Guia Definitivo LGPD – sobre adequação de marketing para LGPD (Lei Geral de Proteção de Dados Pessoais)
Por Pedro Mota
Atualizado em 21/01/2021
- Introdução
- Importância da Adequação
- Urgência da Implantação
- Origem da LGPD
- O que é a LGPD?
- A quem se aplica?
- Fundamentos da LGPD
- Princípios da LGPD
- Quem são os envolvidos?
- Direitos do Titular dos dados
- O que o agente digital do seu escritório deve fazer?
- FAQ:
- O que são dados pessoais?
- O que são dados pessoais sensíveis?
- O que são dados anonimizados (anônimos)?
- O que são dados pseudo-anonimizados?
- Cookies e IPs são considerados dados pessoais sensíveis perante a lei?
- Como classificar a agência de marketing jurídico?
- É comum agências de marketing jurídico contratarem soluções externas para entregar os seus serviços. Na utilização dessas soluções externas a sua infra-estrutura, dados de clientes passam para uma empresa terceira. Se ocorrer vazamentos a agência também é responsável?
- Qual o jeito correto de capturar dados?
- Bases legais da LGPD para fundamentar o tratamento?
- Quais são as informações obrigatórias que devem constar dos termos de consentimento do usuário?
- O que pode ser entendido como o tratamento de dados?
- Posso continuar a comprar dados externos para enriquecimento ?
- Quais certificações de segurança que atendem a lei?
- O que significa privacy by design e privacy by default ?
- Quais são as penalidades previstas na lei para quem não estiver em compliance ?
- O que acontece diante da ocorrência de um incidente de segurança da informação ?
- Primeiros passos para adequar as suas atividades de marketing jurídico a LGPD
- Estratégias que você deve considerar na adequação.
- Como adequar seu site
- Agenda de monitoramento
- Conclusão
1- Introdução
Esse guia é destinado a todos os profissionais envolvidos nos processos de marketing de escritórios de advocacia como sócios, consultores, analistas e demais que se envolvem nas diversas áreas do marketing.
São muitos processos e áreas que trabalham no marketing dos escritórios de advocacia. Normalmente os sócios desenvolvem o seu plano de negócios que dá origem a uma série de planos para operacionalizar o plano de negócios.
O plano que mais nos interessa nesse artigo é o planejamento estratégico de marketing jurídico.
É o plano de marketing que irá demandar atividades e soluções para atingir os objetivos do escritório.
Depois de passar pelo plano de negócios, planos acessórios do plano de negócio incluindo o plano de marketing jurídico até na execução das atividades temos que nos atender a norma da Lei Geral de Proteção de Dados.
2- A importância da Adequação
No início de 2020 publicamos um artigo no blog da Agência LCP (link para o blog da agência) denominado “Tendências do Marketing Jurídico para 2020” (link para o artigo).
Uma das principais tendências era justamente a adequação das estratégias de marketing jurídico a LGPD.
Indicamos a LGPD como tendência no marketing por ser uma norma que iria movimentar muito o mercado de B2B (Business-to-business). Devido as grandes empresas terem suas normas de compliance, precisariam contratar prestadores de serviços estivessem adequados a LGPD.
Desse modo escritórios de advocacia que estivessem adequados teriam um diferencial competitivo que poderiam utilizar nas suas de marketing jurídico.
A tendência se tornou realidade.
Um estudo publidado pelo Jus Analytics (link para o site do Jus Analytics) denominado “Especial LGPD” (Link para acessar o relatório) mostra diversos dados sobre o número de busca realizadas no Google.
Segundo o estudo em 2018 o número de buscas sobre o tema LGPD e suas variações foi de 208.060 buscas. Em 2019 esse número registrou 1.821.600.
Se formos considerar a LGPD uma área de atuação do direito como por exemplo direito tributário ela é considerada a 3ª área de atuação que mais cresceu de 08/2019 a 08/2020, registro de aumento de 35,69% para o mesmo período.
O aumento de buscas no Google significa que o interesse por informação e fornecedores de soluções (Seu escritório de advocacia) a respeito da LGPD é um realidade que corrobora para demonstrar a importância de se adequar.
Não está convencido?
Um outro artigo publicado recentemente no blog da Agência LCP denominado “O Impacto da LGPD nos Negócio” (Link para acessar o artigo) ajuda a mostrar o impacto no mundo real.
O artigo faz referencia ao programa televisivo da Sony, o Shark Tank. Um programa onde empreeendedores apresentam seus negócios com o objetivo de angariar investimento através de novos sócios, os tubarões. E os tubarões são empreendedores de muito sucesso como por exemplo o João Apolinário da Polishop.
No artigo demonstramos uma situação onde um empresário busca um investimento para o seu negócio e a resposta do João Apolinário foi “MINHA PROPOSTA É DE 2 MILHÕES POR 20% DO SEU NEGÓCIO CONDICIONADOS A DOIS QUESITOS, UM DELES É A ADEQUAÇÃO DO SEU NEGÓCIO A LGPD”.
