O GDPR, o consentimento e a personalização

O GDPR, o consentimento e a personalização

Há algum tempo escrevemos os primeiros posts do blog abordando um assunto que vêm tomando espaço nas últimas semanas: a nova regulamentação de proteção de dados da União Européia, o GDPR. No último post falamos um pouco sobre os efeitos que essa nova lei europeia pode trazer para as estratégias de personalização, mas esse é um assunto importante e por isso decidimos explorá-lo um pouco mais.

Ainda há muito para ser discutido no que diz respeito ao impacto da lei no mercado brasileiro, por isso as análises feitas aqui são baseadas, por enquanto, somente em estudos e análises de especialistas em marketing digital, tecnologia e direito digital.

Consentimento

A questão do consentimento online sempre foi bastante controversa. Aparentemente, existe um paradoxo entre a exigência (bastante razoável) de que o consentimento seja específico, informado e dado livremente, e a realidade prática de que nenhum de nós tem tempo para ler as políticas de privacidade ou avisos de cookies para cada site que visitamos.

Pode ser possível consentir verdadeiramente em algo sem saber com o que você está concordando? Em praticamente qualquer outra área da vida, tratar o consentimento da maneira como fazemos online simplesmente não faria sentido. Em um piscar de olhos, esse consentimento deixaria de ter qualquer significado. No entanto, isso significa que nenhum site jamais obteve o consentimento real de seus termos e condições online? Então nenhum site está em conformidade com a lei de proteção de dados?

Esse debate não é novo, mas o aumento das multas sob o GDPR (€ 20 milhões ou 4% do faturamento global da empresa, o que for maior) forçou todos os administradores a reexaminar suas práticas, já que as conseqüências potenciais para se errar agora são muito maiores. Por isso, muitas empresas estão mudando sua abordagem de consentimento na preparação para o GDPR 一 você provavelmente deve ter recebido alguns e-mails com atualizações nos termos de uso e política de privacidade este mês.

No entanto, permanece o fato de que obter consentimento sob o GDPR não é algo simples.

De acordo com o GDPR, o consentimento só tem uma base legal se o usuário em questão tiver livre escolha em aceitar ou recusar os termos oferecidos, sem que ele tenha prejuízo ao recusá-lo. Além disso, ele também deve ter controle sobre esse consentimento de modo a alterá-lo sempre que quiser, ou até mesmo revogá-lo. Sem fornecer esse controle, o consentimento se torna ilusório e será uma base inválida para quaisquer atividades.

Então, vale a pena considerar se existe alguma alternativa ao consentimento? E se sim, o que isso significa para a personalização?

Alternativas ao consentimento

Sob o GDPR, o consentimento é apenas uma das seis bases legais para processar dados pessoais. A maioria, como “necessário para o desempenho de uma tarefa realizada no interesse público ou no exercício da autoridade oficial”, é altamente improvável que se aplique à personalização.

Mas há duas bases legais que podem estar mais ligadas ao nosso foco: o processamento de dados é “necessário para a execução de um contrato” (Artigo 6 (1) (b)) ou “necessário para os interesses legítimos perseguidos pelo controlador ou por um terceiro” (Artigo 6 (1) (f)).

Vamos analisar essas duas afirmações em partes.

“necessário para a execução de um contrato”

Antes de mais nada, a personalização pode ser “necessária para a execução de um contrato”?

A palavra crucial aqui é “necessária”. Orientações emitidas pelos reguladores indicam que, mesmo quando uma empresa tem um número de atividades potencialmente relevantes que fazem parte de um contrato com um usuário final, essas considerações por si só não são suficientes para atender ao padrão de “necessidade” para fins do GDPR.

O caso abaixo é dado como um exemplo de situação que não atende à base deste artigo para processamento de dados:

Um usuário compra alguns itens de um e-commerce. Para cumprir o contrato, o e-commerce deve obter as informações do cartão de crédito do usuário para fins de pagamento e o endereço para entregar as mercadorias. A prestação do serviço não depende da criação de um perfil com os interesses e comportamento de navegação do usuário. Mesmo que o perfil seja especificamente mencionado nos termos de uso, esse fato por si só não o torna “necessário” para a execução do contrato. Fonte (PDF)

Em outras palavras, embora a personalização possa estar envolvida durante a formação de um contrato com um usuário final, é improvável que seja estritamente necessário. Para fins de personalização, uma base alternativa de processamento é, portanto, necessária.

