Desafios da LGPD em plataformas SaaS B2B – (Parte 2)

Tempo de leitura: 10 minutos

Está sem tempo? Leia o resumo.

– A LGPD veio para proteger contra abusos no uso de dados pessoais dos usuários de plataformas, softwares e sistemas no âmbito digital.
– Dados públicos também devem ser usados com critério, considerando a real finalidade de uso, boa-fé e o interesse público que justificou sua disponibilização.
– Como startups podem realizar suas comunicações com leads de forma correta, a obedecer os critérios da lei.
– A criação de uma Política de Privacidade de Dados e Uso de Cookies é um bom primeiro passo para alinhar suas regras de tratamento dos dados pessoais com o consentimento do usuário.

Índice

1. Desafios
2. Boas Práticas


Este artigo foi escrito em parceria com o advogado especialista em Direito Digital, Rafael Attolini do Padro e é o segundo de uma série de três artigos sobre LGPD para plataformas SaaS B2B.

Leia a Parte 1 deste artigo que descreve claramente os princípios básicos da LGPD

Tudo que é feito para melhorar em uma ponta traz desafios e impactos na outra ponta. E a LGPD não é diferente. Ela veio para proteger os abusos no uso de dados pessoais de usuários de diversos sistemas e plataformas na internet, como venda de dados a terceiros, compartilhamento de dados com parceiros para fins comerciais e de comunicação de outras marcas, envio de malas diretas e e-mails sem consentimento etc. Mas deixa em aberto algumas questões que têm feito as empresas repensarem seu modelo de comunicação e tratamento de dados de terceiros.

Tudo que é feito para melhorar em uma ponta traz desafios e impactos na outra ponta

O artigo 7º traz, logo no seu primeiro inciso, um ponto extremamente importante que acredito ser o cerne da LGPD que é o uso indiscriminado dos dados pessoais sem consentimento, mesmo dados que são públicos deve-se considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.

O tratamento de dados pessoais somente poderá ser realizado mediante consentimento do titular do dado, ou seja, para que os usuários tenham acesso à sua plataforma B2B SaaS, é necessário que eles leiam e aprovem a sua Política de Privacidade de Dados onde você precisa deixar claro quais as finalidades, necessidades e tratamentos a que os dados pessoais serão submetidos.

Se ele não aceitá-la o acesso deve ser negado pois ele não está confortável com a sua política.

A aprovação da sua Política de Privacidade pelos usuários garante o consentimento destes na captura e no tratamento dos dados pessoais.

Empresas globais sérias já tratavam disso em seus websites e comunicações de marketing há muito tempo quando solicitam o consentimento do usuário para o envio de comunicação da marca. Já era uma previsão do que iria ser tratado na GDPR (General Data Protection Regulation – a LGDP europeia).

Para empresas que agem como controladores dos dados (aqui você encontra a diferença entre Controlador e Operador), a adequação passa por uma estruturação nas plataformas de marca e comércio de produtos, nos envios de comunicação por diversos canais, entre outros e isso é mais fácil quando você é o controlador dos dados de terceiros e aplica as leis e regulações da GDPR ou LGPD, mas isso torna-se mais complexo quando a sua plataforma é um B2B SaaS em que seu cliente é o controlador dos dados e você somente os opera.

Desafios

A LGPD traz alguns desafios para a indústria como um todo, principalmente no que tange à comunicação da marca.

Como fazer a comunicação da sua marca ou do seu produto chegar ao seu público-alvo em um ambiente em que o consentimento para receber tal comunicação é ponto chave?

Essa discussão fica latente quando da sua necessidade de enviar “cold e-mails” ou criar um processo de “inside sales” onde você elabora uma mensagem direta, mapeia seus prospects (leads) e necessita enviar-lhes a mensagem sem que haja o consentimento.

Para startups com limites muito pequenos de orçamento de mídia, alguns canais de comunicação possuem preços proibitivos e, neste caso, a comunicação do seu produto ou plataforma necessita ser assertiva ao máximo, direta para o seu target (chamamos de tiro de sniper) que esbarra no consentimento.

Mas então a LGPD vai delimitar o acesso das empresas aos seus “desconhecidos” targets?

Lá na parte 1 nós escrevemos: “Com efeito, logo em seu artigo 2º, incisos V e VII, a lei diz possuir como fundamentos, dentre outros, “o desenvolvimento econômico e tecnológico e a inovação” (inciso V), bem como “a livre iniciativa, a livre concorrência” (inciso VI).”

Isso quer dizer que a LGPD não veio impedir o uso da comunicação de marca, mas sim trazer regras quanto à finalidade e o uso correto dos dados coletados.

Obviamente é uma interpretação, mas que pode ajudar as empresas a comunicarem-se com seus leads (desde que os dados obtidos para o acesso a eles seja público) sem esse consentimento prévio (salvo em casos que o mesmo peça o descadastramento dele na sua campanha) uma vez que a sua Política de Privacidade de dados é clara em informar que os dados usados nos e-mail marketing são de uso exclusivo para envio de comunicação da marca, que os mesmos não são vendidos, compartilhados, modificados ou usados para outros fins que não estes declarados, seguindo assim o artigo 2º.

