Entenda como a Lei Geral de Proteção de Dados (LGPD) no Brasil influencia o site da sua empresa

Quer adaptar seu site à Lei Geral de Proteção de Dados? A LGPD (Lei nº 13.709/2018), sancionada em agosto de 2018, vigoraria a partir de agosto de 2020, mas foi alterada em razão da pandemia causada pela Covid-19, por meio da edição da medida provisória 959/20.

A MP estabelece como data limite para adequação dos agentes públicos e privados o dia 03 de maio de 2021, decisão que ainda depende da aprovação do Congresso, que pode instituir sua aplicação a partir de agosto de 2020.

Neste artigo, aprofundaremos a discussão sobre a Lei Geral de Proteção de Dados e a importância de adequação das empresas, principalmente em suas estratégias digitais para ganhar dinheiro na Internet. Veja a seguir:

• Qual o objetivo da Lei Geral de Proteção de Dados?
• O que a LGPD propõe?
• Quais os impactos da lei para o seu site?
• Como se adequar?

Qual o objetivo da Lei Geral de Proteção de Dados?

A privacidade dos dados é um direito fundamental e importante por vários motivos. Como consumidores e usuários de sites na Internet, as pessoas devem estar cientes de que suas informações pessoais são armazenados e utilizadas em âmbito corporativo e na gestão pública para os fins mais variados.

Esse uso não deve ultrapassar a ciência e o direito de escolha do próprio usuário e, por isso, todos os agentes para o qual a lei se aplica devem saber de suas responsabilidades legais de coleta, armazenamento e processamento de dados pessoais, pois a não conformidade pode incorrer pesadas sanções e a falta de credibilidade perante o público.

Com modelos de negócio cada vez mais digitalizados, a adesão ao home office, a inclusão do BYOD (Bring Your Own Device) e a associação de redes sociais, blogs e canais de streaming às estratégias de Marketing Digital, as empresas potencializaram a necessidade de discussão sobre a segurança e a privacidade de dados sensíveis.

O objetivo da Lei Geral de Proteção de Dados é exatamente o que o seu nome de refere: proteger dados pessoais e garantir privacidade aos usuários da Internet e pessoas que têm suas informações usadas em processos e rotinas em âmbito público e privado.

O que a LGPD propõe?

A LGPD institui o controle, a segurança e o uso adequado dos dados como responsabilidade dos detentores da informação, o que significa que empresas, pessoas físicas que exercem funções monetizadas a partir de inscrições de usuários (influenciadores digitais, por exemplo), profissionais liberais autônomos e a administração pública devem se adequar a:

• verificar informações sensíveis armazenadas pela empresa, mesmo que elas tenham sido coletadas anteriormente à lei;
• rever requisitos da gestão de contratos;
• adequar as redes sociais, o blog e o site institucional da empresa;
• adotar medidas de proteção em sistemas corporativos (ERP — Enterprise Resource Planning, CRM — Customer Relationship Management, entre outros);
• criar critérios para a implantação de políticas mais vulneráveis, como o BYOD (Bring Your Own Device);
• controlar o uso de dispositivos e equipamentos de TI que integram os ativos da empresa;
• definir uma equipe responsável pela adequação da empresa.

A LGPD determina que a fiscalização, verificação de denúncias e aplicação de punições a agentes que não se adequarem compete à Autoridade Nacional de Proteção de Dados (ANPD).

O descumprimento da Lei Geral de Proteção de Dados implicará aos agentes públicos punições compatíveis à improbidade administrativa. Já às instituições privadas a advertência e aplicação de pesadas sanções:

• multas fixas (até 2% do faturamento, desde que não ultrapasse o teto de R$ 50 milhões);
• multas diárias, conforme o grau da ofensa.

Quais os impactos da lei para o seu site?

Um dos principais requisitos para tornar o site compatível com a Lei Geral de Proteção de Dados é o consentimento do usuário sobre a coleta e processamento das informações pela empresa detentora.

Esse consentimento deve ser obtido de forma clara, a menos que o site não colete dados pessoais dos usuários, não use cookies, não tenha formulários de contato ou inscrições em newsletters, o que certamente são casos raríssimos.

Isso porque páginas que não usam estratégias de Marketing Digital e SEO (Search Engine Optimization) não usufruem de benefícios como aumento de rentabilidade e otimização em motores de pesquisa e a maioria dos empreendedores sabe a importância de aplicar essas táticas em sites na web.

O simples uso de programas de análise, como o Google Analytics, torna os detentores de dados pessoais responsáveis pelas informações compartilhadas e a conformidade com a LGPD.

Como se adequar?

