/introdução
2018 foi um ano importante para a publicidade no Brasil. Houve mudanças no cenário político-econômico que afetaram profundamente os negócios, trouxeram novas discussões sobre o papel da mídia nas eleições e colocaram em evidência questões sociais na publicidade.
Do ponto de vista jurídico, este foi um dos anos mais importantes da última década, menos pelos acontecimentos em si e mais pelas perspectivas que geraram.
Mal começamos a entender os impactos da regulação de proteção de dados da União Europeia, e fomos encharcados por uma tempestade de notícias envolvendo vazamentos de dados e desconfiança de consumidores, seguida da sanção da lei geral brasileira e de recentes decisões na Europa e que podem impactar o mercado de publicidade online.
Quando falamos de tributação, as perspectivas também são de grande importância. A Agência Nacional de Cinema vem adiando sua intenção de tributar a publicidade audiovisual veiculada na internet, e o Estado do RJ está tentando ressuscitar o fantasma do ICMS na publicidade, por meio de uma ação de inconstitucionalidade no Supremo Tribunal Federal.
Em outras frentes, as perspectivas são interessantes. A publicidade infantil voltou a ser discutida no final deste ano com um decreto do presidente Michel Temer, e o CONAR julgou um número impressionante de casos envolvendo influenciadores digitais. Houve mudanças na interpretação das regras de promoções comerciais, e que pode inviabilizar uma centena de campanhas publicitárias nos próximos meses. Isso sem falar de discussões que foram embrionárias este ano, mas devem ganhar força em 2019, como o uso de blockchain na compra de mídia e a validade dos chamados cookie notices.
O cenário parece pessimista, mas contra todos os prospectos, as expectativas para 2019 são de expansão e crescimento do setor. E este é o grande desafio para operadores do Direito: investir tempo para conhecer o mercado, estudar profundamente as dificuldades regulatórias para, enfim, agregar um valor real para o ecossistema.
Enquanto as novas tecnologias se expandem rapidamente, a advocacia também precisa ser veloz em criar, modificar e aprimorar suas soluções, em especial para setores em que a inovação é parte de sua cultura. Trata-se, a nosso ver, da única forma de acompanhar as mudanças do ambiente e melhorar o diálogo entre o mercado e reguladores, buscando assim melhores condições de negócios para o mercado em 2019.
/a lei brasileira de proteção de dados: visão geral
Renato Leite Monteiro
No dia 14 de agosto de 2018, foi aprovada a Lei n. 13.709/18, consolidando-se assim como a Lei Geral de Proteção de Dados brasileira (LGPD). A LGPD cria toda um novo regramento para o uso de dados pessoais no Brasil, tanto no âmbito online quanto offline, nos setores privados e públicos.
Importante salientar que o país já dispunha de mais de 40 normas que, direta e indiretamente, tratavam da proteção à privacidade e aos dados pessoais. Todavia, a LGPD vem substituir, harmonizar e/ou complementar esse arcabouço regulatório setorial, que por vezes era conflituoso, pantanoso, trazia insegurança jurídica e tornava o país menos competitivo no contexto de uma sociedade cada vez mais movida a dados.
A LGPD tem aplicação transversal e multissetorial, nos setores públicos e privados, Estes são os principais pontos da nova lei:
- Escopo de aplicação: a LGPD de dados terá aplicação a todos os setores da economia, tanto no âmbito público quanto privado, online e offline. Com poucas exceções, toda e qualquer prática que se valer do uso de dados pessoais estará sujeita à lei.
- Aplicação extraterritorial: em moldes similares à regulamentação europeia, a GDPR, a Lei Geral terá aplicação extraterritorial, ou seja, o dever de conformidade superará os limites geográficos do país. Toda empresa estrangeira que, pelo menos, tiver filial no Brasil, ou oferecer serviços ao mercado nacional e coletar e tratar dados de pessoais naturais localizadas no país estará sujeita à nova lei.
- Conceito de dados pessoais: a LGPD traz um conceito amplo de dado pessoal, qual seja, informação relacionada à pessoa natural identificada ou identificável. Desta forma, qualquer dado, que isoladamente ou agregado a outro, possa permitir a identificação de uma pessoa natural, ou sujeitá-la a um determinado comportamento, será considerado dado pessoal, e o seu tratamento atrai a aplicação da lei.
- Conceito de dados pessoais sensíveis: dados pessoais sensíveis são aqueles que pela sua própria natureza podem sujeitar o seu titular a práticas discriminatórias, tais como dados sobre a origem racial ou étnica, a convicção religiosa, a opinião política, dado referente à saúde ou à vida sexual; ou permitir a sua identificação de forma inequívoca e persistente, tais como dado genético (este com ambas as facetas) ou biométrico. Tais dados devem ser tratados de forma diferenciada, com camadas de segurança adicionais, e com bases legais distintas, tais como o consentimento expresso do titular.
- Dados anonimizados: dados anonimizados são dados relativos a um titular que não possa ser mais identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Desta forma, estariam fora do escopo de aplicação da lei, à exceção se o processo de anonimização puder ser revertido ou se estes forem utilizados na formação de perfis comportamentais.