Coloque o seu escritório na seguinte situação: Você está prospectando a Polishop (Uma das maiores empresas do varejo do brasil), já fez reuniões, propostas de valor e por normas de compliance a empresa lhe dá a resposta que por causa da não adequação do seu site a LGPD a negociação foi tomada a decisão de contratar outro fornecedor!
Conclusão da importância de adequar suas estratégias de marketing jurídico a LGPD. Dados estatisticos de buscas realizadas no Google mostram o grande crescimento do interesse do seu potencial cliente em informação e soluções decorrentes da LGPD. Cases reais mostram que o seu potencial cliente ou cliente está levando em conta a adequação do seu escritório de advocacia a sua contratação.
3- Urgência da Adequação
Um grande levantamento realizado pelo Jus Analytics foi publicado recentemente em seu site (Link para o Site).
Nesse levantamento são demonstrados dados que vão de encontro com a necessidade urgente de se adequar a LGPD.
O ranking denomindado “500 ESCRITÓRIOS DE ADVOCACIA MAIS ADMIRADOS DO LINKEDIN” realizou um levantamento na rede social LinkedIn com os 500 escritórios de advocacia que mais tem seguidores e consequentemente são os mais admirados.
Além de listar os 500 o Jus Analytics também trouxe os dados de adequação desses 500 escritórios de advocacia.
Os dados são os seguinte:
- 19,6% Estão Adequados
- 6,8% Parcialmente Adequados
- 73,6% Não estão Adequados
73,6% dos 500 escritórios mais admirados do LinkedIn não estão adequados a LGPD!!!!
Conforme demonstrado no case do Shark Tank o seu potencial cliente ou cliente está buscando fornecedores, no nosso caso escritórios de advocacia, que estão adequados a LGPD.
É urgente por que o seu escritório de advocacia deve estar perdendo espaço de crescer, de conseguir novos clientes justamente por não estar adequado.
Sabe aquele grande cliente que você está com uma grande proposta de valor? Aquela proposta que irá mudar o patamar do seu escritório de advocacia e fazer o mercado vir atrás de você. Pois é se você não estiver adequado a LGPD, e olha que quando falo adequado é na questão que é pública a todos como o seu site, você tem grande chance de perder essa oportunidade para seu concorrente.
Entendeu a Urgência?
Caso ainda não, imagine que se você fazer parte dos 19,6% escritórios de advocacia que estão adequados você estará na frente dos mais de 73% e o ciclo se inverte, ao invés de perder clientes para a concorrencia você irá ganhar os clientes dos seus concorrentes.
Se você tratar a adequação com a importância e urgência que esse tema merece você ainda tem uma grande chance de navegar num grande oceano azul de oportunidades.
Outro grande ponto da urgência é que se você não estiver adequado a LGPD deve estar rasgando dinheiro e perdendo tempo a bons tempos.
Como assim?
Você escreve artigos, publica nas redes sociais, envia a clientes e publico de interesse por e-mail, faz links patrocinados, se for somente você que faz isso tudo o custo já é grande, mas você pode ter o custo de um profissional de marketing no seu escritório ou uma agência de marketing jurídico, o custo de uma equipe comercial que está propostando esses clientes e muito mais.
Bom conforme demonstramos até agora se você fez e investiu tempo e dinheiro num artigo sobre LGPD e o seu site não está adequado, sinto dizer, mas você fez tudo isso e provavelmente na maioria dos casos o seu concorrente que estava adequado foi quem aproveitou de graça todo o seu esforço.
Rir para não chorar? Com certeza, mas vamos lá! Trate com urgência, pois ainda temos tempo para aproveitar e muito o oceano azul da LGPD!
4- ORIGEM DA LGPD
As discussões sobre o tema iniciaram em 1981 na Europa na Convenção 108, depois em 1995 na Diretiva 46, que tratou mais especificamente desse tema e então em 2018 entrou em vigor a GDPR (General Data Protection Regulation) na União Europeia.
A LGPD possui como base a regulamentação europeia GDPR, que usa os direitos fundamentais da liberdade e privacidade para estabelecer regras sobre a coleta e armazenamento de dados pessoais.
No Brasil só existia o Marco Civil da Internet, que contemplava os princípios gerais de proteção dados, porém não contemplava o universo off-line.
5- O QUE É A LGPD?
“Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”
Clique aqui e faça o download da lei 13.709 (Link para arquivo PDF)
De acordo com Art 5º, inciso X, a lei define o tratamento de dados como: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
A lei surgiu como um desafio para as empresas que lidam com dados pessoais. Ela é essencial para a harmonização de normas sobre proteção de dados já vigentes no Brasil, como por exemplo o Código de Defesa do Consumidor, a Lei de Acesso à Informação, a Lei do Cadastro Positivo e a Resolução BACEN 4.658/2018.
Os impactos desta nova norma são relevantes, tanto no aspecto da proteção da privacidade e dos dados pessoais, quanto para a atividade empresarial, considerando que a LGPD impõe uma série de diretrizes para que o controle de dados seja feito de forma lícita, impondo também penalidades significativas em caso de não cumprimento da norma.