“necessário para os interesses legítimos perseguidos pelo controlador ou por um terceiro”

Este artigo permite que uma empresa processe dados pessoais se tal manipulação for necessária para atender interesses legítimos desta empresa.

O considerando 47 do GDPR esclarece que “o processamento de dados pessoais para fins de marketing pode ser considerado como realizado por um interesse legítimo”. Da mesma forma, os reguladores declararam que as empresas “podem ter um interesse legítimo em conhecer seus clientes e suas preferências, para que possam personalizar melhor suas ofertas e, por fim, oferecer produtos e serviços que atendam melhor às suas necessidades e desejos”.

É razoável, portanto, concluir que o processamento de certos tipos de dados pessoais é necessário para o interesse legítimo da personalização do site. No entanto, ter um interesse legítimo não é suficiente por si só.

Depois de identificar tal interesse, uma empresa deve avaliar se seus interesses são sobrepostos pelos interesses do titular dos dados ou pelos direitos e liberdades fundamentais. Ao fazê-lo, os reguladores pedem às empresas que considerem:

  • o nível de detalhamento e abrangência do perfil;
  • o impacto da criação de perfis (os efeitos para a pessoa em questão); e
  • As garantias de justiça, não-discriminação e precisão no processo de criação de um perfil.

Ao equilibrar os interesses legítimos de uma empresa na personalização com os direitos e liberdades do usuário final, os desafios práticos de confiar em outras bases legais para processamento também são relevantes.

Lembre-se de onde começamos esta discussão: algumas empresas podem concluir que a obtenção de consentimento online simplesmente não é possível. E mesmo que o consentimento seja tecnicamente possível, quando várias partes estão envolvidas pode não ser viável para cada uma dessas partes obter o consentimento das pessoas (e fornecer o mecanismo de revogação que o GDPR exige).

Além disso, exigir que cada uma dessas partes obtenha consentimento pode resultar em usuários finais sobrecarregados por solicitações de consentimento e pela necessidade de gerenciar todos eles. Temos visto, com avisos de cookies, que é improvável que os usuários finais prestem atenção aos avisos e consentimentos e, com maior probabilidade, simplesmente cliquem para receber um serviço ou acessar as informações que desejam. Isso poderia deixar os usuários finais em uma posição na qual eles são menos capacitados do que sob uma abordagem que se baseia em interesses legítimos.

E então? Consentimento ou interesses legítimos?

O GDPR exige que as empresas determinem (e documentem) qual base legal para o processamento é apropriada para cada atividade de processamento que realizam. Não existe uma solução única para a conformidade com o GDPR, já que duas empresas não são iguais em termos de dados que coletam, para que os utilizam, como os armazenam, com quem os compartilham, e assim por diante…

Infelizmente, os reguladores confirmam que as empresas devem evitar confiar em várias bases legais para a mesma atividade. Devemos escolher apenas uma base e cumpri-la.

Sem dúvida muitas empresas tentarão obter o consentimento, e não há nada de errado em concluir que os argumentos acima para interesses legítimos não são convincentes. Afinal, o consentimento tem sido a justificativa predominante para quase todas as práticas de proteção de dados há décadas. Apostar em um novo cenário exige coragem e convicção de que uma base alternativa de processamento de dados é mais apropriada.

A ideia desse post é apenas mostrar que existe uma alternativa viável ao consentimento. Desde que as razões para sua decisão estejam devidamente documentadas e justificadas, isso deve atender aos requisitos do GDPR.

Quer saber mais sobre o GDPR? Inscreva-se na nossa newsletter e fique de olho nos novos posts que vem por ai! E se você gostou das nossas dicas neste post, compartilhe com os seus amigos e ajude nosso blog a crescer (:

Web Analytics

Graduada em Engenharia Mecânica, encantou-se por tecnologia e a aplicação da matemática voltada para o marketing à primeira vista. Na Rocket Internet, onde atuou como CMO, mostrou por A mais B o potencial dos números aplicado ao marketing, tornando-se rapidamente uma das profissionais mais cotadas no grupo, onde com frequência colocava marmanjos para chorar utilizando apenas uma planilha de Excel. Nas horas vagas, Juliana dedica seu tempo ao empreendedorismo, fotografia e viagens.

Simple Share Buttons
Simple Share Buttons