Os consumidores experientes sabem que a sua atividade e os seus dados estão a ser seguidos em linha. É por isso que se tornou tão importante ter regulamentos que ofereçam privacidade (especialmente nas redes sociais) e permitam aos clientes escolher que informações pessoais partilham.
A Lei Geral de Proteção de Dados (LGPD) é uma lei que foi introduzida pela União Europeia a 25 de maio de 2018. Esta lei substituiu a Diretiva de Proteção de Dados 95/46/CE e foi concebida para:
- Harmonizar as leis de privacidade de dados em toda a Europa
- Proteger e reforçar a privacidade dos dados de todos os cidadãos de qualquer lugar do mundo;
- Reformular a forma como as organizações da região abordam a privacidade dos dados.
No Brasil, a Lei n° 13.709/2018 foi promulgada para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo, tendo sido reformulada em 2021.
O que significa o LGPD para as empresas?
Enquanto regulamento aplicável por lei, a LGPD não é opcional. Se uma pessoa ou organização quiser fazer negócios no Brasil ou no mundo, ou com cidadãos de qualquer parte, tem de cumprir os regulamentos.
Através da LGPD, as empresas têm de ser explícitas quanto à forma como recolhemos dados pessoais para fins de marketing. Isto significa pedir permissão explícita específica quando os recolhem, bem como oferecer aos consumidores uma razão válida para ter a informação.
Em suma, a LGPD:
- Dá às pessoas mais controlo sobre a utilização dos seus dados pessoais
- Dá clareza em toda a região sobre a forma como os dados podem ser utilizados por uma empresa
- Exige que as empresas atribuam mais recursos à privacidade dos dados, bem como assumam maior responsabilidade pela mesma
Bases jurídicas para o tratamento de dados
Para cumprir os regulamentos, a LGPD fornece seis bases legais para o processamento e armazenamento de dados pessoais. Na proteção de dados, uma base jurídica refere-se à justificação para o tratamento de dados pessoais.
As seis bases legais para o processamento de dados ao abrigo dos regulamentos da LGPD são:
Consentimento da pessoa em causa – Os dados são fornecidos livremente pela pessoa em circunstâncias claras e inequívocas.
Obrigação contratual entre a organização e o indivíduo – A organização necessita de determinados dados para lhe fornecer um serviço – por exemplo, um endereço para entrega de comércio eletrônico.
Obrigação legal da organização – A organização pode necessitar de determinadas informações para cumprir requisitos legais ou estatutários.
Interesses vitais do indivíduo – A organização pode necessitar de processar determinados dados para proteger a vida de alguém.
Interesse público/tarefa pública – A organização pode processar informações para desempenhar funções públicas definidas por lei.
Interesse legítimo – A organização tem interesse em processar dados como detalhes de contato, porque tem um interesse comercial legítimo em enviar um e-mail ou telefonar ao indivíduo por motivos de vendas.
Responsabilidades dos responsáveis pelo marketing de dados
Os profissionais de marketing digital devem compreender as suas responsabilidades específicas em relação às seis bases jurídicas e às regras associadas ao processamento e armazenamento de dados.
Estas incluem:
Regras de consentimento de dados: O consentimento dos dados refere-se à recolha de dados pessoais sobre potenciais clientes e potenciais clientes através dos vários canais de marketing digital de uma organização e à obtenção do seu consentimento explícito e inequívoco para optarem por receber notícias da organização.
Regras de processamento de dados: O processamento de dados refere-se à forma como uma organização utiliza os dados que recolhe e se os contactos, potenciais clientes e clientes compreendem a razão pela qual os dados têm de ser processados dessa forma.
Regras de retenção de dados: A retenção de dados refere-se ao período de tempo durante o qual uma organização retém dados pessoais e às razões comerciais para o fazer.
Regras de transferência de dados: A transferência de dados refere-se à transferência de dados pessoais de cidadãos da União Europeia para fora da UE para fins comerciais legítimos.
Regras de eliminação de dados:A eliminação de dados refere-se a quando e como os dados pessoais são permanentemente removidos dos sistemas de uma organização.
Papel do departamento de marketing na conformidade com a LGPD
O departamento de Marketing – e, por defeito, o Diretor de Marketing – desempenha um papel fundamental na ativação, apoio e comunicação da LGPD e do seu impacto na empresa à gestão de topo.
