LGPD: Aulão Completo com 11 Dúvidas Respondidas

A LGPD já está em vigor há alguns anos e até hoje é comum encontrar profissionais com dúvidas sobre o que pode e o que não pode na nova Lei. 

É normal: o olhar mais cuidadoso para os dados nunca foi uma preocupação tão grande na hora de planejar e executar ações de marketing. 

O foco sempre fica no que é necessário fazer: quais peças produzir, que materiais disponibilizar, como fazer uma landing page etc. 

A questão é que trabalhando com o marketing digital, todos nós temos responsabilidades com a privacidade das pessoas que escolhem se tornar nossos leads. 

Com certeza ninguém duvida disso. A questão é o dia a dia: saber o que a LGPD diz, o que pode e o que não pode fazer etc. 

O aulão de hoje é para isso: te mostrar como a LGPD se insere no seu dia a dia de planejamento e execução nas ações de marketing digital. 

Vamos lá? 

O que é a LGPD? 

A Lei Geral de Proteção de Dados pessoais é uma iniciativa do Governo Federal que entrou em vigência em 2020. Seu objetivo é regulamentar o tratamento de dados oferecidos por pessoas para empresas, de forma digital ou em pessoa. 

O cenário que inspirou a criação da LGPD foi o avanço do marketing digital e da necessidade de deixar mais e mais dados online. Na atualidade, CPF, e-mail e número de telefone se tornaram moedas de troca bastante valiosas no inbound marketing. 

Trocando essas informações pessoais, visitantes se tornam leads e ganham materiais grátis, assinam newsletters, participam de promoções etc. 

A questão é que com essa abundância de dados, é importante que todas as empresas tenham um cuidado extra no seu tratamento. A LGPD regula esse cuidado. 

A LGPD é o nome da Lei, que é regulada pela ANPD. Vamos saber um pouco mais sobre ela? 

O que é a ANPD? 

A ANPD é a Autoridade Nacional de Proteção aos Dados, criada a partir dos esforços de regulamentação que a própria LGPD trouxe. Ela é parte do Ministério da Justiça e Segurança Pública, e sua presidente atual é a Miriam Wimmer. 

No Brasil, a ANPD é a maior responsável pelas fiscalizações do uso correto da LGPD. Ela tem poder, inclusive, de dar advertências e aplicar multas com valores diários. 

A ANPD é, portanto, o órgão que reforça a LGPD, e também o principal ponto de contato para a sua empresa. 

Segundo a LGPD, todas as empresas que lidam com dados dos clientes vão precisar de pessoas dedicadas para atender e seguir as tratativas da ANPD. São elas: 

• Controlador: a pessoa física ou jurídica que é a responsável pelos dados. Pode ser uma empresa terceirizada ou a sua própria; 

• Operador: à partir da gestão do Controlador, o Operador da LGPD é quem vai de fato fazer o trabalho de adequação cadastral para enquadrá-la na Lei; 

• Encarregado: pessoa que serve como mediadora entre as necessidades determinadas pela ANPD e o trabalho diário do Operador. 

Todas as empresas que trabalham com a captação de dados precisam ter essas três pessoas atuando diariamente na segurança deles, colocando a LGPD em evidência e seguindo todos os preceitos legais. 

🔎 Leia também: 12 Tendências de Marketing Digital para Explorar em 2023

Como a LGPD funciona e é aplicada?

Certo, então entendemos o que é a LGPD e qual é o papel da ANPD na sua fiscalização, certo? 

Mas como exatamente a LGPD funciona? Quais são os mecanismos por trás da Lei?

Para entender seu funcionamento, precisamos delimitar alguns conceitos básicos que ela impõe. 

O conceito mais básico de todos é o que vamos falar agora: a caracterização de dados pessoais. Ao longo desse tópico, também vamos abordar quais são as estipulações da LGPD sobre o uso desses dados, determinando seus princípios e sua base legal. 

O que são dados pessoais na LGPD?

Aqui está um ponto onde muita gente erra: dados pessoais vão muito além daqueles que te identificam nominalmente. 

Seu e-mail, seu telefone, seu nome completo são sim dados pessoais. Mas de acordo com a LGPD, qualquer informação que te identifica como uma pessoa, de forma geral, deve ser protegida. 

Mas o que é exatamente “identificar uma pessoa” sem identificá-la nominalmente? Os cookies nos dão um ótimo exemplo. 

Você percebeu que, a partir de 2018, vários sites começaram a colocar os avisos de cookies nas páginas? Isso porque, através deles, você pode ser identificado por publicidade online. 

A própria publicidade online – aqui falando de plataformas como o Google Ads, por exemplo – não te identifica nominalmente, mas ainda assim te identifica o suficiente para te enviar propaganda direcionada. 

Esses dados, então – aqueles que te identificam até no nível demográfico e de localização – são considerados como pessoais pela LGPD. 

O que é tratamento de dados na LGPD?

