"Como adequar meu site à Lei Geral de Proteção de Dados (LGPD)?" Esta pergunta tem sido um ponto de discussão frequente entre as empresas, dada a importância crescente dessa legislação. Aqui, nós descomplicamos o processo de conformidade com a LGPD para sites.

Constantemente recebemos ligações de clientes para tratar do assunto:

"Vocês poderiam me auxiliar sobre como adequar meu site à LGPD? Nossa equipe de TI tem mencionado isso constantemente!"

Nossa resposta, assim como para nossos outros parceiros da Faro, é direta e prática. Se as mudanças necessárias para a conformidade com a LGPD para sites ainda não foram realizadas, é crucial que sejam feitas agora, pois as penalidades já estão sendo aplicadas.

A parte encorajadora desta situação é que, com a adoção de algumas medidas estratégicas e simples, é totalmente viável garantir que um site esteja em plena conformidade com as diretrizes da LGPD.

Então, vamos mergulhar em como fazer isso da maneira correta e eficiente, alinhando seu site à LGPD?

O que é a Lei Geral de Proteção de Dados?

Amplamente inspirada no Regulamento Geral de Proteção de Dados (GDPR) europeu, a LGPD brasileira é, na verdade, a Lei nº 13.709/2018.

Seu preâmbulo não poderia ser mais claro em relação aos seus objetivos principais:

“Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

Embora seja considerada menos específica em certos aspectos quando comparada com a lei europeia, a LGPD é considerada um grande avanço. Vale destacar que a GDPR é uma reformulação de uma lei que já existia, a Diretiva 95/46/CE.

Desde quando ela começou a valer?

Siglas GDPR e LGPD

Outra diferença entre as leis é que a GDPR passou a valer em 2016, enquanto a nossa LGPD foi publicada em 2018, valendo desde setembro de 2020.

Em linhas gerais, isso significa que toda empresa que mantém um site precisará deixar claro para seus usuários o tipo de tratamento que seus dados pessoais recebem.

“Legal, mas o que isso quer dizer na prática”?

Em termos operacionais, você precisará incluir na página inicial do seu site um disclaimer (aviso legal) alertando sobre a coleta de dados. Precisará, ainda, dar ao usuário a opção de não ter esses dados coletados ou, se ele permitir, o que poderá ser feito com eles.

A questão que fica então é: o que acontece se nada disso for feito?

Que tipo de sanções estão previstas para quem desrespeitá-la?

Um dos pontos mais controversos da LGPD é a aplicação de multas para quem desrespeitar seus termos.

De fato, se considerarmos as possíveis sanções previstas, não dá para negar que as punições serão bastante pesadas.

No entanto, ainda que esteja em vigor desde 2020, as multas ainda não estão sendo aplicadas.

Isso porque o governo está discutindo sobre a data mais adequada para enfim começar a multar as empresas que vierem a infringir a lei.

Até o momento, especula-se que sanções como bloqueio de dados pessoais e advertências seriam aplicadas a partir de agosto de 2021, enquanto as multas somente a partir de 2022. O teto estipulado é de R$ 50 milhões.

Valor médio das multas aplicadas.

Afinal, como adequar meu site à LGPD?

Na dúvida sobre a data em que as temidas multas começarão a ser aplicadas, o melhor a se fazer é adequar o site à LGPD desde já.

Afinal, o que está em jogo não são apenas os eventuais prejuízos financeiros decorrentes de uma multa pesada, mas a imagem da sua empresa.

Pense, ainda, nos concorrentes. É bastante provável que a maioria dos sites deles já esteja totalmente ajustado ao que diz a lei. Você não vai querer ficar para trás, certo?

Sendo assim, veja a seguir que medidas você pode adotar desde já para ficar com um site 100% alinhado às determinações legais.

Tenha atenção aos formulários

Uma das ferramentas usadas em marketing digital para atrair e converter leads é o oferecimento de materiais ricos como e-books e guias em troca de informações de contato.

Essas informações, por sua vez, são repassadas em formulários, como aqueles que se veem nas landing pages arquitetadas para promover conteúdos, produtos ou serviços.

Como nesses formulários são coletados dados pessoais, sua empresa precisará informar ao usuário o que será feito com eles.

Ou seja, o propósito da sua empresa deverá ser exposto claramente e a utilização desses dados para outros fins será considerada uma infração.

Veja o exemplo da Sics, uma empresa de software para corretoras de seguros localizada em São Paulo, que fazemos o gerenciamento das suas campanhas de anúncios no Google.

Disponibilizamos no formulário da landing page um campo em que o usuário concorda em receber dicas e novidades da Sics.

Bloco inicial da  landing page da Sics

Caso o usuário aceite receber informações adicionais sobre a empresa, o e-mail dele será utilizado nas listas de transmissões da empresa. Caso contrário ele não receberá nada.

Reavalie as políticas de privacidade

Uma exigência a que todo site deve atender desde a publicação da LGPD é deixar claro na home quais são as políticas de privacidade adotadas.

Nela, sua empresa precisa informar o usuário que seus dados podem ser coletados e que a sua identificação pode ser usada para fins de marketing.

Dessa forma, passa a ser uma obrigatoriedade que as empresas disponibilizem uma página específica, na qual suas políticas de privacidade deverão ser informadas. Essa página também deve conter uma solicitação de autorização para a recolha de dados pessoais.

