Pontos da LGPD para PMs e UXs

Embora proteção de dados seja um assunto para negócio e jurídico, por causa da complexidade, designers e PMs devem entender e contribuir com a aplicação da lei em seus produtos

No artigo anterior, citamos a legislação como uma possível proposta para um Design Comportamental ético, com menção rápida à Lei Geral de Proteção de Dados (LGPD) como um desses dispositivos.

Neste texto, aprofundaremos uma abordagem sobre essa lei brasileira, como ela impacta negócios que lidam com dados pessoais e o que é recomendável que Product Managers (PMs) e UX Designers (UXs) saibam a respeito.

Embora legislação seja sempre um assunto sério e complexo, e a LGPD, em particular, demande muito mais de departamentos jurídicos e dos decisores de negócio das startups e empresas, é necessário que profissionais que lidam com dados de usuários conheçam um mínimo sobre ela.

O texto está dividido em três seções, além de considerações ao final: 

  1. na primeira seção, vamos falar de objetivos e aspectos principais da lei e como ela surgiu;

  2. na segunda parte, abordaremos recomendações relacionadas à lei que PMs e UXs podem incorporar ao seu trabalho;

  3. na terceira parte, trataremos dos momentos das empresas na adequação à lei.

Objetivo e principais aspectos da lei

O principal marco da LGPD é declarar que os dados pessoais (incluindo dados pessoais sensíveis, como opção política, sexual, religiosa, biometria etc.) são de direito de seu titular, isto é, da pessoa à qual se relacionam.

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

LGPD, Art. 5º.

Ou seja, o dado não é de propriedade do Facebook, do Google, da operadora de telefonia que o transporta, do governo ou da startup ou empresa em que um PM ou UX trabalha ou deseja trabalhar.

A lei também delimita atores em relação aos dados:

  • o próprio titular dos dados;

  • o controlador (empresa que toma decisões em relação ao uso dos dados);

  • o operador (empresas que realiza tratamento dos dados a pedido do controlador);

  • e o encarregado ou, tomando emprestado um termo do GDPR, o Data Protection Officer (DPO), pessoa nomeada pelo controlador (empresa) para coordenar a adequação e atendimento da lei no ambiente interno.

Além de big techs, telefonia, governos, empresas e startups não serem donas dos dados pessoais de usuários, elas também não podem fazer o que bem entenderem com esses dados pessoais.

Há regras para outro conceito importante da lei: o tratamento de dados, que engloba coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle de informação, bem como modificação, comunicação, transferência, difusão ou extração.

Para o tratamento, há princípios a serem seguidos:

  • finalidade: os dados não podem ser coletados para ver o que se fará com eles no futuro; é preciso definir para o que os dados servirão já ao coletá-los;

  • adequação: o tratamento deve se adequar às finalidades definidas;

  • necessidade: o tratamento deve se limitar ao que é  necessário para realização da finalidade definida;

  • livre acesso: o titular deve ter consulta facilitada a seus dados pessoais e às formas de tratamento;

  • qualidade dos dados: exatidão, clareza, relevância e atualização sobre o que é feito com os dados do titular;

  • transparência: o titular tem direito a receber informações claras, precisas e acessíveis sobre seus dados e o tratamento aplicado a eles;

  • segurança: é preciso resguardar os dados de acessos não autorizados ou incidentes como destruição etc.;

  • prevenção: é necessário antecipar-se à ocorrência de danos a dados pessoais;

  • não discriminação: dados não podem ser usados para fins discriminatórios ilícitos ou abusivos;

  • responsabilização e prestação de contas: a empresa ou controlador dos dados deve demonstrar a adoção e eficácia de medidas para garantir a proteção de dados pessoais.

