O Papel das agências em relação à LGPD – Lei Geral de Proteção de Dados
11 de dezembro de 2019Apesar de o prazo de adaptação à LGPD ter sido alterado para agosto de 2020, apoiado no argumento de que os diversos atores envolvidos precisavam de tempo para se organizarem, temos observado que grande parte das empresas brasileiras ainda não iniciou o processo de adequação.
Por Weverton Guedes
Muitos ainda não se movimentaram no sentido de criar processos de segurança da informação, de documentar regras internas no tratamento de dados, elaborar mecanismos de gestão de risco e as demais iniciativas necessárias para lidar com a legislação.
Inclusive, como consequência disso, no dia 30 de outubro o deputado Carlos Bezerra entrou com projeto de lei que visa prorrogar a data de entrada em vigor da LGPD para 15 de agosto de 2022.
Ele se apoia, em parte, nos resultados do estudo Brazil IT Snapshot, que indica que “apenas 17% das instituições consultadas dispõem de iniciativas concretas ou já implementadas em relação à matéria. Além disso, 24% tiveram contato com o tema somente por meio de apresentações, e apenas 24% ‘têm orçamento específico para colocar em prática ações que garantam a proteção de dados de acordo com as exigências legais’.”
Sem entrar na seara da validade ou não da proposta, os números citados apenas corroboram o atual estado de inadequação das empresas brasileiras, cenário que é ainda mais crítico entre as PMEs.
Os desafios decorrentes da LGPD
Existe um sistema de deveres para quem lida com dados pessoais. Partindo do princípio de accountability, se torna obrigatória a demonstração da adoção de medidas eficazes para proteção de dados.
Dentre esses deveres, estão (1) o Registro das operações de tratamento de dados pessoais, (2) compartilhamento de relatório de impacto à proteção de dados sob demanda, (3) adoção de medidas técnicas e administrativas de segurança para evitar usos ilícitos de dados, e (4) por fim, naturalmente, o preparo para lidar com sanções administrativas em casos de violação (acidentais ou não).
Hoje grande parte das empresas brasileiras ainda não consegue minimamente ter um uso adequado ou sofisticado de dados em marketing, especialmente pensando em empresas pequenas e médias.
Falando de marketing digital, por exemplo, em geral lidamos com muitas bases de informação, desde audiência de canais online, redes sociais, campanhas de captação de leads, adservers, mídia programática etc.
É um mundo vasto, que por si só apresenta um desafio recorrente ao traçar os caminhos estratégicos para lidar a fim de atingir os objetivos de negócio.
A LGPD agrega uma camada a mais de complexidade nessa equação.
Mesmo Governança de Dados ainda é um assunto superficial para a maioria. Poucos players têm líderes responsáveis por criar políticas e reportar progressos no assunto, quem dirá lidar com a nova legislação.
Por outro lado, a lei vai dar aquele empurrão necessário para quem ainda não valoriza o tema. A necessidade de se adaptar fará com que as empresas sofistiquem não apenas os mecanismos de proteção de dados, mas o uso estratégico e adequado dos dados em si.
Acredito que será positivo não só para os usuários, mas também para as empresas no médio/longo prazo. A simples demanda por revisão dos dados disponíveis nas organizações vai aumentar a visibilidade do tipo de informação existente internamente e consequentemente inspirar o desenvolvimento de novas soluções e produtos.
Os impactos que a LGPD trará para o mercado brasileiro
Do ponto de vista da sociedade, a LGPD vai aumentar a confiança em relação à coleta e ao uso de seus dados pessoais e reduzir a insatisfação de muitos com relação ao emprego indiscriminado de suas informações.
Do ponto de vista das organizações, o modelo mais protetivo vai permitir uma melhor relação econômica com os países que saíram na frente em relação à proteção de dados.
A União Europeia, por exemplo, uma vez reconhecida como bloco econômico com grande poder de compra, declaradamente tentou impor seu padrão mais rígido. Dessa forma, os países que desejavam manter relações comerciais com os seus países membros, precisaram criar marcos regulatórios em certo nível inspiradas na GDPR.
Com a lei em vigor, diversas barreiras regulatórias enfrentadas hoje serão mitigadas, viabilizando maior potencial de internacionalização.
Como consequência, naturalmente, a demanda por adaptação vai incluir uma camada a mais de complexidade nas operações:
(1) Há impactos na forma como o dado é analisado. Parte das informações antes disponíveis que auxiliavam a traçar perfis de comportamento para otimizar investimentos em marketing não estarão mais acessíveis na mesma escala. Isso gera um impacto direto na lucratividade das empresas. Elas precisarão ser mais estratégicas e transparentes no uso dos dados para manter a inteligência operacional.