Diante disso, nasce a necessidade de compreender quais serão as alternativas para a adaptação das organizações quanto ao uso, divulgação, e armazenamento de dados e informações. Com a sanção presidencial, em agosto de 2018, as empresas terão até fevereiro de 2020 para se adequarem às novas regras. As empresas que demonstrarem conformidade e responsabilidade em relação às novas regras poderão alavancar uma vantagem competitiva no uso correto desses dados, aumentando o nível de confiança do seu público.
Entre as ações proibidas pela LGPD estão a coleta, o uso e o armazenamento de dados de qualquer pessoa sem o consentimento, bem como a utilização dessas informações para práticas ilícitas ou abusivas.
6- A QUEM SE APLICA?
A LGPD engloba todos aqueles que realizarem um tratamento de dados, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que os tratamentos sejam realizados em território nacional.
Abrange também todas as empresas estabelecidas em território nacional, bem como as organizações com sede no exterior que ofereçam produtos/serviços para pessoas localizadas no Brasil ou tenham operações no País envolvendo tratamento de dados.
7- FUNDAMENTOS DA LGPD
São fundamentos da LGPD:
- Respeito à privacidade;
- Inviolabilidade da intimidade, honra e da imagem;
- Autodeterminação informativa;
- A liberdade de expressão, de informação, de comunicação e opnião;
- Desenvolvimento econômico e tecnológico, e inovação;
- Livre-iniciativa, livre concorrência e a defesa do consumidor;
- Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
8- PRINCÍPIOS DA LGPD
- Finalidade: realizar tratamento com fins legítimos, específicos, explícitos e informados ao titular, de modo que o tratamento não pode fugir à finalidade divulgada ao titular – cado destoe, será necessário, muitas vezes, colher novo consentimento, se o tratamento não puder ser enquadrado em outra base legal.
- Adequação: ajustar a atividade de tratamento de acordo com a finalidade divulgada ao tituloar de dados pessoais.
- Necessidade: tratar somente os dados pessoais que forem necessários à persecução da finalidade informada – não se deve coletar ou manter dados pessoais que não possuam destinação certa, finalidade definida.
- Livre acesso: possibilitar aos titulares consulta acessível e sem custo sobre a forma e duração do tratamento, assim como sobre a integralidade dos seus dados pessoais.
- Qualidade dos dados: garantir aos titulares correção, clareza e atualização de seus dados pessoais em posse do agente de tratamento, considerando os princípios da necessidade e finalidade do tratamento de dados.
- Transperência: garantir aos titulares de dados pessoais informações relevantes claras, precisas e de fácil acesso a respeito do tratamento de seus dados, resguardados segredos comerciais e industriais dos agentes de tratamento envolvidos.
- Segurança: adoção de medidas suficientemente aptas a assegurar os dados pessoais de acessos desautorizados, ocorrências acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
- Prevenção: adoção de medidas aptas à prevenção de danos decorrentes do tratamento de dados pessoais.
- Não discriminação: não realização de tratamento de dados pessoais com propósitos discriminatórios, ilícitos ou abusivos.
- Responsabilização e prestação de contas: capacidade do agente em demonstrar a adoção de medidas eficazes e suficientes para comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medias.
9- QUEM SÃO OS ENVOLVIDOS:
Titular: é a pessoa física a quem se referem os dados pessoais
Agentes de tratamento:
- Controlador: é a pessoa física ou jurídica, de direito público ou privado, que coleta os dados pessoais e toma as decisões em relação a forma do tratamento.
- Operador: é a pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Encarregado: é a pessoa física, indicada pelo controlador, que atua como canal de comunicação entre as partes (controlador, os titulares e a autoridade nacional).
10- DIREITOS DO TITULAR DOS DADOS
O titular dos dados é a pessoa a quem as informações são tratadas se referem, e a este a LGPD elencou um rol de direitos, visando a transparência do tratamento de dados e o controle do titular sobre este.
Nesse sentido, a LGPD coloca como obrigação do controlador – quem decide a respeito da utilização dos dados, geralmente o anunciante – garantir ao titular de dados:
- Confirmação da existência do tratamento;
- Acesso aos dados;
- Correção dos dados;
- Anonimização, bloqueio e eliminação dos dados;
- Portabilidade dos dados;
- Informação sobre compartilhamento de dados pessoais;
- Informação sobre a possibilidade de não consentir o tratamento e as consequências da negativa;
- Possibilidade de revogar o consentimento.
11- O QUE O AGENTE DIGITAL DO SEU ESCRITÓRIO DEVE FAZER?
- No tratamento dos dados, respeitar a finalidade para qual o dados foi compartilhado, além de observar, no momento da coleta, as bases legais instituidas pela LGPD.
- Manter os registros das operações de tratamento de dados pessoais que realizar, a fim de cumprir com o princípio da prestação de contas.
- Adoção de medidas suficientemente aptas a assegurar os dados pessoais de acessos desautorizados, ocorrências acidentais ou ilícitas, garantindo a segurança de todo o fluxo de dados pessoais.