O tratamento também só pode ser realizado se contemplar uma das dez hipóteses listadas no marco legal:

  1. consentimento do titular;

  2. cumprimento de outra obrigação;

  3. para necessidades da administração pública;

  4. para estudos e pesquisas;

  5. para execução de contratos;

  6. para exercício de direitos em processos judiciais;

  7. para proteção à vida de uma pessoa;

  8. para tutela da saúde de uma pessoa, em procedimentos médicos, por exemplo;

  9. por interesses legítimos do controlador; e

  10. para proteção de crédito.

Para empresas, as hipóteses mais comuns de tratamento são o consentimento, execução de contratos e legítimo interesse, além de, em menor caso, cumprimento de outra obrigação.

Dito de outro modo, esses princípios e hipóteses garantem que uma pessoa física saiba para que e como seus dados serão utilizados, pode pedir a atualização desses dados ou até a exclusão deles dos bancos de dados onde estão armazenados.

É um mecanismo para proteger cada cidadão de abusos e uso indevido desses dados, principalmente para fins comerciais nada nobres. Tanto que a lei ficou muito associada à publicidade personalizada mediante captura de e-mails ou geolocalização de usuários.

Obviamente, isso traz impactos diretos a diversas atividades empresariais, como a exibição dos próprios anúncios personalizados até algoritmos de inteligência artificial que fazem previsões sobre perfil e comportamentos de pessoas.

Quem descumprir, está sujeito a responsabilização, como a famigerada multa de até R$ 50 milhões, o que tem assustado algumas empresas, embora, na prática, não se preveja um cenário apocalíptico em termos de punições.

Essa é uma visão resumida e de muito alto nível da lei. Para uma visão aprofundada, mas ainda amigável, dos principais pontos da lei, recomendamos consulta ao Guia LGPD, da idwall, uma idtech (startup de identificação digital) brasileira.

Para uma visão bem mais completa e interpretada, o Guia de Boas Práticas da LGPD, do próprio Governo Federal, é a referência oficial. É longo e detalhado e requer alguma dedicação para a leitura.

Embora estejamos acostumados a dicas rápidas, listas curtas e resumos de duas linhas, um dos melhores pontos de partida é encarar a íntegra da Lei, que é precisa, sucinta e isenta de interpretações ou reduções. 

Para as dúvidas que ficarem, valem buscas mais detalhadas ou, para casos mais rigorosos, consultas a versões comentadas da lei, normalmente produzidas por empresas jurídicas e pagas, o que foge ao objetivo deste artigo.

Histórico

Intenções de se regulamentar a privacidade e proteção de dados no país veio a reboque do que já se discutia nos EUA e, principalmente, na Europa, na primeira década do século XXI. Marco Civil da Internet, Lei “Carolina Dieckmann" e outros dispositivos já continham parte de tais intenções.

A União Europeia possuía uma diretiva para proteção de dados pessoais, que unia leis de vários países do bloco, desde 1995. Entretanto, com o avanço da captura de dados e a preocupação com possíveis violações — vide-se escândalos comentados em “Dilemas em Design Comportamental” —, a diretiva se mostrou insuficiente e o bloco europeu firmou, em 2016, o General Data Protection Regulation (GDPR), o marco regulatório que serviu de exemplo ao mundo.

Como o GDPR impacta empresas e instituições de todo o planeta que transacionam comercialmente com a Europa, obrigando até as poderosas big techs a se adequarem, o Brasil correu contra o tempo para fazer sua parte e acabou aprovando a LGPD, em 2018, em moldes parecidos com os do marco europeu.

Dada a complexidade que o assunto traz uma uma gama de empresas e startups, porém, houve uma série de idas e vindas desde então, até a lei valer de fato.

Apesar de aprovada e sancionada em agosto de 2018, houve veto à criação da Autoridade Nacional de Proteção de Dados (ANPD), o órgão encarregado de fiscalizar a aplicação da lei e aplicar sanções às empresas que descumprirem as regras.

Posteriormente, foi estabelecido prazo para criação da ANPD em agosto de 2020. Com a pandemia de Covid, vieram pedidos para novas prorrogações. Acabou que a entrada em vigor da lei foi mantida para agosto de 2020, com o prazo de sanções e multas valendo a partir de 1º de agosto de 2021 (este mês). 

