Marketing Digital

Lei Geral de Proteção de Dados Pessoais (LGPD) – o guia completo

28 março, 2019 |
Search

A Lei Geral de Proteção de Dados (LGPD) entra em vigor a 16 de Agosto de 2020. A sua empresa começou a se preparar? Saiba o que precisa fazer na prática antes e depois da entrada em vigor da Nova Lei!

A Lei Geral de Proteção de Dados Pessoais (LGPD) que entra em vigor a 16 de Agosto de 2020 no Brasil é, na verdade, uma consequência da regulamentação européia (GDPR) ou o RGPD no cenário português.

Essa Lei, por sua vez, teve por base as leis já consagradas na Carta dos Direitos Fundamentais da União Européia (artigo 8º sobre Proteção de dados pessoais, a partir de 26 de Outubro de 2012), afirmando que:

  • Qualquer cidadão tem o direito de proteção das suas informações pessoais e de as acessar e/ou corrigir sempre que o solicitar;
  • Qualquer um dos seus dados pessoais deve ser processado de forma justa para fins específicos e apenas com o seu consentimento ou em alternativa, com base jurídica estabelecida por lei.
  • O cumprimento destas regras deve estar sujeito a controle para garantir que os fornecedores de Serviços, Softwares e Sistemas asseguram a proteção de dados.

Não publicaria o seu nome, idade, número de celular, raça, sexo ou outros dados num cartaz para todo o mundo saber, não é mesmo? Simplesmente, porque é um direito seu ter total controle sobre os seus dados pessoais e com quem os compartilha. Isto é o que a Lei Geral de Proteção de Dados Pessoais (LGDP) é literalmente, por lei.

Existem alterações de fundo no conceito de dados pessoais por isso importa, em primeiro lugar detalhar aquilo que significam a partir do momento em que o LGPD entrar em vigor.

1. O que são dados pessoais?

Os dados pessoais são divididos em 3 categorias:

  • Dados Pessoais
    • “Dados pessoais” significa QUALQUER INFORMAÇÃO PESSOAL que o identifique, direta ou indiretamente, como obviamente o nome, endereço, email, o número de telefone e celular, bem como quaisquer dados genéticos, físicos, fisiológicos, econômicos ou culturais, que aponte para uma única pessoa. Pode ser a data de nascimento do cliente mas também pode ser algo tão subjetivo como “alguém que come areia ao pequeno-almoço”, se isso permitir que os outros, o identifiquem como sendo essa pessoa específica, então também pode ser considerado um dado pessoal!
  • Dados Anonimizados (tratados de forma a tornarem-se anónimos)
    • A anonimização de dados é a conversão de dados privados em dados não identificáveis de forma irreversível. Isso pode ser conseguido quer através da substituição dos dados, quer pela redução da granularidade através de critérios que permitem fazer uma identificação de grandes grupos de pessoas, em vez de uma pessoa específica (exemplo: usar o CEP de um Estado Brasileiro). Assim fica de fora do escopo do LGPD.
  • Dados Pseudo-Anonimizados
    • Pseudo-anonimização é um processo semelhante ao de anonimização, mas diferentemente da anonimização, permite o processo de inversão (tornar a re-identificação do sujeito de dados possível) e assim sendo é abrangido pelo LGPD. O pseudo anonimato é incentivado pelo próprio regulamento como forma de reduzir os riscos para os sujeitos a dados (art. 13) e ajudar os controladores como o E-goi a alcançarem a proteção de dados necessária. Um exemplo de dados passíveis de inversão são as Cookies.

2. Como a E-goi pode ajudar a sua empresa caso os seus clientes queiram exercer os seus direitos?

A E-goi disponibiliza todos os recursos e ferramentas necessárias para que os seus clientes e usuários possam exercer os seus direitos, de acordo com o Art. 18 sobre os dados dos quais você é responsável na qualidade de controlador.

