382 segundos
A LGPD entrou em vigor em 2020 e traz diversos impactos para as organizações que tratam dados pessoais, incluindo o setor de comunicação.
A Lei nº 13.709, de 14 de agosto de 2018, também conhecida como “Lei Geral de Proteção de Dados Pessoais” ou “LGPD” dispõe sobre a proteção e privacidade dos dados pessoais[1], estabelecendo princípios e diretrizes a serem observadas pelas organizações no tratamento[2] destes dados.
Atualmente, o tratamento de dados pessoais é de suma importância para o mercado de comunicação, uma vez que as organizações do setor, para realização de suas atividades de forma eficiente, utilizam os dados pessoais de forma massiva. Por exemplo, o tratamento escalonado de dados pessoais permite a criação de perfis (profiling), a segmentação de pessoas pelo seu comportamento e, até mesmo, a segmentação de público, o que é altamente utilizado pelo setor da comunicação, principalmente nas estratégias de marketing.
Neste ponto, é importante destacar que existem algumas exceções para a aplicação da LGPD[3]. A lei não será aplicada, por exemplo, quando o tratamento for realizado para fins exclusivamente jornalísticos. A LGPD não traz um conceito ou maiores esclarecimentos sobre a finalidade jornalística do tratamento dos dados, tais questões serão analisadas e direcionadas pela Autoridade Nacional de Proteção de Dados (“ANPD”).
Ainda que não aplicável a LGPD para finalidades jornalísticas, é recomendável que os agentes de tratamento sigam os princípios e diretrizes previstos na LGPD, como boa prática e a fim de evitar eventuais danos aos titulares, danos esses que os agentes poderão ser responsabilizados com base em outras leis aplicáveis, como o Código Civil Brasileiro e a Constituição Federal.
O objetivo da LGPD é trazer maior controle dos dados pessoais aos titulares, bem como transparência e segurança em todo o tratamento de dados. Para tanto, a lei confere alguns direitos aos titulares dos dados, que deverão ser garantidos pelos agentes de tratamento, por exemplo, os dados pessoais podem ser tratados apenas para as finalidades a eles informadas. Ademais, os titulares terão direito a acesso e correção dos dados, confirmação do tratamento, revogação do consentimento, revisão de decisões automatizadas, eliminação/anonimização/bloqueio dos dados pessoais desnecessários ou excessivos, dentre outros.
A LGPD tem caráter principiológico e prevê diversos princípios que devem ser observados no tratamento de dados pessoais, dentre eles: (i) finalidade: o tratamento deverá ser realizado apenas para propósitos legítimos específicos e explícitos; (ii) adequação: o tratamento deve ser compatível com as finalidades informadas ao titular; (iii) necessidade: devem ser tratados apenas os dados necessários, não excessivos.
A lei em comento também muda a forma como as empresas irão se comunicar com clientes e potenciais clientes. Bem, na prática, significa que leads, clientes e parceiros precisam confirmar que desejam ser contatados para fins publicitários, por exemplo. Isso porque, conforme princípios previstos na lei, em todo tratamento de dados pessoais, os agentes devem informar as finalidades aos seus titulares e devem coletar e tratar apenas os dados mínimos necessários.
Ademais, os agentes deverão ter algum fundamento jurídico (“base legal”) para legitimar cada tratamento de dado realizado. Na LGPD, encontramos 10 (dez) bases legais para o tratamento de dados pessoais de forma geral[4], mencionadas no artigo 7º, cabe ainda ressaltar que, uma vez atendida uma das bases previstas em lei, o tratamento será considerado legítimo. Assim, é importante definir a base legal apropriada, sempre observando os princípios mencionados acima.
De acordo com a LGPD, se a organização deseja usar os dados de clientes ou rastrear seu comportamento para publicidade, por exemplo, deve obter a base legal adequada para o tratamento ser considerado lícito. Para tal tratamento, a base legal mais apropriada será provavelmente o consentimento do titular[5], ou seja, a organização deve obter um consentimento explícito de aceitação de seus clientes.
Outro ponto de conexão da LGPD ao setor de comunicações é com relação às mídias sociais e marketing, sendo essencial observar os impactos da lei nos esforços publicitários das organizações. Se a organização é responsável por coletar, armazenar ou analisar dados para marketing, por exemplo, pode começar no caminho certo em direção à conformidade com a LGPD oferecendo opt-ins[6] para as pessoas que estão engajadas com o seu conteúdo digital. Isso porque, a princípio, para o envio de conteúdos seria necessário o consentimento do titular de dados.
Em que pese a LGPD já estar em vigor, suas sanções e penalidades só poderão ser aplicadas administrativamente pela ANPD a partir de 1º de agosto de 2021. Entretanto, os agentes de tratamento poderão ser responsabilizados judicialmente desde já, caso seus atos causem danos ou prejuízos para os titulares de dados, por exemplo.
A nova lei não é um retrocesso, nem deve ser vista como algo que trará um impacto negativo para os negócios. Na verdade, é uma grande oportunidade para que as organizações consigam se destacar e diferenciar no mercado, ao garantir segurança ao titular, bem como assegurar o fluxo de dados de maneira segura e legal.
Assim, é imprescindível que as organizações realizem o quanto antes um programa de conformidade com as leis de proteção de dados, adotando medidas para garantir os direitos dos titulares, a segurança e privacidade dos dados.
[1] Nos termos da LGPD, “dado pessoal” é qualquer informação relacionada a pessoa natural identificada ou identificável. Assim, a depender do contexto de tratamento de dados, podemos considerar como dado pessoal o nome, endereço, telefone, número de RG e CPF, bem como endereço IP ou outros. A LGPD estabelece, ainda, maior proteção aos “dados pessoais sensíveis”, que são dados “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural” (artigo 5º, inciso II da LGPD).
[2] Tratamento de dados é “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (artigo 5º, inciso X da LGPD).
[3] Via de regra, a lei será aplicada a qualquer operação de tratamento de dados, seja ela realizada por pessoas jurídicas ou naturais, desde que: a coleta ou alguma operação de tratamento de dados seja realizada no Brasil; ou a atividade de tratamento tenha por objetivo a oferta ou fornecimento de bens ou serviços ou tratamento de dados de indivíduos localizados no Brasil.
[4] O artigo 11 da LGPD estabelece as bases legais para tratamento de dados pessoais sensíveis e o artigo 14 as bases legais para tratamento de dados pessoais de crianças e adolescentes.
[5] A definição da base legal mais adequada dependerá da análise do caso concreto, mas, de maneira geral, nos casos de marketing direcionado e mala direta, por exemplo, o consentimento se demonstra como base legal mais segura e acertada.
[6] O opt-in é a autorização necessária, dada por um indivíduo, o titular de dados pessoais, para receber comunicações por e-mail de uma determinada empresa.