- Escolher parceiros com nível adequado de proteção de dados.
- Caso em algumas das atividades, sua agência possa ser classificada como “Controladora”, sugere-se nomear um encarregado pelo tratamento de dados pessoais.
- Se atuar como um controlador, deve coconceder ao titular o direito de acesso, retificação, cancelamento e portabilidade dos dados pessoais, disponibilizando um canal próprio para isso, e exigir que eventuais retificações/cancelamentos dos dados sejam replicados ao longo da cadeia de tratamento.
- Avaliar, mapear os fluxos de dados, fazer inventário de dados e relatório de impacto à proteção de dados pessoais, de forma a apurar os potenciais riscos à privacidade dos titulares e estabelecer medidas de solução .
- Estabelecer uma política corporativa de privacidade, regras de boas práticas e governança sobre proteção de dados pessoais e revisar cláusulas contratuais e demais documentos que envolvam a temática de tratamento de dados pessoais .
12 -FAQ
O QUE SÃO DADOS PESSOAIS?
A lei geral de proteção de dados, à luz do que já havia sedimentado o regulamento europeu de proteção de dados definiu dados pessoais como informações relacionadas a pessoa natural, que possibilitam a sua identificação, direta ou indiretamente .
Assim , podemos entender como exemplos de dados pessoais: CPF, RG, profissão, IP, entre outros dados que nós permitam identificar alguém.
Sendo assim dados anonimiados não são considerados dados pessoais não sendo sujeitos a aplicação da LGPD
O QUE SÃO DADOS PESSOAIS SENSÍVEIS?
Dados Pessoais sensíveis são considerados uma categoria especial de dados pela LGPD, que atribui ao tratamento dela algumas particularidades, bem como a define como todo dado pessoal que se refira a: origem racial ou étnica, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente a saúde ou a vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Note, que, muitas vezes, apesar de o dado pessoal demandar certa confidencialidade e dever de sigilo, como é o caso dos bancários e perfis de compras, ele nem sempre será tratado como sensível pela LGPD.
O QUE SÃO DADOS ANONIMIZADOS (ANÔNIMOS)?
Dado relativo ao titular que não permite ser identificado, considerando a utilização
de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Esses dados estão fora da proteção da LGPD. Exemplo: estatísticas sobre a idade de pessoas que realizaram a compra de determinado produto.
O QUE SÃO DADOS PSEUDO-ANONIMIZADOS?
Processo semelhante ao da anonimização, em que um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro. O pseudo anonimato é incentivado pelo próprio regulamento como forma de reduzir os riscos. Sendo assim, é abrangido pelo LGDP. Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico. Exemplo: documentos salvos na nuvem.
COOKIES E IPS DE MÁQUINA SÃO CONSIDERADOS DADOS PESSOAIS PERANTE A LEI?
Conforme definido acima, dados pessoais são informações que possibilitam a identificação de um indivíduo. Assim, pensando nesse conceito – embora a LGPD não defina expressamente o número de IP e o COOKIE como dado pessoal -, o GDPR traz a interpretação de que, pela natureza identificadora de ambos, eles podem ser usados como ferramentas para definição de perfis e identificação de pessoas, o que se encaixa no conceito de dado pessoal.
Sobre o IP dinâmico, existem entre os pareceres emitidos pelo grupo de trabalho de proteção de dados pessoais do artigo 29 e o parecer número 4 de 2007, que, em resumo defini: ao registrar sistematicamente data, hora, duração e número IP, you mesmo que dinâmico é possível identificar o usuário utilizando meios razoáveis. Por isso também é enquadrado como dado pessoal.
COMO CLASSIFICAR A AGÊNCIA DE MARKETING JURÍDICO?
A LGPD classifica os agentes de tratamento de dados em controlador e operador. controlador de dados é o responsável por tomar decisões acerca do tratamento de dados; O operador de dados segue as instruções daquele, operacionalizando tão somente o tratamento dos dados pessoais.
O mais comum seria classificar a agência de marketing jurídico como operador, vez que normalmente executam os tratamentos de dados seguindo a determinação de seus clientes, os controladores.
Quando a agência de marketing jurídico executa uma campanha de newsletter, por exemplo, embora seja responsável pela criação e pelo disparo, está seguindo recomendações específicas do anunciante, no caso, o escritório de advocacia, que também foi responsável pela captura do malling.
Essa diferenciação é essencial, pois a LGPD distribui de forma distinta as suas obrigações e as responsabilidades dos agentes.
Se a agência de marketing jurídico que presta serviço para o seu escritório foram entendidas como controladora, eventual violação a legislação de proteção de dados gerará corresponsabilidade em reparar o dano.
É COMUM AGÊNCIAS DE MARKETING JURÍDICO CONTRATAREM SOLUÇÕES EXTERNAS PARA ENTREGAR OS SEUS SERVIÇOS. NA UTILIZAÇÃO DESSAS SOLUÇÕES EXTERNAS A SUA INFRA-ESTRUTURA, DADOS DE CLIENTES PASSAM PARA UMA EMPRESA TERCEIRA. SE OCORRER VAZAMENTOS A AGÊNCIA TAMBÉM É RESPONSÁVEL?