Direito à confirmação da existência de tratamento e do acesso aos dados: os seus clientes têm o direito de conhecer todos os dados coletados sobre elas e qual o seu tipo de utilização ou tratamento. Pode exportar as bases de dados dos seus clientes em CSV.

Ebook LGPD E-goi

Direito à correção de dados incompletos, inexatos ou desatualizados: os seus clientes podem solicitar que as suas informações sejam atualizadas ou corrigidas. O E-goi pode inserir automaticamente botões no cabeçalho e no rodapé do seu email, através dos quais os contatos que recebem o email podem facilmente editar a subscrição.

Direito à anonimização, bloqueio ou eliminação de dados: os seus clientes podem solicitar que as suas informações sejam bloqueadas ou eliminadas. Ou seja, que qualquer informação até esse momento sobre a pessoa, seja eliminada. Se usa o E-goi, basta seguir este guia.

Direito à portabilidade dos dados a outro fornecedor de serviço ou produto: os seus clientes podem solicitar que as suas informações sejam transmitidas para outra organização ou para um concorrente. Pode exportar as bases de dados dos seus clientes em CSV.

Direito à revogação do consentimento: as pessoas envolvidas podem solicitar que o seu consentimento seja revogado “por procedimento gratuito e facilitado” (art 8.ª). O E-goi pode inserir automaticamente botões no cabeçalho e no rodapé dos seus email, através dos quais os seus usuários ou clientes podem facilmente remover-se, ou seja, revogar o seu consentimento.

3. Qual o papel da sua empresa?

Uma das questões que gerou bastantes dúvidas na Europa com a implementação do novo Regulamento Geral de Proteção de Dados (RGPD) é a responsabilidade em relação aos dados pessoais que a “nossa empresa gerencia, mas que são processados pelos nossos clientes”. No âmbito do LGPD, se levanta a mesma questão, quais as responsabilidades desses agentes na proteção de dados.

3.1. Eu sou um Controlador ou Operador? – O que significam?

De acordo com o artigo 5º do LGPD diferentes funções são identificadas do seguinte modo:

  • Controlador – Qualquer organização que recolhe e processa dados pessoais. Se é um cliente E-goi é então um controlador das bases de dados na sua conta.
  • Operador – Qualquer organização que, tal como o E-goi,  trate e processe os dados pessoais em nome do controlador.

3.2. E as multas?

A Lei aprovada pela Presidência da República, disposta no nº II do artigo 52ª determina que as multas podem atingir 50 milhões de reais ou 2% do volume total de negócios. Alguns desses casos são:

  • Incumprimento das regras de consentimento
  • Ausência de comunicação de violações de dados à autoridade nacional que rege esses dados, no caso, a ANPD (até esse momento essa autoridade não é ainda oficial pois foi vetada);
  • Não cooperação com as autoridades

No entanto, o Governo Brasileiro, no nº 1 do capítulo 8 da lei prevê uma advertência com indicação de prazo para adoção de medidas corretivas em caso de irregularidade, ou seja, a multa pode não ser imediatamente aplicada e você tem uma chance de resolver.

O art. 54 refere que o valor da multa, está dependente da “gravidade da falta e a extensão do dano ou prejuízo causado”, o que significa que o valor de uma eventual multa a ser aplicada pode ser bem mais reduzida e bem longe do valor máximo previsto na lei.

Mas se é cliente E-goi, não tenha medo

Por ser uma empresa portuguesa, o E-goi já enfrentou o GDPR na Europa, por isso, toda a sua infraestrutura técnica tem um grau de proteção de dados pessoais adequado ao previsto na lei mesmo que os dados pessoais dos seus clientes sejam transferidos para um país europeu fora do Brasil como é caso de Portugal, por isso, não se preocupe.

Relativamente ao consentimento, o E-goi disponibiliza todas as ferramentas necessárias, para tornar clara a sua obtenção de dados (opt-in), bem como o direito revogação do consentimento e anonimização, bloqueio ou eliminação de dados. Mostraremos mais à frente como funciona na prática.

