15 junho 2018

Como a GDPR vai mudar negócios no Brasil e no mundo

Para se adaptar às regras da GDPR, as empresas precisarão enfrentar desafios e fazer modificações em seus modelos de negócios

A coleta e análise de dados do consumidor no ambiente online nunca foi tão importante, afinal, através dessas informações as empresas conseguem otimizar e personalizar suas campanhas de marketing, impactando o cliente certo no momento exato. Porém, muitos desses dados são utilizados de maneira indevida e interferem negativamente na privacidade do usuário, muitas vezes até causando danos para o mesmo. Para evitar problemas como esse, recentemente, entrou em vigor na Europa a Regulação Geral de Proteção de Dados (GDPR), documento que foi criado para impor controles mais rígidos sobre as informações dos usuários digitais. A legislação, que estava aprovada desde 2016, responsabilizará as empresas que usarem e coletarem dados dos cidadãos europeus de maneira indevida.

Apesar dessa lei se restringir aos europeus, ela afetará empresas de todas as partes do mundo, inclusive do Brasil. Isso porque qualquer organização que lide com dados de cidadãos da Europa ou que prestem serviço para companhias europeias, está sujeita a cumprir às regras da GDPR.

 

Principais desafios das empresas

Adaptar-se a essa nova legislação não será nada fácil, mesmo porque, agora no início da sua vigência, muitas dúvidas se farão presentes, trazendo grandes desafios para as organizações. Para Edmardo Galli, CEO LATAM da IgnitionOne, uma das principais dificuldades que a GDPR irá trazer é a mudança do conceito de “dado pessoal”. Ele explicou:

“Esta regulação traz uma inovação interessantíssima, que é o conceito de “pessoa física identificável”. De acordo com a GDPR, agora informações como cookies, endereço de IP ou até mesmo dados de geolocalização podem ser utilizados para identificar uma pessoa física, direta ou indiretamente. E para que as empresas utilizem esses dados, é necessário que o usuário expresse seu consentimento, de forma ativa, o que traz uma série de desafios. Por exemplo, de que forma esta permissão será obtida? O que a GDPR entende como “consentimento expresso”?”

Embora pedir a permissão dos clientes para ter acesso aos seus dados seja um dos requisitos da nova legislação, é importante ressaltar que essa não é a única maneira de coleta. Existem outras possibilidades que permitem a utilização e coleta dos dados pessoais sem autorização expressa dos usuários. Entre elas estão: a requisição de dados para efetivação de compras virtuais bem como para a entrega do produto, situações que envolvam o cumprimento de obrigações legais, como o envio de uma intimação judicial, medidas de proteção de direitos vitais e envolvimento de interesse público. Além disso, também está prevista no artigo 6º da GDPR, a autorização no tratamento de dados para empresas que tiverem interesse legítimo, que não viole direitos dos titulares das informações.

A utilização de dados pessoais para fins publicitários com base no interesse legítimo é inclusive mencionada no Recital 47 da GDPR. Assim, as ad techs, bem como diversos outros participantes da cadeia publicitária, podem utilizar o interesse legítimo como base legal para o tratamento de dados pessoais em suas campanhas” ressalta Cris Camargo, Diretora Executiva do IAB Brasil.

Para Helen Modesto, Head de Data Inteliigence da NewBlue, o grande desafio das empresas será rever e estudar todo o seu modelo de negócios.

“As empresas precisam [..] analisar como está sendo feita hoje a captação e armazenamento de dados, e como poderão seguir as novas regras de proteção de dados para seus clientes. Além disso, devem planejar e entender quais tecnologias envolver para garantir agilidade de atualização da base de dados e disponibilizar opções para os usuários. Isso vai gerar novas necessidades, como investimento em consultorias, tecnologias, pessoas e muito tempo, já que há um amplo universo para organizar e modelar”, comenta.

 

Transformação nas campanhas publicitárias

É fato que as organizações irão inserir novas práticas e processos internos para se adequar às regras do GDPR. Mas será que a maneira como as agências desenvolvem suas campanhas publicitárias sofrerá alterações?

Para David Reck, Sócio Fundador e CEO da Reamp, a resposta é sim. Ele explica:

A nova regra altera completamente a maneira como osprofissionais de marketing lidam com os dados e, consequentemente, como irão desenvolver suas campanhas publicitárias daqui para frente. Caso não consigam provar que os usuários consentiram o uso de suas informações, as empresas sofrerão multas pesadíssimas. [10 milhões de euros ou 2% do faturamento internacional da empresa]. Por isso, será cada vez mais importante abordar o cliente de maneira clara sobre o uso dos dados, explicando detalhadamente todas as atividades de processamento que serão realizadas. A coleta precisa ser relevante para algum propósito, e o consentimento silencioso, caixas marcadas previamente ou inatividade não são levados em conta como consentimento do usuário. [..] Cada vez mais empresas irão se concentrar em informações realmente necessárias e relevantes”.

Os formatos das campanhas publicitárias também poderão sofrer alterações nos casos em que o consumidor não autorizar o uso dos seus dados. Galli, da Ignition One, descreve os efeitos dessa ação.

