LGPD para empresas | Perguntas frequentes - ASB Marketing : ASB Marketing

LGPD para empresas | Perguntas frequentes

A LGPD para empresas surgiu com o objetivo de tornar mais transparente a captação, manipulação e armazenamento de dados pessoais.

Na prática, a Lei Geral de Proteção de Dados é baseada na lei europeia GPDR (General Data Protection Regulation ou Regulamento Geral Sobre a Proteção de Dados, na tradução) e entrou em vigor no Brasil em setembro de 2020.

Uma das preocupações das organizações com a vigência da LGPD é as ações de marketing e vendas, afinal, ainda será possível implementar estratégias de prospecção ativa? Como ficarão as iniciativas de marketing de atração?

Para te ajudar a entender todos esses aspectos, respondemos abaixo as perguntas mais frequentes. Confira:


Sobre a LGPD

Os dados públicos são caracterizados como informações dispostas pelos próprios usuários em fontes de dados abertas (a Receita Federal, por exemplo).

A proteção de dados, em aspecto jurídico, refere-se à possibilidade do titular controlar a maneira como seus dados pessoais são utilizados, com o objetivo de evitar tratamentos, finalidades ou vazamentos que causem danos ao cidadão. 

A privacidade é assegurada pelo artigo 5º da Constituição Federal e consiste no direito de qualquer cidadão em ter suas informações pessoais preservadas, são considerados pela legislação “intimidade, a vida privada, a honra e a imagem das pessoas”.

Pessoa física a quem se refere os dados pessoais.

Sim e todo o tratamento de dados deve ser realizado com o devido consentimento dos pais ou responsáveis. 

A anonimização está relacionada com a desvinculação da possibilidade de identificar o titular pelos dados. Nesse sentido, as informações pessoais são descartadas, como nome, telefone, endereço e documentos, de modo a deixar o dado generalista. 

Um exemplo é a criação de personas, em que apenas características similares e generalistas dos dados são mantidas na base, como idade, gêneros e regiões. 

Com isso, dados anonimizados não são assegurados pela LGPD, pois não consistem mais em tratamentos de dados pessoais. 

A pseudonimização trata-se da desvinculação dos dados pessoais de dados generalistas, porém, esses dados pessoais não são apagados completamente e sim mantidos em uma base de dados separada.

Nesse sentido, a LGPD é aplicada porque a empresa ainda possui os dados pessoais dos titulares. 

Um exemplo de pseudonimização é o levantamento de informações dos clientes internos para pesquisas de mercado ou, ainda, melhorias operacionais. 

Nesse cenário, apenas dados generalistas são separados e utilizados para esses fins, no entanto, ainda seria possível verificar dados pessoais por meio de um identificador. 

A LGPD é aplicada a toda pessoa natural ou pessoa jurídica, pública ou privada, que faz uso de dados pessoais. 

A LGPD é aplicada a qualquer pessoa natural ou jurídica, pública ou privada, que faça coleta e tratamento de dados pessoais em território nacional, independentemente da origem da empresa ou país em que os dados estejam armazenados. 

Não, a LGPD se aplica apenas a dados pessoais. Isso significa que, se o dado se refere à uma pessoa jurídica (como CNPJ e razão social), não é assegurado pela LGPD. 

Não, a LGPD visa a segurança e transparência na coleta, tratamento e armazenamento de todos os tipos de dados pessoais, sejam eles físicos ou eletrônicos.

A LGPD não se aplica ao tratamento de dados públicos (fontes de dados abertas, como a Receita Federal) e dados pessoais para fins não comerciais, como uso pessoal, jornalístico, acadêmico, segurança e políticas públicas.

A transferência internacional de dados diz respeito à movimentação de dados para países estrangeiros ou órgãos internacionais. 

Isso apenas pode ser feito mediante as seguintes hipóteses:

  • Consentimento claro e transparente do titular dos dados;
  • Garantias do cumprimento da LGPD ou para países e órgãos internacionais que possuem uma lei de proteção de dados pessoais adequados à LGPD;
  • Proteção da saúde ou da vida do titular ou de terceiros;
  • Cooperação jurídica;
  • Autorização dos órgãos internacionais.

