A Lei Geral de Proteção de Dados (LGPD) “ataca” um ponto central para qualquer empresa: as informações coletadas sobre o seu consumidor. Com a legislação, aprovada em 2018, mas que entrou e vigor em setembro de 2020, as marcas precisam lidar de uma forma totalmente estruturada e em conformidade com o que permite a coleta e o tratamento de dados das pessoas.
E para entender melhor esse cenário, nada melhor do que ter conhecimento dos dois lados da moeda. Conversamos com a advogada Mariana Palmeira (LinkedIn), que por dez anos atuou em departamentos de comunicação e marketing de grandes empresas e, justamente por estudar a legislação aplicada à publicidade, aproximou-se do Direito e hoje é especialista em proteção de dados.
Sobre Mariana Palmeira
Além de advogada, Mariana é professora da PUC-Rio, onde atualmente, entre outras disciplinas, leciona na formação em LGPD do Instituto de Direito da universidade. Também pela PUC-Rio, ela tem Mestrado em Administração de Empresas, o bacharelado em Direito e é doutoranda do departamento de Direito da universidade, onde desenvolve projeto de pesquisa em privacidade, proteção de dados pessoais e novas tecnologias. A advogada também é pesquisadora do DROIT (grupo de pesquisa em direito e tecnologia) e professora convidada dos cursos do ITS.Rio.
Do Direito por adoção, mas sem nunca ter deixado o marketing de lado, uma vez que é objeto de estudo da sua área de atuação, Mariana faz um panorama de como a LGPD vem afetando as empresas e comenta a importância da mídia proprietária em uma nova ordem, em que os dados primários se tornam cada vez mais valiosos para as marcas.
Vamos à entrevista:
Você trabalhou como profissional de marketing e comunicação, e depois como advogada se especializou em LGPD. Conte um pouco da sua carreira e da convergência entre mídias digitais e proteção de dados pessoais?
Mariana Palmeira: Comecei minha carreira na Comunicação Social. Me formei em publicidade e jornalismo na PUC-Rio e trabalhei por 10 anos nas áreas de comunicação e marketing. Passei pela Ipiranga, Xerox, FSB Comunicações e Embratel. No meu tempo de mercado corporativo a internet ainda era vista como um local de menor importância para construção de marca e de relacionamento com o consumidor. Os investimentos eram direcionados para um site institucional e alguns poucos canais de comunicação. Minha aproximação com o Direito se deu pelas vias do estudo da legislação aplicada à publicidade. Daí para o Direito do Consumidor e mais tarde para a proteção de dados foi um caminho natural.
Na medida em que o relacionamento com o consumidor foi se intensificando, em grande parte pelas possibilidades trazidas pelas novas tecnologia, a começar pela internet de maneira geral, o interesse pelos dados pessoais aumentou.
Vivemos hoje uma economia baseada nas informações pessoais que é viabilizada pela convergência das mídias digitais, pelos custos mais acessíveis de produção e distribuição de conteúdo, e pelo próprio estilo de vida das pessoas, cada vez mais conectadas.
Tendo em vista o crescente interesse comercial sobre as informações pessoais que são consideradas os grandes ativos empresariais, e que tais informações são obtidas em larga escala por meio digitais, configurou-se a necessidade de estender a proteção do consumidor-usuário de produtos e serviços também para seus dados pessoais.
A formação de perfis de consumidores, cada vez mais individualizados e precisos, aquilo que o jurista italiano Stefano Rodotà chamou de “corpo eletrônico” demandou uma proteção especial. É nesse sentido que as leis de proteção de dados estabelecem uma nova tutela sobre aquilo que nos representa: nossos dados pessoais.
Assim como a Barões Digital Publishing, você enxerga que a LGPD e seus desdobramentos técnicos (como cookies primários) têm um impacto frontal no mercado de mídia e comunicação das marcas. Com a LGPD e movimentos como o do Google de acabar com cookies de terceiros no Chrome, como você vê a tendência de desintermediação do mercado, com marcas cada vez mais apostando na criação de mídias proprietárias, para terem acesso direto a seus consumidores, sem intermediários, e com total controle dos dados primários?
