Enviar E-mail

LGPD – Guia prático para acompanhar a Lei Geral de proteção de Dados Pessoais

Guia prático para acompanhar a Lei Geral de Proteção de Dados Pessoais – LGPD

É de conhecimento comum que em menos de um ano estará em vigor a lei 13.709, que ficou conhecida como LGPD – Lei Geral de Proteção de Dados Pessoais, sancionada pelo ex-presidente Michel Temer. 

O que esperar da lei e de sua aplicação são ainda pontos de interrogação. Prevalecerá o bom senso para coibir abusos? A máquina pública burocrática e sem muita empatia com quem gera empregos irá utilizar a nova lei para restringir negócios e aplicar regulamentações impossíveis de serem praticadas por empresas de pequeno e médio porte?

A multa é pesada, podendo chegar a 50 milhões ou 2% do faturamento da empresa. É certo que o que provocou a criação da lei no Brasil foi escândalo envolvendo o Facebook e a Cambridge Analytica. (https://en.wikipedia.org/wiki/Facebook%E2%80%93Cambridge_Analytica_data_scandal

Nesse episódio específico, qualquer um que teve a curiosidade de ver e ouvir as perguntas, em sua maior parte absurdas, dos congressistas americanos, percebeu como os legisladores estão despreparados para lidar e tratar a realidade digital. (https://www.youtube.com/watch?v=YCQ_ZGxE2U4)

Se nos Estados Unidos estão despreparados, a realidade do Brasil não é diferente. Fizemos uma análise dos possíveis abusos e de como um e-commerce ou negócio digital devem encarar e adequar-se à nova lei.

 

Falaremos aqui sobre:

  1. O que a lei tem de bom
  2. O que a lei tem de ruim
  3. Como estar aderente à lei
  4. Marketing
  5. Segurança
  6. Treinamento
  7. Formalize
  8. Conclusão

O que a lei tem de bom

Em primeiro lugar, a lei não proíbe nada. Contudo, ela ressalta em seu artigo o que toda empresa séria já deveria estar fazendo: o tratamento de dados pode ocorrer… mediante o fornecimento de consentimento pelo titular”. Ou seja, você não está impedido de enviar um e-mail marketing ou SMS marketing, desde que o recebedor tenha claramente autorizado você a fazer isso.

Em um segundo ponto, a lei distingue categorias de informações e de uso dos seus dados. No capítulo 1, ela conceitua “dado pessoal sensível”. Vamos tomar como exemplo, a biometria de impressão digital, tão usada por bancos e em processos de caixa eletrônico. E se alguém roubar o seu conjunto de digitais? Trata-se de uma informação única e que você não tem condições de “regerar uma digital para si mesmo”. Independentemente do tamanho da empresa que manuseie esse tipo de informação, é fato que a segurança acerca desse sistema deve ser a máxima possível. Como você explicaria amanhã a sua digital em uma cena de crime, reflita por um instante – não é algo impossível de ocorrer, se um banco de digitais cair em mãos erradas! Leia mais em https://cyberuslabs.com/wp-content/uploads/2015/09/Cyberus_Key_White_Paper_Biometrics_Risks.pdf

O terceiro ponto é que mais impacta as empresas. Havia abusos impensáveis antes da lei. Não vamos citar nomes, mas uma aplicação “esperta” conseguia identificar clientes (por e-mail e nome) em sites que elas nunca incluíram seus dados. Isso mesmo, você navegava no site, quando ia sair, sem ter informado nada, um e-mail de retarget chegava para você: “Olá João, desistiu da compra…”. Trata-se de um hacking com alto nível de conversão, uma maravilha para os marketeiros! Mas a forma como esse dado é obtido é complicada. Numa tecnologia chamada pool de cookies, quando você acessava seu joguinho favorito, seus dados iam automaticamente para uma base compartilhada com milhares de empresas, que passavam a rastrear você em cada site que você navegava! O problema disso é que você não sabia de nada.

 

O que a lei tem de ruim

A lei penaliza pequenas e médias empresas se interpretada de forma “absoluta”. As empresas pequenas e médias tendem a ter relações mais baseadas em relacionamento com seus clientes potenciais e menos em processo. Imagine um cenário onde o vendedor de uma imobiliária cadastrou no CRM da empresa uma base de conhecidos, ex-clientes e familiares. O sistema da imobiliária passou então a enviar e-mail marketing para essa base. Do ponto de vista da lei, trata-se de um processo sem autorização explícita do recebedor e passível de multa, ainda que alguns dos membros da lista sejam familiares e amigos do vendedor. Claro que por obrigação, esse e-mail deveria ter a possibilidade da pessoa se “auto eliminar” da lista, mas mesmo assim, a lei é ferida.

Quando se fala em segurança da informação, o risco é algo que sempre existe. Todo estudante de segurança da informação aprende que nenhum sistema é 100% seguro mesmo porque um sistema 100% seguro seria utilizado por pessoas que eventualmente poderiam ser enganadas. A lei menciona pouco o conceito de “risco” implícito toda vez que alguém preenche um formulário on-line.  Na prática, vemos empresas com orçamentos multimilionários terem seus sistemas invadidos e dados divulgados. Só para citar alguns exemplos do exterior, em 2016 o Uber teve 600 mil dados de motoristas vazados (https://www.csoonline.com/article/2130877/the-biggest-data-breaches-of-the-21st-century.html)  e no Brasil em 2017, a XP Investimentos teve dados de 29.000 clientes vazados. 

 https://veja.abril.com.br/economia/hackers-roubam-dados-de-29-000-clientes-da-corretora-xp/

 

Como estar aderente à lei

Seja visceralmente franco com seu cliente

Crie uma política de privacidade 100% franca com seu cliente, expondo como a informação dele será utilizada e quais dados você obtém dele. Avise que você grava dados enquanto ele navega por meio de cookies (se for o caso do seu site).

 

Marketing

Não compre bases de leads. Sempre ofereça opção para que a pessoa sensibilizada por e-mail/SMS não receba aquela comunicação. Nos seus processos de cadastro, obtenha a autorização expressa do cliente para receber comunicações. Remova de sua base os clientes pouco interativos. 

 

Segurança

O assunto é amplo, mas vale garantir que coisas básicas estejam sendo feitas para, em caso de eventos de intrusão, você possa provar que fez o melhor para garantir a segurança da informação. Tenha sites seguros com https, considere inclusão de recaptchas em páginas que exibem informações de seus clientes.

 

Treinamento

É mais do que provado que a maioria dos ataques ocorre na ponta mais fraca, que na maioria das vezes é o ser humano. Treine seu time. Garanta que seu pessoal conheça conceitos de senha segura e engenharia social. 

 

Formalize

Informações são um asset. Garanta que seus colaboradores entendem o valor do que estão manuseando no contrato de trabalho que eles assinam.

Ecommerce para supermercados

Preparamos um material que pode ser interessante para você. Baixe gratuito o e-book e-commerce para supermarcados!

E-book Ecommerce para supermercados
Nome
Email
Fone
Site

 

Conclusão

É cedo para dizer o quanto a LGPD trará de impacto positivo ou negativo no cenário empresarial brasileiro. Contudo é, sem dúvida, um fato que coloca o Brasil no mesmo patamar de proteção da informação que a União Europeia e coíbe práticas que jamais deveriam estar ocorrendo. O ponto de dúvida é como ela irá impactar pequenas e médias empresas que utilizam o on-line para geração de leads e vendas.

 

 

 

Fabiana Ribeiro

Gerente de Marketing

fabiana.ribeiro@consinco.com.br