Com a Lei Geral de Proteção de Dados (LGPD) em vigor desde setembro de 2020, as empresas se viram obrigadas a se adequar. Muito tem se falado sobre os benefícios e desafios que poderão ser observados nesse processo como - por exemplo - a conscientização das pessoas sobre o tráfego de suas informações pessoais e empoderamento na decisão de até onde as empresas poderão utilizá-los. Essa mudança será responsável pelo amadurecimento do mercado, onde as corporações terão que entregar mais valor aos seus consumidores, para que aceitem o processamento de suas informações pessoais.
Mas, o futuro ainda não é muito claro, pois nem o presente está 100% definido. A adequação à lei ainda não é algo totalmente preto no branco. Ela fala explicitamente da necessidade de consentimento para a coleta de dados pessoais, deixando informações anônimas livres da necessidade de interface de autorização. Contudo, esta linha entre dados pessoais e anônimos é turva. Um exemplo claro é o uso da plataforma Google Analytics, que capta informações de comportamento dos usuários em um website, como páginas visitadas, tempo de permanência, compras realizadas etc. Parece haver um consenso no mercado de que desde que você remova a captação do IP dos usuários, você pode levantar esses dados, pois sem o IP as informações tornariam-se anônimas. Contudo, uma vez que o comportamento do usuário é captado, é possível gerar perfis de comportamento que podem ser usados como alvo para propaganda. Em tese, você poderia captar os dados e nunca gerar perfis de comportamento e estar adequado à LGPD. Mas a potencialidade de geração desses perfis poderia ser interpretada como uma necessidade de consentimento latente.
Honestamente, não me parece que os aparatos legais do governo estão preparados para uma avalanche de tecnicalidades que estão surgindo. E a própria página de divulgação e explicação da LGPD que eles dispõem, utiliza o Google Analytics e capta o IP dos usuários antes que haja qualquer consentimento. Teoricamente, quebrando a lei imposta por eles.
Conforme citado anteriormente, as empresas precisarão entregar mais valor e justificar aos seus clientes o uso de seus dados. O mercado vai precisar se adaptar, por bem ou por mal. Numa perspectiva otimista, padrões bem claros serão definidos pela ANPD (Autoridade Nacional de Proteção de Dados), cobrindo todas as tecnicalidades de forma simplificada e objetiva, onde se tornará fácil adequar-se à lei. Sendo pessimista, a LGPD se tornará uma burocracia draconiana na qual apenas grandes players conseguirão se adaptar 100% e as pequenas empresas estarão sempre sob a sombra de uma possível multa nas suas costas.
Se a lei seguir de forma literal, ela pode inviabilizar uma parcela dos pequenos negócios. Em empresas cujas margens de lucro são em geral mínimas, uma nova camada de processos vai sufocar ainda mais essas margens.
Muitas pessoas estão achando que basta colocar um popup de consentimento e está tudo certo, mas isso está longe da verdade. Todas as empresas que coletarem dados precisarão ter interfaces ou meios onde o usuário pode, entre outras coisas: solicitar que seus dados sejam apagados e pedir uma exportação de seus dados. Imagine um pequeno e-commerce tendo que lidar com uma avalanche de solicitações? A lei pode inclusive abrir margem para ataques sincronizados onde uma multidão decide pedir todos os seus dados de uma vez só.
Segundo o Artigo 20:
"Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade."
Muitas pequenas empresas contam com a ajuda de ferramentas para traçar perfis de seus usuários e não fazem muita ideia de como as coisas funcionam por debaixo dos panos. A lei vai obrigar as empresas a contratar este tipo de conhecimento para se adequar.
Um ponto interessante da lei de dados brasileira é que, ao contrário de outros países, a LGPD aponta que o "controlador dos dados" necessário para cada empresa não precisa ser uma pessoa física. Em vez disso, entidades, comitês ou outros grupos internos podem servir como controladores. Alternativamente, uma organização pode até terceirizar essa posição para uma empresa especializada ou escritório de advocacia.
Falando agora sobre as limitações, a lei é muito clara quando diz que nenhuma coleta de dados pessoais pode ser feita sem consentimento. Então, na prática, qualquer formulário que capte nome e/ou email precisa deixar nítido os usos que serão feitos com estes dados. Uma outra forte limitação é o uso de dados para remarketing, mesmo que não haja nos dados itens como e-mail, nome, CPF ou telefone.
O parágrafo segundo explicita isso claramente:
"§ 2º Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada."
Ao meu ver, essa é mais uma área turva da lei, visto que os maiores players do mercado, que utilizam essas estratégias, são o Google e o Facebook. Para fazer parte destas plataformas, todos os usuários precisam dar consentimento ao uso de suas informações. Um exemplo: se um usuário que deu consentimento ao Facebook para captar seus dados visitar meu website, eu também preciso pedir autorização para entregar seus dados ao Facebook? A ANPD precisará deixar esse tipo de minúcia técnica o mais clara possível.
Para finalizar, acredito que o ponto crucial para as pequenas e médias empresas é deixar claro para os usuários qual uso fará com os dados e nunca utilizá-los de forma diferente da qual foi consentida. Converse com sua agência de marketing e entenda se estratégias precisam ser reformuladas.
*Pablo Lemos, CTO do AdClub