- Dados públicos: existem hoje grandes discussões sobre os limites no uso de dados pessoais publicamente acessíveis, tais como os constantes de bases geridas por órgãos públicos, publicações oficiais e cartórios, ou os expressamente tornados públicos pelos seus titulares, como em perfis públicos em redes sociais. A LGPD versa sobre tais situações, tratando-as de formas distintas, e impondo determinadas limitações, como o uso limitado às finalidades que ensejaram a publicização dos dados pessoais.
- Bases legais para o tratamento dos dados – consentimento e legítimo interesse: para se tratar dados pessoais, desde a sua coleta ao descarte, e praticamente tudo que for feito com o dado, sempre é necessário ter um fundamental legal. A LGPD enumera 10 hipóteses que autorizam o uso dos dados, sendo o consentimento apenas uma delas. Destaca-se a positivação da base legal conhecida como “legítimo interesse”, que permitirá o uso dos dados para finalidades além daquelas originalmente autorizadas pelos seus titulares ou as que ensejaram a sua criação.
- Direitos básicos dos titulares: os titulares dos dados pessoais tiveram seus direitos ampliados, e devem ser garantidos de forma acessível e eficaz. Dentre os direitos listados, destaca-se o de acesso aos dados, retificação, cancelamento ou exclusão, oposição ao tratamento, de informação,explicação sobre o uso dos dados, revisão de decisões automatizadas e portabilidade.
- Responsabilidade dos agentes de tratamento: os diferentes agentes envolvidos no tratamento de dados – o controlador e o operador – podem ser solidariamente responsabilizados por incidentes de segurança da informação e/ou o uso indevido e não autorizado dos dados, ou pela não conformidade com a lei. Todavia, a responsabilidade do operador, àquele que pratica o tratamento de dados em nome e a mando do controlador, pode ser limitada às suas obrigações contratuais e de segurança da informação, caso não viole as regras lhe impostas pela LGPD.
- Notificação obrigatória de incidentes: a notificação sobre a ocorrência de incidentes de segurança da informação para a Autoridade de Proteção de Dados passa a ser mandatória, e deve ser feita em prazo razoável, que pode, com base na gravidade do caso, determinar a notificação dos titulares envolvidos e também a ampla publicização do incidente.
- Data Protection Officer (DPO): o DPO foi traduzido pela LGPD como encarregado, e é a pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a Autoridade Nacional. Ademais, deve ser o responsável dentro da instituição pela supervisão do cumprimento das regras previstas na lei e orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.
- Relatório de impacto à privacidade – Data Protection Impact Assessment (DPIA): documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos aos direitos dos titulares, bem como medidas, salvaguardas e mecanismos de mitigação desses riscos. Esta poderá ser obrigatória em situações já caracterizadas como de risco ou, a pedido da Autoridade, quando o tratamento de dados for baseado no legítimo interesse. Tal metodologia tem sido empregada pelo mercado para auxiliar no processo de conformidade com a lei, pois permite ter uma fotografia do status de conformidade regulatória e mapear o que é necessário fazer para se ajustar.
- Códigos de Conduta e Certificação: a LGPD claramente incentiva a adoção de códigos de conduta setoriais e de certificações que possam garantir a observância das regras da norma. Determinados setores da sociedade podem criar seus próprios padrões de conduta no uso de dados, que podem até mesmo ser superiores à lei. Estes devem ser previamente autorizados pela Autoridade e conferir métodos que demonstrem o aferimento das condutas.
- Penalidades: entre as sanções, há possibilidade de aplicação de advertências, multas, ou até mesmo a proibição total ou parcial de atividades relacionadas ao tratamento de dados. As multas podem variar de entre 2% do faturamento da empresa, grupo ou conglomerado no Brasil no seu último exercício, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
E a Autoridade Nacional de Proteção de Dados?
Um dos pontos mais relevantes estabelecidos pela lei é a criação de uma autoridade pública autônoma e independente para a supervisão da aplicação de lei – no projeto, nomeada como Autoridade Nacional de Proteção de Dados – a ANPD. No entanto, a sua criação foi vetada pelo presidente Michel Temer, que argumentou a existência de um vício de constitucionalidade no texto original.
A criação da Autoridade é uma demanda da maior parte do mercado e sociedade civil. Espera-se que, nos próximos meses, um novo projeto de lei (ou mesmo medida provisória) possa instituir esse órgão. Seu real formato ainda não foi definido, mas deve funcionar nos moldes similares a uma agência reguladora, ou órgãos de fiscalização, como o CADE.
A Autoridade poderá estabelecer diretrizes para a promoção da proteção de dados pessoais no Brasil. Em resumo, esta deverá zelar pela proteção dos dados pessoais, elaborar a “Política Nacional de Proteção de Dados e da Privacidade”, como definida pela lei, fiscalizar e aplicar sanções em caso de violação às leis pertinentes, atender petições de titulares de dados contra os responsáveis pelo seu tratamento, regulamentar a matérias sobre proteção de dados, entre outras atividades.
