A nova Lei Geral de Proteção de Dados Pessoais atinge a todas as empresas ou pessoas físicas que, de alguma forma, tratam dados de pessoas físicas. A urgência para a adequação de agências e empresas ligadas ao mercado do Live Marketing foi discutida por especialistas no último dia 11, no Palácio dos Bandeirantes, em São Paulo.
O encontro, organizado pela AMPRO – Associação de Marketing Promocional, detalhou os aspectos da nova lei, que foi sancionada em 2018, e tem previsão de entrar em vigor em agosto de 2020. A partir de daí, toda empresa ou pessoa física que descumprir as regras estará sujeita a sanções, que podem implicar em pesadas multas.
“Já estamos atrasados. Dados de pessoas são basicamente o ar que respiramos, por isso a necessidade de aprofundar o tema nas agências, especialmente. Os clientes já estão exigindo que suas agências estejam em compliance com a LGPD e todos estão sujeitos a ela”, afirmou o sócio do FAS Advogados, Paulo Focaccia.
Danilo Roque, sócio do FAS e especialista em proteção de dados, aprofundou diversos conceitos, entre eles o que é considerado dado pessoal e o que envolve o tratamento de dados pessoais. “Dado pessoal é qualquer informação que identifique diretamente ou possibilite identificar uma pessoa física. Nome, CPF, um registro profissional, data de nascimento, time que torço, característica física etc. Há ainda os dados pessoais chamados ‘sensíveis’, como os de saúde, filiação político-partidária, religiosa, opção sexual etc. Já o tratamento é basicamente qualquer coisa que pode ser feita com esses dados pessoais, desde a coleta, armazenamento, utilização e eliminação. Tudo o que for feito com os dados pessoais passa a estar regulado pela lei”, esclareceu.
Como exemplos, foram citadas diversas situações que fazem parte do cotidiano das agências em que há tratamento de dados pessoais, como o preenchimento de formulários, o recebimento de currículos, dados estatísticos de participação de campanhas, de eventos, pesquisas de mercado, entre outros.
Roque explicou ainda o conceito de dados anônimos – que não possibilitam a identificação da pessoa, e de dados anonimizados, que passam por processo para que deixe de identificar seu titular. “Dados anônimos saem das exigências da LGPD. Se o dado ajudar a identificar a pessoa, mesmo que por qualquer tipo de cruzamento de informação, está sujeito à lei”, pontuou.
Focaccia e Roque enfatizaram que todos, sejam controladores (a quem competem as decisões referentes ao tratamento de dados pessoais) ou operadores (que realizam o tratamento de dados pessoais em nome dos controladores) têm responsabilidade no sistema de tratamento dos dados pessoais. “Quando o cliente contrata uma agência para fazer uma ação e repassa seu banco de dados a ela, ele é o controlador e tem o poder de decisão das regras. O operador é quem executa, apenas. Existem casos em que a agência pode ser o controlador, como em projetos proprietários. O fato é que um pode responder pela falha do outro e vice-versa”, disse Danilo Roque.
“É importante que toda a cadeia esteja compliant. O cliente precisa ter todas as regras definidas, inclusive o contrato com a agência, como se dará o tratamento de dados pessoais, e a agência precisa ter essa mesma política com seus fornecedores”, grifou Focaccia.
Outra ênfase foi sobre a necessidade do consentimento explícito do titular para que os dados pessoais sejam usados em determinadas situações, o que impõe a obrigação de informar ao titular, de forma explícita, quem coleta os dados pessoais, o que será feito com esses dados pessoais e para qual finalidade. “Em alguns casos, como quando há obrigação legal para que os dados pessoais sejam tratados de determinada forma ou para cumprimento de um contrato, não haverá necessidade do consentimento, como quando a lei exija que os dados pessoais sejam comunicados ao Governo (o ganhador de uma promoção comercial, por exemplo), ou quando a empresa precisa entregar uma compra feita online, onde tenha o consumidor efetivamente contratado esse serviço”, explicou Roque.
Na dúvida de como proceder em cada caso, será obrigatória a assessoria de especialistas. “Empresas e agências precisarão olhar para dentro de casa, analisar ponto a ponto todas as operações e fazer o mapeamento dos dados pessoais que são tratados. Verificar os dados pessoais com os quais já lidam, as finalidades dessa utilização, analisar se já estão adequados às regras ou se ainda precisam se regularizar. Depois, ainda haverá uma fase de treinamento periódico com todos os departamentos”, lembrou Danilo Roque.
Durante o espaço reservado para o debate, Marcel Sacco, gerente geral da Hershey’s do Brasil, contou como a marca está trabalhando para se adequar às novas exigências. “O grande primeiro passo é a conscientização do grau de importância e do risco. Montamos uma reunião com toda a liderança da companhia e um plano de ação. Temos uma área de marketing e outra gigantesca de relacionamento com o cliente e fornecedor e tudo isso está em cadastro. Então começamos a analisar como vamos tratar esses dados”.
Sacco contou que parte do processo é identificar pontos de captação que nem se imagina que envolvam dados. “Envolvemos também nossa agência parceira, tratando de todo o legado. Estamos fazendo a revisão de todos os contratos, de imediato. A confiança, no nosso caso, é tudo, por isso começamos a nos preparar antes”, lembrou.
Alan Fonseca, da Guardians Consulting comentou sobre um estudo recente que constatou que mais de 90% das empresas não sabem como agir caso se envolvam em episódios de vazamento ou ataque de dados. “A preparação é primordial e a rapidez para descobrir o que aconteceu principalmente. Elas ganham novas responsabilidades, entre elas adaptar seus canais e plataformas, além de diferenciais competitivos, já que esse tratamento correto será levado muito em consideração pelos clientes”, afirmou.
O público, formado por representantes de agências, clientes e fornecedores do Live Marketing, também participou com perguntas.
Este foi o segundo encontro promovido pela AMPRO sobre o assunto da nova lei e seus impactos. Para contribuir com a adequação das agências, a entidade já está também estruturando guias e orientações de melhores práticas ao mercado, avaliando as melhores formas de garantir que as agências estejam em compliance com a LGPD, buscando manter os fluxos de trabalho do mercado de Comunicação viáveis.