Ou seja, agora temos a ANPD, o órgão fiscalizador, e temos a possibilidade de sanções e multas a quem descumprir o dispositivo. Ainda falta o mecanismo que regulamenta a dosimetria (cálculo e aplicação das multas) e outros detalhes. 

Também se comenta que não é intenção da ANPD promover uma “caça às bruxas”, mas ter um papel muito mais educativo e orientador neste primeiro momento.

O que não quer dizer, é claro, que as empresas tenham mais tempo para empurrar com a barriga. A LGPD já está sendo aproveitada para embasar processos judiciais na esfera do Direito do Consumidor e até Trabalhista, com possíveis indenizações e manchas na reputação das empresas que insistirem em descumprir as medidas.

Share Awari Insights - Produtos e UX

O que cabe a PMs e UXs

Embora a lei, como dito, seja complexa e diga muito mais respeito às esferas de negócio e jurídicas das empresas, há ações que PMs e UXs podem e devem levar em conta em seus produtos. 

O objetivo é tanto ajudar o negócio a se adequar quanto evitar transtornos ao próprio profissional por inobservância a cuidados básicos em suas atividades.

Privacy by Design

Privacy by Design, algo como “Privacidade desde a Concepção”, em tradução livre, é uma metodologia criada por Ann Cavoukian, uma especialista de dados canadense, na década de 1990. A metodologia acabou incorporada ao GDPR europeu e, por consequência, à LGPD brasileira.

Basicamente, o objetivo da metodologia é que questões de privacidade e segurança de dados sejam projetadas e implementadas por princípio em quaisquer produtos da tecnologia. 

Isto é, configurações de privacidade não devem ser pensadas depois do projeto ou como acessório, mas estar no cerne do produto, assim como a segurança de passageiros está implícita no design de carros.

A metodologia Privacy by Design tem sete princípios:

  1. Ser proativo e não reativo: é a ideia de “prevenir em vez de remediar”; é antecipar-se em oferecer opções de privacidade ao usuário, em vez de deixar que elas ele tenha que descobri-las ou pior, preocupar-se com elas posteriormente.

  2. Privacidade por padrão: às vezes confundido com a própria metodologia, o princípio Privacy by Default (Privacidade por Padrão) é permitir que o usuário utilize um produto sem ter que se preocupar com as configurações de segurança, que já vêm setadas por padrão. Um exemplo é ao pedir acesso à localização pelo smartphone do usuário. Pelo princípio, a opção deve vir desligada por padrão, cabendo ao usuário ligá-la, se quiser.

  3. Privacidade incorporada ao projeto: a ideia já comentada de que a privacidade deve ser pensada desde a ideação do projeto e não após o produto estar nas mãos do usuário final.

  4. Funcionalidade total: apelidada de “soma positiva” (o contrário de “soma zero”), quer dizer que o usuário não deve ter acesso a áreas desprotegidas ou receber vantagens por optar por menos segurança.

  5. Segurança de ponta a ponta: tem a ver com o ciclo de vida da informação, ou seja, a privacidade deve ser garantida desde a captura de um dado até que ele seja excluído ou transferido a um terceiro. Requer políticas e infraestrutura de dados bem azeitadas para funcionar na prática.

  6. Visibilidade e transparência: esclarecer e orientar sempre ao usuário por que os dados estão sendo captados e para que e como serão utilizados.

  7. Respeito à privacidade do usuário: todo produto deve ser centrado no usuário e nos benefícios a ele e não em eventuais benefícios ao negócio que podem acabar por prejudicá-lo.

Privacy by Design segue a mesma lógica do User-Centric Design. Assim como neste último o imperativo é sempre pesquisar e entender o que usuários realmente necessitam ou desejam, evitando-se idear, projetar e desenvolver algo a partir da nossa cabeça (ou da dos decisores de negócio), no Privacy by Design deve-se levar a privacidade em conta desde a ideação de um produto e não como um adereço a ser acrescentado depois que a solução já está no mercado.