O funcionamento da LGPD está muito pautado no tratamento de dados pessoais. Se fosse necessário resumir a lei em 5 palavras, usaríamos essas 4 e ainda sobrava 1. 

Mas o que a LGPD determina como tratamento de dados? O que isso significa? 

É simples: tudo o que envolve o uso de dados de alguém por uma empresa está qualificado como tratamento de dados. Podemos destacar: 

• Coleta de dados; 
• Classificação de dados (qualificação de leads, por exemplo); 
• Utilização de dados (ex: envio de uma newsletter para a sua base); 
• Acesso de dados (ex: colocar sua base de leads em um sistema com a RD Station); 
• Reprodução dos dados; 
• Armazenamento dos dados; 
• Eliminação dos dados; 
• Dentre várias outras aplicações práticas com os dados que você coletou. 

A LGPD, portanto, se preocupa principalmente com isso: como você capta, armazena, usa e compartilha os dados pessoais dos seus clientes e leads. 

Quais são os princípios da LGPD?

A aplicação da LGPD passa por alguns princípios pré-determinados. 

Além de fiscalizar como é feito o tratamento dos dados pessoais, a Lei também determina limitações para captá-los. 

Segundo a LGPD, a captação e o tratamento de dados só pode acontecer quando estiver de acordo com esses dez princípios: 

• Finalidade: qual é o objetivo da captação dos dados? Ele precisa ser informado ao titular no momento em que ele os informa;
• Adequação: os dados estão sendo utilizados com a finalidade informada ao titular? 

• Necessidade: se você está convertendo leads, será que precisa de RG e CPF? Claro que não. A necessidade como princípio da LGPD compara os dados pedidos com o tipo de ação; 

• Livre acesso: garantia de consulta livre e grátis da forma de tratamento dos dados e da duração desse tratamento; 

• Qualidade: os dados precisam estar corretos, de acordo com o que o titular informou. Erros no tratamento ferem o princípio da qualidade; 

• Transparência: garante aos titulares o acesso completo de como os seus dados são utilizados pela empresa, normalmente na forma de uma política de privacidade. Como exemplo, leia a nossa. 

• Segurança: sua empresa deve usar medidas e técnicas para proteger os dados pessoais de acessos não autorizados; 

• Prevenção: compromisso da empresa de minimizar riscos aos dados pessoais durante o tratamento; 

• Não discriminação: garantia de que os dados não serão usados para fins discriminatórios ou de exclusão; 

• Responsabilização e prestação de contas: compromisso da empresa, junto a ANPD, de prestar contas sobre como esses princípios da LGPD são observados. 

Todos os princípios você encontra no Artigo 6º da LGPD. 

🔎 Leia também: Google Analytics 4 - como acessar, configurar e usar

O que são as Bases Legais da LGPD? 

Assim como os princípios, a LGPD também tem 10 bases legais que norteiam o tratamento dos dados. 

As bases legais são, basicamente, os motivos de realizar a captação e tratamento. Por que você precisa desses dados? Se a sua justificativa não cai em nenhuma das Bases, você não pode fazer a captura. 

As 10 bases legais da LGPD são: 

• Consentimento do titular;
• Legítimo interesse;
• Cumprimento de obrigação legal ou regulatória;
• Tratamento pela administração pública;
• Realização de estudos e de pesquisa;
• Execução ou preparação contratual;
• Exercício regular de direitos;
• Proteção da vida e da incolumidade física;
• Tutela de saúde do titular;
• Proteção de crédito.

Veja agora um pouco mais sobre quais são as bases legais usadas para o marketing, qual é a mais comum e quais são os seus pontos principais: 

Qual base legal usar para o marketing?

Você pode usar qualquer uma das bases legais para justificar a captura de dados. Mas para fins de marketing, as mais utilizadas são o Consentimento e o Legítimo Interesse. 

O Consentimento é quando seu lead te permitiu o uso dos dados no momento do cadastro, o que é normalmente feito por uma checkbox em landing pages ou no final de uma compra. 

O Consentimento é, de longe, a Base Legal da LGPD mais usada em situações de marketing. Mas o Legítimo Interesse também se aplica em algumas situações mais específicas. 

A Dinamize, no seu artigo sobre o tema, mostra um exemplo interessante: você está fazendo uma live e pede e-mails para enviar um material depois que ela acabar. 

Pelo chat do YouTube ou Instagram não dá pra fazer uma checkbox de Consentimento, então você precisa de uma outra Base Legal que contorne essa impossibilidade. 

O Legítimo Interesse serve, na maioria das vezes, para casos assim.

Porém, se você cadastrar esse e-mail e começar a enviar newsletters todo dia, você está infringindo a LGPD. 

🔎 Leia também: 50 Exemplos de Anúncios Validados para Gerar Leads em 2023

Então, determinamos que o Consentimento é a mais popular e simples, enquanto o Legítimo Interesse é mais complexo mas, em alguns casos, necessário. 

