9 Passos para tornar seu Analytics compatível com a LGPD

Publicados: May 8, 2019 Autor Categoria Data Privacy & Security

O Brasil é mais um país com fortes regulamentações de privacidade de dados – especificamente, a Lei Geral de Privacidade de Dados do Brasil, também conhecida como LGPD. A partir de agosto de 2020, dará a mais de 210 milhões de pessoas novos direitos para acessar e controlar seus próprios dados e impactar o modo como as empresas gerenciam sua privacidade.

Você pode estar se perguntando como isso afetará sua empresa e as ferramentas que você está usando. Bem, se você já tiver ajustado suas políticas antes que do GDPR entrar em vigor, boas notícias, as leis são bem parecidas, então você já adiantou muito o trabalho. Mas as duas legislações não são idênticas, portanto, você precisa verificar se marcou todas as caixas de conformidade.

E se por qualquer motivo você perdeu o frenesi pré-GDPR – abaixo estão 9 passos para preparar seu analytics para a LGPD.

1) Descubra se a lei se aplica ao seu caso

A LGPD se aplica a qualquer pessoa física ou jurídica, pública ou privada, que processa dados pessoais:

  • no Brasil
  • com a finalidade de oferecer ou fornecer bens ou serviços no Brasil
  • coletados no Brasil

Assim como a GDPR, a LGPD tem um escopo extraterritorial e se aplica a qualquer empresa que atenda a esses critérios, independentemente de onde esteja sediado.

No entanto, a LGPD não afeta o processamento de dados realizado:

  • para fins estritamente pessoais
  • exclusivamente para fins jornalísticos, artísticos, literários ou acadêmicos
  • exclusivamente para segurança nacional, defesa nacional, segurança pública, investigação criminal ou punição

Considerando que o Brasil é o quinto país mais populoso do mundo, é seguro presumir que quase todos os negócios com presença global terão que aderir à lei.

2) Verifique se você coleta dados pessoais

A LGPD descreve dados pessoais como qualquer informação relacionada a uma pessoa natural identificada ou identificável. Da mesma forma que a GDPR, a lista inclui cookies (afinal, eles servem para identificar usuários). É por isso que é altamente provável que os dados coletados por meio de analytics correspondam à definição de dados pessoais. Voltaremos a este tópico mais tarde.

Não tem certeza se você coleta dados pessoais? Então, veja este material informativo para entender melhor o assunto.

3) Nomeie um DPO

Na versão atual da LGPD, todo controlador de dados é obrigado a nomear um oficial de proteção de dados (DPO). O que é particularmente importante é que um DPO não precisa ser uma pessoa natural. Isso significa que empresas, comitês e grupos de trabalho podem desempenhar tal papel. Além disso, a posição do DPO pode até ser administrada por terceiros.

É provável que regulamentações complementares esclareçam essa regra e definam exceções, mas por enquanto é assim que os requisitos se parecem.

Se você sabe que está coletando dados pessoais e possui um DPO, é hora de encontrar um fundamento legal que lhe permita continuar a processar dados pessoais. A LGPD fornece 10 bases jurídicas diferentes para isso. Do ponto de vista comercial, dois deles merecem atenção especial – interesse e consentimento legítimos.

Interesse legítimo só pode ser uma base para o processamento de dados pessoais nos seguintes cenários:

  • apoiar e promover as atividades do controlador
  • para proteção dos titulares de dados ou prestação de serviços que os beneficiem

Para empresas que não querem, não podem ou têm medo de confiar no interesse legítimo ao coletar dados, o consentimento parece ser a solução correta a ser adotada.

5) Use uma ferramenta para registrar o consentimento

Suponhamos que você use o consentimento como base para coletar dados pessoais.

Assim como com a GDPR, o consentimento é entendido como um “pronunciamento livre, informado e inequívoco por meio do qual os titulares de dados concordam com o processamento de seus dados pessoais para um propósito específico”

No contexto da análise de dados, isso significa que, como proprietário de um site, você não pode simplesmente assumir que um usuário optou por aceitar os cookies usados em seu site. Isso é o que chamamos de consentimento implícito.