Conclusão
A LGPD terá um impacto na sociedade como poucas leis antes tiveram, uma vez que, hoje, praticamente toda e qualquer prática se vale do uso de dados pessoais. Empresas de todos os setores terão que se adaptar e uma nova cultura sobre o uso adequado de dados deverá ser formada, algo de difícil atingimento levando em consideração que o Brasil, diferente de outras regiões do mundo, principalmente da Europa, ainda está na sua infância com relação a esse tema.
Nesse sentido, a proteção de dados pessoais e segurança da informação devem, e podem, ser encaradas não como um custo, mas sim como uma vantagem competitiva, um diferencial de mercado. Em uma época de grandes vazamentos de informações e escândalos quanto ao uso indevido de dados, se adequar às regras claras, transparentes e harmônicas pode restaurar ou aumentar a confiança do consumidor nas empresas e no mercado. Portanto, empresas precisam se adequar às regras de hoje e compreender que se antever à futura regulamentação é um investimento e uma vantagem competitiva.
Artigo adaptado do original, publicado no Portal Jota em 14 de julho de 2018.
/impactos recentes da GDPR para adtechs: o caso Vectaury
Ana Paula Varize Silveira
Maria Cecília Oliveira Gomes
Pedro Henrique Soares Ramos
O regulamento geral de proteção de dados da União Europeia, conhecido pela sigla “GDPR”, entrou em vigor em 25 de maio deste ano e, conforme esperado, já vem causando grande impacto para os negócios de publicidade interativa não só na Europa, mas em todo mundo. Todavia, recentemente, uma decisão chamou bastante atenção pelo seu possível impacto a centenas de empresas do setor: a decisão da CNIL (em uma tradução livre, Comissão Nacional de Internet e Liberdade), a Data Protection Authority (DPA) da França, sobre o caso da empresa Vectaury, e que afeta diretamente o chamado mercado de adtechs.
o que é a decisão da CNIL?
De acordo com a decisão, a CNIL entende que duas atividades praticadas pela Vectaury têm sido realizadas de forma irregular, ambas baseadas na coleta de dados pessoais de geolocalização. No primeiro caso, a Vectaury identificava “pontos de interesse”, os quais consistem em coordenadas geográficas associadas a perfis de consumidores. Estes pontos de interesse são, então, cruzados com dados obtidos pela Vectaury a partir do acesso a bases de empresas parceiras, via SDK, que os coletam a partir de aplicativos de dispositivos móveis. Como resultado desse enriquecimento, eram obtidas segmentações de audiência.
No segundo caso, os dados eram coletados também por empresas parceiras, a partir dos leilões de mídia programática (real-time bidding). A Vectaury realizava, então, o tratamento destes dados com a finalidade de verificar se um usuário visitou um ponto de venda influenciado por determinado anúncio.
A CNIL analisou na decisão a legitimidade do tratamento dos dados pessoais coletados (para a GDPR, dados geolocacionais, cookies, tags e outros identificados únicos eletrônicos são considerados dados pessoais), ou seja, se havia uma base legal adequada. Neste caso, foi analisada a forma como se deu a obtenção do consentimento para realização dos tratamentos de dados acima descritos. Na opinião da CNIL, em nenhum destes casos o consentimento era obtido de acordo com o que estabelece o artigo 7º da GDPR, ou seja, de modo informado, específico e inequívoco. Isto porque a empresa atuava no segmento de B2B (Business to Business), e não de B2C (Business to Consumer) e, por esse motivo, não tinha contato direto com os titulares dos dados. Assim, para obter o consentimento para o tratamento, a Vectaury buscou soluções que, segundo a CNIL, não caracterizariam obtenção de base legal válida.
No caso dos dados obtidos via SDK, a Vectaury buscava obter o consentimento a partir dos aplicativos de empresas parceiras. Ao abrir o aplicativo pela primeira vez, o titular se deparava com um texto informativo sobre como se daria a coleta e tratamento de seus dados. Após a leitura, havia três opções de seleção: “aceitar”, “recusar” e “refinar as preferências”. Esta última opção, quando selecionada, dava acesso a duas listas, uma na qual constavam as finalidades de tratamento de dados pessoais e a outra, na qual eram indicados os controladores que realizariam o tratamento dos dados pessoais coletados. Ambas estavam pré-selecionadas e o usuário deveria, então, desmarcar as opções com as quais não estava de acordo.
O fato de a opção “refinar as preferências” apresentar novas informações, as quais não seriam visualizadas pelo usuário que clicasse em “aceitar”, levou a CNIL a entender que o consentimento dado não era informado. Além disso, as pré-seleções da opção “refinar preferências” não consistiam em uma expressão do consentimento através de uma ação positiva do usuário. Pelo contrário, a ação positiva é requerida nos casos em que o usuário não desejava dar seu consentimento (precisando, para tanto, retirar a seleção das finalidades e controladores de tratamento de dados pessoais).
Quanto aos dados obtidos através do real-time bidding, a adtech estabelecia em seus contratos com as empresas parceiras que estas deveriam obter o consentimento dos titulares dos dados. Ou seja, transferia a responsabilidade da obtenção da base legal. A CNIL, nesse sentido, apontou que a Vectaury deve obter o consentimento diretamente, não podendo delegar esta obrigação a terceiros.
