LGPD aplicada à mídia programática e diretrizes para anunciantes

Conteúdosnovembro 11, 202016 Minutes

A Lei Geral de Proteção de Dados busca regulamentar toda atividade que envolve o tratamento de dados. Devido sua abrangência, empresas privadas e instituições de modo geral, devem reavaliar operações internas para construir uma Cultura de Governança que promova transparência e segurança aos usuários.

No contexto da publicidade digital, que utiliza dados para personalização e entrega de conteúdo direcionado, a lei apresenta fundamentos legais para que os usuários tenham uma experiência ainda mais agradável com os anúncios, sem abrir mão da privacidade. Ao longo deste artigo você verá as aplicações da LGPD no ecossistema programático, além de boas práticas para anunciantes que desejam adotar medidas de adequação.

Este conteúdo foi submetido a avaliação de especialistas da área jurídica para garantir a relevância das informações.

Para garantir o entendimento deste artigo, veja abaixo as definições relacionadas a LGPD:

  • Dado pessoal: Entende-se como informações relacionados à pessoa física. Podem ser identificáveis como Nome, Endereço, RG, CPF, entre outros. Ou que permitem identificação como preferências, histórico de navegação, histórico de pesquisa, histórico de compras, entre outros.
  • Dado pessoal sensível: Dado sobre origem racial ou étnica, convicção ou filiação religiosa, opinião política, saúde ou à vida sexual, entre outros.
  • Tratamento de dados: Toda operação realizada com dados pessoais. A LGPD menciona expressamente diversos exemplos: coleta, produção, classificação, utilização, acesso, transmissão, distribuição, processamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, entre outros.
  • Controlador: Empresa ou entidade a quem competem as decisões referentes ao tratamento de dados pessoais.
  • Operador: Pessoa ou empresa que utiliza os dados de acordo com as instruções alheias (controlador).

LGPD e Cultura de Governança

A Lei Geral de Proteção de Dados (Lei 13.709, de 2018) “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”

Sancionada em agosto deste ano, a legislação enumera dez bases legais como hipóteses jurídicas que autorizam uma empresa a fazer ou não, o tratamento dos dados pessoais. Em caso de uso ilegal ou inadequado dos dados, passará a acarretar penalidades que vão desde advertências até multas de 2% do faturamento anual por infração.

Nesse contexto, este é o momento para as empresas avaliarem atividades e procedimentos internos, principalmente para engajar a organização rumo à uma Cultura de Governança de Dados.

“A governança de dados é a especificação de direitos de decisão e uma estrutura de responsabilidade para incentivar o comportamento desejável na avaliação, criação, armazenamento, uso, arquivamento e exclusão de dados e informações. Inclui os processos, funções, padrões e métricas que garantem o uso eficaz e eficiente de dados e informações, permitindo que uma organização alcance seus objetivos.” — Oracle

Um prática recomendada é a elaboração de uma área estratégica e monitorada por um DPO, Data Protection Officer – responsável por mapear e executar as adequações necessárias, estabelecer padrões de segurança, construir políticas de privacidade, adotar ferramentas que forneçam transparência, entre outros.

O impacto positivo deste tipo de ação têm sido apresentado como “Privacy ROI”, retorno pelo investimento em privacidade, e está relacionado a diferentes esferas de negócio. Segundo uma pesquisa da Cisco, 72% das empresas que possuem uma boa gestão de dados atingem eficiência operacional, 73% tornam a empresa mais atrativa para investidores e 74% constroem confiança e lealdade dos consumidores.

LGPD e Compra Programática

A mídia programática utiliza dados relacionados ao comportamento de navegação dos usuários para a personalização e entrega de anúncios. Esses dados são obtidos por meio de Data Providers, empresas responsáveis pela coleta, organização e distribuição de dados third party; ou por meio do próprio anunciante, como o caso do dado first party. No contexto da LGPD, ambos são considerados dado pessoal.