Se a sua agência de marketing jurídico em questão transferir dados pessoais do banco de dados do seu escritório de advocacia por determinação do escritório de advocacia, em razão de a terceira ser sua parceira nesse caso não há corresponsabilidade pois o agente será classificado como operador e terá agido segundo as instruções do seu escritório de advocacia.
Todavia, se a decisão de compartilhar os dados com uma empresa terceira for tomada pela agência de marketing jurídico ela será classificada como controladora e responderá solidariamente, isto é, será corresponsável em relação à reparação de eventuais danos sofridos pelos titulares dos dados.
Muito cuidado aos escritórios de advocacia, pois é muito comum as agências se utilizarem de diversos sistemas para realizar as estratégias de marketing jurídico sem antes consultar o seu escritório de advocacia.
QUAL O JEITO CORRETO DE CAPTURAR DADOS?
Como ponto de partida é necessário entender que, segundo a LGPD, os dados coletados pertencem ao indivíduo ao qual dizem respeito, de forma que qualquer tipo de tratamento de dados realizado está condicionado aos requisitos impostos pela lei e pelas demais legislações que tratam do tema.
Dessa forma, o tratamento de dados pessoais deve se restringir a propostos legítimos e a finalidade específica informada ao titular de dados pessoais, no momento da coleta.
Além disso, o tratamento de dados pelas agências de marketing jurídico deve sempre estar fundamentado em uma base legal.
BASES LEGAIS DA LGPD PARA FUNDAMENTAR O TRATAMENTO
- Consentimento (escrito ou por meio que demonstre a vontade do titular);
- Cumprimento de obrigação legal;
- Necessidade para execução contratual;
- Exercício regular de direitos em processo judicial, administrativo ou arbitral;
- Proteção à vida ou incolumidade física do titular ou de terceiro;
- Tutela da saúde;
- Atendimento de legitimo interesse do controlador (quem exerce o poder de decisão sobre o tratamento dos dados) ou terceiro;
- Proteção de crédito;
- em razão da publicidade dada aos dados por seu titular ou do acesso público irrestrito a este, desde que observados a finalidade com que o dado foi disponibilizado, a boa fé e se não fere direitos de garantias fundamentais.
QUANDO É NECESSÁRIO OBTER O CONSENTIMENTO DO TITULAR DE DADOS PESSOAIS?
O consentimento como visto na lista bases legais, é apenas uma das bases legais a fundamentar o tratamento de dados pessoais; sendo assim, é necessário coletar e guardar o registro do consentimento quando o tratamento não se encaixar em nenhuma das demais bases legais de tratamento.
Por exemplo, uma empresa que capture dados para fins de prevenção a fraudes não necessita da coleta do consentimento visto que proteção ao crédito é uma das bases legais, mas uma empresa que faça captura de dados pessoais para por exemplo enviar uma newsletter precisa do consentimento do titular dos dados.
QUAIS SÃO AS INFORMAÇÕES OBRIGATÓRIAS QUE DEVEM CONSTAR DOS TERMOS DE CONSENTIMENTO DO USUÁRIO
Deste termo deverão constar: a finalidade específica do tratamento; com quem eventualmente aquele dado pessoal será compartilhado; qual será o período de duração do tratamento; a informação da possibilidade de não fornecer o consentimento; e quais seriam as consequências da negativa.
Além disso, o termo deverá consistir em manifestação livre (verdadeira escolha, decisão voluntária), informada (informação completa, exata, disponibilizada de forma clara e compreensível) e inequívoca (o procedimento para obtenção do consentimento não pode dar margem à dúvida quanto a intenção da pessoa em dar seu consentimento).
Diante disso não são mais aceitos ou vistos como manifestação de consentimento válido comportamentos de omissão como caixas previamente assinaladas.
O QUE PODE SER ENTENDIDO COMO O TRATAMENTO DE DADOS?
A LGPD conceitua o tratamento de dados como toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Assim, toda operação que envolva informações capazes de identificar alguém direta ou indiretamente é considerada tratamento de dados pessoais, podendo encontrar-se entre os exemplos práticos o serviço de tratamento eh de duplicação de dados, a seleção de públicos para audiência para campanhas, o desenvolvimento de modelos e algoritmos com dados de clientes, o enriquecimento de banco de dados com listas externas e os serviços de geolocalização.
POSSO CONTINUAR A COMPRAR DADOS EXTERNOS PARA ENRIQUECIMENTO ?
A LGPD não faz nenhuma restrição expresso no tocante a utilização de bancos de dados externos; entretanto, caso se opte por essa possibilidade, deve-se tomar alguns cuidados.
Certifique-se de que a coleta dos dados externos esteja fundamentada em uma das bases legais previstas, exija do fornecedor os registros de coleta, averigue se a finalidade divulgada ao titular de dados é compatível com o tratamento que será destinado aos dados, certifique-se de que o compartilhamento dos dados foi devidamente informado e com sentido pelo titular dos dados pessoais.