Por fim, vale destacar que a decisão não possui caráter de sanção, mas estabelece que a adtech deverá tomar três medidas, no prazo de três meses: (i) deixar de processar os dados já coletados sem consentimento; (ii) apagar estes dados; e (iii) provar que corrigiu as falhas de obtenção de base legal para coleta e tratamento de dados pessoais, demonstrando que adequou suas atividades ao que estabelece a GDPR.
Caso a Vectaury não cumpra com estas determinações, a CNIL, após o decurso deste prazo, poderá aplicar as sanções previstas no artigo 45 do regulamento da CNIL, quais sejam, multa e/ou ordem para interromper o processamento de dados pessoais. Este mesmo artigo prevê, ainda, que a Vectaury possui direito de defesa e poderá responder a notificação.
quais as repercussões trazidas por essa decisão?
Essa decisão teve relevante repercussão no setor de mídia interativa, tendo em vista que a CNIL fez referência direta às políticas do IAB’s Transparency Consent Framework (TCF). Por esse motivo, o IAB Europa lançou uma nota sobre a decisão, apontando para o fato de que, ainda que a Vectaury tenha afirmado observar o TCF, a empresa estava em desacordo com a maior parte dessas recomendações.
Outro ponto importante da decisão versa sobre a transferência de responsabilidade, para empresas parceiras, da obtenção do consentimento. Esse é um ponto em que é necessária uma reflexão séria e cautelosa. Ao mesmo tempo em que se reconheça as falhas desse tipo de contratualização de responsabilidades e que melhores controles e transparência para o usuário são necessários, uma visão obtusa pode ignorar todo o funcionamento do mercado de tecnologia e da cadeia de valor do meio, e que pode trazer importantes benefícios aos consumidores. Logo, futuras decisões tendam a restringir práticas contratuais precisam ser cuidadosamente analisadas, visando evitar efeitos sistêmicos para o mercado.
E como esse episódio pode influenciar o mercado brasileiro? As empresas brasileiras que atuam tratando dados pessoais de titulares que se encontram em território da UE devem ficar atentas e buscar se adequar ao regulamento o mais rápido possível, uma vez que ele já está em vigor e, nesse sentido, devem buscar obter uma base legal válida para realizar o tratamento de dados pessoais.
Todavia, não é possível prever, por enquanto, todos os impactos que esta decisão pode trazer diretamente ao Brasil, em grande parte, porque ainda não tivemos a criação de uma Autoridade Nacional de Proteção de Dados para regular o assunto. Ainda que a LGPD tenha sido influenciada pela GDPR, não é possível ter certeza sobre como este assunto será internalizado no Brasil da mesma forma. Neste ponto importante enfatizar que a lei brasileira, em muitos pontos, pode ser considerada bem diferente da GDPR. Desta forma, nem todas as interpretações aplicáveis ao contexto europeu deverão ser imediatamente tropicalizadas. Por outro lado, é saber possível desde já que é necessário contratar com empresas que demonstram estar cientes e maduras no contexto de proteção de dados e levar a sério a identificação, mapeamento e registro interno, dentro das próprias empresas, das bases legais adequadas ao contexto, a fim de justificar a coleta e tratamento daquela informação.
De todo modo, trata-se de decisão importante e que tem mobilizado o mercado de adtechs no geral, tendo em vista que questiona o modelo de real-time bidding, bem como o CTF criado pelo IAB Europa, referência no mercado de mídia interativa. O posicionamento mais conservador da CNIL, entretanto, não será necessariamente observado por todas as DPAs da EU. Cabe ao mercado, por enquanto, seguir observando como estes agentes vem contribuindo para a interpretação da GDPR e das demais leis de proteção de dados.
/cookie notice: o que é e por que é importante?
Maria Cecília Oliveira Gomes
Desde que a GDPR “General Data Protection Regulation” entrou em vigor no dia 25 de maio de 2018, se tornou comum sites do mundo inteiro começarem a disponibilizar um “cookie notice” em suas páginas. Você já deve ter reparado naquele banner que fica fixo na tela indicando que o site está coletando cookies, certo?
Eles até podem passar despercebidos quando você simplesmente aceita as condições ou clica em fechar, mas eu te convido a refletir sobre três pontos: (i) O que são cookies?; (ii) Por que eles podem ser classificados como dados pessoais?; e (iii) O que as plataformas podem fazer para utilizar cookies em conformidade tanto com a GDPR, quanto com a Lei Geral de Proteção de Dados brasileira (LGPD)?
First of all! Cookies, o que é isso?
“Cookies” são identificadores que podem ser gerados ou coletados a partir do navegador ou dispositivo que você usa, a fim de disponibilizar uma página para você acessar ou ainda identificar o seu perfil de navegação.
Em resumo, os cookies podem ser utilizados para diversas finalidades, as quais para fins de análise neste ensaio, vamos categorizá-las em: (i) “cookies operacionais, essenciais ou estritamente necessários”, utilizados para poder tornar aquela página visível para o usuário, de acordo com o sistema operacional do dispositivo conectado por exemplo: se você usa Android ou iOS muito provavelmente a resolução da “tela” seguirá especificações de cada um desses sistema operacionais; (ii) “cookies de análise ou analytics”, usados para medir audiência da página ou gerar estatísticas; ou, ainda (iii) “cookies de marketing”, utilizados para impactar audiência através de publicidade direcionada.