Para ter acesso aos dados third party, Data Providers possuem cookies instalados em inúmeros sites e portais de conteúdo (publishers) que são utilizados para construir um perfil de usuário. Normalmente, as informações identificadas são: IP, data e hora de acesso, localização geográfica, tipo de navegador, duração da visita e páginas visitadas, sistema operacional. Outras formas de obter esses dados são a partir de cruzamento de bases offline (como o caso dos dados Serasa), ou via tecnologia embarcada em aplicativos.

Ao relacionar a LGPD ao contexto da publicidade online, os sites, portais de conteúdo e apps que capturam informações dos usuários durante a navegação, deverão promover transparência sobre o tratamento dos dados. Dessa forma, é possível garantir que os usuários segmentados a partir de determinado Data Provider estejam concientes de que podem receber anúncios personalizados e orientados aos seus interesses, de forma segura e priorizando sua experiência.

No caso dos dados first party, utilizados em estratégias como Onboarding Dados (contendo e-mails e CPF, por exemplo) e Retargeting, é preciso que o anunciante tenha um processo transparente sobre a coleta dos dados, garantindo que os usuários saibam quais informações foram mapeadas e para qual finalidade.

Do lado da compra de mídia, Trading Desks como a Publya, ou empresas que utilizam as DSPs, deverão ficar ainda mais atentas aos Data Providers utilizados para segmentação das campanhas, sejam eles third party ou first party. Cabe ao papel da Trading Desk, como “operador”, somente tratar dados de empresas em conformidade com a lei, colaborando para a criação de um ecossistema que prioriza a segurança das informações.

Vale ressaltar que a LGPD não proíbe a veiculação de anúncios, mas apresenta fundamentos para que os usuários tenham uma experiência ainda mais agradável com os anúncios, sem abrir mão da privacidade. Uma pesquisa realizada pela Adtech traz insights interessantes sobre a forma como os usuários da internet percebem a publicidade, onde 63% concordam em ser impactados durante a navegação, e 54% preferem ser impactados por anúncios que possuam relevância contextual, ao invés de anúncios randômicos.

Além disso, o ecossistema programático evolui constantemente para oferecer segurança e transparência nas operações, o que gera uma melhor experiência e garante a efetividade das ações de publicidade dos anunciantes.

Base legal para tratamento de dados no contexto digital

As bases legais representam uma hipótese jurídica que autoriza a empresa a fazer ou não, o tratamento dos dados. No contexto da publicidade online, duas delas são mais importantes: o consentimento e o legítimo interesse.

Consentimento é o termo mais conhecido, e caracteriza uma manifestação livre, informada e inequívoca do usuário ao concordar com o tratamento dos dados pessoais para uma finalidade determinada. Alguns pontos dessa frase merecem atenção:

  • manifestação livre: o usuário deve concordar afirmativamente por meio de opt-in, ou não em opt-out;
  • manifestação informada: deve haver meios para que o usuário compreenda de que forma serão tratados seus dados e para quais finalidades;
  • manifestação inequívoca: ainda que a manifestação não precise ser expressa, deve haver meios para comprovar que não há dúvidas da escolha do usuário a respeito do tratamento de dados;

Interesse Legítimo oferece uma maneira de garantir o tratamento de dados pessoais para fins de marketing, publicidade, entre outras ações. Também permite o uso dos dados para propósitos diferentes para os quais os dados foram originalmente coletados.

A LGPD não apresenta uma lista pré-estabelecida do que constitui ou não legítimo interesse, por haver variações de acordo com o cenário de cada empresa. A utilização do legítimo interesse presume uma análise de viabilização, principalmente por ser uma escolha baseada no comprometimento da empresa sobre a forma como irá tratar os dados.

Este processo pode ser guiado a partir da seguinte perspectiva:

É preciso haver uma situação clara e legítima para o tratamento do dado pessoal. Por exemplo, algumas ações que entram neste escopo: veiculação de campanhas de mídia, retargeting, prospecção comercial, envio de campanhas de e-mail.

Identificar a necessidade de utilização dos dados pessoais, além de levantar o questionamento sobre a possibilidade de utilizar outra base legal.

A expectativa dos usuários deve ser respeitada. Aqui entra um princípio de boa fé, associado a transparência, para garantir que o usuário tenha conhecimento sobre todo o processo de tratamento dos dados.