QUAIS CERTIFICAÇÕES DE SEGURANÇA QUE ATENDEM A LEI?
Em relação a temática da segurança, a LGPD exige que os agentes digitais façam uso de medidas técnicas é administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Isso significa que, em todo o fluxo de dados pessoais, não pode haver falhas de segurança que possibilitem acesso não autorizado. As licenças devem ser válidas, os softwares devem ser atualizados, os funcionários devem ser conscientizados acerca das medidas de segurança.
Apesar de a legislação não exigir certificações, a ISSO 27.001 – Padrão para a gestão da segurança da informação – tem sido em muito utilizada para o cumprimento desse requisito da LGPD.
O QUE SIGNIFICA PRIVACY BY DESIGN E PRIVACY BY DEFAULT ?
O privacy by design visa a utilização de mecanismos de privacidade em todo o ciclo do dado a ser tratado. A privacidade deve ser incorporada ao desenho do produto ou serviço, de modo a assegurar todo o fluxo do dado, desde a coleta até o término do tratamento.
O privacy by default por sua vez introduz a privacidade como modelo de conduta, de modo a minimizar o processamento de dados pessoais, pelado opção de técnicas como a pseudononimização e a criptografia.
São modelos que devem ser adotados pela sua agência de marketing digital jurídico com o objetivo de propiciar o cumprimento dos demais requisitos legais para o atingimento de um tratamento de dados que respeite efetivamente a privacidade.
QUAIS SÃO AS PENALIDADES PREVISTAS NA LEI PARA QUEM NÃO ESTIVER EM COMPLIANCE ?
Quem não se adequar ele estará sujeito a fiscalização da autoridade de proteção de dados pessoais e as seguintes penas:
- Advertência: com indicação de prazo para adoção de medidas corretivas;
- Multa: simples ou diária de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício – limitada no total há 50.000.000 milhoes de reais por infração;
- Publicização: Após sua apuração de confirmação de ocorrência, como possibilidade de sanção em caso de vazamento de dados pessoais;
- Bloqueio dos dados: a que se refere a infração até a sua regularização;
- Eliminação dos dados: a que se refere a infração.
A aplicação das sanções será precedida de procedimento administrativo que possibilite a oportunidade de ampla defesa, de acordo com as peculiaridades do caso concreto.
O QUE ACONTECE DIANTE DA OCORRÊNCIA DE UM INCIDENTE DE SEGURANÇA DA INFORMAÇÃO ?
Em caso de ocorrência de qualquer incidente de segurança, a agência de marketing jurídico, caso opere como controlador, deverá notificar a autoridade nacional de proteção de dados, em tempo razoável, a LGPD não determina prazo certo, mas o prazo da GDPR de 72 horas poderá ser utilizado como orientador diante da atual lacuna da regulamentação nesse sentido.
Caso agência de marketing jurídico atue como operador detecta um incidente de segurança, deverá notificar o controlador a respeito, documentando devidamente essa notificação para eventual prestação de contas à autoridade nacional de proteção de dados.
A autoridade nacional de proteção de dados averiguar a gravidade do incidente, podendo determinar ao controlador a ampla divulgação dos fatos em meios de comunicação de medidas para reverter com mitigar os efeitos do incidente.
13- PRIMEIROS PASSOS PARA ADEQUAR AS SUAS ATIVIDADES DE MARKETING JURÍDICO A LGPD
Inicia as atividades de adequação a LGPD com a sua euipe interna ou com a sua agência de marketing jurídico desenvolvendo um projeto completo.
Você pode adotar frameworks de melhores práticas de gestão de projetos tradicionais, em cascata, como o PMBOK ou metodologias ágeis como SCRUM.
É um projeto que precisa de um patrocinador interno como um sócio do escritório de advocacia e também um gestor.
Caso você conte com um agência de marketing digital jurídico também é indicado ter um gestor da agência, dessa forma você cria uma comunicação única em cada um dos dias, o interno do seu escritório na pessoa do gestor de projetos e outra na pessoa do gestor da Agência.
As primeiras etapas desse projeto devem passar por criação do plano de projeto, definição dos objetivos, escopo, cronograma, recursos, qualidade, custos, comunicação, riscos, partes interessadas e aquisições.
É um projeto de grandes dimensões. Esse guia é mais voltado para adequação das estratégias de marketing jurídico, mas irá envolver recursos de diversas áreas e naturezas.
Certificações e experiências profissionais são muito bem vistas e valorizadas nesse momento. Uma certificação profissional que tem feito a diferença nos projetos de adequação de estratégias de marketing digital jurídico é a ISO 27.001 que é o padrão para a gestão da segurança da informação.
14- ESTRATÉGIAS QUE VOCÊ DEVE CONSIDERAR NA ADEQUAÇÃO
Aviso: esse conteúdo não é uma indicação para uso das estratégias abaixo listadas, temos conhecimento que alguma estratégia listada pode não ser permitida para o uso, por isso indicamos consultar o Tribunal de Ética e Disciplina da sua região para validar o uso.