Por que os cookies podem ser classificados como dados pessoais?
Dados pessoais são informações relacionadas a uma pessoa natural que podem torná-la identificável ou identificada (art. 5, I da LGPD e 4(1) da GDPR). Neste ponto, é importante entender duas coisas: tanto a LGPD quanto a GDPR seguiram uma linha de interpretação expansionista em relação ao conceito de dado pessoal. De acordo com a teoria expansionista, dados pessoais são um conjunto de informações que quando reunidos podem individualizar alguém. Por exemplo, um cookie, que por meio de dados de navegação permite inferir perfis comportamentais (gostar de viagens), quando associado a outros dados, como um CPF, podem tornar uma pessoa identificável.
Por isso o vocábulo “identificável” e não apenas “identificada” que prescreve a definição de dado pessoal.
Achou complicado? Saiba que isso já foi tema de longos debates na União Europeia. Tanto que na Directive 95/46/EC e na Convenção 108+ do Conselho da Europa, não havia uma menção expressa reconhecendo o cookie como dado pessoal ou a indicação da necessidade da utilização de uma base legal antes da coleta deste tipo de informação. Contudo, após a aprovação da ePrivacy Directive e o endereçamento expresso desse assunto em uma emenda em 2009 (art. 5(3)), que ficou mais conhecida como “Cookie Law”, esse foi o entendimento consolidado pelas Autoridades Nacionais de Proteção de Dados dos países membros da UE, no caso, as DPA’s (Data Protection Authorities) e pelo grupo de trabalho formado por essas Autoridades, o Working Party 29.
A GDPR não tem uma menção expressa sobre o tema, mas contém fontes interpretativas da lei sobre dado pessoal e de bases legais que demonstram que deve haver o uso de uma das suas seis hipóteses para o tratamento de uma informação associada ao navegador, p. ex., cookies – identificadores online, artigo 4(1). Considerando que a LGPD seguiu a linha interpretativa da GDPR (que também foi influenciada pelo ePrivacy Directive), cookie no Brasil também tende a ser considerado dado pessoal, ainda mais mediante uma análise sistemática do Decreto Regulamentador do Marco Civil da Internet que exemplifica identificadores eletrônicos como exemplo de dado pessoal (artigo 14, I, Decreto n° 8.711/2016). Ao fim e ao cabo, o processamento de dados de navegação, através de cookies, deve ter lastro em uma base legal de uma lei de proteção de dados.
Cookies e suas prováveis bases legais: consentimento e legítimo interesse
Primeiro, bases legais são as hipóteses utilizadas para um tratamento válido de dados pessoais. A coleta é uma das várias atividades de tratamento de dados, assim como, o armazenamento, acesso, comunicação, transferência, etc. Portanto, para legitimar um tratamento adequado dos dados é necessário o lastro de uma base legal adequada. Importante ressaltar, que o processamento de dados pessoais não está associado ao uso de uma única hipótese legal, você – entidade pública ou privada – pode se valer de uma ou mais bases para o processamento de dados para uma ou mais finalidades.
Em ambas as leis, existe a indicação de que é necessária uma base legal para o tratamento de dados. O rol de bases legais é taxativo, portanto, é necessário se valer de uma das opções disponíveis para legitimar qualquer tratamento. Em contrapartida, a ePrivacy Directive somente associa os cookies à base legal do consentimento, e abre exceção do uso dessa hipótese para os cookies estritamente necessários.
Considerando isso, vamos ao que interessa: qual é, enfim, a base legal adequada para o tratamento de dados pessoais através de cookies?
- i) cookies estritamente necessários
Conforme vimos, para os cookies estritamente necessários não é necessário se valer da base legal do consentimento, e excluída esta, à luz da GDPR e da LGPD é necessário encontrar uma outra para fazer o tratamento deles. Nesse caso, qual seria? Dentro do rol existente a base legal que mais tende a ser utilizada é a do legítimo interesse. Mesmo existindo um conflito interpretativo na comunidade europeia, sobre cookies e legítimo interesse, o que nos levaria a uma interessante discussão acadêmica, à nível Brasil essa nos parece ser a hipótese mais adequada.
O legítimo interesse é uma das 10 bases legais disponíveis na LGPD e uma das 06 bases da GDPR, e é utilizado para avaliar e balancear as expectativas dos titulares de dados, quanto a um produto ou serviço, com os interesses dos agentes de tratamento no fornecimento desses. Para ter certeza de que é possível se valer dessa base, deve-se aplicar o teste de proporcionalidade (ou balanceamento) (art. 10, § 2º da LGPD) e assegurar que não haja violação de direitos e garantias individuais do titular.