Devido ao papel único do Marketing na recolha, processamento, retenção, transferência e eliminação de dados pertencentes ao público e aos utilizadores e clientes das organizações, a pessoa ou pessoas da equipa nomeadas para implementar a conformidade com a LGPD devem estar plenamente conscientes do âmbito e das responsabilidades do projeto.
Trata-se normalmente de um esforço de equipa multifuncional, uma vez que o profissional de marketing digital que lidera as atividades relacionadas com a LGPD terá de trabalhar com as TI, as Vendas, o Suporte, a Engenharia, o Sucesso do Aluno e o Produto, por exemplo, para garantir que os processos de privacidade dos dados e quaisquer dependências são compreendidos e apoiados em toda a organização.
Responsável pela proteção de dados
A nomeação de um DPO, ou responsável pela proteção de dados, ajudará a orientar os recursos para a conformidade com a LGPD:
A LGPD exige a nomeação obrigatória de um DPO para qualquer organização que processe ou armazene grandes quantidades de dados pessoais, quer se trate de funcionários, de indivíduos fora da organização ou de ambos. Os guardiões têm de ser “nomeados para todas as autoridades públicas e sempre que as atividades principais do responsável pelo tratamento ou do subcontratante envolvam ‘um controlo regular e sistemático dos titulares dos dados em grande escala’ ou sempre que a entidade proceda ao tratamento em grande escala de ‘categorias especiais de dados pessoais'”, como os que contêm detalhes sobre raça, etnia ou crenças religiosas.
Controlador de dados e processador de dados
Os membros da equipa de marketing digital também devem estar familiarizados com as funções de responsável pelo tratamento de dados e de subcontratante. É imperativo compreender em que cenários são o Responsável pelo tratamento de dados ou o Processador de dados.
O responsável pelo tratamento de dados pode ser definido como:
A pessoa ou organismo que determina as finalidades e os meios de tratamento dos dados pessoais. Em termos simples, decide para que servem os dados – e o que lhes vai acontecer.
O Processador de Dados pode ser definido como:
Uma pessoa ou organismo separado do responsável pelo tratamento de dados (ou seja, que não é um empregado) e que trata os dados pessoais em nome desse responsável pelo tratamento de dados. Por outras palavras, o responsável pelo tratamento de dados atribui ao subcontratante uma tarefa específica – e o subcontratante executa-a.
É importante que um profissional de marketing digital saiba quando desempenha um ou ambos os papéis sempre que lida com dados nas suas funções.
Interesse comercial legítimo
“Interesse comercial legítimo” significa que deve haver uma razão clara para a empresa recolher e tratar dados específicos sobre uma pessoa em causa. Por exemplo, pode ser o nome e o endereço de casa de um cliente de uma empresa de entrega de pizzas. O fato de uma pessoa encomendar uma pizza não significa automaticamente que seja legítimo utilizar esta informação para fins de marketing direto – por exemplo, enviar-lhe folhetos. A transmissão destas informações a terceiros sem interesse legítimo também seria provavelmente considerada uma violação da LGPD.
Os motivos da recolha e do tratamento não devem violar quaisquer direitos da pessoa singular. Como profissional de marketing digital, deve considerar cuidadosamente: que dados estão a ser recolhidos e por quê?
Por este motivo, o registo do consentimento é um requisito muito importante da LGPD. O consentimento deve ser dado livremente, sem ambiguidades, claro e transparente para o titular dos dados.
Não deve haver longas e desconcertantes resmas de juridiquês para ler. O consentimento deve ser registrado corretamente. Além disso, o caminho para cancelar a subscrição deve ser igualmente simples – e claro – para o titular dos dados.
Espera-se também que os gestores de linha e os quadros superiores estejam cientes do funcionamento completo e do impacto da LGPD na sua equipa como um todo e nos colaboradores individuais.
Considerando uma equipa média de marketing digital, quais são algumas das principais funções e tarefas de que os colaboradores individuais e os seus gestores devem estar conscientes:
Programadores
Os formulários do sítio Web estão configurados corretamente.
Os plug-ins do site estão em conformidade.
A plataforma do sítio Web é segura.
O CMS está integrado corretamente.
Analistas de dados
As ferramentas de análise estão em conformidade.