Não venda, não compartilhe nem modifique os dados pessoais dos seus usuários para outros fins não declarados em sua Política de Privacidade. Isso vai colocá-lo na mira da LGPD.

Como eu já havia dito anteriormente, toda plataforma B2B SaaS solicita e registra alguns dados dos usuários que irão usá-la, minimamente o nome e uma conta de e-mail (2 dados de identificação). Só com apenas esses 2 dados sua plataforma já está na aplicabilidade da LGPD.

Outros desafios das plataformas B2B SaaS referem-se a mudanças na estrutura da empresa, no design da plataforma e na criação de processos de verificação e adequação à lei.

Boas Práticas

Algumas boas práticas podem ser utilizadas para adequar sua plataforma à LGPD.

A criação de uma Política de Privacidade de Dados e Uso de Cookies e a publicação em sua plataforma B2B SaaS é o ponto de partida para alinhar suas regras de tratamento dos dados pessoais com o consentimento dos seus usuários.

a) Primeiro de tudo, crie uma Política de Privacidade de Dados e Uso de Cookies – que descreva todos os dados pessoais que são coletados, para que são coletados, como são coletados e como são armazenados e ainda informe como o titular tem acesso a esses dados – e publique em sua plataforma e seus canais de comunicação. Isso mostra o quanto a sua empresa se importa com os dados de terceiros e os guarda em conformidade com a lei;

b) Utilize o conceito Privacy By Design (Vamos falar disso com detalhes na Parte 3 deste artigo), ou seja, redesenhe o design da plataforma para se adequar aos princípios da LGPD;

c) Redesenhe sua plataforma para garantir o livre acesso aos dados pelo titular, inclusive para que ele faça alterações nos mesmos e até a exclusão no cadastro. Neste caso, ele deve estar ciente de que sem esse cadastro o acesso à plataforma fica inabilitado;

d) Pergunte-se para que esses dados são coletados? Para fazer funcionar a plataforma, para envio de comunicação, para envio de notificações? Qual a finalidade de se capturar esses dados? Muitas vezes você descobre que alguns deles são desnecessários para a finalidade do uso da plataforma;

e) Repense sua coleta de dados. Todos os dados que você coleta são realmente necessários? Aqui é onde repensamos o modelo e readequamos o design para coletar minimamente os dados críticos;

f) Como uma plataforma B2B SaaS, onde você é somente o operador e seu cliente é o controlador, crie mecanismos e processos (podem ser manuais) que orientem o seu cliente na criação de dados para captura ou guarda de informações (se a sua plataforma permitir isso) evitando que ele viole princípios da lei e solicite dados sensíveis do usuário (dado pessoal sobre raça, religião, gênero e afins);

g) Mesmo sendo uma plataforma B2B SaaS crie uma posição Chief Data Officer (CDO) e crie um canal de comunicação (e-mail ou telefone) entre esta posição e seus clientes e usuários da sua plataforma. Eles se sentirão bastante seguros de que seus dados estão sendo levados a sério;

A posição de Chief Data Officer ajuda seus clientes a sentirem seguros de que seus dados estão sendo levados a sério

h) Tenha uma equipe responsável por manter o radar nas novas atualizações da lei (Comitê da LGPD). Crie processos internos de revalidação e atualizações da LGPD e possíveis readequações na plataforma conforme as mudanças que a lei sofre;

i) Faça reuniões periódicas com seu comitê de LGPD e o time de design e dados da sua plataforma em busca de revisões periódicas. Acompanhe as reuniões de releases da sua plataforma em busca de impactos da lei nas novas mudanças necessárias da plataforma;

j) Participe dos comitês e discussões da ANPD (Agência Nacional de Proteção de Dados), fique atualizado com as discussões e caminhos que a LGPD pode tomar de modo a antecipar movimentos do seu time de desenvolvimento e design nas adequações da sua plataforma;

k) Esteja sempre alinhado com seu time de infraestrutura e segurança da informação para realizar testes de segurança periódicos de modo a garantir a inviolabilidade dos dados por meio de invasões para que não haja impacto com o órgão regulador.

Enfim, são várias iniciativas que vão colocar a sua plataforma no topo das escolhas entre seus concorrentes pela forma como a sua empresa e a sua plataforma estão engajadas em adequar-se plenamente aos requisitos legais da LGPD, mesmo no papel de Operador.

Agora é arregaçar as mangas…

No último artigo dessa série falaremos mais sobre Privacy by Design e como grandes corporações podem se adequar à nova realidade que a LGPD nos traz.


A Yapoli é uma plataforma DAM (Digital Asset Management) inteligente que otimiza a gestão e distribuição de arquivos digitais para a indústria de forma simples, segura, prática, rápida e, principalmente, mensurável.