- ii) cookies de análise e de marketing
Por outro lado, no caso de cookies de análise e de marketing, que citei como exemplo, a base legal tende a ser a do consentimento. E aqui friso o “tende a ser”, porque para fins de marketing direto você pode se apoiar na base do legítimo interesse, contudo, para fins de marketing indireto, dependendo da cadeia de dados que está envolvida, será difícil o exercício de classificar o uso desses cookies como dentro das legítimas expectativas do titular, assim como, inseri-lo em outras das bases legais disponíveis. Isto é verificado principalmente no direcionamento da publicidade se dar através de uma rede de publicidade comportamental cujos seus membros são muitas vezes invisíveis para o usuário (marketing indireto ou targeting marketing). Ou seja, há um conjunto de variáveis nas diferentes técnicas e metodologias de monitoramento de navegação e direcionamento de publicidade que complexificam o exercício de escolha da base legal mais apropriada (consentimento ou legítimo interesse).
Entender que cookies são dados pessoais e endereçar o cookie notice de forma mais completa é algo saudável para o ambiente online, uma vez que agrega mais transparência para o ecossistema como um todo. Dessa forma, é importante que esse assunto seja cada vez mais compreendido e endereçado de maneira correta por todos os agentes desta cadeia de tratamento de dados. Vamos começar?
Artigo adaptado do original, publicado no Portal Jota em 23 de novembro de 2018.
/ tributação da veiculação de publicidade: comentários
sobre a ADIN 6034
Andressa Bizutti de Andrade
O Estado do Rio de Janeiro, em 17 de outubro de 2018, apresentou perante o Supremo Tribunal Federal uma Ação Direta de Inconstitucionalidade (“ADIN”) requerendo a declaração de inconstitucionalidade do item 17.25 da lista anexa à Lei Complementar n° 116, de 31 de julho de 2003, que foi incluído pela Lei Complementar n° 157 (“LC 157”), de 29 de dezembro de 2016.
O referido trata da veiculação de publicidade, da seguinte forma:
17.25 – Inserção de textos, desenhos e outros materiais de propaganda e publicidade, em qualquer meio (exceto em livros, jornais, periódicos e nas modalidades de serviços de radiodifusão sonora e de sons e imagens de recepção livre e gratuita).
Em outras palavras, o item 17.25 prevê que serviços de inserção de propaganda e publicidade em qualquer meio, salvo as exceções previstas, é um serviço e, uma vez prestado, deve ser recolhido o Imposto Sobre Serviços de Qualquer Natureza (“ISS”). Tal item vale também para a inserção de propaganda e publicidade na internet.
Ao definir esse assunto em Lei Complementar, foi dado um passo importante em relação a um longo debate sobre se inserção (veiculação) de publicidade e propaganda é um serviço de qualquer natureza ou um serviço de comunicação, discussão que, antes da Lei Complementar, já havia sido alvo de discussões administrativas junto ao fisco em diversos Estados.
Essa diferenciação é importante. Quando há a configuração de um serviço de qualquer natureza, deve-se pagar ISS ao munícipio; já quando existe um serviço de comunicação, paga-se o ICMS-Comunicação, devido ao estado. Além da entidade federativa a quem o tributo é recolhido, há uma importante diferença de alíquota. Por exemplo, nas cidades de São Paulo e do Rio de Janeiro, o valor da alíquota do ISS para inserção de publicidade é de 2,9% e 3%, respectivamente. Já em relação ao ICMS-Comunicação, a alíquota é de 25% para o Estado de São Paulo e 28% para o Estado do Rio de Janeiro.
Tratava-se de uma discussão tida como sedimentada a partir de 2017. Durante décadas, Estados tentaram defender que a veiculação de publicidade é um serviço de comunicação, equiparando-o a atividades como a de provimento de acesso à internet e telefonia. Por outro lado, empresas e associações argumentaram que essa interpretação seria absurda, visto que a publicidade não é o meio de comunicação em si (este sim tributado pelo ICMS-Comunicação), mas simplesmente a mensagem que trafega por aquele meio, acrescentando-lhe novas utilidades.
A discussão perdeu força a partir da Lei Complementar, mas alguns Estados ainda buscam questionar sua validade. Nesse sentido, o Estado de Rio de Janeiro apresentou a ADIN argumentando que serviços de inserção de propaganda e publicidade são serviços de comunicação e, logo, o item 17.25 seria inconstitucional, uma vez que a Constituição Federal prevê que ao se prestar serviços de comunicação, deve-se pagar ICMS e não ISS (Art. 155, II da Constituição Federal).
Além do pedido de declaração de inconstitucionalidade, o Estado do Rio de Janeiro também requereu, entre outros pontos, deferimento de medida cautelar para suspender a eficácia do item 17.25 até o julgamento definitivo da ADIN, bem como que, caso não seja acolhido o pedido de inconstitucionalidade, seja declarada a constitucionalidade da incidência de ICMS sobre a veiculação de publicidade, no período anterior à entrada em vigor da LC 157/2016. Neste momento, a ação está no STF sob relatoria do Ministro Luiz Fux, que solicitou manifestações do Presidente da República, do Congresso Nacional, da Advocacia-Geral da União e a Procuradora-Geral da República.