LGDP Brasil

3.2.1. Multas: O que pode acontecer no pior dos cenários?

  1. Alguém recebe mensagem de Email, SMS (ou por outro canal);
  2. Apesar de ter opção na mensagem para revogar o consentimento/remover (links de remoção), prefere procurar informação para queixa. Por favor, note que a ANPD, anunciado como o órgão fiscalizador foi vetado pelo Presidente Michel Temer.
  3. Mas vamos imaginar que consiga proceder com uma queixa em algum órgão fiscalizador. Depois disso vai demorar um “certo” tempo até dar procedimento à mesma, e possivelmente conseguirá abrir inquérito e chegar ao seu fim antes de prescrever;
  4. A empresa visada, pode se defender durante o inquérito, com informações de opt-in, opt-out, Marco Civil da Internet, CAPEM, interesses legítimos, não interferência grave com os direitos e as liberdades fundamentais da pessoa, etc;
  5. Se existir irregularidades a ANPD aplicaria uma advertência com indicação de prazo para adoção de medidas corretivas em caso de irregularidade conforme previsto na lei;
  6. As multas serão aplicadas em caso de problemas muito graves que coloquem em causa os direitos fundamentais da privacidade dos consumidores conforme refere o art. 54.
  7. A empresa pode levar o caso para tribunal e mesmo que a multa não passe a ser zero, a decisão ainda é passível de recurso.

4. Tenho consentimentos, mas anteriores ao LGPD. Devo pedir novos consentimentos?

Na maioria dos casos, não há nenhuma necessidade de fazê-lo de novo. Mas existe uma exceção:

  • Se pediu consentimento para processar os dados a fim de enviar um tipo de conteúdo diferente do que está a enviar agora (ex: na inscrição comprometeu-se a enviar apenas dicas e material de conteúdo e depois acaba por enviar campanhas de marketing, promoções, etc).

Por favor note que, de acordo com o nº 5 do art. 8º do CAPEM (código de autorregulamentação para a prática de e-mail marketing) “O processo de uso do recurso para envio de mensagens pelo visitante para um Destinatário de seu relacionamento não gera relacionamento (Soft Opt-in) entre o responsável da página web e este Destinatário e não autoriza o envio de qualquer mensagem subsequente a esse Destinatário”.

Isso significa se alguém encontrar em contato para pedir informações isso não pode ser considerado consentimento.

4.1. Como implementar no E-goi?

Para criar um formulário de consentimento além de adicionar os campos como o email ou o número de celular para receber os dados que vai querer usar no futuro para se comunicar com os seus clientes, deve também criar previamente um campo extra do tipo lista de valores nas opções da sua lista de contatos, que lhe permita mapear essas informações com o seu formulário que vai receber e registrar os novos consentimentos.

Desta forma consegue registrar e fazer prova do consentimento do usuário para fins específicos com a localização, data de registro, link do formulário e navegador. Pode consultar esta informação no E-goi editando os contatos da sua lista.

Caso queira enviar um email solicitando um consentimento específico que ainda não tenha sugerimos que obtenha o link do formulário escolhendo a opção “compartilhá-lo com um link” após a publicação do formulário. Este URL lhe permite pré-preencher os campos do formulário após o clique do usuário no link do seu formulário de consentimento.

Os dados que serão armazenados devem ser encriptados e seguros, por isso não se esqueça de ativar a opção “usar HTTPS”.

Se já utilizou o double opt-in mas houve contatos que não confirmaram o cadastro, ou seja, não confirmaram o seu consentimento, embora não seja de carácter obrigatório, pode reenviar email de confirmação a quem não confirmou inscrição.

Se mesmo assim, não obteve os consentimentos que pretendia e tiver o número de celular dos seus clientes, use o nosso Smart SMS e inclua o seu formulário de consentimento.