Enquanto no consentimento as informações devem ser apresentadas visando a total compreensão do usuário, ao utilizar o legítimo interesse, a empresa precisa fazer uma análise de risco para identificar quais dados precisam utilizar, em qual contexto, e como aplicar a base legal.

Diferente da GPDR, onde o consentimento é obrigatório, a LGPD é mais flexível e permite que as empresas adotem o legítimo interesse como uma forma de sustentar suas ações de publicidade e comerciais, desde que observados todos os cuidados legais.

É de entendimento do mercado que a aplicação do consentimento como regra exclusiva impossibilitaria a cobertura total de uma base de usuários. Ou seja, no caso da veiculação de anúncios, seria inviável identificar as preferências de todos os usuários somente com o consentimento, o que resultaria na entrega de campanhas menos relevantes e com menos cliques.

Vale ressaltar que ambas as bases são importantes e não excludentes. Mesmo que a empresa faça uma análise de risco e encontre critérios válidos para aplicação do legítimo interesse, não significa que as outras ações devam ser ignoradas.

Práticas recomendadas para anunciantes

Para veiculação de campanhas, assim como os publishers devem se adequar para oferecer dados de usuários interessados em receber publicidade, é importante que os anunciantes também façam uma análise dos pontos de contato com a audiência para garantir uma experiência segura.

Principalmente em campanhas com objetivos de tráfego e conversão, por exemplo, onde é necessário uma interação com um site ou formulário. Esse processo pode ser guiado da seguinte forma:

  • Mapear as atividades que envolvem tratamento de dados pessoais;
  • Definir as bases legais mais apropriadas para cada necessidade e quais estratégias adotar;

Abaixo você encontra boas práticas para adequação as bases legais de Consentimento e Legítimo Interesse. Mas reforçamos a importância de contar com aconselhamento profissional durante o processo.

Adequação para Consentimento

  • (i) Se a empresa possui um site ou aplicativo e requer que o usuário faça um cadastro, é possível obter o consentimento por meio de um opt-in em uma política de privacidade.

Boas práticas: Incluir um aviso sobre a coleta dos dados e uma política de privacidade com disposições granulares (em forma de tabela) sobre: duração, finalidade do tratamento dos dados, responsabilidades, os riscos suportados pelo titular, e maneira de revogar autorizações anteriormente concedidas.

  • (ii) Se a empresa possui um portal e, em geral, não exige que os usuários realizem um cadastro para usar o site, pode obter o consentimento por meio de um aviso de cookies.

Boas práticas: Crie avisos que contenham uma boa experiência de usuário. Avisos de cookies em que o usuário aceita automaticamente o compartilhamento ao navegar pelo site/aplicativo, dificilmente será considerado uma boa prática, salvo para cookies essenciais que auxiliam no funcionamento do site ou aplicação.

Adequação para Legítimo Interesse

Boas práticas: Incluir disposições claras sobre a coleta dos dados pessoais para fins de publicidade ou outras ações, criando expectativas sobre a forma como serão utilizados no futuro e potencial impacto caso opte por não compartilhá-lo.

Ferramentas para Adequação

Abaixo você encontra ferramentas para fornecer transparência acerca dos dados coletados, e permitir a retificação ou exclusão, caso o usuário decida ou não, compartilhar informações com a empresa.

CMP (Consent Management Platform): Plataforma para configurar avisos de cookies em sites e aplicativos. Permitem a obtenção do consentimento dos usuários em diferentes níveis, além de validar as bases legais aplicadas.

Privacy Dashboard: Plataformas oferecidas por controladores e operadores de dados para garantir o cumprimento dos direitos previstos na LGPD. Esses direitos incluem o acesso e a confirmação da existência dos dados, correção, exclusão, portabilidade e/ou revogação do consentimento, entre outros.

Como visto até aqui, a LGPD favorece a construção de um ambiente online focado na experiência dos usuários. Apesar de ser uma operação desafiante para muitos negócios, podemos identificar a evolução do modelo digital como um todo – “o Big Data se transforma no Good Data”.

Fonte: Batista Luz Advogados | LGPD