Artigo

A proteção de dados que interessa ao mercado publicitário (CENP)

17 de janeiro de 2019

A proteção de dados que interessa ao mercado publicitário

Este ano está bem conturbado, especialmente no segundo semestre, não apenas pela instabilidade política e econômica, mas pelos ônus impostos por duas leis de proteção de dados, uma na Europa, que entrou em vigor em 25 de maio (General Data Protection Regulation, ou GDPR), e outra recentemente publicada no Brasil, mas que só valerá em fevereiro de 2020 (a chamada Lei Geral de Proteção de Dados, ou LGPD). Como o marketing hoje se vale de dados coletados mundo afora – em particular, na Europa – a legislação de lá se aplica também longe daquele território, basicamente, desde que o dado tenha sido obtido ali ou diga respeito a um cidadão europeu. Além disso, mais de cem países contam com suas regulações de proteção de dados, isso num mundo em que o facial recognition em políticas de segurança já é uma realidade[1].

Há, de um lado, certo frenesi de advogados, e, de outro, receio de empresas que só ouvem falar do impacto da nova legislação dos negócios. Tudo isso tem razão de ser: as leis de proteção de dados – tanto a europeia quanto a brasileira – estabelecem severas e custosas obrigações a quem quer que obtenha, armazene, manipule ou disponha de dados pessoais (qualquer dado que possa identificar uma pessoa física). É dado pessoal o que identifica as pessoas físicas do cliente, do consumidor, do funcionário e do prestador de serviço, independentemente se estiver no papel ou informatizado. Para o mercado publicitário, as leis significam, sem sombra de dúvida, importante mudança no modo como os dados são tratados e como muitos negócios são feitos.

Tanto GDPR quanto LGPD e, em geral, todas as leis de proteção de dados são fundadas em um macroprincípio: o titular é senhor de seus dados. Nesse sentido: (i) somente com seu consentimento expresso e informado seus dados poderão ser utilizados e compartilhados; (ii) as empresas que  obtém tais dados terão de informar os titulares o motivo da coleta que, tão logo cessado, dará causa à extinção dos dados; (iii) os titulares poderão levar seus dados de uma empresa para a outra (portabilidade); (iv) as transferências internacionais de dados ocorrerão fundamentalmente entre países que assegurem a proteção de dados pessoais. Importante notar, no que interessa à LGPD, que o CENP, ainda antes da lei, elaborou e submeteu à consulta o Anexo D às Normas-Padrão da Atividade Publicitária, que estabelecia melhores práticas para a compra automatizada de mídia. Com as discussões hoje sobrestadas, o Anexo D anteviu a necessidade de transparência, accountability, direito à informação, privacidade, equidade, livre concorrência e boa-fé objetiva, principalmente na compra programática de mídia, abrangida por aquela proposta[2].

Se é verdade que quem quer que viva no mundo de hoje precise de dados, no mercado publicitário isso é ainda mais veraz. Em 2015 e 2016, cerca de 80% dos respondentes apontava o cunho crítico dos dados para as estratégias de marketing, segundo pesquisa da Global DMA[3].  O marketing orientado por dados vem sendo alavancado por investimentos que só fazem aumentar, e as estratégias de publicidade das companhias hoje em dia não podem lançar mão de dados pessoais para atingir seus objetivos. Hoje, veículos de divulgação, quando não agências de publicidade, confundem-se com empresas de tecnologia. Nesse sentido, GDPR e LGPD aplicam-se ao coração do marketing contemporâneo. Sim, a nova regulação de dados pode ser entendida como disruptiva, e são alguns pontos que devem chamar a atenção do mercado publicitário, dentre os quais os destacados a partir de agora.

Consentimento livre e informado. Os dados coletados devem ser obtidos de maneira livre, esclarecida e informada ao seu titular, determinando qual a finalidade da coleta. Nada mais de checkboxes: o consentimento deve ser escrito, com cláusula destacada das demais. Qualquer generalidade tornará nulo esse documento, que deverá           ser armazenado para fins de prova durante o tempo de utilização de dados e em até dez anos após a inutilização ou cessão desses dados. Compartilhamento? Só com consentimento especialmente estabelecido para esse fim, o que decerto alterará, inclusive, o modelo de negócio de atividades como o retargeting.