Vamos falar um pouco mais sobre o Legítimo Interesse agora: 

Explicando o Legítimo Interesse

Entender o Legítimo Interesse é importante porque, em alguns casos, é impossível conseguir o consentimento legal para o tratamento dos dados. 

No exemplo da Dinamize, por exemplo, só dizer na live “pessoal, quem está mandando o e-mail aí automaticamente autoriza o uso, ok?” não é o suficiente. 

Essa base legal do Legítimo Interesse existe para situações assim: por ser mais flexível, ela é recomendada para quando é não é possível receber a autorização expressa dos titulares.

Os quatro pilares do Legítimo Interesse são os seguintes: 

• Legitimidade do Interesse: é a justificativa formal do uso do Legítimo Interesse. Para cada ação que o utiliza, a LGPD pode exigir uma documentação que determina o motivo da sua utilização, assim como provas de que ele não fere nenhuma outra base legal; 

• Necessidade: esse pilar é um dos mais importantes: uma vez que você determina o Legítimo Interesse para o tratamento de dados, você só pode fazer o tratamento baseando-se no motivo inicial do contato. Foi para mandar um e-mail quando era impossível pedir consentimento? Sua Necessidade, então, é o envio daquele único e-mail – qualquer outra comunicação é ilegal; 

• Balanceamento: o tratamento de dados do seu lead excede o que ele esperava? Esse pilar diz respeito a isso. Você pedir para receber um e-mail em uma live e receber 20 em sequência fere esse princípio; 

• Salvaguardas: como você garante todos esses pilares? O titular tem acesso à sua política de privacidade? Ele tem a opção de opt-out? Seu site é protegido de ataques que podem colocar os dados em risco? 

🔎 Leia também: 30 Dados e Estatísticas sobre Geração de Leads que Você Precisa Conhecer

Por conta dessa sua flexibilidade, a ANPD pode exigir um teste de adequação quando você utiliza o Legítimo Interesse. Saiba mais sobre ele: 

O que é um teste de adequação do Legítimo Interesse? 

Segundo a LGPD, toda vez que o Legítimo Interesse for utilizado, é necessário realizar um teste de adequação. 

Esse teste deve ser realizado pelo Operador, e arquivado de preferência no seu setor de recursos humanos. 

O teste de adequação passa, normalmente, pelos mesmos pilares do Legítimo Interesse. Veja o que ele deve conter, de forma resumida, em cada um: 

• Legitimidade: o teste de adequação deve mostrar como a situação não feriu nenhuma outra Base Legal da LGPD e fazer um relatório da situação em que ele precisou ser utilizado; 

• Necessidade: a LGPD determina que, no caso do uso do Legítimo Interesse, apenas os dados necessários podem ser solicitados. Deve constar no teste de adequação quais foram os dados tratados; 

• Balanceamento: o teste de adequação precisa também discriminar quais foram as tratativas dos dados, em quais contextos eles foram utilizados. Dessa forma, é possível provar o balanceamento do tratamento;

• Salvaguardas: o teste de adequação também precisa conter todas as salvaguardas que sua empresa oferecer dentro da LGPD. 

O que são dados pessoais sensíveis para a LGPD?

Alguns dados pessoais não podem ser tratados de forma alguma, em nenhuma base legal da LGPD. São os dados sensíveis. 

Segundo o texto da Lei, os dados sensíveis são os seguintes: 

• Dado sobre origem racial; 
• Dado sobre origem étnica; 
• Dado sobre religiosidade; 
• Dados sobre a opinião política; 
• Dados sobre a filiação a algum sindicato; 
• Dados sobre o pertencimento a alguma organização religiosa, política ou filosófica; 
• Dados sobre a saúde sexual; 
• Dados sobre a vida sexual em geral; 
• Dados genéticos; 
• Dados biométricos. 

Como se adequar a LGPD hoje?

Se a sua empresa está coletando dados e não está de acordo com a LGPD, você precisa cessar todos os tratamentos imediatamente. As multas já podem ser aplicadas, e os valores por infração são cobrados diariamente. 

Muito cuidado com isso! 

O seu primeiro passo deve ser definir quem é a Controladora, quem é o Operador e quem é o Encarregado na sua empresa. 

Muitas organizações usam terceirizadas como Controladoras, normalmente alguma contabilidade. Você pode começar por aí. 

Empresas que trabalham com marketing precisam ter, nas figuras do Operador e Encarregado, pessoas que conheçam os caminhos da LGPD e saibam como aplicá-la. 

Normalmente, isso é tarefa do RH, que precisa oferecer esse apoio. 

Também é necessário discutir em quais Bases Legais suas ações de captação de leads estão. A mais utilizada é a de Consentimento, ok? 

Você também precisa atualizar sua Política de Privacidade de acordo com a LGPD, e também atualizar o aviso de cookies e seus formulários. 

Sobre esses últimos, temos uma outra opção: o chatbot da Leadster, que já vem preparado para a LGPD.

Qualquer dúvida é só deixar um comentário 😉