Como se trata de um ponto bastante técnico, costumamos sugerir aos clientes da Faro que o melhor a se fazer é contar com suporte jurídico na hora de elaborar suas políticas de privacidade.

Sempre peça permissão para coletar dados pessoais

Além das políticas de privacidade, é necessário que o usuário consinta receber ligações, e-mails ou SMS.

É preciso, ainda, que sua empresa dê a eles a escolha de revogar quando quiserem as permissões concedidas. Vale destacar que isso pode ser feito por meio de uma janela específica, na qual não poderá ter qualquer tipo de pré-marcação no sentido de induzir as respostas.

Para adequarmos nosso site, estamos usando  a Usercentrics, que é uma plataforma especializada em gestão do consentimento.

Scripts e pixels de rastreio não são carregados até que o usuário consista em ter seus dados rastreados. Quando ele aceita, os dados são compartilhados conosco normalmente, confira no vídeo o que acontece quando o usuário acessa nosso site pela primeira vez.

Recorte de tela do site da agência, mostrando o Usercentrics.

Caso o usuário não aceite mais compartilhar suas informações, pode clicar no ícone de escudo no canto inferior esquerdo do site e gerenciar o compartilhamento dos seus dados novamente.

A ferramenta também pode ser utilizada na versão gratuita.

Cuide da segurança da informação

Outro aspecto fundamental são os mecanismos que o site utiliza para blindar seus formulários e os dados que são coletados.

Dessa forma, vale revisar os procedimentos para acessar paineis de controle. Vale até, se necessário, fazer uma auditoria de senhas e acessos.

Manter um histórico dos acessos aos dados também é válido, uma vez que possibilita rastrear de onde vêm possíveis vazamentos.

Isso sem falar das tecnologias de criptografia e SSL, fundamentais para proteger um site de invasões e ataques.

SSL e E-commerce. Fonte: E-commerce Brasil, 2021.

Redefina os cookies

Quem tem um site provavelmente utiliza tags para monitorar o comportamento do usuário, entre as quais as mais utilizadas são as do Google Ads, Google Analytics e Pixel do Facebook.

Se é o seu caso, é preciso reconfigurá-las para que elas façam disparos somente após o aceite do usuário.

Uma solução prática para isso é usar a Usercentrics ou Cookiebot, ferramentas gratuitas e alinhadas às políticas do Google.

Use ferramentas em conformidade com a lei

Por falar em ferramenta, prefira sempre as que estão dentro do que a LGPD determina em relação à coleta e uso de dados.

Tenha isso em consideração quando instalar chatbots ou configurar seu site para abrir janelas pop-up ou janelas de opt-in.

Cuide dos contratos

Quem tem e-commerce precisa ficar ligado à questão dos contratos. Isso porque, via de regra, em contratos comerciais é previsto o uso de dados para que certas regras contratuais sejam cumpridas ou mesmo para que o documento seja validado.

Portanto, é fundamental que os dados coletados por ocasião da celebração de um contrato sejam utilizados exclusivamente para os fins nele propostos.

Além disso, a empresa deve oferecer garantias de que esses dados não serão repassados para terceiros ou utilizados com outros objetivos.

Considere o legítimo interesse

Pela premissa do legítimo interesse, uma empresa assegura que os dados de usuários e clientes só são utilizados para atender aos interesses dela e de ninguém mais.

Dessa forma, é necessário que ela assegure o sigilo e a blindagem desses dados, implementando medidas como a anonimização, se assim o usuário desejar.

No caso, anonimizar significa tornar anônimos metadados (endereço, CEPs telefones, etc..) de maneira que eles não possam ser novamente identificáveis.

E se for necessário reverter um processo de anonimização, eles devem ser justificados sempre a partir do legítimo interesse e dentro dos limites legais do uso de dados.

Atenção às orientações da ANPD

Logo Autoridade Nacional de Proteção de Dados.

A LGPD instituiu para controle e fiscalização das políticas de dados a Autoridade Nacional de Proteção de Dados (ANPD).

Esse é o órgão que cuida da aplicação da lei, sendo o responsável pela imposição de multas e outras medidas.

Sendo uma entidade fiscalizatória, em seu site são publicadas regularmente uma série de orientações úteis para quem trabalha com dados.

Entre elas, está a comunicação de incidentes de segurança, pela qual as empresas poderão informar à ANPD possíveis violações de dados pessoais em seus sites.

Ademais, leis estão sujeitas a mudanças o tempo todo. Sendo assim, acompanhar as publicações do site da ANPD é uma forma de se manter atualizado e de prevenir eventuais falhas de segurança.

Defina o seu CDO

Por último, mas não menos importante, a lei de dados brasileira determina que as empresas nomeiem um Chief Data Officer (CDO).

Trata-se do profissional responsável por definir uma política de dados, sua implementação e controle, além de responder à ANPD caso a empresa seja notificada.

De qualquer forma, como adequar meu site à LGPD é um processo distinto, fica a recomendação para se espelhar em casos de empresas do mesmo ramo da sua.

Se possível, vale também contar com o suporte de um advogado ou de um consultor jurídico. Assim, seus clientes e usuários estarão sempre seguros e sua empresa evita multas e advertências!

Curtiu o conteúdo? Para montar um site que converte e dentro da lei, conte com a Agência Faro. Fale com a gente, nós temos a solução que casa com o seu negócio!