Privacy by design. O mindset mudou: a partir de agora, as empresas devem ser orientadas para a preservação da privacidade de todos os seus stakeholders, sejam funcionários, terceiros e freelas, clientes, consumidores. O privacy by design é um princípio: a privacidade deverá informar a arquitetura de TI, os modelos de negócio e, porque não dizer, até mesmo a disposição física das empresas: estruturas organizacionais abertas estarão com os dias contados? Penso que não, mas o design thinking about privacy fará com que mesmo esses temas sejam orientados pela privacidade.

 Data Protection Officer (DPO) e informação. As empresas terão de estabelecer estrutura própria de proteção de dados, designando, entre seus colaboradores, um responsável por esse job. Além dessa estrutura mitigar riscos digitais e facilitar a implantação do privacy by design, será ela a responsável por elaborar o relatório de impacto à proteção de dados pessoais, um reporte para a gestão de riscos relacionados aos dados pessoais. Também o time liderado pelo DPO responderá aos pedidos de informação dos usuários, bem como gerenciará o cumprimento da GDPR e da LGPD.

 Anonimização e pseudoanonimização. As áreas de pesquisa de mercado de veículos, anunciantes e agências poderão se valer da anonimização (quando os dados tratados não permitem a identificação de seus titulares, ex., homens de 30 a 40 anos da classe C2) ou pseudoanonimização (quando um dado perde o elemento de associação que permite identificar seu titular, ex., “H.” é professora universitária). Dados anonimizados e pseudoanomizados não são considerados pessoais porque lhes falta a capacidade de identificação.

 Portabilidade. É direito do titular pedir a portabilidade de seus dados pessoais em poder de certa empresa ou pessoa e a entrega para outra empresa ou pessoa fornecedora de produto ou serviço. Semelhantemente à operadora de telefonia, a portabilidade, que ainda carece de regulamento, fará com que competidores no mercado transfiram os dados entre si. Isso pode significar a transferência de toda a inteligência do custoso tratamento de dados para seu concorrente. Claro, os dados revestidos de segredo comercial e industrial, bem como aqueles necessários para a defesa da empresa (ex., em possível reclamação trabalhista) poderão ser ora restritos, ora copiados e descartados tão logo sirvam seu propósito.

 Sanções. Seguindo os métodos mais recentes, o descumprimento das leis pode acarretar multa em percentual calculado sobre o faturamento – no caso da GDPR, 4% sobre o globalmente contabilizado; no caso da LGPD, a multa é de 2% sobre o faturamento no Brasil, limitada a R$50.000.000,00 por infração. Há, também, multa diária (quando a infração se prolongar no tempo), advertência, publicação da infração (com risco de reputação), mais bloqueio e eliminação dos dados.

 Vazamentos, crackers e phishings. Nada pode ser pior que vazamento de dados. Já era assim para as bigtechs, agora é para todo o mundo. Além do dano de imagem e reputação, os pedidos de indenização podem vir tanto dos indivíduos prejudicados quanto da coletividade, por meio do Ministério Público e outros legitimados. O privacy by design e o DPO ajudarão a conter vazamentos por erros humanos diretos, mas serão apenas relativos quando as ameaças vierem de fora, por ataques de phishing ou outras ações de crackers, que se aproveitarão da situação para incrementar e escalar seus golpes (hoje, as empresas estarão mais pressionadas pela legislação para ceder à extorsão de golpes como ramsomwares, por exemplo). Portanto, cybersecurity é palavra de ordem: os investimentos deverão prover sistemas minimamente devassáveis.

 A nova ordem da proteção de dados requer ações imediatas. No mercado publicitário, sairá na frente quem antes aderir às práticas que chegaram. O Século XXI é o da inteligência artificial, da tecnologia, da transparência e da equidade, mas, sem sombra de dúvida, da privacidade e proteção de dados.

[1] <https://www.washingtonpost.com/news/world/wp/2018/01/07/feature/in-china-facial-recognition-is-sharp-end-of-a-drive-for-total-surveillance/?noredirect=on&utm_term=.54efcc59717b>, acesso em 2.9.2018, 11h43.

[2] <http://www.centraldeoutdoor.com.br/wp-content/uploads/2017/10/EDICAO_52-CENP.pdf>, acesso em 2.9.2018, 17h14.

[3] <http://www.abemd.org.br/interno/Global_Review_Brasil_2016.pdf>, acesso em 2.9.2018, 14h13.