Como a Lei Geral de Proteção de Dados Pessoais pode afetar seu negócio digital ( e o que fazer para se adequar)

A Lei Geral de Proteção de Dados Pessoais não é exatamente uma novidade, já que ela foi aprovada em agosto de 2018.

Mas ainda tem muita gente por aí que está deixando os ajustes para a última hora.

Desde que a GDPR entrou e vigor na Europa, muitos sites e blogs brasileiros tiveram que fazer adaptações nas suas políticas de privacidade.

Isso porque um visitante europeu poderia entrar em uma página brasileira.

Como a lei serve para proteger os cidadãos da Europa, ele teria todo o direito de reivindicar não só a proteção dos seus dados, bem como bloquear o acesso a eles.

Pode até ser que você nem tenha feito essas mudanças em suas páginas nessa época, mas agora não dá mais para escapar.

No dia 15 de agosto de 2020, entra em vigor, agora aqui no Brasil, a LGPD — Lei Geral de Proteção de Dados.

E ela pode afetar profundamente seu negócio digital.

Saiba como:

O que é a Lei Geral de Proteção de Dados?

A Lei Geral de Proteção de Dados foi atualizada na Europa e entrou em vigor no mês de maio de 2018.

Isso aconteceu porque os smartphones passaram a coletar cada vez mais dados dos seus usuários, gerando informações sensíveis para plataformas como Facebook e Google.

A Lei Geral de Proteção de Dados foi introduzida para regular o acesso e o uso de informações de pessoas físicas, tanto no meio digital quanto fora.

Também define o quê as empresas podem, ou não, fazer com a informação coletada, exigindo transparência por parte dos detentores dos dados, que precisam informar como vão usá-los.

A discussão sobre privacidade online ganhou repercussão mundial após o caso do Facebook e da Cambridge Analytica.

Pode até parecer uma realidade distante dos negócios digitais, pequenas empresas ou até de prestadores de serviço e influenciadores.

Mas a Lei Geral de Proteção de Dados Pessoais vai impactar todo mundo que lida com informações de outras pessoas de alguma forma.

Será que você também precisa se adequar então?

Quem está sujeito à Lei Geral de Proteção de Dados Pessoais

Não importa de você tem um pequeno e-commerce, um blog que vende produtos afiliados ou um consultório médico.

Se você coleta dados de clientes ou funcionários de alguma forma, inclusive fora dos meios digitais, você terá que fazer adaptações para cumprir os requisitos da lei.

Sendo pessoa física ou jurídica.

Ao coletar dados de outras pessoas, você passa a ser responsável por eles, inclusive em caso de vazamento ou roubo dessas informações.

Mesmo se você usa plataformas de terceiros, como ferramentas para criar landing pages ou fazer o e-mail marketing, a responsabilidade por guardar e fazer bom uso dos dados coletados é você.

E que dados são esses?

O que são considerados dados pessoais

Dado pessoal é qualquer informação relacionada a uma pessoa física, como:

• Nome
• Email
• Telefone
• Localização Geográfica
• Número de IP
• RG e CPF
• Cartão de crédito
• Hábitos de consumo
• Hábitos pessoais

Até os chamados dados sensíveis, como:

• Orientação sexual
• Origem racial
• Religião
• Opiniões políticas
• Dados sobre sua saúde e genética

O que diz a lei?

Para ter acesso ao texto completo da lei, basta clicar aqui.

Nesse artigo, vou listar os itens mais importantes da Lei Geral de Proteção de Dados Pessoais, especialmente para quem tem um negócio digital, mas sugiro que após ler o artigo, que você também consulte a lei na íntegra.

1.É preciso solicitar o consentimento do usuário em relação aos dados

A permissão do visitante antes de coletar seus dados pessoais, seja um email, nome ou apenas os seus dados de navegação através de cookies, precisa ser solicitada.

O visitante também deve ser informado sobre o destino desses dados, se serão compartilhados com outra empresa e como você pretende usá-los após a coleta.

O usuário também precisa ser informado por quanto tempo esses dados ficarão armazenados na sua base de dados.

