A partir de agosto, as empresas que não estiverem adequadas à nova Lei Geral de Proteção de Dados (LGPD) podem sofrer penalidades variadas. A fiscalização se inicia agora, mas a conversa sobre o uso de dados e segurança digital vem ganhando protagonismo há anos. Principalmente quando falamos sobre o marketing e a estratégia digital de grandes empresas.
Entender a amplitude da LGPD é o primeiro passo para analisar seus efeitos. Já faz tempo que dados se tornaram uma "nova moeda", então faz sentido que o governo pense em formas de implementar projetos de regulamentação sobre algo tão valioso. O direito à privacidade ganha outras proporções no ambiente digital e é imprescindível que os setores privado e público reconheçam seu papel na proteção do cidadão nesse sentido, ao mesmo tempo em que se preserve a liberdade e a produtividade dos negócios. Com tudo isso em mente, a pergunta que resta é: como desenvolver o marketing de grandes empresas, que lidam a todo instante com um alto fluxo de dados, seguindo as novas regras e o risco de novas punições?
Para começar, nem tudo muda. O uso de dados não vai acabar. Eles ainda são peças-chave e sua utilização não é proibida, apenas regulamentada. O que muda, efetivamente, é a maneira com que eles serão tratados e como serão coletados, se em first-party data ou third-party data.
First-party data significa que as informações são fornecidas pelo seu detentor -- ou seja, pelos próprios usuários. É o caso de cadastros diretos e preenchimento de formulários, por exemplo. Third-party data diz respeito a terceiros tendo acesso aos dados do usuário, e é nesse contexto que se precisa ter mais cuidado, uma vez que muitas empresas já aplicaram métodos para compartilhar e até vender esses dados sem o conhecimento dos donos.
Tudo deve ficar mais transparente agora. Além disso, o foco é proteger a individualidade, o que é possível fazer através da coleta de uma boa quantidade de informações e de tratamento especializado para que elas não sejam rastreáveis. Assim, é possível obter conhecimento relevante para elaborar uma estratégia de marketing de grandes empresas sem identificar fontes individuais. O grande objetivo é preservar a privacidade e a segurança das pessoas ao mesmo tempo em que ainda seja possível extrair e tratar dados suficientes para a viabilidade de um negócio pujante e produtivo.
Como se adaptar?
Indo além da coleta e análise primária dos dados, existem algumas ações que precisam ser revistas para seguir as boas práticas da LGPD. O e-mail marketing, por exemplo, só funciona a partir de uma informação sensível, que é o endereço de e-mail do cliente. Se antes uma empresa conseguia esse dado de uma maneira que não é mais adequada, será necessário refazer o processo.
Para chegar até esse e outros pontos que precisam ser alterados, o ideal é fazer um mapeamento geral. Primeiro, compreendendo o fluxo de negócios, fica mais simples entender o caminho pelos quais os dados percorrem. A empresa deve verificar por quais áreas essas informações passam, onde são compartilhadas e qual a finalidade de cada uma.
Em seguida vem a análise do que realmente é preciso. Não é incomum que uma base de dados tenha mais do que o necessário, o que leva a uma boa limpa. Com o restante, a próxima etapa é a gestão de acesso, ou seja, quais pessoas podem ter acesso a quais dados. Neste ponto também é importante manter-se restrito ao necessário. Todos os profissionais que estiverem nesse rol deverão conhecer os conceitos básicos da LGPD. Os próximos anos serão de adaptação, então é natural que leve algum tempo para que a equipe se sinta completamente preparada, mas a partida já foi dada.
Depois que todos esses passos são aplicados (de preferência com auxílio de analistas de segurança da informação especializados na LGPD), é preciso elaborar os documentos obrigatórios por lei, como o data mapping, o inventário de dados, termos de compartilhamento de dados, termos de uso de dados, entre outros. Também é recomendável o auxílio de um advogado especialista.
Quanto às multas e penalidades, elas podem ser bem variadas de acordo com a gravidade da infração, grau do dano, reincidência e uma série de outras variáveis. As possíveis sanções descritas pela lei são:
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
Com o tempo, as mudanças serão naturalizadas e essa será a base da segurança digital e privacidade online; e toda empresa que lide com dados estará adequada à LGPD. Em outras palavras: praticamente qualquer empresa.
*Daniela Gebara, sócia-fundadora e diretora comercial da agência full digital ROCKY do Grupo Raccoon, empresa da S4 Capital