São muitas estratégias que são adotadas pelo marketing jurídico, e como identificar todas elas?
Pergunte para seu time de marketing ou para a sua agência de marketing jurídico que com certeza eles devem, ou melhor tem que saber isso na ponta da língua.
Vamos a lista com pequenos comentários da grande maioria das estratégias de marketing jurídico utilizadas:
HOSPEDAGEM DE SITE E E-MAILS:
Pode não parecer uma estratégia de marketing. Principalmente porque muitos profissionais e agências de marketing jurídico não dão a devida atenção a essa que é a estratégia base de todo o processo do seu site e dos seus e-mails.
Hospedagem e-mails é o responsável pelo envio e recebimento dos seus e-mails, se você hospeda seus e-mails de forma compartilhada, ou seja, em conjunto com outras empresas tem que se preocupar se esse servidor que você e outras empresas estão hospedados não está em uma blacklist (serviços que denunciam e punem maus servidores de e-mail), ou mesmo uma baixa reputação (servidores que enviam muitos spans.
As mensagens de e-mail que você troca com parceiros, potenciais clientes, clientes e a sua própria equipe é uma estratégia de marketing.
E por que você deve considerar o seu servidor de e-mail no plano de adequação? Através dessa estratégia ou serviço você armazena dados sensíveis e de acordo com a LGPD deve tomar todas as medidas elencadas na legislação.
Hospedagem de sites é a estratégia base para diversas outras estratégias. quando vamos otimizar um site para aparecer nos resultados de busca do Google, um dos primeiros pontos que trabalhamos é a velocidade do site.
Sites com baixo índice de velocidade, ou seja, que demoram para carregar quando acessamos são punidos pelo Google, pois entregam uma experiência ruim para o usuário.
E por que devemos nos preocupar com essa estratégia na adequação a LGPD?
É no serviço de hospedagem que ficam armazenados os sites e banco de dados.
É no servidor de hospedagem que por exemplo vamos armazenar os dados de preenchimento de formulários e por isso se faz necessário por exemplo entender a sua política de privacidade, para que possamos informar ao titular dos dados onde suas informações estão armazenadas, que tipo de segurança o servidor utiliza entre toda informação necessária para atendimento a LGPD.
Se o seu servidor está hospedado em outro país, e é comum, por exemplo um site ficar hospedado nos Estados Unidos da América, mas por questão de otimização de processamento e melhor disponibilidade dos serviços ser hospedado na Austrália e também no Paquistão, e ainda manter seus backups na França.
E como vou saber qual as localizações geográficas da hospedagem que armazena e processa dados pessoais? Simples leia a política de privacidade deles, pois caso um exemplo como o acima esteja descrito na política de privacidade da sua hospedagem, você terá uma transferência internacional de dados pessoais, e isso deve ficar claro para o usuários de acordo com os princípios da LGPD.
SITES E BLOGS:
É a sua filial na web e com certeza o principal ponto de contato do seu escritório de advocacia.
Seus clientes, potenciais clientes e outros interessados acessam o seu site e consequentemente tiram conclusões sobre você, como por exemplo se o seu escritório de advocacia é moderno ou clássico, quais áreas de atuação você trabalha, para quais segmentos empresariais e muito mais.
O site é seu, você tem controle total sobre ele, diferente das redes sociais, em que atualizações no algoritmo podem te prejudicar.
É no site e no blog que criamos e publicamos conteúdos, enviamos esses conteúdos para os interessados por e-mail, otimizamos para aparecer nos resultados de busca do Google e outros buscadores e publicamos esses conteúdos nas redes sociais.
Se sua vitrine não está em acordo com as normas legais você não está em compliance. Isso é visto de forma negativa para seu público e gera uma má impressão do seu escritório.
Por esse motivo adequar seu site e blog a LGPD é tão importante. Construir uma imagem é muito complexo para perdermos com uma não adequação.
SISTEMAS DE AUTOMAÇÃO DE MARKETING
SISTEMAS DE CRM – GESTÃO DE RELACIONAMENTO COM O CLIENTE
Resolvemos tratar desse item, pois na maioria dos clientes que tiveram grande sucesso nos projetos de marketing digital jurídico que atuamos, o processo de gestão de relacionamento com clientes existia ou foi implantado pela Agência LCP.
Sucesso pelo motivo de somente a venda, realizada através de um processo de relacionamento com o cliente é que vai ditar as melhores estratégias de marketing.
Não adianta investir 90% do tempo e dinheiro na estratégia XYZ se a que gera mais retorno para o seu escritório é a estratégia ABC.
O processo de CRM apoiado por um sistema de CRM irá conseguir, quando integrado a um sistema de automação, responder em tempo real qual a estratégia está gerando o maior e melhor retorno para o seu escritório.
Bom e o que de fato temos no nosso sistema de CRM?