O usuário deve executar uma “ação afirmativa” positiva e explícita para sinalizar seu consentimento para o uso de cookies. Além disso, eles podem concordar com apenas alguns cookies e rejeitar o restante.

A regulamentação, por si só, não especifica como coletar os consentimentos. No entanto, existem várias soluções que funcionaram bem no âmbito do GDPR, incluindo os gerenciadores de consentimento. Não queremos nos gabar, mas o Piwik PRO fornece um LGPD Consent Manager bastante útil, que também pode funcionar como um gerenciador de consentimento para a LGPD.

6) Decida como solicitações de processamento de dados serão feitas com os novos direitos

Consentimentos são uma coisa. Direitos dos titulares de dados são outra. A LGPD introduz nove novos direitos no sistema brasileiro de proteção de dados – isso é mais do que a GDPR. A lista inclui:

  • confirmação da existência de processamento
  • acesso aos dados
  • correção de dados incompletos, imprecisos ou desatualizados
  • anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos ou de dados tratados em desacordo com as disposições desta lei
  • portabilidade dos dados para outros prestadores de serviços ou fornecedores de produtos, a pedido expresso, e observando os segredos comerciais e industriais, de acordo com a regulamentação do órgão de controle
  • a eliminação dos dados pessoais tratados com o consentimento dos titulares dos dados, exceto nos casos previstos no artigo 16 desta lei
  • informações das entidades públicas e privadas com as quais o controlador realizou o uso compartilhado de dados
  • informação sobre a possibilidade de não dar consentimento e sobre as consequências da negação
  • revogação do consentimento

O importante é que a lei concede apenas 15 dias para processar solicitações de usuários (em comparação a 30 dias da GDPR).

No caso de empresas que operam em uma escala maior, você deve considerar a automação desse processo usando ferramentas dedicadas para lidar com solicitações de processamento de dados.

Parte das obrigações decorrentes das solicitações de processamento de dados também ficará com seus parceiros de negócios, incluindo os fornecedores de web analytics. Sua infraestrutura deve garantir que os dados possam ser livremente removidos, alterados, transferidos e, no caso da LGPD, também anonimizados. Continuaremos discutindo esse tópico na próxima etapa.

7) Avalie a conformidade de seu provedor de web analytics com a lei

Uma regra prática muito boa é nunca assumir que um parceiro de negócios opera em conformidade com qualquer lei de privacidade de dados, mesmo que ele sempre tenha sido confiável antes. Prova disso é a GDPR. Já se passou um ano desde a sua promulgação e muitas empresas ainda não adotaram seus processos de acordo com os requisitos legais. A lista inclui até o Google. A empresa parte do grupo Alphabet Inc. foi processada várias vezes por vigilantes da União Europeia por violar os requisitos da GDPR. Você pode ler mais sobre isso aqui, aqui, e aqui.

E a LGPD também está entrando em vigor em pouco mais de um ano, por isso, embora seja difícil esperar que seus parceiros de negócios tenham todo o projeto de adequação definido, eles devem ter pelo menos alguns planos e quadros de referência para a LGPD em vigor.

Abaixo está uma lista de sinais que indicam que seu fornecedor leva os assuntos de privacidade a sério:

Eles nomearam um DPO

A versão final da lei ainda não está pronta. No entanto, o processamento de dados em uma escala tão grande – como em ferramentas de analytics – provavelmente exigirá a nomeação de um DPO.

Eles estão dispostos a compartilhar responsabilidades com você

Seu DPO ou membros de uma equipe designada para o LGPD devem poder falar com o DPO de seu parceiro e ter uma ideia clara de quais medidas foram tomadas para cumprir a nova lei. A atitude deles deve indicar que eles estão dispostos a compartilhar o fardo com você e facilitar suas tarefas relacionadas à lei.

Infelizmente, parece que a estratégia adotada por alguns fornecedores de analytics (incluindo o Google Analytics) é livrar-se de todas as informações que podem ser classificadas como dados pessoais e obrigar você a anonimizar todas as informações coletadas usando sua ferramenta. Esteja atento, pois isso não resolverá o problema!