UXs podem incluir os princípios do Privacy by Design como um checklist em pesquisas com usuários e na prototipagem de soluções. Mesmo que o negócio não tenha uma política de dados madura ou descarte esses pontos, ao menos o designer fez seu papel de pensar na privacidade desde o início e de tentar educar outras pessoas para tal necessidade.

O Gestor de Produto também pode usar os pontos da metodologia como critérios de aceitação de um produto ou para educar o time de desenvolvimento ou de infraestrutura (ou devops) a observarem tais práticas em relação aos dados. Não porque seja um requisito técnico, mas sim um requisito do usuário que pode afetar seriamente o negócio.

Dados mínimos

Em vez de coletar dados à revelia e sem objetivos claros dos usuários — na justificativa furada de que, “um dia, quem sabe, o time de Ciência de Dados possa querer analisá-los para ver se encontra insights neles” —, a LGPD inverte a lógica: coletar apenas dados realmente necessários e consentidos pelo usuário, para tratamento já especificados.

Isso evita aqueles formulários cheios de campos desnecessários e ajuda, inclusive, na implementação e manutenção das bases de dados de empresas (engenheiros de dados e administradores de bancos de dados irão agradecer).

Pedir o tipo sanguíneo do usuário pode fazer sentido para um aplicativo de saúde ou de emergências, mas não parece fazer sentido algum para um e-commerce de decoração, não é?

Levar esse princípio a frente, como UXs e PMs, pode ajudar a conscientizar o negócio e o pessoal mais técnico sobre dados inúteis que, em muitos casos, apenas populam bancos de dados com lixo, os quais vão acabar esquecidos e nunca analisados por analistas e data scientists.

Transparência

Transparência é um fundamento de qualquer transação cooperativa e colaborativa. Vimos que ela é destacada como um princípio no Design Comportamental aplicado à tecnologia, segundo teóricos da área, assim como é um pilar da Democracia.

Em relação à LGPD, não é diferente: transparência é um de seus princípios. O titular dos dados, que, para UXs e PMs, é o usuário, deve ser informado e esclarecido sobre o que afeta a privacidade e segurança de seus dados pessoais e dados pessoais sensíveis em produtos e serviços digitais.

Não basta apenas inserir o irritante pop-up pedindo que o usuário concorde com o uso de cookies e esquecer que, no banco de dados, sem nenhuma proteção, consta a digital e as medidas da íris (dados biométricos) dele. 

Também não vale exibir o mesmo pop-up com um link para um Termo de Privacidade complexo para que, assinalando um único checkbox, dê a entender que ele aceita uma devassa em suas informações.

O objetivo é esclarecer ao usuário, de forma compreensível e honesta, o que pode acontecer se ele concordar ou não com uma opção. 

É claro que isso não visa impedir ou dificultar que se use dados do usuários para personalizar serviços a ele. Desde que a personalização seja benéfica ao usuário, não há problema. Até porque, em muitos casos, é a personalização de um produto que eleva sua atração e engajamento e o que o diferencia da concorrência.

Inclusive, há interpretações de que, feito de forma honesta e com transparência, o uso de dados para personalização contemple a hipótese de “legítimo interesse” do negócio (isto é, proporcionar benefícios ao usuário por meio do produto), o que pode livrar a empresa de dores de cabeça.

A UXs Researches, desde a fase de pesquisa com usuários, até UI Designers, no projeto de interface, e UX Writers (principalmente estes), na comunicação clara e honesta com os usuários, há um bocado de ações que podem ser tomada em relação à transparência da proteção de dados. 

Assim como uma mensagem agradável é usada em notificações, também pode ser usada para orientar o usuário quanto à sua segurança, sem depender de termos extensos ou juridiquês. Mesmo que o jurídico bata o pé, vale a discussão e a busca de soluções conjuntas.