Dados pessoais são informações que identificam o usuário, como:

  • Nome;
  • Sobrenome;
  • Gênero;
  • Estado Civil;
  • Documentos únicos identificáveis (CPF, RG, CNH)
  • Telefone e celular;
  • E-mail com nome identificável;
  • Endereço;
  • Geolocalização e outros.

Dados sensíveis são informações que caracterizam o usuário, como:

  • Posicionamentos religiosos;
  • Opiniões políticas;
  • Raça ou etnia;
  • Condições de saúde, vida sexual ou outros.

Sobre o tratamento de dados

O tratamento de dados pessoais diz respeito a todos os processos aplicados nos dados, como coleta, classificação, utilização, reprodução, acesso, armazenamento, distribuição, eliminação e controle da informação.

O consentimento trata-se da manifestação livre, transparente e legítima do titular de dados a respeito do tratamento dos seus dados pessoais para uma finalidade específica. 

Sim, a qualquer momento o titular de dados pode revogar o consentimento e, caso isso ocorra, a sua empresa é obrigada a excluir os dados pessoais do titular do banco de dados.

Além disso, o titular pode solicitar informações a respeito do tratamento, armazenamento e segurança dos dados, além de alterações. 

Essas solicitações devem ser facilitadas pelas empresas, de modo a garantir transparência na gestão dos dados pessoais. 

O prazo para posicionamento da empresa referente a acesso ou existência de dados por parte dos titulares pode ser classificado em:

  • Declarações simples: imediatamente;
  • Declarações mais complexas, claras e completas: até 15 dias (contando a partir da data de solicitação).

Os responsáveis pelo tratamento de dados pessoais são chamados de Agentes de tratamento:

  • Controlador: responsável pelas decisões do tratamento de dados pessoais (pessoa física ou jurídica, do poder público ou privado);
  • Operador: responsável pelo tratamento de dados de acordo com as decisões do controlador (pessoa física ou jurídica, do poder público ou privado).

O Data Protection Officer ou Encarregado pela Proteção de Dados, na tradução, é o profissional responsável por ajudar as empresas a se adequarem à LGPD, sendo uma ponte entre as organizações, titulares e órgãos regulamentadores.

Trata-se de um conjunto estruturado de dados pessoais eletrônicos ou físicos, seja em um ou vários locais. 

Para prever um incidente de segurança é fundamental possuir normas internas robustas, contar com ferramentas de monitoramento aprimoradas e possuir um plano de resposta a incidentes, com medidas a serem aplicadas em caso de ocorrências que prejudiquem a preservação dos dados pessoais.

Período da vigência de um dado, contando desde a coleta até o descarte.

Órgão subordinado à Presidência da República responsável por fiscalizar, regular e penalizar sobre o tratamento de dados pessoais por pessoas físicas e jurídicas.

A LGPD prevê algumas sanções administrativas (punições) para empresas que não cumprem as normas da lei, como:

  • Advertência;
  • Bloqueio e eliminação dos dados pessoais;
  • Multa simples de até 2% do faturamento da empresa (limitada a cinquenta milhões de reais por infração);
  • Multa diária;
  • Suspensão e proibição parcial ou total do tratamento de dados pessoais.

As sanções administrativas (punições) podem ser aplicadas pela Autoridade Nacional de Proteção de Dados a partir do dia 1º de agosto de 2021.

O incidente de segurança trata-se de qualquer situação que cause perda de confidencialidade, integridade ou disponibilidade dos dados pessoais.

A comunicação de um incidente de segurança deve ser feita à Autoridade Nacional de Proteção de Dados (ANPD), com informações acerca do acontecimento, natureza dos dados, titulares envolvidos, riscos e indicações de medidas paliativas. 

A Lei Geral de Proteção de Dados é baseada em alguns princípios básicos que regem a captação e administração das informações pessoais, são eles:

Transparência: o titular dos dados precisa saber de maneira clara como seus dados são utilizados e as movimentações, como informações repassados a terceiros.

