LGPD para agências de comunicação: o que muda na prática?
Três em cada quatro brasileiros acessam a internet, o que equivale a 134 milhões de pessoas. Com a vasta disponibilidade e intenso intercâmbio de milhares de dados, surgiu a necessidade de regulamentar o tratamento desses dados, criando a Lei Geral de Proteção de Dados no Brasil, para garantir que as empresas continuassem realizando suas atividades sem ferir nenhum direito a quem esses dados dizem respeito. É importante lembrar que a lei não impede a realização desse tratamento, mas sim define como esses dados podem ser trabalhados.
O assunto ganha ainda mais relevância por ser aplicado a todo tipo de empresa e definir penalidades, multas e sanções administrativas para aquelas que não cumprirem as determinações da lei. É importante lembrar que a lei não surgiu para dificultar ou proibir o tratamento de dados pelas agências, mas apenas definir parâmetros para que que esse tratamento seja feito de forma que respeite a pessoa a quem os dados dizem respeito.
Neste post trataremos da lei no âmbito das agências de comunicação, analisando o que deve ser observado para estarem adequados à LGPD. Continue conosco!
QUERO ADEQUAR MINHA EMPRESA À LGPD!
Entenda a LGPD para as Agências de Comunicação: por que ela surgiu?
No contexto atual da big data, machine learning e inteligência artificial, a LGPD veio regulamentar empresas e jornais que usam ferramentas para trabalhar com filtragem de dados, como a localização dos acessos, idade, perfis, entre outras informações que auxiliam, por exemplo, na delimitação e descrição dos melhores jornalistas, influenciadores e leads para os clientes das agências.
Por mais que seja natural as empresas capturarem os dados, para oferecer serviços cada vez mais personalizados e inteligentes, surgiu uma preocupação dos usuários sobre o que será feito com as informações ou para onde elas irão após o preenchimento de formulários e afins.
Diante da falta de regulamentação, esses dados eram tratados da forma como as empresas desejavam, o que ocasionou uma série de situações que ocorriam abuso e violação à privacidade das pessoas ante a utilização daqueles dados para fins divergentes aos esperados pelos titulares.
O caso do Facebook e Cambridge Analytica ficou muito conhecido diante da gravidade e quantidade de dados vazados no mundo inteiro. Por meio de um aplicativo conectado ao Facebook, eram coletados inúmeros dados pessoais que posteriormente eram vendidos para a empresa britânica de big data e marketing político Cambridge Analytica, que foi responsável por gerar um grande conflito sociopolítico nas eleições presidenciais norte-americanas em 2016 e na saída do Reino Unido da União Europeia.
A LGPD surge nesse contexto para evitar a repetição de casos como esse em que cerca de 443 mil brasileiros tiveram seus dados comprometidos. Assim, a partir de agosto, as agências de comunicação que realizem qualquer tipo de tratamento de dados sofram algum incidente de segurança ou desrespeitem a LGPD serão penalizadas com sanções que podem, inclusive, ocasionar o seu fechamento.
Tratamento de dados nas Agências de Comunicação: o que deve ser observado?
As agências de comunicação possuem como centro do seu negócio o tratamento de dados, de forma que foram diretamente afetadas pela nova lei. Assim como todas as outras empresas, as agências de comunicação devem estar adequadas à Lei Geral de Proteção de Dados, por meio da adoção de medidas para resguardar a privacidade e a proteção dos dados por ela tratados.
Deve-se ter um cuidado especial ao tratar das agências de comunicação pois o volume de dados nessas empresas é muito maior do que de outros setores. Além disso, as agências costumam ter contato direto com o titular dos dados, que é uma pessoa que não tem uma relação preestabelecida com a própria empresa, mas com o cliente da empresa, o que deve ser levado em consideração ao utilizar aqueles dados para outras finalidades distintas da esperada.
Um exemplo de tratamento de dados usualmente feito por agências é a presença de um usuário que preencheu um formulário de interesse disponibilizado para assinar uma publicação no site da empresa ou pela utilização de paywall. O usuário colocará algum dado pessoal, como e-mail ou telefone para contato futuro, e esses dados devem ser coletados, armazenados e compartilhados de forma correta a fim de preservar a privacidade do titular.
O envio de e-mail marketing e o compartilhamento de leads são outras situações em que é necessário que os usuários sejam informados sobre a finalidade para qual eles são coletados, como é feito o armazenamento, a vida útil e que seja apresentado ao titular a oportunidade de se retirar daquela lista. Assim, o tratamento é adequado às expectativas e vontades dos titulares.
Todas as informações coletadas são utilizadas para que as empresas ofertem notícias específicas ou anúncios que atraiam mais a atenção de determinados grupos. Com a nova legislação, porém, jornais, revistas e os demais meios de comunicação precisarão informar com maior clareza aos leitores o uso que fazem dos seus dados e garantir que estão de acordo com as normas da lei.
Ademais, as agências costumam com frequência utilizar dados de jornalistas e influenciadores digitais para entender o perfil mais adequado às necessidades de seus clientes, e geralmente, mapeiam esses dados e confeccionam perfis para envio de materiais como releases, presskits, produtos etc.