Nesse caso, as ações não poderão ser customizadas e tampouco impactar o consumidor de forma tão assertiva quanto aquele usuário que autorizar o uso dos seus dados. Este é um dos grandes benefícios da publicidade digital, entregar a publicidade certa para o consumidor certo, na hora e no local mais adequados. Então, pode haver perda de agilidade se for necessário cumprir vários protocolos de autorização de uso dos dados. Por outro lado, o relacionamento com o consumidor vai se pautar por uma maior transparência em relação à coleta e uso de seus dados”.

 

Como evitar o vazamento de dados de clientes

A transparência no uso dos dados do consumidor é essencial e, como já mencionado, a multa para vazamento de informações de clientes é bem alta. Felizmente algumas medidas podem ser tomadas para reduzir o risco de infringir a lei, como mencionau a Diretora Executiva do IAB Brasil, Cris Camargo.

“Entre outros fatores, destaco investir em segurança de informação e compliance em proteção de dados, sempre por meio de auxílio jurídico, e desenvolver internamente uma cultura de privacy by design, o que é inclusive previsto pela GDPR, que exige que a proteção de dados seja realizada desde a concepção de novos produtos, serviços, campanhas e funcionalidades.”.

Além disso, outras atitudes como: mapear todos os pontos de contato e coleta de dados de consumidores; rever contratos com fornecedores; aprimorar ferramentas de RTB (real-time bidding); fornecer treinamento para a sua equipe explicando como lidar com os dados dos usuários e informando quais são as regras da GDPR, podem colaborar para evitar o vazamento de informações.

Entre todas essas medidas, David Reck, da Reamp, destacou a contratação ou nomeação de um Data Protection Officer(DPO).

Mas, talvez um dos passos mais importante e que, inclusive, se faz obrigatório para algumas empresas com a GDPR, é nomear um DPO (Data Protection Officer), que ficará responsável por garantir que todos os processos e informações coletadas estejam sempre em conformidade com a nova lei de dados”.

 

O impacto da GDPR no Brasil

Ficou claro que a GDPR trará mudanças, exigirá reformulações em modelos de negócios, investimento em segurança, e muitos outros esforços das empresas europeias, ou de qualquer outra nacionalidade, que lidam com dados de cidadãos da Europa. Tanto é que, a implantação dessa legislação também já está impactando as empresas brasileiras, como exemplificou Rodrigo Carril, advogado e Chief Complance Officer da Softline.

A GDPR já está produzindo seus efeitos sobre as empresas brasileiras. Por um lado, aquelas que processam ou armazenam dados de cidadãos europeus são diretamente obrigadas a seguir suas previsões. Por outro, muitas empresas nacionais estão inseridas na cadeia de valor de multinacionais que seguem a GDPR e, por consequência, devem também aplicar mecanismos de proteção de suas informações, por exigência daquelas. Então, seja por um tema legal ou por exigências do mercado, a GDPR já provoca seu impacto no nosso mercado nacional”.

Carril ainda indicou:

“Apesar disso, de fato, as pequenas e médias empresas devem fazer uma avaliação mais detalhada para entender sua real necessidade e capacidade de implementação de mecanismos robustos de proteção de dados. No mercado, já podem ser encontradas algumas soluções de tecnologia para todos os orçamentos e tamanhos que podem auxiliar as empresas a estruturarem suas informações de modo a mitigar os riscos específicos de sua operação de forma adequada”.

Outro impacto possível que a GDPR pode trazer é a quebra de contrato de empresas brasileiras que prestam serviço para organizações europeias, como revelou Edmardo Galli, da Ignition One. “Muito mais do que a possibilidade da aplicação de multas, acredito que possa haver a quebra de contrato de empresas europeias que utilizam serviços de coleta ou tratamento de dados providenciados por empresas brasileiras, por medo de falta de conformidade com a GDPR” afirmou.

Em compensação a Head de Data Intelligence da New Blue, Helen Modesto, mostrou-se positiva às mudanças: “A mudança referente ao monitoramento e processamento de dados causará impacto cultural, financeiro e jurídico para as empresas. Entretanto, sendo bem aplicado poderá gerar mais transparência e um impacto positivo entre as marcas e seus usuários”.

Aqui nas terras tupiniquins existem dois projetos de leis que estão na fase de tramitação o PL 5276/2016 na Câmara e o PLS 330/2013 no Senado. De acordo com Carril, ambos contêm disposições inspiradas nas diretrizes da GDPR.

Os projetos apresentam pontos importantes como: validade para todas empresas que processem dados pessoais no Brasil; exigência do consentimento prévio para tratamento de informações pessoais; exclusão obrigatória de dados após encerramento da relação ou caso não tenha havido solicitação; possibilidade de acesso aos dados mantidos pelas empresas por parte dos indivíduos; possibilidade de correção de dados; obrigatoriedade de comunicação imediata de qualquer vazamento de dados; entre outros”, informou.

Enquanto esses projetos não são aprovados aqui no Brasil, fica a dica para as empresas prestarem atenção e tentarem se informar mais sobre as regras da Regulação Geral de Proteção de Dados Europeia que, como vimos, promete afetar negócios em diversas partes do mundo.

_________________

Entrevista concedida e publicada no Digitalks.

|

Deixe um Comentário