As integrações são utilizadas sempre que possível para evitar a exportação de dados para computadores.
Designers gráficos
As informações exclusivamente internas da empresa não são utilizadas em gráficos destinados ao público.
Os dados dos clientes utilizados em conteúdos para o público devem ter um consentimento explícito assinado e registrado.
Redatores
As informações internas da empresa não são utilizadas em conteúdos destinados ao público.
Os dados dos clientes utilizados em conteúdos para o público têm de ter um consentimento explícito assinado e registrado.
Os contratantes não podem ter acesso não autorizado aos dados da CMS.
Relações Públicas
Obter, registar e manter o consentimento dos contactos dos meios de comunicação social para o envio de materiais.
Preparar comunicações de violação de dados.
Manter uma marca de confiança relativamente à gestão de dados.
Eventos
Obtenha, registre e mantenha o consentimento dos visitantes do stand antes de os adicionar ao seu CRM para marketing.
Verifique os termos e condições da lista de participantes do evento. (Os participantes estão cientes de que se inscreveram para receber comunicações da sua organização e que comunicações estão alinhadas com essas expectativas?)
Reveja as políticas de quaisquer aplicações e serviços de terceiros que utilize para organizar ou participar num evento. (A quem pertencem os dados e se estão seguros?)
Marketing digital
Avaliações do impacto na privacidade (AIP) em todos os processos e projetos.
Dados sensíveis
Dependendo do sector, alguns profissionais de marketing digital terão exigências mais rigorosas do que outros no que diz respeito aos regulamentos da LGPD.
Estes incluem:
- Cuidados de saúde
- Finanças ou fintech
- Serviço público
- Organizações que lidam com os dados de uma pessoa com menos de 16 anos de idade
- Organizações que recolhem dados de PII são sensíveis e vulneráveis.
Todas estas organizações exigem o cumprimento das mais rigorosas políticas de privacidade e proteção de dados.
Responsabilidades do departamento de marketing
Então, quais são as responsabilidades de uma equipa de marketing digital no que diz respeito ao registo, manutenção e comunicação de dados em relação à LGPD?
Estas incluem:
Definir e registar os opt-ins e opt-outs de correio eletrônico
Conceber um fluxo de opt-in e opt-out que seja claro, onde o consentimento possa ser interpretado sem ambiguidade; garantir que o opt-out é tão fácil e claro como o opt-in.
Normalizar a forma como um novo contacto entra no CRM através de todas as vias de marketing
Compreender todos os processos de entrada de dados do CRM sob a jurisdição da equipa de marketing e garantir que, no caso dos cidadãos da UE, cada processo tem orientações claras sobre o consentimento.
Descrever o processo de satisfação dos pedidos e eliminações dos titulares dos dados
Efetuar um ensaio de um pedido do titular dos dados e de um pedido de apagamento de dados; aperfeiçoar e documentar o processo e formar os membros da equipa relevantes.
Comunicar violações de dados
Compreenda o prazo dentro do qual tem de publicar um aviso sobre uma violação de dados e tenha à mão modelos de comunicação pré-aprovados para um cenário de crise.
Manter atualizadas a página de privacidade e a página de termos e condições do site
A intervalos regulares, peça ao seu DPO, à equipa de TI e a um perito jurídico que revejam a sua documentação de utilização de dados destinada ao público.
Verificar e aprovar a forma como os dados de CRM são utilizados para fins de marketing a nível interno e externo
Certifique-se de que os membros da sua equipa têm as permissões adequadas para aceder aos dados nas ferramentas que utilizam e que estão cientes de que os dados a que têm acesso podem e não podem ser utilizados para fins de marketing.
Ter uma política estabelecida relativamente ao co-marketing ou ao marketing de parceiros, em que o titular dos dados está protegido de acordo com o regulamento da LGPD.
Compreender os regulamentos da LGPD, as melhores práticas e a forma como pode cumprir eticamente é imperativo para o seu papel como profissional de marketing digital.
Assegurar que a sua estratégia digital inclui a proteção de dados
A proteção de dados é agora fundamental para qualquer estratégia digital.
O nosso curso de estratégia de marketing digital não só abordará os fundamentos da estratégia, como também explora a automação, a análise, o orçamento, os canais digitais, a liderança e muito mais. Inscreva-se hoje para começar!