Sempre será preciso o consentimento?
O consentimento é uma das bases legais da LGPD, ou seja, é uma autorização que a lei traz para uma empresa tratar os dados. Nossa legislação contém dez bases legais e o consentimento é apenas uma entre elas, apesar de muito usado no setor de comunicação.
Contudo, ele não é o único que pode ser utilizado, existindo as demais que legitimam a realização do tratamento daquele dado, devendo ser analisado qual é o mais cabível para cada situação.
Quando a agência utilizar o consentimento do titular para fazer o tratamento de dados, é preciso que ele seja livre, inequívoco e informado para ser validado.
Conforme a LGPD, ele será livre quando não houver um objeto de pressão sobre a pessoa, que age de forma espontânea e desobrigada. Assim, não pode ser utilizado o consentimento no formato “aceite ou não use”.
Outro requisito é que o consentimento seja informado, ou seja, o titular deve saber que aquele tratamento está sendo realizado, de forma que seja possível a tomada de decisões por parte dos titulares. É importante que as agências saibam que não existe um aceite geral e genérico, nem ser possível uma simples caixinha de “li e aceito”, tendo em vista esse requisito.
Ao definir que o titular tenha total conhecimento de qual a finalidade daquele tratamento para que fosse inequívoco, a LGPD fez com que termos de consentimento em formato de contratos longos entrassem em desuso. Além disso, o consentimento não pode ser dado de forma indireta ou escondida, necessitando ser claro e expresso.
São por esses motivos que o uso dessa base legal as vezes se torna inviável, principalmente por empresas que não consigam comprovar ou gerir o consentimento de milhares de titulares.
Portanto, entender a fundo o fluxo de dados interno da agência, analisar a finalidade e adequação desses dados é fundamental para saber se uma outra base legal poderia ser melhor aplicada, como por exemplo, o legítimo interesse.
Aquisição de bases de leads com Data brokers
Ainda não foi estipulado pela Autoridade Nacional de Proteção de Dados que é uma prática proibida a aquisição de bases de leads com data brokers. Contudo, é necessário tomar alguns cuidados.
As empresas que vendem os dados devem obtê-los de forma lícita e para um fim específico, respeitando a LGPD. Caso conste no contrato com essas empresas as finalidades para o tratamento, não há necessidade de obter o consentimento dos titulares após a aquisição da base.
Contudo, se essas outras empresas não informarem ao titular a finalidade para qual o dado coletado será utilizado, o processo não estará adequado à lei e adquirir esses dados gera risco à agência além às data brokers.
Desde que a finalidade para o tratamento dos dados seja feita de forma lícita e com uma base legal correta, é possível que as agências comprem dados obtidos numa captação de leads de forma segura. Vale lembrar que é sempre importante oferecer a oportunidade de opt-out (descadastramento) desses mailings.
O que deve ser feito em relação à base de dados já adquirida por uma agência antes da entrada em vigor da LGPD ainda será definido pela Autoridade Nacional de Proteção de Dados (ANPD).
Porém, é interessante que a agência adote boas práticas no tratamento daqueles dados, como permitir que jornalistas, influencers e demais titulares, possam se descadastrar de listas de transmissão ou informativos.
As Agências que estiverem em desconformidade podem ser penalizadas?
Estar adequado à lei é uma forma de se resguardar e evitar problemas futuros, principalmente no caso das agências, que usam os dados pessoais dos titulares em diversas ocasiões como modelo de negócio.
As agências poderão ser penalizadas a partir de agosto de 2021, de uma forma mais branda, como uma simples advertência, até uma paralização total das atividades relacionadas ao tratamento de dados. A gravidade da sanção será sempre definida levando em conta as medidas adotadas pela empresa para evitar a infração que levou àquela sanção.
A empresa inicialmente receberá uma advertência por não estar em conformidade e deverá estipular medidas que mitiguem os riscos apresentados e definir um prazo para poder se adequar.
As multas para as agências poderão chegar até a 2% do faturamento da empresa ou grupo econômico, limitadas ao valor de R$50.000.000,00 (cinquenta milhões de reais) por infração, por dia.
A publicização dos atos cometidos é outra penalização que pode ser imposta pela ANPD, que gera um dano à reputação da empresa e consequente perda de confiança generalizada por parte de clientes e parceiros.
A imagem de uma agência vinculada a incidentes, vazamentos ou danos a dados pessoais de jornalistas, colaboradores, influenciadores pode ter um impacto negativo tão grande quanto eventuais multas ou indenizações judiciais.
O banco de dados também pode ser alvo das penalidades, podendo ser bloqueado ou até mesmo ser definida a sua eliminação, de forma que a agência, ao perder todas as suas informações, acaba com possíveis estratégias de negócios.
As penalidades mais severas que podem ser aplicadas pela ANPD são a suspensão parcial ou total das atividades, que pode culminar na proibição parcial ou total do exercício das atividades relacionadas ao tratamento de dados no caso de reincidência e gravidade da infração.