Mariana Palmeira: Vejo de forma muita positiva o movimento que a LGPD está trazendo para o mercado empresarial e para a relação das marcas com seus públicos. Vejo como uma ponte para recuperar o elo perdido com o consumidor, uma volta aos princípios do marketing de relacionamento como pensados lá atrás na década de 1990. O uso de cookies de terceiros trouxe vantagens inegáveis para as marcas, sobretudo para aquelas que não contavam com estruturas próprias de relacionamento com clientes.
No entanto, acredito que muitos negócios se acostumaram a terceirizar os esforços tanto para coletar de informações de clientes, quanto para segmentar mercados de interesse e também para desenvolver canais de relacionamento.
Com o anunciado fim dos cookies de terceiros, as marcas vão precisar voltar ao básico: descobrir quem é seu consumidor, quem pode ser, qual a melhor forma e lugar para falar com ele.
A LGPD deu o último empurrão para que essa reorganização acontecesse ao jogar luz sobre a necessária observância das regras sobre o uso de dados pessoais. Estamos diante de uma lei que tem por objetivo principal proteger a privacidade do titular de dados, e que é iluminada por princípios como a transparência, a segurança, a prevenção, e prestação de contas. Isso significa que as empresas a partir da vigência da LGPD estão revendo desde a forma de tratamento das informações dos consumidores até as parcerias estabelecidas para levar as estratégias de marketing adiante. Nessas parcerias, incluo a relação com os veículos de comunicação.
A mídia proprietária me parece um caminho natural dentro de uma lógica que começou a ser desenhada com o marketing de conteúdo e as técnicas de inbound. O que era visto dez anos atrás como um canal alternativo, talvez como um “plano B”, foi promovido a “time principal”. A LGPD fortalece e de certa maneira incentiva ainda que indiretamente a desintermediação do mercado na medida em que cobra a responsabilidade por cada dado pessoal que é coletado, cruzado, compartilhado e armazenado.
Nesse ponto o dado primário ganha destaque, pois sobre ele é possível estabelecer padrões de uso que as marcas têm melhores condições de gerenciar. Consequentemente as obrigações trazidas pela LGPD, a exemplo do atendimento aos direitos dos titulares também serão realizadas com mais segurança e eficiência.
As leis de proteção de dados existem no mundo desde antes do advento da internet. Mas os constantes problemas de privacidade trazidos pela internet fizeram o mundo avançar muito mais nesse sentido, em especial na década passada, que teve na criação da General Data Protection Regulation (GDPR), em 2018, um marco. Trazendo isso tudo para o universo da comunicação, e indo um pouco na linha do enigma de Tostines, o que você acha que tem mais peso: a influência das ações de marketing invasivas no aprimoramento das leis de proteção de dados ou a influência, daqui para frente, dessas leis na forma como as empresas trabalham o seu marketing?
Mariana Palmeira: O casamento do marketing com a tecnologia sem dúvida criou o ambiente perfeito para que as ações se tornassem mais e mais sofisticadas (e invasivas em alguma medida). Isso despertou a atenção de consumidores, dos órgãos reguladores e da comunidade jurídica. Porém, é preciso ter em mente que existem vantagens para todos os envolvidos, não só para as marcas. Talvez tenha sido mais fácil por um tempo enxergarmos apenas os benefícios do uso intensivo das informações pessoais, do que medir seus riscos. Como consumidores queremos agilidade, conveniência, produtos e serviços personalizados.
No entanto, essa história não começa pelo marketing, mas sim pelas ações de governos no uso de dados pessoais dos cidadãos. As discussões sobre a disciplina da proteção de dados começaram na década de 1960 e a primeira lei que tratou da matéria foi a Lei do estado de Hesse na Alemanha, promulgada em 1970. Em 1995 a União Europeia adotou a Diretiva 46/95 que deu origem ao Regulamento Geral de Proteção de Dados, o GDPR que entrou em vigor em 2018. Hoje contamos com mais de 140 países com leis próprias sobre o tratamento de dados pessoais. É um caminho sem volta.