Para PMs, transparência sobre a segurança de dados pode ser outro critério de aceite e uma diretriz para guiar resultados, até porque clientes mais esclarecidos tendem a ser mais engajados com o produto, o que, consequentemente, abre mais possibilidades de retornos ao negócio.

Opcionalidade

É importante que cada ação que implique em captura e uso de dados do usuário seja esclarecida e acordada especificamente e não em conjunto pelo usuário.

Por exemplo, ao pedir para ele concordar com os Termos do Serviço, não vale usar a mesma concordância para enviar e-mails promocionais a ele. Uma coisa é concordar com os Termos do Serviço. Outra coisa é querer receber e-mails promocionais. Ambos devem ser opções separadas.

Isso leva a escolhas granulares e específicas. Na prática, é dar ao usuário uma espécie de painel (não precisa ser tão complexo quanto o do Facebook ou do próprio smartphone) para que confira as configurações que estão ligadas ou desligadas e para que possa alterá-las.

Isso vale ao pedir acesso à câmera, ao microfone ou ao sistema de armazenamento do smartphone. Vale ao armazenar dados do usuário para transações, como o CPF. Vale também para dados sensíveis, como dados biométricos (em um aplicativo de saúde, digamos), ou que digam respeito a suas preferências religiosas, por exemplo.

UXs e UIs têm um bocado de trabalho (e, quem sabe, diversão) aqui, já que há muito a prototipar e testar com usuários. Cabe lembrar que muitas sutilezas ao oferecer opções “desonestas” a usuários (um simples “Concordo” super destacado com um “Não permito” em cinza #EEEEEE) podem beirar os Dark Patterns que vimos em Dilemas em Design Comportamental).

Aos PMs, cabe mais verificar e discutir para que o usuário tenha conhecimento e acesso às opções e negociar possíveis implicações que cada escolha do usuário pode gerar a objetivos da empresa ou às implementações técnicas.

Tratamento

Tratamento é um aspecto que pode ser muito mais importante para PMs do que a UXs. Tem a ver com o que é feito com os dados após captados e armazenados, o que requer conversas mais técnicas com time de desenvolvimento, devops, engenharia de dados e, se a empresa estiver madura, com governança de dados, compliance e similares.

Conhecer, mesmo que superficialmente, como os dados são processados, onde são processados (se em nuvem, por parte de uma empresa terceirizada, se podem servir para perfilamento e segmentação de clientes ou previsão de comportamento, por exemplo), pode ser importante para PMs adequarem a visão do produto para atender aspectos da LGPD ou para debelar incidentes à proteção de dados pessoais que exijam ajustes no produto. 

Caso o PM trabalhe em um produto de dados (seja um “Data Product Manager”), que utilize Machine Learning, o aspecto do tratamento pode ser ainda mais delicado e crucial, porque ele será executado de forma automatizada por algoritmos treinados com base em dados de usuários.

Eventuais exclusões de dados de usuários da base ou modificações de privacidade de determinados usuários, a pedido dos mesmos ou para adequações à lei posteriormente, podem impactar a performance de modelos de Machine Learning ou levar a vieses em previsões automatizadas. 

(Escrevemos sobre isso em “Como a LGPD afeta (e qualifica) a Ciência de Dados”, há algum tempo, na nossa Newsletter de Dados e Tecnologia, a quem interessar.)

Para UXs, observâncias em relação ao tratamento serão necessárias principalmente em pesquisas com usuários. Como os dados coletados em campo terão de ser analisados e gerar relatórios que podem passar por várias mãos, vale o cuidado de explicar como os próprios dados da pesquisa serão usados e pedir consentimento do usuário para utilizá-los.

Documentação

A LGPD obriga empresas a consolidar Relatórios de Impacto à Proteção de Dados, os quais devem descrever como os dados pessoais coletados pela empresa são tratados, além de apontar possíveis riscos e maneiras de mitigá-los, e garantir que a empresa está adequada à lei.

