício regular dos direitos do titular ou a prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais. 

O controlador deve reforçar medidas de transparência, criar medidas de mitigação de riscos, especialmente para cumprimento de exigências regulatórias por parte da ANPD, e, em alguns casos, criar mecanismos de opt-out, viabilizando o exercício do direito de oposição por parte do titular dos dados.

A Guideline 8/2020 da European Data Protection Board

Um outro parâmetro que, embora não seja vinculante no Brasil, pode ser utilizado quando falamos de atividade de marketing, é aquele apresentado pela Guideline 8/2020 fornecido pelo European Data Protection Board, que são as orientações sobre a segmentação de utilizadores de redes sociais

A fim de delimitar se o consentimento e o legítimo interesse são de fato opções a serem consideradas para fins de marketing, a Guideline cria 3 categorias de dados para ajudar no raciocínio:

• Dados fornecidos, como aqueles que o próprio titular fornece ativamente ao controlador (ex: idade, e-mail);
• Dados observados, como aqueles que o titular fornece ao controlador por meio do uso de algum serviço ou dispositivo (ex: curtidas, compartilhamentos, páginas procuradas);
• Dados inferidos, como aqueles criados pelo controlador com base nos dados fornecidos ou observados (ex: inferência sobre interesse em anúncio de uma academia em razão de curtidas de posts de esporte).

A partir desta identificação, a Guideline indica que o legítimo interesse só seria uma base legal adequada para dados fornecidos, uma vez que o risco oferecido ao titular dos dados observados e inferidos tratados sem o consentimento seria médio ou alto, o que inviabilizaria o uso desta base legal.

10 Dicas fundamentais para garantir que o marketing esteja em conformidade com a LGPD

Base legal para processamento dos leads: certifique-se de que sua base de leads tenha uma base válida para o processamento de dados pessoais, como consentimento explícito dos usuários ou outra base legal conforme estabelecido.

Revisão de estratégias de prospecção invasivas: evite estratégias de prospecção invasivas que possam violar a privacidade dos usuários. Em vez disso, se concentre em abordagens mais éticas e consentidas para alcançar clientes em potencial.

Consideração dos cookies: verifique se sua abordagem de cookies esteja em conformidade e forneça aos usuários informações claras sobre o uso, bem como opções para gerenciar suas preferências de rastreamento.

Facilite a saída (Opt-out): ofereça aos usuários a opção de optar por sair de comunicações de marketing futuras e processe suas solicitações de forma rápida e eficiente. Isso inclui fornecer links de cancelamento de inscrição claros em e-mails de marketing e garantir que as solicitações de exclusão sejam respeitadas.

Política de privacidade abrangente: garanta que sua política de privacidade seja abrangente e transparente, descrevendo detalhadamente como os dados pessoais são coletados, usados, armazenados e compartilhados para fins de marketing. 

E-mail Marketing: antes de enviar e-mail marketing, obtenha consentimento explícito dos usuários para receber comunicações futuras, com link claro e fácil de encontrar para descadastramento em todos, permitindo que os usuários cancelem a inscrição facilmente.

Uso de CRM: assegure de que apenas as pessoas autorizadas tenham acesso aos dados armazenados no CRM e implemente controles de acesso adequados para proteger informações confidenciais. Registre e armazene de forma segura o consentimento dos usuários para processar seus dados no CRM, garantindo que o consentimento seja obtido 

Formulários em Landing Pages: forneça informações claras sobre como os dados serão usados no formulário da landing page, incluindo o propósito da coleta e quaisquer terceiros com quem serão compartilhados. Exija o consentimento ativo antes de coletar e processar por meio do formulário.

Segmentação do público nas campanhas do Google: certifique-se de que os dados pessoais dos usuários sejam anonimizados sempre que possível, de acordo com os princípios de minimização. 

Se estiver utilizando recursos de remarketing do Google, como anúncios direcionados com base em interesses anteriores, obtenha consentimento explícito dos usuários para esse tipo de segmentação.

Imagens veiculadas nas redes sociais: ao compartilhar imagens veiculadas nas redes sociais, se certifique de que os links direcionam os usuários para páginas confiáveis e que o conteúdo corresponda precisamente às expectativas criadas pelas chamadas. Isso ajuda a construir confiança com os usuários e a evitar práticas enganosas.

Como as Agências de Marketing simplificam o processo para empresas

À medida que as regulamentações de privacidade se tornam cada vez mais rigorosas, as empresas enfrentam o desafio de garantir a conformidade com leis como a LGPD para expandir sua imagem no digital. É aqui que entram as agências de marketing.

Uma das principais razões pelas quais as empresas optam por contratar agências de marketing para lidar com todo o processo de sua imagem digital é que sua especialização abrange muitas áreas. 

Lembramos da importância de contar com especialistas que entendam a dinâmica do mercado e que estejam atualizados às tendências em constante evolução. É aqui que a Agência Tupiniquim se destaca, com nossa sólida experiência no campo do Marketing Digital, nos tornamos uma referência confiável para empresas que buscam resultados reais e impactantes.

Nossa abordagem personalizada e o compromisso com o sucesso do cliente fazem a diferença na hora de ampliar a presença online da sua marca e de impulsionar seu crescimento sustentável. 

Compreendemos que cada empresa é única, e é por isso que desenvolvemos estratégias sob medida para atender às necessidades específicas de cada cliente.

Dúvidas Frequentes