No que diz respeito à coleta de dados, um site institucional ou blog são os primeiros pontos de contato com os usuários. Nesses ambientes é imprescindível garantir adequação no que diz a lei e isso se refere a sete áreas principais:

• páginas de contato;
• formulários para inscrição em newsletters e landing pages;
• políticas de privacidade;
• segurança do site;
• uso de cookies;
• requisitos para inibir a violação de dados;
• processamento dos dados de menores de idade.

Páginas de contato

A maioria dos sites tem uma área específica para que o usuário entre em contato com o proprietário da página. Geralmente, esse ambiente dispõe de um formulário com campos para preenchimento do nome, email e uma mensagem opcional.

Esses são exemplos de dados pessoais que devem ser usados somente mediante o consentimento do usuário. É necessário que o proprietário do site esclareça aos indivíduos quais direitos eles têm para acessar, retificar ou até desabilitar o uso de suas informações e faça as seguintes mudanças:

• adicione uma caixa de seleção ao formulário de contato. O usuário deve confirmar, por meio da seleção da opção, que leu e concorda com os termos e política de privacidade do site;
• inclua links clicáveis para a página em que o usuário poderá ler os termos de consentimento e a política de privacidade. Eles devem ser preferencialmente, abertos em uma nova janela para que o usuário não tenha que deixar a página original;
• faça com que esse campo de consentimento seja obrigatório para que o usuário prossiga, mas não deixe a caixa de seleção pré-selecionada;
• inclua na descrição do conteúdo outras formas pelas quais as pessoas podem entrar em contato: um número de telefone, email, e botões para acesso às redes sociais;
• não adicione muitas informações no mesmo formulário, o site deve conter outra caixa de seleção para usuário se inscrever em newsletters e realizar outras ações;
• verifique a importância da coleta de dados específicos, para evitar que o usuário demore no preenchimento das informações. O cargo que a pessoa ocupa, por exemplo, é mesmo necessário para a sua estratégia?
• dê atenção especial caso haja uma loja integrada ao site, uma vez que dados financeiros são críticos;
• informe ao usuário que o consentimento pode ser pessoal apenas para maiores de idade. Menores de 18 anos devem receber o aval de seus responsáveis legais.

A coleta de dados sensíveis (raça, crenças religiosas ou políticas, orientação sexual), que poderiam resultar em danos à reputação de uma pessoa, perdas financeiras ou levar a uma grande desvantagem social deve ser realizada com cautela para evitar a aplicação de multas a sanções penais.

Todos os dados capturados no formulário de contato devem ser armazenados de forma segura, preferencialmente no sistema de gerenciamento de conteúdo do seu site. Essas informações devem ser salvas em uma página protegida por um certificado SSL, que estabelece um link criptografado entre o servidor e o navegador.

Também é preciso criar uma política de exclusão regular desses dados, principalmente se, em algum momento, eles são armazenados offline ou em servidores legados (no ERP ou CRM da empresa, por exemplo). Essa política deve ser documentada junto ao processo de manipulação e retenção dos dados.

Formulários para inscrição em newsletters e landing pages

O envio de publicações e comunicações de marketing é uma prática de excelentes resultados para as empresas. Mas os usuários também devem consentir esse recebimento: a aceitação deve ser dada livremente e os campos de consentimento não devem ser preenchidos previamente.

Também é preciso deixar claro o objetivo do formulário, assim como a base legal sobre a qual você solicita os dados pessoais do usuário. Dessa forma, cada ação deve ter um consentimento específico. Nesse processo é permitido:

• segmentar os assinantes de acordo com as informações preenchidas no formulário;
• disponibilizar conteúdo de valor para atrair as inscrições;
• criar formulários com CTAs (call to action) e a partir de pop-ups;
• criar landing pages;
• redirecionar os usuários que fizeram a inscrição para páginas de agradecimento que rastreiam as conversões;
• usar recursos de automação de marketing.

Documente como o consentimento foi dado, por quem e qual foi o momento em que aconteceu para casos de auditoria. Habilite essa opção em sua ferramenta de automação de marketing.

Toda a comunicação enviada posteriormente (newsletters, promoções, avisos etc.) deve conter um link para desfazer a inscrição ou atualizar informações que deve ser facilmente acessado pelo usuário.

Informe que os dados estarão retidos no banco de dados da empresa até que esse cancelamento ou exclusão seja efetivado.

 Políticas de privacidade

A política de privacidade deve ser adequada aos requisitos da Lei Geral de Proteção de dados, mas precisa ser escrita para refletir as políticas específicas da empresa, principalmente em relação aos métodos que serão adotados durante o processamento dos dados.

Para criar a política de privacidade do site você precisará informar aos usuários os dados da sua empresa, quais informações deles serão usadas e por quais motivos elas serão coletadas.

Deve ficar claro como os dados serão armazenados e quem se responsabilizará nos casos de vazamentos e violações. Inclua as medidas de segurança que embasam o compliance da empresa e o que será adotado para inibir incidentes.