Embora startups, sob o mantra da agilidade, acabem dispensando documentação, algum registro de como soluções foram projetadas e implementadas quanto à captura e tratamento de dados pessoais pode ser de grande valia ao negócio na hora de prestar contas sobre a LGPD.

Aqui, tanto PMs quanto UXs, assim como os próprios devs e pessoal técnico, podem se envolver e colaborar para produzir documentação do que é feito. 

Não é algo necessário apenas à prestação de contas, mas interessante à própria evolução de produtos, que podem se tornar complexos, mantidos por diferentes times e pessoas ao longo do tempo, com legados que podem gerar dúvidas ou transtornos no futuro. Alguma forma de entender o que foi feito, como e por que, pode ajudar em momentos críticos.

Chamar jurídico e decisores

Na dúvida e na insegurança, como em relação a dados pessoais de crianças e adolescentes, por exemplo, muito mais delicados, cabe a PMs e UXs chamarem jurídico e decisores de negócio para sentarem à mesa, entenderem os problemas e discutir soluções em conjunto.

Apesar do cansaço com reuniões improdutivas, principalmente em tempos de pandemia, para questões como a LGPD cabe dedicar algum tempo e argumentação discutindo possíveis implicações ao produto e, consequentemente, ao negócio.

Mesmo algo implementado para fins de testes, mas que atinja usuários, por exemplo, pode embutir riscos ocultos que especialistas podem perceber e ajudar a mitigar.

Também vale a conversa com jurídico e decisores de negócio ao menos na tentativa de conscientizar a empresa e mostrar que PMs e UXs estão fazendo seu papel em relação a pensar nos usuários. Se negócio e jurídico não deram atenção aos pontos apresentados ou se, algum dia, a empresa sofrer consequências, não foi por falta de aviso, ao menos.

Governança e conscientização

Nem toda empresa tem uma governança de dados madura e plenamente estruturada. Isso ocorre não por falta de interesse ou intencionalmente, mas, muitas vezes, por falta de conhecimento e de esforço dedicado ao tema.

PMs e UXs podem ter um papel de evangelizar sobre a LGPD e de contribuir para que, no fim das contas, a empresa avance em sua governança de dados. 

Não é benéfico só ao time decisório, mas a técnicos que lidam com a infraestrutura de dados, ao suporte, marketing e, é claro, aos próprios clientes ou usuários.

Share

O momento de cada empresa

PMs e UXs têm alguns caminhos para ajudar no cumprimento e na conscientização sobre a LGPD em suas empresas. Mesmo assim, como uma ou algumas andorinhas não fazem verão, muito do cumprimento da LGPD depende da maturidade do negócio em relação à proteção de dados pessoais.

Um artigo — e relato de design — sobre a LGPD na RD Station, plataforma de automação de marketing (que conta com uma “Central de Proteção de Dados” relacionados ao marketing), elenca alguns momentos que empresas enfrentam em relação à lei:

  1. Ponto zero: a empresa que não tem nenhum conhecimento ou prática em relação à proteção de dados.

  2. Não sei: empresas que apenas ouviram falar superficialmente da LGPD.

  3. Não é comigo: empresas que já ouviram falar da lei e até se inteiraram a respeito, mas a vêem como algo distante, que talvez não se aplique a seu negócio e nunca irá impactá-lo.

  4. Descoberta: empresas que começaram a se preocupar e tomar iniciativas, mas nem sempre sabem por onde começar e se vêem desorientadas.

  5. Implementação: empresas que já estão com uma estratégia de proteção de dados, em que o jurídico já trabalha com outras áreas e onde há busca de melhorias.

  6. Revolução: a empresa que já tem política de privacidade e a realiza na prática, com diretrizes sobre toda a captura e tratamento de dados.

  7. Ajustes: empresas maduras e experientes em relação à proteção de dados e que procuram otimizações em suas políticas e processos de proteção de dados.