São inúmeros, podemos começar com os dados pessoais e empresárias de nossos clientes e potenciais clientes, diferente dos sistemas de automação de marketing nesses sistemas podemos ter dados relacionados a faturamento e financeiro, são dados bem mais sensíveis que os dados capturados pelo site.
Se são mais sensíveis devemos ter muito mais cuidados com a segurança
15- COMO ADEQUAR O SITE DO SEU ESCRITÓRIO DE ADVOCACIA?
O primeiro ponto a ser analisado quando da adequação de qualquer site ou blog é quem é (são) o (s) controlador (es) e quem é (são) o(s) operadore (es).
Controlador: é a pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes a tratamento de dados pessoais.
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Tratamento: toda operação realizada com dados pessoais.
Exemplo de tratamento de dados que um site pode realizar:
- Hospedagem do site
- Inscrição de newsletter
- Formulário de contato
- Conta de usuário
São alguns exemplos, dependendo uma análise você deverá identificar todos os pontos do seu site que podem realizar tratamento de dados pessoais.
A grande maioria dos sites são desenvolvidos utilizando plataforma de CMS (Content Management System), traduzindo são sistemas de gerenciamento de conteúdo. O marketing digital jurídico é baseado em conteúdo e por isso a grande importância desses sistemas.
Os sistemas de CMS como WordPress, Joomla ou Drupal são grandes facilitadores que vão fazer o seu escritório de advocacia ter muita agilidade, fornecedores no mundo todo para te ajudar na gestão da plataforma e não tem nenhum custo.
Fazendo uma analogia do CMS com o celular, quando compramos um celular ele vem com um sistema operacional, instalamos alguns aplicativos como por exemplo redes sociais. Com o sistema operacional vai capturar e tratar nossos dados pessoais assim como os aplicativos.
Um CMS é basicamente isso, temos o core do CMS que é um conjunto de códigos e para personalizar nosso CMS instalamos diversos plugins. Tenha em mente cada plugin assim como o CMS vão fazer tratamento de dados e que cada um terá sua política de privacidade.
E todo o tratamento que cada plugin realizar deve ser, de acordo com os princípios da LGPD, ser de conhecimento do titular do dado.
Inicie o processo de adequação do seu site levantando e analisando todas as partes do seu site que fazem tratamento de dados, para cada processo deixe claro o propósito daquele tratamento.
Se você está capturando e tratando dados em um formulário de newsletter, onde faz captura de nome e e-mail, deixe claro nesse formulário, princípio da transparência, que aquele dado é utilizado somente para envio de comunicados, que a aplicação ou sistema de automação utilizado para envio é o ABC, que esses dados podem ser compartilhados ou não com outras ferramentas e soluções de marketing.
Faça um pente fino em tudo, consulte os profissionais chave que estão realizando as atividades de gestão e controle do seu marketing.
Levantou tudo? Se sim agora fica mais fácil.
Faça uma política de privacidade geral, para todo o site, com toda a informação levantada, inclua as medidas de segurança que foram estabelecidas para manter a segurança da informação conforme o Guia de Elaboração de Termos de Uso e Política de Privacidade para Serviços Públicos (Link para download), mas não especifique demais, pois poderá dar informação valiosa nas mãos de hackers.
Para cada ponto de tratamento de dados elabore pequenos textos demonstrando para que aquele dado em específico está sendo coletado e como será o tratamento.
Insira um informativo, pode ser no formato de barra ou quadro flutuante, mostrando para os usuários/titulares dos dados, possam consentir quanto aos cookies utilizados. Nesse ponto indicamos a utilização de caixas de marcação para que o titular consiga visualizar de forma clara e transparente o que casa cookie está fazendo no sentido de tratamento de dado e deixando a opção para o usuário não aceitar a utilização de cookies.
E falando em cookies, além de solicitar o consentimento na barra de avisos, dar opção para o usuário selecionar os que permite, por que não criar uma página específica para a sua política de cookies? Sim indicamos, porque em alguns casos o conteúdo pode ser muito denso e merece uma página dedicada para esse assunto.
Crie uma página com todos os termos de uso do seu site. Deixe claro todas as regras e condições no uso do seu site e consequentemente seu conteúdo.
Crie uma página para as ferramentas de privacidade para que o titular do dado possa exercer o seu direito de exclusão dos dados, edição ou mesmo portabilidade.
Indico colocar no menu do seu site um item privacidade com os seguintes subitens:
- Política de Privacidade
- Política de Cookies
- Termos de Uso
- Ferramentas de Privacidade
19- AGENDA DE MONITORAMENTO
20- CONCLUSÃO
Trabalho mal feito tem que ser refeito.
E um trabalho que demanda um grande estudo, com levantamento de diversas informações deve ser bem feito para não acontecer o retrabalho.
Principalmente quando é uma adequação legal como é o caso da LGPD. Ou se adequa ou poderá ser punido tanto na questão da sua imagem profissional como no seu bolso por multas que podem ser aplicadas.
Deve ser encarada com uma atividade rotineira no seu escritório de advocacia, pois atualizações sempre vão ocorrer.