É preciso comunicar também se os dados são compartilhados com terceiros, apesar de a prática não ser indicada.

O proprietário do site precisa informar ainda como os cookies são utilizados e em quais canais os usuários poderão entrar em contato com a empresa.

Inclua o período de retenção dessas informações, assim como processo utilizado para apagá-los. Disponibilize um link para que o usuário cancele o cadastro ou reveja as opções a qualquer momento.

Segurança do site

Embora não exista nenhum requisito específico na lei para instalar um certificado SSL em seu site (o cadeado verde na barra de endereços do navegador HTML), é uma boa prática de segurança que ele seja implementado.

A inclusão de certificados de segurança no site garante confiabilidade e inibe mensagens de erro como “este site não é seguro”. Além disso, por meio deles, os dados preenchidos em formulários são criptografados antes do envio ao servidor, o que protege as informações pessoais dos usuários durante a transmissão.

Outra vantagem de instalar certificados de segurança, como o SSL e o TSL, é a boa classificação conferida por motores de pesquisa ao site, o que garante melhores resultados de visualização e adequação às estratégias de SEO.

Uso de cookies

As legislações que asseguram a privacidade de dados de terceiros, como a LGPD, foram criadas para conceder às pessoas os direitos específicos em relação às comunicações eletrônicas.

Isso também se relaciona ao uso de cookies — um pequeno arquivo baixado no equipamento quando o usuário acessa um site — e a implementação do email marketing.

O uso de cookies permite que o site reconheça o dispositivo, as informações sobre as preferências e ações do usuário na Internet. Além disso, está diretamente relacionado ao Google Analytics. Por esses motivos, é importante que o proprietário do site:

• informe os usuários do site sobre o uso de cookies. Isso pode ser feito por meio da adição de um pequeno aviso de texto posicionado estrategicamente na parte superior ou inferior do site;
• explique os motivos desse uso;
• obtenha o consentimento da pessoa para aplicar essa estratégia.

Requisitos para inibir a violação de dados

De acordo com a Lei Geral de Proteção de Dados, o agente tem a obrigação de manter os dados dos usuários seguros.

Em caso de uma violação que resulte em danos à reputação do usuário, perda financeira, comprometimento de confidencialidade ou grande desvantagem social, o detentor deve notificar a Autoridade Nacional de Proteção de Dados. Para garantir adequação, algumas ações são imprescindíveis:

• nomeie um controlador de dados — um profissional qualificado que será responsável por todos os processos relacionados ao uso de dados em âmbito corporativo;
• verifique junto ao seu provedor de hospedagem a existência de medidas de segurança e rastreamento para detectar qualquer tentativa de invasão ao site;
• use ferramentas de segurança em dispositivos, como firewalls, antivírus, anti-spam e anti-spyware, para inibir tentativas de intrusão em infraestruturas de TI;
• confira as medidas de segurança adotadas pelo servidor de hospedagem para evitar ameaças como DNS hijacking e ataques DDos, que, a partir da injeção de malwares ou ransomwares, podem causar o comprometimento potencial dos dados de terceiros armazenados;
• tenha um plano de contingência, com ações práticas que devem ser realizadas em caso de violação;
• faça auditorias periódicas para identificar todos os dados processados e armazenados que, em caso de comprometimento, podem ser considerados críticos;
• exclua dados sem base legal para processamento;
• faça avaliações de risco do local em que os dados serão armazenados;
• tenha um sistema de exclusão automática de dados sensíveis e documentos críticos após o download, para que eles não sejam armazenados no CMS (Content Management System) do site;
• limpe regularmente dados e documentos armazenados no sistema de gerenciamento de conteúdo (WordPress, por exemplo).

Processamento dos dados de menores de idade

A coleta de dados de menores de idade é mais sensível, devido à vulnerabilidade inerente às crianças. Outro problema no processamento desses dados é a dificuldade de provar a veracidade do consentimento dos responsáveis legais. Faça uma avaliação de risco para determinar:

• se a página é atraente para as crianças;
• se as crianças fazem parte da audiência;
• se o processo de registro dos dados reflete uma suposição de que os usuários estão acima da idade do consentimento digital.

Para evitar problemas, considere a oferta de serviços no site que não exijam a coleta ou processamento de dados de terceiros menores de idade, um jogo gratuito que não requer cadastro, por exemplo.

Em situações de baixo risco, exija o preenchimento da data de nascimento ou crie uma caixa de seleção que confirme a maioridade do usuário.

Ainda que os empreendedores se adequem a Lei Geral de Proteção de Dados, é necessário criar uma política para o uso continuado de informações obtidas dos usuários no site institucional e no blog corporativo, principais pontos de contato das empresas com o seu público.

Faça um teste no Stage e veja como obter ajuda especializada de um servidor confiável para basear seu site e potencializar sua estratégia de visibilidade digital!