Embora todos os seus dados sejam anonimizados, você não pode evitar o fato da ferramenta armazenar um identificador on-line de visitante em um cookie. Esses tipos de identificadores são considerados dados pessoais na GDPR e você deve ter permissão dos usuários para processá-los.

Então, em outras palavras, você acaba com dados anônimos e ainda assim você tem que coletar consentimentos de usuários e realizar solicitações de processamento de dados. Não é um grande negócio, é? Nessa situação, você pode considerar outra plataforma cuja infraestrutura facilitará o armazenamento de dados pessoais, o processamento de solicitações de dados e o respeito aos direitos dos usuários.

Nestes artigos do blog posts abordamos tópicos relacionados ao direito e processamento de dados:

E se você quer saber mais sobre anonimização de dados, veja estes artigos:

Eles fornecem um armazenamento de dados seguro

O artigo 33 da LGPD declara que:

A transferência internacional de dados pessoais é permitida somente nos seguintes casos:

  • para países ou organizações internacionais que fornecem o nível apropriado de proteção de dados pessoais previstos por esta lei;
  • onde o controlador fornece e demonstra garantias de conformidade com os princípios, os direitos do titular dos dados e o regime de proteção de dados estabelecidos nesta lei, na forma de:
    • seções contratuais específicas para uma determinada transferência;
    • seções contratuais padrão;
    • regras corporativas globais;
    • selos, certificados e códigos de conduta regularmente emitidos;

Isso significa que, se você ou seu parceiro estiverem localizados no exterior, eles deverão provar que podem fornecer um nível semelhante de segurança de dados ao exigido pelas empresas sediadas no Brasil (mais sobre isso no Artigo 46).

É um bom sinal quando eles atendem a padrões internacionais de segurança como o ISO 27001 ou foram auditados com êxito para segurança de dados por auditores externos. Se passaram por esse processo, você sabe que, no mínimo, eles têm uma estrutura básica de segurança de dados em vigor.

Uma solução igualmente boa será se o fornecedor permitir que você mantenha os dados em seus próprios servidores ou em uma nuvem privada. Graças a isso, você poderá aplicar seus próprios padrões de segurança aos dados do analytics.

Além disso, considere evitar scripts de terceiros em seu website. Nos últimos meses, eles foram um fator em várias violações de dados, portanto, considere removê-los do seu ecossistema. Converse com seu fornecedor para descobrir se a ferramenta permite evitar esses tipos de scripts.

Aqui você pode ler mais sobre as ameaças apresentadas por scripts de terceiros. E se você quiser saber mais sobre a infraestrutura de segurança do Piwik PRO Analytics Suite, confira este site.

8) Assine um APD

Se seu parceiro de negócios apresentou uma prova razoável de que ele fornecerá um nível de privacidade adequado aos dados de seus usuários, agora é hora de assinar um Acordo de Processamento de Dados (APD) com eles.

Esse contrato deve especificar os dados aos quais eles têm acesso, o escopo de uso desses dados e qualquer plano de conformidade existente que possa estar em vigor. Além disso, deve especificar as medidas técnicas e organizacionais que o seu fornecedor de web analytics usa para proteger os dados pessoais de seus clientes.

Não está seguro quanto a estrutura de um APD? Confira:
7 Elements Every Data Processing Agreement Should Have

9) Mantenha-se atualizado

Há uma boa chance de que a lei seja revisada entre agora e agosto de 2020. Talvez os esforços de lobby das grandes empresas possam tirar a regulamentação de seus caminhos. Ou talvez o contrário aconteça e o Brasil poderia implementar os mais altos padrões de privacidade de dados do mundo. Quem sabe? É por isso que você precisa manter um olho na situação e seguir as mudanças na lei. Nós prometemos mantê-lo informado!

E se você estiver interessado em saber como o Piwik PRO pode ajudar você a cumprir essa e outras leis de privacidade, não deixe de entrar em contato com nossa equipe. Ficaremos felizes em informar-lhe em detalhes!

Autor:

Karolina Lubowicka, Content Marketer

Content Marketer and Social Media Specialist at Piwik PRO. An experienced copywriter who takes complex topics of data privacy & GDPR and makes them understandable for all. LinkedIn Profile

Ver mais postagens deste autor