Se declarado inconstitucional, o Estado do Rio de Janeiro – bem como qualquer outro estado da federação – poderá cobrar ICMS-Comunicação para veiculação de publicidade e propaganda que ocorra, por exemplo, na internet, o que poderia significar um retrocesso e impacto enorme para o setor.
Pela grande diferença nas alíquotas do ISS e ICMS, bem como por, eventualmente, poder atingir a segurança jurídica gerada ao mercado pelo item 17.25 da LC 157, este é um assunto bastante relevante ao setor de publicidade e pode afetar consideravelmente sua forma de remuneração.
/ promoções comerciais: o que mudou com as novas regulamentações do Ministério da Fazenda
Mariana Donnangelo
No final de setembro deste ano, a Secretaria de Acompanhamento Fiscal, Energia e Loteria (“SEFEL”) do Ministério da Fazenda (antiga SEAE) publicou a Nota Informativa SEI nº 11/2018/COGPS/SUFIL/SEFEL-MF (“Nota Informativa”) com a finalidade de esclarecer e unificar entendimentos sobre as chamadas operações de distribuição gratuita de prêmios na modalidade comumente conhecida pelo mercado como “comprou-ganhou e operações do gênero”.
A citada Nota Informativa cria a necessidade de obtenção de prévia autorização para alguns tipos de promoções “comprou-ganhou” que antes eram isentas de tal obrigação.
De acordo com os argumentos utilizados pela SEFEL na Nota Informativa, a distribuição gratuita de prêmios no formato “comprou-ganhou” tem se apresentado com características que não correspondem apenas ao consumidor comprar e ganhar, mas na forma de promoção comercial em que há necessidade de autorização prévia, e por esta razão, decidiu por esclarecer os limites desta modalidade de promoção e a necessidade de aprovação prévia do governo no caso de ações que, entre outras hipóteses, “estabeleçam qualquer outro critério de participação, além da compra dos produtos ou serviços da promotora”.
Assim, a SEFEL criou uma lista não exaustiva de hipóteses em que se a promoção “comprou-ganhou” se enquadrar, a instituição promotora terá que solicitar a autorização previamente à autoridade responsável, algo que não ocorria antes. Segundo a Nota Informativa, as promoções no formato “comprou-ganhou” que tiverem pelo menos uma das características abaixo estarão sujeitas à autorização prévia:
I – que preveja a distribuição gratuita de prêmios com limitação ao estoque;
II – que preveja premiação aos primeiros que cumprirem o critério de participação;
III – que preveja quantidade fixa de prêmios;
IV – que estabeleça qualquer outro critério de participação, além da compra dos produtos ou serviços da promotora;
V – que seja realizada concomitantemente com promoção comercial autorizada;
VI – que seja realizada por mais de uma empresa, com benefício em detrimento de outras;
VII – que condicione a entrega do prêmio a alguma modalidade de álea ou pagamento pelos participantes, além da compra dos produtos ou serviços da promotora;
Entretanto, a necessidade de pedido de autorização para a realização de promoção comercial que se enquadre em uma das características acima listadas, é bastante questionável, principalmente pelo fato de não estar prevista em nenhuma Lei, Decreto ou Portaria emitida pelo MF ou por suas secretarias.
A Nota Informativa, dessa forma, ao invés de esclarecer um entendimento já presente em lei, cria novas regulamentações, causando insegurança jurídica e a possibilidade de impactos negativos para todo o mercado, pois cria uma proibição que, a nosso ver, não parece estar prevista em lei, além de ter sido emitida por meio de instrumento não adequado.
Ainda neste ano, no dia 13 de dezembro, o foi promulgada e entrou em vigor a Lei nº 13.756/2018 que dispõe sobre o Fundo Nacional de Segurança Pública, sobre a destinação do produto da arrecadação das loterias, bem como sobre a promoção comercial e a modalidade lotérica denominadas apostas de quota fixa, entre outras alterações.
No que diz respeito à promoção comercial, a Lei transferiu para o Ministério da Fazenda a responsabilidade sobre a análise dos pedidos de autorização, a emissão das autorizações e a fiscalização das operações relacionadas a distribuição gratuita de prêmios. Até então, a Caixa Econômica Federal era o órgão responsável por estas atribuições em conjunto com a SEFEL, esta última para promoções envolvendo instituição financeira.
Assim, a partir do dia 13 de dezembro de 2018, de acordo com a nova Lei, os pedidos de autorização que estiverem em tramitação na Caixa Econômica Federal deverão ser repassados ao Ministério da Fazenda.
Por fim, a Lei ainda atualizou o valor da taxa de fiscalização prevista no art. 50 da Medida Provisória nº 2.158-35/2001. Os novos valores podem ser encontrados no Anexo da Lei.
As penalidades em caso de descumprimento do novo entendimento previsto na Nota Informativa, bem como pelo descumprimento da Lei nº 13.756/2018, segundo o artigo 12 da Lei nº 5.768/1971 podem variar de multa de até 100% (cem por cento) da soma dos valores dos bens prometidos como prêmios até a proibição de realizar tais operações durante o prazo de até 2 (dois) anos.