Finalidade: dados coletados para determinadas finalidades devem ser usados para objetivos legítimos, específicos, explícitos e informados. Não é possível direcionar informações para outras iniciativas sem o devido consentimento do titular.

Necessidade: o tratamento de dados é restrito às informações realmente necessárias para a finalidade estabelecida por sua empresa. 

Adequação: diz respeito à compatibilidade dos dados solicitados de acordo com as necessidades e finalidades definidas. Um exemplo é a solicitação de informações sensíveis para empresas de infraestrutura de TI. 

Livre acesso: dispor aos usuários de maneira simples e gratuita informações como os dados são utilizados, armazenados e o período. Para tal, é preciso realizar a criação de um termo de uso e disponibilizar no seu site para eventuais consultas.

Qualidade dos dados: garantir aos usuários transparência e atualização dos dados de acordo com as necessidades e finalidades do seu tratamento.

Segurança: cabe às empresas implementar iniciativas aprimoradas de segurança para garantir a preservação dos dados coletados;

Prevenção: é de responsabilidade da empresa prevenir danos e elaborar soluções paliativas em casos de vazamentos, perdas ou outros problemas que envolvam essas informações.

Responsabilização e prestação de contas: as organizações devem adotar meios técnicos de comprovar a adequação à legislação, como plataformas que auxiliam nos registros dessas informações, protocolos internos, treinamentos do time e sistemas de segurança.

Não discriminação: por fim, a lei também prevê que nenhum usuário pode ser discriminado ou, até mesmo, sofrer algum tipo de abuso por conta dos dados disponibilizados às empresas. 

A governança é responsável por toda a gestão de dados da empresa, assim como a segurança da informação. Com isso, é possível classificar, mapear e tratar dados de maneira mais eficiente, além de mensurar riscos e aplicar medidas de segurança mais aprimoradas.

Não há ferramentas previstas na lei. Essa responsabilidade fica a cargo da empresa, desde que as tecnologias escolhidas auxiliem na coleta, tratamento, armazenamento e segurança de dados pessoais em conformidade com a legislação. 

LGPD aplicada ao marketing

A política de privacidade trata-se de um documento legal em que a empresa expõe, de maneira transparente, a maneira que coleta (de forma direta, como o uso de formulário, ou indireta, como a utilização de cookies e web beacons), gerencia, utiliza e divulga os dados pessoais do titular.

Por sua vez, esse documento deve ser disponibilizado de modo gratuito e facilitado para acesso do titular dos dados sempre que necessário.

Consistem nas regras/termos que os usuários devem respeitar para utilizar os serviços da corporação. As normas devem estar de acordo com a finalidade do site e/ou empresa. 

Os cookies são arquivos armazenados no navegador que visam mapear, identificar e reportar informações sobre o visitante de um site com o objetivo de aprimorar a navegação.

No entanto, para que as empresas implementem cookies em seus sites, é fundamental disponibilizar a política de cookies, um documento em que é descrito a maneira como a organização utiliza essas informações.

Além disso, o visitante deve concordar em utilizar cookies durante a navegação no seu site. 

O mapeamento de dados pessoais serve para levantar e organizar todos os fluxos de captação, análise, tratamento, armazenamento e gestão de dados pessoais, com o objetivo de tornar a operação mais estruturada e potencializar o controle de segurança.

Para se adequar à LGPD, é preciso realizar uma análise detalhada da atual base de dados e atualizar permissões por meio do envio de informes por e-mail questionando o titular se deseja receber informações da sua empresa. 

Além disso, é fundamental oferecer ao titular a possibilidade de se descadastrar da sua base de dados de maneira simples. Caso isso ocorra, sua empresa é obrigada a excluir os dados pessoais do titular.

Sim, porém, essa finalidade deve estar explícita no momento da coleta de dados e deve ser devidamente consentida pelo titular. 

Para isso, é válido a aplicação de uma caixa de marcação vazia e disponibilização dos Política de Privacidade e Termos de Uso no momento de coleta. 

Por exemplo: 

Eu concordo com a Política de Privacidade da ASB Marketing.