  8. Em conformidade: empresas que atendem a legislação e estão confortáveis; portanto, longe de incidentes e riscos legais.

Conhecendo uma empresa, não deve ser muito difícil diagnosticar em qual etapa ela está. Startups em estágio inicial, tentando validar um produto no mercado, certamente não terão uma estratégia e cultura de dados madura que permita uma conformidade ampla com a lei — embora, começar o negócio do jeito certo seja a melhor maneira de evitar débitos técnicos (e, nesse caso, jurídicos) depois.

Empresas tradicionais que passam por transformação digital talvez tenham mais dificuldades. Elas podem ter bases de dados grandes e legadas que dificultam manutenções a fim de atender a legislação. Podem ter processos e departamentos mais engessados quanto a uma cultura de proteção de dados. E uma estratégia de dados pode acabar mais como papelada do que algo adotado no dia a dia.

Por outro lado, startups que já cresceram e empresas que atuam em segmentos críticos do mercado, em que são cobradas por fornecedores e parceiros a se adequarem, podem estar em um estágio muito mais avançado, com manuais, treinamento e infraestrutura para atender a LGPD.

Cabe aos profissionais entenderem o momento da empresa em que atuam para saber como se colocar no cenário e como abordar o atendimento à lei. 

Provavelmente, não adiantará muito querer ser um evangelista da proteção de dados em um negócio iniciante, que mal sabe se irá validar seu produto no mercado e se terá caixa daqui a três meses. Também não é o caso de inventar a roda onde há diretrizes de proteção de dados já estruturadas e sendo seguidas.

De forma geral, porém, o que pesquisas mostram é ainda um conhecimento superficial e o comportamento de apagar incêndios em relação à lei, tanto por parte de empresas como por parte de clientes.

O que não se descarta é uma corrida crescente a tribunais por parte de pessoas que se sentirem desrespeitados em sua privacidade, principalmente no âmbito do Código de Defesa do Consumidor, a partir do momento em que advertências e sanções da ANPD (o órgão fiscalizador) começarem a ser aplicadas e divulgadas.

Considerações

Como sugerido na primeira parte do texto, algumas referências para se aprofundar na LGPD são:

Embora mais voltado para a publicidade personalizada, Parecer Jurídico produzido a pedido do IAB Brasil e tornado público recentemente contém uma boa interpretação da lei do ponto de vista das empresas. É útil não só a profissionais de marketing e publicidade, mas a quem trabalha com produtos.

Basicamente, a interpretação é de que empresas de publicidade podem se basear nas hipóteses de consentimento, execução de contrato ou legítimo interesse para tratamento de dados; que o legítimo interesse é a base mais apropriada (já que o objetivo é fornecer anúncios mais assertivos aos consumidores); e que o princípio pode ser aplicado desde que observadas as medidas de transparência, avaliação e relatório de impacto que a LGPD determina.

O artigo “Como a LGPD afeta (e qualifica) a Ciência de Dados”, em nossa Newsletter sobre Data Science e Tecnologia, pode ser interessante para entender algumas implicações da lei para Machine Learning em decisões e previsões automatizadas.

Algumas leituras adicionais que podem acrescentar pontos de vista são os seguintes artigos:

É bastante provável que veremos casos de incidentes de dados sendo divulgados na mídia e empresas sendo advertidas e até multadas nos próximos anos. Aos poucos, o próprio mercado cobrará de si mesmo adequações à lei e os negócios encontrarão o caminho das pedras. 

PMs e UXs conhecedores ou ao menos familiarizados com o marco legal e, de preferência, com experiência em aplicá-lo em seus produtos, serão necessários e relevantes em empresas e startups, talvez ao ponto do cuidado com a privacidade de dados se tornar uma habilidade “by default” a vários profissionais no futuro próximo.

Leave a comment

Artigo escrito por Rogério Kreidlow, jornalista, que gosta de observar a tecnologia em relação a temas amplos, como política, economia, história e filosofia.