2.Participação da tomada de decisão sobre o uso dos seus dados

Se você captura emails em troca de um ebook, por exemplo, e o usuário não concorda com a sua política de privacidade, você pode tanto impedir que ele continue a navegação, como também não baixe seu material.

Veja que a tomada de decisão sobre o fornecimento de dados fica na mão do visitante; ainda assim nenhum negócio é obrigado a aceitar se não desejar.

3.Portabilidade de dados

O usuário pode, em qualquer momento, solicitar o acesso aos dados coletados, bem como pedir para que sejam transferidos para outra empresa.

Seja você um prestador de serviços ou uma empresa de telefonia celular, se o cliente solicitar a transferência de dados, ele terá que ser atendido.

4.Direito ao esquecimento

Mesmo se o usuário algum dia concordou em ceder os dados para sua empresa, ele pode mudar essa decisão e pedir que você apague suas respectivas informações.

Esses mesmos dados também precisam ser possíveis de serem transferidos para o visitante, caso ele solicite.

5.Correção de dados incorretos ou desatualizados

Por fim, os usuários podem pedir a correção de dados que estão desatualizados ou errados.

E tem mais: ao invés de terem seus dados analisados por um sistema ou algoritmo, pode-se exigir que sejam avaliados por uma pessoa.

Aliás, uma das grandes diferenças entre a lei europeia e a brasileira, é a figura do controlador de dados. Embora ambas exijam que essa função exista, a lei europeia enumera em quais situações essa figura seria necessária, enquanto a brasileira afirma que essa função deve existir e ponto.

6.Aviso sobre vazamento de dados

Caso aconteça algum vazamento de informações dos usuários cadastrados na base de dados, o incidente precisa ser informado às autoridades legais o quanto antes.

No entanto, a lei brasileira não informa qual seria o prazo máximo para fazer isso, enquanto a europeia institui em até 72 horas.

A boa notícia é que quem já se adequou aos requisitos da Lei Geral de Proteção de Dados Pessoais da Europa, terá poucas alterações a fazer.

A LGPD e o Marketing Digital

Não importa se você tem um blog ou uma empresa digital com 50 funcionários, você também terá que cumprir a lei.

Fique de olho se você:

• Captura emails de novos visitantes.
• Usa WordPress: a plataforma coleta nome e email quando alguém comenta em uma postagem, fora que você certamente usa plugins e não sabe quais deles podem armazenar dados dos usuários.
• Avalia o número de visitas com o Google Analytics.
• Usa MailChimp ou outra plataforma de email que verifica o número de abertura e cliques.
• Tem pixels do Facebook, Google ou outras plataformas de anúncios no site.
• Usa plugins e ferramentas que identificam o nº de IP do usuário para evitar ataques e malwares.

Autorização de dados

Como já falei acima, a lei exige que o usuário aprove a coleta de seus dados, não importa quais forem.

Além disso, ele precisa saber quais serão os usos desses dados que ele está fornecendo.

Portanto, para pedir a permissão do visitante, basta usar uma landing page com um formulário e um check box.

Se você vai recolher o email para enviar newsletters ou fazer campanhas de vendas, informe isso ao usuário na sua política de privacidade.

O pedido de consentimento deve estar presente em toda página que você necessitar obter os dados do visitante.

Pedir autorização para quem já faz parte da sua base de dados

Se você tem uma lista de emails onde algumas pessoas não precisaram explicitamente permitir o uso dos dados, você terá que fazer isso agora.

Você precisa entrar em contato com a sua base de clientes e pedir novamente a autorização dessas pessoas.

Basta um email com o pedido de autorização e pronto.

Também lembre-se que você precisa guardar esse consentimento como forma de provar que teve autorização do usuário, bem como precisa excluir esses dados da sua base caso seja solicitado.

Avise se você usa cookies e pixels no seu site

Se você usa pixel para marcar a visita de um usuário, antes que navegue por qualquer página, informe que seu site irá registrar os acessos dele através de cookies.

Não esqueça de explicar o motivo do uso dessas ferramentas também, que no caso serão futuros anúncios de produtos e serviços.

