A LGPD é a mais recente implementação de alto nível de uma legislação de proteção de dados no mundo após o GDPR, o CCPA, o APPI, o PDPA etc. O impacto da LGPD no Brasil será único, mas sentimos que podem haver lições aprendidas de outras diferentes legislações de proteção de dados e seu impacto no setor de ad tech em outra região.
Então, quais lições de outros países acreditamos que poderiam ser aplicadas à LGPD no Brasil?
Orientação da autoridade supervisora é fundamental
O ecossistema de ad tech é tão complexo que é essencial receber orientação da autoridade supervisora. A indústria de ad tech está cheia de detalhes, nuances e características que tornam árdua a implementação de qualquer legislação de proteção de dados: grande número de parceiros, real time bidding, transferência global de dados e distribuição de infraestrutura, servidores, bancos de dados etc.
No caso da CCPA, foram necessárias 3 ou 4 iterações da orientação AG para trazer essa clareza. Quanto ao GDPR, a orientação começou antes da implementação, mas veio de tantas partes diferentes que o setor ainda carecia de um maior entendimento em muitos pontos controversos. Isso porque, às vezes, os DPAs nacionais nem mesmo concordam com a interpretação. Foram necessários vários relatórios dedicados na indústria de ad tech da ICO e da CNIL, esclarecimentos sobre o consentimento explícito de cookies e para elucidar alguns pontos cruciais sem os quais a indústria não poderia operar.
Multas definem a agenda
A legislação de proteção de dados é tão boa quanto sua implementação. Já em 2018, na Europa, a indústria de ad tech iniciou sua preparação na última hora. Foi rápido, apressado, eficiente e parcialmente incompleto. Então, as empresas digitais esperaram ansiosamente que o regulador começasse a agir. Mas isso não aconteceu até o final de 2018 – início de 2019, quando a autoridade supervisora francesa começou a aplicar multas a empresas de ad tech, grandes e pequenas.
Comece com as políticas de privacidade
As políticas de privacidade são sempre o ponto de partida. Em sua essência, as legislações de proteção de dados nascem de uma necessidade de transparência. As políticas de privacidade precisam ser simples, completas e escritas em uma linguagem acessível a todos. Políticas de privacidade escritas às pressas ou incompletas são tão erradas quanto as de 40 páginas.
Negociações contratuais
As grandes empresas tendem a forçar obrigações e cláusulas de responsabilidade sobre as empresas menores para se protegerem. A LGPD estabelece um quadro claro de obrigações. Por exemplo, as empresas não escolhem se são controladoras ou processadoras: elas são ou não são. E essa é a diferença entre negociar um contrato de prestação de serviços ou um contrato de trabalho registrado e os DPAs (aditivos de processamento de dados), nos quais a margem de negociação para a parte “dominante” é mais limitada devido ao seu quadro jurídico subjacente.
O “TCF” não é a lei
Na Europa, o consentimento é a base legal para cookies não essenciais. Ou seja, cookies para fins de publicidade. Portanto, muitas empresas de ad tech começaram a se comportar como se a obtenção de consentimento fosse equivalente ao cumprimento da lei. Não é. Além disso, apesar de dois anos de esforços, os reguladores ainda têm sentimentos ambíguos sobre o TCF. É importante centrar-nos na base jurídica do nosso complexo ecossistema, nos mecanismos de transferência, nos princípios da proteção de dados, no espírito da lei e não apenas em suas manifestações.
Proteção de dados em nível global
Em breve, os anunciantes globais não terão escolha a não ser mudar a maneira como consideram a coleta de dados. É mais fácil para os profissionais de marketing globais implementarem certos padrões de proteção de dados internacionalmente do que tentar cumprir diferentes legislações. Grandes marketers listados publicamente são um vetor de aceleração da transformação da proteção de dados em todo o mundo. E graças à LGPD, o brasileiro terá uma vantagem competitiva no mercado global.
Conselhos para empresas brasileiras de ad tech:
- Leve isso a sério. Não veja isso como algo superficial ou uma ameaça. É uma chance de transformação.
- Comece com a política de privacidade. Seja sincero, aberto, claro sobre o que pretende fazer e use uma linguagem simples.
- No final, o regulador fornece orientação e essa orientação se torna o padrão da indústria. O argumento do legítimo interesse versus consentimento é complexo. Afinal, mesmo que a indústria adote legítimos interesses ao invés de consentimento, ou vice-versa, a ANPD terá a última palavra. A verdadeira força da indústria é sua capacidade de se adaptar rapidamente às mudanças.
- Os padrões de segurança estão se tornando essenciais em todo o mundo. Trabalhe na melhoria de seus sistemas organizacionais e técnicos. Não há nada que o regulador menos goste do que violações de dados.
- Pregue a privacidade. Não é algo que deva ficar confinado à esfera do departamento jurídico. Quanto maior for o número de pessoas preocupadas com a privacidade em sua empresa, mais eficiente será a mudança no curso dos negócios. Muito tempo é perdido em negociações porque departamentos jurídicos sobrecarregados tornam-se gargalos acidentais. Não precisa ser assim. Sua empresa pode e deve ser “ágil em termos de privacidade”.
- Transforme a privacidade em uma vantagem comercial. Este é o interruptor de luz da tecnologia de publicidade. A indústria pode ser muito binária e tudo o que não seja venda é visto como custo. Se você deseja que a privacidade seja levada a sério em toda a sua organização, trate-a como um investimento no futuro da organização.
Conclusão
A LGPD apresenta uma oportunidade fantástica para a indústria brasileira de ad tech. A privacidade de dados é o catalisador que impulsionará a evolução do setor. Não apenas dará uma chance para empresas ágeis e inovadoras seguirem em frente, mas oferecerá ao Brasil a oportunidade de avançar como um dos principais impulsionadores e agitadores da economia global movida a dados. A LGPD será uma potencializadora de competitividade global para as ousadas empresas brasileiras que querem se apresentar no cenário mundial.
Autor: Vincent Potier – Data Protection Officer na Retargetly