4.2. A Lei prevê outras razões para o processamento de dados?

Sim!

Mesmo sem o opt-in tradicional, a lei permite que os dados sejam tratados quando, por exemplo, existe um legítimo interesse por parte do consumidor. Um contrato onde esteja descrito o âmbito e tratamento dos dados é também suficiente de acordo com o LGPD.

Mesmo sem opt-in está legal quando existe:

  • Cumprimento de obrigação legal/Execução de Contrato:
    • Um bom exemplo é a relação entre qualquer empresa e cada um de seus funcionários. Há um contrato entre eles, bem como uma exigência legal para processar dados.
  • Proteção da Vida/Tutela da Saúde
    • O exemplo de proteção da vida seria o óbvio acesso aos registros médicos em relação uma pessoa para procedimento cirúrgico de emergência.
  • Proteção de Crédito
    • A inadimplência é um problema sério no Brasil, por isso, o Governo incluiu na lei a possibilidade de acesso a dados de pessoas físicas e jurídicas para auxiliar na concessão de crédito.
  • Estudos ou Pesquisas
    • Os dados pessoais pode podem ser utilizados para pesquisas de satisfação e estudos. A lei recomenda sempre que possível, a anonimização desses dados.

4.2.1. Agora é com você!

Reveja e analise a forma como construiu a sua base de dados para determinar se realmente necessita pedir novos consentimentos, a todas as pessoas com quem se tem relacionado ao longo destes anos. Se realmente necessita de consentimento então seja criativo e peça-o antes da entrada em vigor do novo Regulamento.

E, a partir do dia 16 de Agosto de 2020, garanta o cumprimento destes 3 pontos:

1. Direitos das Pessoas

  • Pedir consentimento para comunicar, muito claro quanto ao âmbito, tema, tempo e tudo o que faça sentido informar;
  • Que seja muito fácil pedir a eliminação de dados ou revogação do consentimento/remoção, em todas as mensagens enviadas;
  • Forma acessível para corrigir ou eliminar os seus dados.

2. Processos em Casos de Falhas

  • Ter processos pensados e descritos, para em caso de fuga de informação, avisar o órgão fiscalizador (no momento não existe) e os titulares dos dados (em caso grave de perda de dados sensíveis);
  • A existência destes processos deve ser da responsabilidade e conhecimento das pessoas responsáveis pelo tratamento de dados.

3. Proteger Dados

  • Tentar que todos os dados e sistema estejam seguros. Não há nenhuma fórmula ou regra específica aqui, mas é necessário demonstrar que existe preocupação e ação;
  • Garantir que os fornecedores de Serviços, Software, Sistema, estão conscientes do LGPD e o cumprem;
  • Dados hospedados no Brasil.

4.3. Consentimento: Boas práticas

Conforme referido, o consentimento deve ser muito claro quanto ao âmbito, tema, tempo e tudo o que faça sentido informar. Podemos, no entanto, avançar com alguns aspectos que deve considerar quando solicita o consentimento.

Recomendações:

  • Caso tenha intenção de ceder os seus dados a terceiros, seja claro sobre quais as entidades ou empresas com as quais estará compartilhando os dados pessoais;
  • Se o seu público-alvo forem menores de idade, não se esqueça de solicitar autorização a pelo menos um dos responsáveis legais antes de pedir o consentimento (art. 14º);
  • Garanta que guarda toda a informação relativa ao momento em que o consentimento é dado (data/hora, IP, dados fornecidos, etc). Se usa o E-goi, não precisa se preocupar, pois essas informações são registradas automaticamente;
  • Atualize os seus termos e condições do serviço para esclarecer os seus clientes sobre a forma como os seus dados são tratados e qual a sua finalidade;
  • Em caso de dúvida, peça uma consultoria jurídica para aconselhamento legal.