Acredito sim que a evolução do marketing desafia o direito, e que as leis de proteção de dados também desafiam a forma como as empresas vão se relacionar com seus consumidores daqui para frente.
Basta avaliarmos toda a discussão criada em torno do fim dos cookies de terceiros, uma prática difícil de ser legitimada do ponto de vista das leis de proteção de dados. A indústria se reuniu para avaliar alternativas e está em busca de opções menos invasivas.
No entanto, penso que o mais importante nesse momento é desenvolver a cultura de proteção de dados no Brasil. Quando falamos do mercado europeu, não podemos esquecer que estamos falando de um ambiente que já respira proteção de dados há décadas. Como diz a professora Laura Schertel, estudiosa da matéria, o “GDPR é o ponto de chegada de uma longa jornada europeia no campo da proteção de dados”. Nós estamos no início dessa jornada.
A pandemia atrasou um pouco a entrada em vigor da LGPD. Mas gostaríamos de saber se já dá para fazer uma linha do tempo entre três momentos:
1- Como era a questão dos dados antes da aprovação da lei, em 2018?
Mariana Palmeira: A LGPD foi sancionada em agosto de 2018 e passou por três marcos cronológicos até a sua vigência plena que ocorreu recentemente. Em dezembro de 2018 entraram em vigor os artigos referentes à criação da Autoridade de Proteção de Dados (ANPD), em setembro de 2020 a maior parte da lei passou a valer, e por fim, agora há pouco, em 1o de agosto, as sanções administrativas completaram o quadro.
Antes da LGPD, apesar de não haver no Brasil uma lei específica para a proteção de dados, a matéria era tratada por regras espalhas pelo ordenamento jurídico, a exemplo do Código de Defesa do Consumidor, do Código Civil, e do Marco Civil da Internet. A própria Constituição Federal garante desde sempre a proteção da intimidade e da vida privada, bem como o sigilo de correspondência e comunicações eletrônicas.
Contudo, é inegável a importância e o peso que a edição de uma lei própria para tratar da proteção do titular de dados pessoais traz para o mercado como um todo. Organiza formalmente medidas de proteção que se encontravam esparsas e por isso mesmo mais difícil de serem compreendidas e colocadas em prática.
2 – Como foi esse período de 2018 até a entrada da lei em vigor? Houve muitos casos de ações por parte de Ministério Público e órgãos de defesa do consumidor, como os Procons, já embasados por determinações da lei?
Mariana Palmeira: O período de vacância da LGPD, isto é o tempo entre a publicação da lei e sua efetiva entrada em vigor, foi longo e conturbado. Longo porque a previsão inicial que era de 18 meses acabou passando para 24 meses. Um período maior do que por exemplo o Código de Defesa do Consumidor e da Lei Anticorrupção que entraram em vigor 180 dias depois de suas respectivas publicações. A medida desse prazo normalmente leva em consideração o grau de mudança que a nova lei vai trazer para a sociedade e para o mercado.
É natural que a LGPD tenha tido um tempo ampliado antes que entrasse plenamente em vigor, pois como já estamos presenciando traz grandes mudanças para as organizações.
Porém, não bastasse a previsão dos 24 meses para as adaptações necessárias, ao longo de 2019 muito se falou em mais um período de adiamento. Novos projetos de lei foram apresentados na Câmara dos Deputados e no Senado Federal com esse objetivo. Enfim, a novela terminou em 18 de setembro de 2020 com a entrada da LGPD em vigor, exceto os artigos relacionados às sanções administrativas.
Antes mesmo de setembro de 2020 já existiam demandas judiciais que citavam a LGPD. Diversas Promotorias de Justiça trabalharam com Inquéritos Civis Públicos e até mesmo Ações Civis Públicas que abordavam a temática da proteção de dados. O mesmo movimento foi notado junto a órgãos de defesa do consumidor. Logo, já era esperado que a vigência da lei trouxesse demandas embasadas em seus dispositivos.