Eu aceito receber conteúdo educacional e promocional relacionado com os produtos e serviços da ASB Marketing

Atualmente, é necessário dispor de todas as informações acerca da utilização dos dados coletados na própria página de formulário, quando ocorre a conversão.

Nesse sentido, deixe claro se esses dados serão usados apenas para acesso aos materiais ricos disponibilizados pela sua empresa (como E-books, Infográficos, Webinar e outros) ou se farão parte de alguma estratégia de marketing. 

Para tal, é preciso acrescentar campos de consentimento para marcação dos próprios usuários, assim como links diretos para a Política de Privacidade e Termos de Uso da sua empresa. 

  • Estude profundamente a LGPD;
  • Levante responsáveis por gerenciar essas estratégias;
  • Elabore um plano de ação;
  • Revise a política de privacidade da sua empresa;
  • Analise a base atual de dados e permissões concedidas pelos usuários;
  • Entre em contato com os usuários atuais para questionar se desejam continuar recebendo informações sobre a sua empresa;
  • Ao estabelecer o primeiro contato com novos usuários, cite onde esses dados foram coletados e a finalidade da interação;
  • Tenha uma política de segurança robusta para proteção de dados.

LGPD aplicada a vendas

Não, ainda é possível realizar a prospecção ativa B2B, no entanto, esse processo deve ser implementado com cuidado e transparência.

Para tal, a prospecção de dados públicos é uma maneira de continuar com a prospecção ativa de maneira adequada à LGPD, isso porque dados públicos não são aplicados à lei (por se tratar de fontes de dados abertos) e, por isso, são isentos do consentimento.

Trata-se da prospecção de dados em fontes abertas (como Receita Federal) que não identificam nenhum usuário em específico (como nomes, telefones e e-mails pessoais) e sim a empresa. 

Nesse cenário, o primeiro contato deve deixar claro onde esses dados foram encontrados e as intenções da empresa com a comunicação, assim como é fundamental solicitar a permissão para seguir com a interação.

Alguns exemplos:

“Olá, X, eu sou Y, Representante de Vendas da ASB Marketing e conseguimos o seu e-mail por meio do …”

“Estou entrando em contato para te apresentar…”

“Se você deseja receber nosso contato, por favor me retorne este e-mail para prosseguirmos para os próximos passos…”

Os e-mails corporativos não identificam um usuário pessoal e são generalistas, como:

Por sua vez, os e-mails pessoais identificam o usuário com nome e/ou sobrenome, como:

A LGPD se aplica apenas a dados pessoais simples ou dados pessoais sensíveis. 

Por isso, se a sua estratégia de abordagem possui um e-mail pessoal, o contato deve ser pautado no consentimento, aspecto não necessário para os e-mails corporativos, por se tratarem de informações públicas. 

As abordagens cold call e cold mail apenas podem ser efetivadas se forem devidamente autorizadas pelo próprio usuário e a empresa apresente a finalidade do contato. Exemplo:

“Olá, X, sou Ana, SDR da empresa Y e conversamos por e-mail (ou outro canal). Estou entrando em contato para te falar mais sobre…”

Além disso, é possível realizar uma abordagem direta caso o contato trata-se de um dado público (e-mail corporativo e telefone da empresa). 

Sim, no entanto, a primeira abordagem deve ser transparente, informar a finalidade e solicitar consentimento para prosseguir com o contato.

  • Em interações por e-mail e outros canais, sempre explique a procedência e o motivo do contato;
  • Ofereça pelo menos uma opção de descadastramento da base de contatos da sua empresa;
  • Peça permissões para iniciar contatos por novos canais;
  • Treine os seus colaboradores a respeito das novas ações internas;
  • Tenha um bom CRM para acompanhamento das ações de vendas e interação com os usuários.

Observação: empresas com políticas de segurança da informação mais rígidas exigem processos complementares para garantir a proteção dos dados. Fluxos de e-mail iniciados pelo Linkedin são uma boa alternativa, pois os dados visíveis dessa rede social, como nome, empresa e cargo, são públicos. Como indicação de abordagem, é possível solicitar o e-mail de contato nesse primeiro contato.

Load More