No E-goi, está disponível um modelo de formulário que pode personalizar à vontade para solicitar consentimento de acordo com a nova lei. Exemplo:

4.3.1. Tem um serviço online ou um ecommerce?

Então este modelo de formulário pode perfeitamente ser usado por você. Neste exemplo, a autorização para envio de comunicações (ex: emails de bloqueio de conta, informações de pagamento, expedição de encomendas, etc) é obrigatória caso pretenda utilizar o serviço.

Os conteúdos informativos, promocionais ou de marketing, não serão, neste exemplo, de subscrição obrigatória para utilização do serviço, mas são um outro tipo de consentimento que deve ser solicitado separadamente e de forma opcional.

E-book Como Divulgar o Meu Negocio BR | E-goi

4.3.2. É um blogueiro, afiliado ou produtor de conteúdos?

Então provavelmente envia apenas conteúdo informativo (ex: os últimos posts do seu blog) e assim sendo, não existe um contrato de prestação de serviços, por isso apenas deverá ser necessário pedir esse tipo de consentimento.

No entanto, se usar a sua base de dados para promover serviços, o que é comum se é também um afiliado e trabalha com sistemas de afiliação então deve solicitar também esse tipo de consentimento.

4.3.3. É uma agência?

Aqui assume o papel de operador ao lidar com as bases de dados dos seus clientes. Por isso deve educar os seus clientes sobre os consentimentos anteriores à entrada em vigor do LGPD e ajudar na sua implementação.

4.3.4. Exemplos de Comunicações

Dependendo do tipo de negócio e dos seus objetivos são utilizados tipos de comunicações diferentes. Reunimos alguns deles que podem ser transversais a vários tipos de negócio ou atividade e que devem ter consentimento antecipado.

  • Boas vindas de um subscritor
  • Confirmação de um webinar
  • Questionários ou Reviews
  • Anúncios de Passatempos
  • Conteúdo Promocional
  • Lançamento de Novos Produtos
  • Anúncios de Eventos
  • Up selling / Cross Selling

5. Vou enviar comunicações eletrônicas (email, SMS, etc): Preciso ter algum cuidado especial?

A Lei não prevê qualquer tipo de obrigatoriedade nas comunicações. No entanto, reunimos algumas boas práticas que pode implementar.

5.1. Se vai enviar email:

  • Coloque os botões de remoção ou edição de dados (pode personalizar nas opções da sua campanha) de forma bem visível no email, por exemplo no cabeçalho, para garantir ao cliente de forma clara os seus direitos.
  • Personalize o double opt-in e aproveite para colocar uma mensagem que explique o motivo pelo qual está solicitando o cadastro. Desse jeito está reforçando a prova de consentimento.

Nós aqui na E-goi, enquanto operadores temos há vários anos o nosso próprio formulário público que permite a todo e qualquer usuário, se remover das bases de dados de todas as empresas que utilizam o E-goi. Esse direito à revogação do consentimento ou eliminação dos dados pessoais pode ser exercido através desta página de remoção que pode ser acessada através de um selo presente no rodapé de todas as campanhas de email enviadas pelo E-goi.

5.2. Se vai enviar SMS ou Smart SMS:

  • Em se tratando da comunicação de uma marca deve se identificar e tornar a mensagem facilmente identificável (um dos princípios do LGPD) por isso, use o nome da marca como remetente dos seus SMS;
  • Para garantir o direito de revogação do consentimento/remoção, informe o cliente que, se não quiser receber mais mensagens basta responder à mensagem (caso use como remetente um número de telemóvel) ou inclua um link para um formulário de remoção. Se usa Smart SMS basta incluir o código !remove para o usuário realizar a remoção.
Exemplo de SMS com encurtador de URL de remoção para opt-out
Exemplo de SMS com link personalizado de remoção para opt-out

Ficou com alguma dúvida? Então entre em contato conosco ou deixe o seu comentário e compartilhe as suas opiniões!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

This site uses Akismet to reduce spam. Learn how your comment data is processed.