3 – A partir do momento em que a Lei entrou em vigor, já dá para traçar um cenário das ações?
Mariana Palmeira: Hoje o cenário é de cautela. Ainda não é possível falar em formação de jurisprudência, mas dados recentes levantados pela JUIT mostram que existem mais de 600 ações judiciais que mencionam a LGPD. É um número que tende a crescer em especial na medida que as empresas (e outros agentes de tratamento de dados) deixem de cumprir, por exemplo, com os direitos dos titulares trazidos pela lei. São direitos que têm o potencial de despertar discussões, pois sua implementação desafia as estruturas e os orçamentos das organizações.
Há algum grande caso a ser destacado de aplicação da LGPD?
Mariana Palmeira: Sim! O caso que levou que o Supremo Tribunal Federal (STF) reconhecesse a proteção de dados como direito fundamental.
O julgamento foi referente a cinco Ações Diretas de Inconstitucionalidade (ADIs) que visavam a suspensão da eficácia da Medida Provisória 954/2020. Essa MP permitia o compartilhamento de dados dos consumidores por empresas de telecomunicações com o IBGE. Nomes, números de telefone, endereços de usuários dos serviços das empresas seriam disponibilizadas ao IBGE para fins de suporte à pesquisa estatística.
O julgamento ocorreu em maio de 2020 no âmbito do Plenário do STF sob a relatoria da Ministra Rosa Weber. Em um placar de 10×1 a MP 954 foi suspensa, o compartilhamento dos dados proibido, e o mais relevante: uma evidente sinalização do valor e importância que a proteção dos dados pessoais adquire no ordenamento jurídico brasileiro.
A devida importância que tem a proteção de dados, pois segundo Stefano Rodotà trata-se de “um conjunto de direitos que que configuram a cidadania do novo milênio”.
E no caso específico da atuação das empresas para adequação à LGPD. Como você viu essa evolução desde a aprovação da lei até a entrada em vigor?
Mariana Palmeira: Ao longo desse tempo, entre a publicação da lei, sua entrada em vigor, e o momento atual é possível identificar algumas diferenças nos estágios de adequação, a depender do setor, porte, orçamento e exposição às exigências internacionais.
As grandes empresas que já atuam com parceiros internacionais, ou que fazem parte de grupos internacionais, já estavam adiantadas, pois muitas estavam cumprindo as regras do GDPR. Ainda que não estivessem sujeitas ao regulamento europeu já trabalhavam dentro de programas de governança corporativa e compliance, e isso faz muita diferença.
Empresas de todos os portes mesmo sem parcerias internacionais, mas com programas de segurança da informação e algumas iniciativas na direção da governança, também tiveram mais facilidade de entender as necessidades de adequação à lei.
Empresas de setores mais regulados, como o financeiro ou setor de saúde, tendem a ter naturalmente mais familiaridade e estrutura para atender aos requisitos da LGPD.
Sem dúvida são as pequenas e médias empresas as que mais enfrentam dificuldades. Para esse grupo há inclusive a sinalização por parte da Autoridade Nacional de Proteção de Dados (ANPD) de um certo grau de redução de obrigações. Faz parte das prioridades da agenda regulatória da ANPD a edição de procedimentos simplificados para este grupo.
Você acha que a maioria das empresas já estão preparadas?
Mariana Palmeira: As pesquisas têm indicado que não. Uma pesquisa recente (ICTS) indicou que 84% das empresas brasileiras, de um universo de 508 avaliadas, não estão prontas. No entanto, esse atraso não aconteceu só no Brasil. Na União Europeia os índices de empresas adequadas após a entrada em vigor do GDPR também não eram altos.
Ainda há um longo caminho a ser percorrido. Há questões operacionais, questões de orçamento, e questões de mudança de cultura. A adequação à LGPD requer o compromisso de todos os envolvidos, é trabalho de construção coletiva e isso leva tempo.