(2) Impacto na compra de mídia digital, na inteligência artificial e iniciativas de CRM. Os tipos de dados disponíveis para segmentação e otimização automatizada de campanhas também eram vastos, agora as organizações precisarão ser mais criativas nessas frentes.
(3) O princípio de consentimento explícito tem efeito substancial nas taxas de conversão e retorno sobre o investimento. Em tese, isso vai gerar um passo a mais no processo de conversão e de compra em lojas virtuais, por exemplo. As organizações vão precisar investir mais em User Experience Research para encontrar novos caminhos no intuito de reduzir a fricção na experiência dos usuários.
(4) Adequação dos talentos. Vai aumentar a complexidade ao contratar e qualificar profissionais de análise de dados. Isso demanda processos de recrutamento com novos critérios e treinamento de profissionais para lidar com o tema.
(5) Aumento dos custos com tecnologia, com ferramentas de banco de dados, monitoramento, segurança, e mais o que for necessário para garantir a conformidade com a lei.
O papel das agências nesse momento de transição para a LGPD
Na relação entre controlador e operador, sob a luz da LGPD, no mercado de comunicação as marcas em geral são controladoras e as agências de publicidade são operadoras. A definição é dinâmica, mas o importante a destacar é que as agências exercem uma função sensível nessa relação posto o modo cada vez mais data-driven de se operar comunicação.
Consequentemente, tendem a surgir muito prontamente nos assessments desenvolvidos pelas controladoras.
Dada a importância das agências nessa relação, é essencial que se movimentem proativamente para auxiliar as marcas.
As agências lidam com múltiplas organizações em diferentes indústrias, o que cria uma visibilidade importante sobre os desafios enfrentados por cada uma.
Soma-se a isso o fato de que atuam ativamente com dados para ações de marketing e podem participar consultivamente do processo de adequação das empresas trazendo experiências na implementação em diferentes cenários.
Outro fator é que, uma vez que grande parte das iniciativas envolvendo dados ocorre de forma autônoma pelas agências, é importante que também tenham seus processos de adequação, compliance e estrutura de governança de dados.
Como uma agência pode lidar com isso
A lei atribui a necessidade de nomear um encarregado de proteção de dados (inspirado no DPO – Data Protection Officer, termo provindo da GDPR), que será responsável por atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD (Autoridade Nacional de Proteção de Dados).
Na prática, são muitos os papéis do encarregado. O texto da lei define que suas atividades consistem em: (1) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; (2) receber comunicações da autoridade nacional e adotar providências; (3) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais, e; (4) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Não há um consenso sobre o perfil ideal do encarregado, mas é importante considerar a característica híbrida de conexão e navegação entre diferentes áreas, como tecnologia da informação, jurídica, administrativa, financeira, RH etc. Além disso, é crucial evitar o conflito de interesse ao nomear o encarregado.
Apesar da existência dessa função, é importante que as agências reconheçam sua responsabilidade como organização, desenvolvendo ações internas de capacitação e treinando as suas diversas áreas, de profissionais de dados a criativos, para estimular a discussão. Esse é um alinhamento cultural, não só processual, mas com muita relevância para a melhor compreensão da gestão eficaz dos dados pessoais.
Em resumo, o nosso processo de fomento à adequação envolve
• Realização de assessment;
• Definição dos papéis nos times envolvidos;
• Alinhamento e treinamento processual e cultural;
• Definição de políticas;
• Mapeamento dos dados tratados;
• Criação de mecanismos para garantia dos direitos dos titulares;
• Reavaliação de parceiros, atualização de contratos e demais iniciativas necessárias na relação com operadores;
• Relatório de avaliação de impacto;
• Avaliação e adequação das atividades de transferências internacionais;
• Criação de procedimentos para incidentes;
Acredito que as agências de comunicação têm uma vantagem competitiva por conta da pluralidade de negócios com que lidam e do poder de influência nos resultados.
O bom uso dessa visibilidade em diferentes cenários é de grande valia para as organizações, auxiliando em uma adequação mais fluída, mitigando os riscos inerentes à LGPD e, por que não, fomentando novas oportunidades de negócio.
Weverton Guedes é Diretor de Data & Performance da REF+
Temos uma excelente coluna sobre proteção de dados. Leia e compartilhe!