Apesar as sanções administrativas não estarem sendo aplicadas, o Ministério Público já está realizando uma fiscalização e já existem processos na Justiça que tiveram decisões de juízes que utilizaram a Lei Geral de Proteção de Dados como fundamentação.
Assim, caso uma pessoa tenha seus direitos violados, não necessariamente a agência sofrerá apenas penalidades por parte da Autoridade Nacional de Proteção de Dados, podendo sofrer sanções judiciais como pagar indenização por danos materiais ou morais, inclusive fazer um pedido público de desculpas.
QUERO ADEQUAR MINHA EMPRESA À LGPD!
Responsabilidade de uso e coleta de dados pelas Agências
A LGPD definiu que há a responsabilização dos agentes de tratamento pelo uso e coleta de dados na internet, sendo eles as agências de publicidade e analistas de marketing como corresponsáveis pelas ações feitas com os dados dos titulares. A lei confere responsabilidades entre todas as partes que cuidam da coleta e tratamento de dados dos clientes na internet, desde o analista, até a agência e a empresa que é atendida. Vejamos algumas delas:
- Titular: Pessoa a quem se referem os dados pessoais. O usuário da internet, o jornalista, influenciador, e o visitante do site ou o lead.
- Agentes de tratamento:
- Controlador: “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.” Na LGPD, o controlador pode se referir à agência ou ao cliente da agência.
- Operador: “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”. Como operador, a lei caracteriza as ações e responsabilidades de quem faz uso dos dados, como por exemplo, o analista de inbound marketing da agência que atende o cliente e a plataforma de disparo de e-mails.
Nos casos em que o analista de marketing (operador) descumprir normas de proteção de dados ou não seguir as instruções lícitas do cliente (controlador) ou da própria agência de comunicação (controlador), ocorre a responsabilidade solidária de dano. Outra situação em que ela se verifica é quando o cliente (controlador) ou a agência (controlador) estiverem diretamente envolvidas no tratamento de dados feito pelo analista (operador) e que resulte em prejuízos.
No caso de uma agência estar adequada à LGPD e uma empresa parceira não esteja, é necessário que sejam geridos os riscos do contrato por um especialista na área. É de extrema importância possuir bem definidas as cláusulas contratuais que resguardem a imagem da empresa e seus deveres perante a empresa que se apresenta resistente à adequação.
A exceção para finalidade jornalística vale para as Agências?
A LGPD é bastante clara quando prevê o respeito à privacidade e preserva a liberdade de expressão, de informação e de opinião ao não incluir em seu alcance o tratamento de dados realizados para fins exclusivamente jornalísticos, quando há interesse público.
Dessa forma, se um jornalista de moda estiver escrevendo sobre a participação de uma modelo, por exemplo, ainda que características como nome, idade e altura configurem dados de cunho particular, nesse caso, a legislação compreende que o caráter informativo deve prevalecer.
Contudo, a exceção descrita na lei não se aplica para algumas funções desempenhadas por profissionais da área, como assessoria de imprensa, relações públicas, mapeamento de stakeholders etc.
Por mais que seja parte da área de atuação dos jornalistas, não há objetivos ligados ao interesse público. Assim, as agências devem redobrar a atenção para o tipo de conteúdo privado que coletam, armazenam, compartilham e divulgam interna e externamente.
Assim, a LGPD se mantém coerente por definir que o caráter informativo deve prevalecer diante da disposição constitucional não colocando em seu escopo o tratamento de dados realizados para fins exclusivamente jornalísticos.
Esteja sempre um passo à frente!
Como vimos, a adequação à LGPD para as Agências de Comunicação é um tema extremamente relevante e é imprescindível que essas empresas realizem esse processo de conformidade para reverem suas práticas. Se sua empresa ainda não iniciou o projeto de adequação à LGPD, está na hora de buscar uma consultoria especializada e começar o quanto antes.
O escritório Camargo & Vieira se destaca ao prestar serviços de adequação total, que consiste na realização de toda a adequação jurídica e procedimental de uma empresa aos enunciados da LGPD, bem como de DPO as a Service, o encarregado de proteção de dados externo, já tendo atendido diversas das principais empresas de comunicação do país.
Para garantir a otimização dos seus esforços, oferecemos consultoria e ferramentas que podem ser personalizadas de acordo com a necessidade da sua empresa, utilizando a metodologia da International Association of Privacy Professionals (IAPP). Entre em contato conosco para agendar uma reunião e saber mais como as nossas soluções podem contribuir para o desempenho da sua agência.
A Associação Brasileira das Agências de Comunicação (ABRACOM) indica o nosso trabalho oficialmente aos seus associados, garantia de qualidade dos serviços já prestados à dezenas de empresas deste segmento no Brasil.
Tem alguma dúvida sobre como adequar a sua Agência de Comunicação à LGPD ou tem interesse em saber mais sobre temas relacionados à nova lei? Acesse nossos conteúdos sobre a LGPD clicando aqui!
Gostou desse assunto ou acha ele relevante? Curta e compartilhe nas redes sociais ou deixe seu comentário abaixo.