Cuide muito bem da segurança dos dados

Jamais armazene esses dados em dispositivos móveis, como celulares ou tablets, que podem ser facilmente roubados ou perdidos.

Também não compartilhe logins e senhas com outras pessoas. E se você usa esses dados de seus clientes para prestar serviços (digamos que você é um social media), tenha certeza que essas informações estão protegidas e somente você tenha acesso a elas.

Como adaptar seu negócio online à Lei Geral de Proteção de Dados?

Se você não fizer nada além de publicar uma Política de Privacidade no seu site, você já estará mais bem preparado que boa parte dos sites por aí.

Ainda não é possível saber como a lei será aplicada na prática, mas somente esse passo pode não ser suficiente.

Veja o que pode fazer com que você durma com maior tranquilidade durante a noite:

1.Revise todos seus processos de coleta de dados

Analise profundamente todos os dados que você coleta, seja email, telefone, dados de navegação, etc.

Para facilitar ainda mais sua auditoria, liste todas as ferramentas que você usa para movimentar seu negócio, como as que citei anteriormente.

Assim você consegue avaliar melhor que dados elas estão coletando (dentro da sua própria política de privacidade) e pode deixar claro na sua.

2.Crie a sua Política de Privacidade

Você pode avaliar até mesmo a nossa política de privacidade, mas lembre-se: cada negócio tem sua especificidade e simplesmente dar um Control C + Control V pode ser perigoso.

Por isso que o passo anterior é tão importante.

Se você já tem uma Política de Privacidade, vale revisar e até contratar um advogado especializado para avaliar se ela está de acordo com a LGPD.

3.Não deixe dúvidas sobre a coleta de dados

Informe na sua política, e na caixa de autorização, quais dados você está coletando e com qual fim.

Também vale decidir se você realmente precisa coletar todos esses dados, afinal, quanto mais informações, maior sua responsabilidade de controle e proteção.

E por falar em controle…

4.Escolha o guardião dos dados

Para empresas menores pode ser inviável a contratação de uma pessoa para gerenciar e controlar a base de dados.

E não só a base de dados de clientes, mas de visitantes, funcionários e até fornecedores.

Portanto, se é algo gerenciável dentro da sua empresa, escolha alguém do seu time para fazer isso.

Caso você seja uma “eupresa”, já sabe de quem será a responsabilidade…

5.Invista em segurança

Não importa se você sofreu um ataque e seus dados foram roubados, você pode ser penalizado de acordo com a lei.

Por isso, investir em segurança é fundamental.

Isso inclui investir em plugins, cuidados básicos com senhas e logins e até mesmo com dados armazenados em HDs e outros itens externos.

Uma parte básica no quesito segurança é a escolha de um servidor confiável.

6.Mude as configurações do Google Analytics

O Google Analytics usa cookies para rastrear quando as pessoas visitam seu blog. Eles permitem que o GA diferencie um visitante de outro.

Mas, quando configurados corretamente, é provável que os cookies do GA sejam vistos como “intrusivos para não privacidade”, o que significa que você não precisa de um consentimento específico prévio para usá-los.

É importante que você não tenha implementado a funcionalidade  de ID do usuário que permite que você identifique um visitante, mesmo que ele visualize seu site em dispositivos diferentes.

7.Revise contratos

Principalmente se você é um prestador de serviços, certamente terá dados de seus clientes.

Não só revise seus contratos, como inclua uma cláusula de autorização do uso dos mesmos.

O que acontece com as empresas e sites que não se adequarem

A pena para as empresas e pessoas que não se adequarem até agosto de 2020 pode ser bastante severa.

A lei prevê multa de até 2% do faturamento líquido da pessoa jurídica de direito privado no total de até 50 milhões por infração.

Certamente um erro que pode ser custoso e até tirar uma empresa do mercado.

Portanto, não espere até o ano que vem para fazer as mudanças necessárias.

Essa não é uma lei válida somente no território nacional, mas sim uma tendência global que muito em breve também será adotada por países como Estados Unidos e Índia.