Assim, entendemos que é importante estar atento a essa mudança e a futuros posicionamentos do Ministério da Fazenda visando preservar a legalidade da realização de promoções comerciais e campanhas que possam trazer benefícios reais aos consumidores sem violar os princípios de defesa do consumidor previstos em nossa legislação.
/ publicidade infantil: o decreto 9.579/18 mudou algo?
Mariana Donnangelo
Recentemente foi publicado o Decreto nº 9.579/18, com regulamentação da temática de lactente, criança, adolescente e do aprendiz. Um dos temas tratados no Decreto é a publicidade direcionada a crianças. Ao regular sobre a publicidade voltada ao público infantil, o Decreto apenas repetiu a disposição do Código de Defesa do Consumidor a respeito do que se entende por publicidade abusiva (Artigo 36, § 2o, CDC), afirmando que a publicidade é considerada abusiva à criança quando se aproveitar da sua deficiência de julgamento ou inexperiência, que incentivar a violência, explorar o medo ou a superstição, desrespeitar valores ambientais, ou que ser capaz de induzir a criança a se comportar de forma prejudicial ou perigosa à sua saúde ou segurança.
Assim como o Código de Defesa do Consumidor, o Decreto não define a genérica expressão “se aproveitar da deficiência de julgamento e experiência da criança”, permitindo uma interpretação mais próxima de uma forma de limitação do conteúdo do que uma proibição concreta. Também é importante pontuar que não são apresentados elementos específicos que possam caracterizar esse aproveitamento indevido, papel que o Conselho Nacional de Autorregulamentação Publicitária (Conar) se propôs a preencher tratando do tema em uma seção específica voltada a publicidade para crianças e adolescentes.
O Decreto reforça, a nosso ver, os direcionamentos de publicidade previstos na legislação, bem como na autorregulamentação publicitária do Conar, ou seja, de que não haveria vedação legal para toda e qualquer publicidade infantil, mas apenas aquelas que se enquadrem na definição de publicidade abusiva. Entretanto, a regulamentação da publicidade infantil no Brasil é tema de recorrente discussão, principalmente em razão do posicionamento de entidades como o Instituto Alana quanto a sua proibição, baseando seu argumento na Resolução nº 163/2014 editada pelo Conselho Nacional dos Direitos da Criança e do Adolescente (Conanda), e que entende ser abusiva o direcionamento de toda e qualquer publicidade e de comunicação mercadológica à criança e ao adolescente.
Entretanto, há argumentos para defender que o Conanda não é um órgão competente para legislar sobre a matéria, uma vez que a Constituição determina em seu art. 22 que a competência para legislar sobre propaganda comercial é privativa da União. Ainda, consoante ao argumento da falta de competência, a Constituição determina que somente por lei federal poderão ser estabelecidas restrições à veiculação de publicidade, não podendo os entes públicos instituí-las sem respaldo legal.
A discussão aumenta em razão de outras entidades se posicionarem de maneira contrária a este entendimento, defendendo a ampla aplicação das diversas regras e medidas específicas do Código do Conar para resguardar as crianças e adolescentes de publicidade que não estejam adequadas a este público respeitando suas peculiaridades de individuo em desenvolvimento.
/ o CONAR e as campanhas com influenciadores digitais
Rafaela Sobrinho Marcondes
Pedro Henrique Soares Ramos
Os influenciadores digitais tornaram-se muito importantes para as marcas como um meio de divulgação de seus produtos ou serviços, o que passou a ser conhecido como uma estratégia de “marketing de influência”. Segundo dados do IAB em 2016, 63% das marcas passaram a adotar tal estratégia, e constatou-se que 20% dos consumidores estavam dispostos a pagar mais por um produto endossado por esses profissionais. Ainda, verificou-se que, naquele ano, essa já era a terceira estratégia que mais impulsionava vendas na internet, correspondendo a 31% do mercado, perdendo apenas para os sites de compras (56%) e para os sites oficiais das marcas (36%).
Ainda que não haja número mais atualizados para 2018, essa tendência certamente cresceu de forma ainda mais exponencial. Além disso, trouxe mais preocupações relacionados com a ética e legalidade das campanhas publicitárias realizadas por meio desses profissionais.
A contratação de influenciadores envolve, em especial, questões relativas ao direito do consumidor, reguladas pelo Código de Defesa do Consumidor e também pelo Código Brasileiro de Autorregulamentação Publicitária – CONAR, cujo órgão julgador traz insights importante sobre os cuidados relacionados com essas campanhas.
Ao analisar o período entre outubro de 2017 e setembro de 2018, o CONAR julgou 51 casos envolvendo a contratação de influenciadores digitais, o que representa 17,1% de todos os casos julgados pelo órgão neste período. É mais que o dobro dos casos julgados no período do ano anterior (23), com um aumento enorme da representatividade desses casos em relação ao total julgado (6,6%).
Dentre os casos envolvendo influenciadores digitais, 35 deles, equivalente a 68,6% do total, se deram em razão de influenciadores divulgarem o produto em suas redes sociais e não deixarem claro a natureza publicitária da divulgação, podendo levar o consumidor ao entendimento de que se trata de opinião pessoal deles.
O CONAR considera tal prática como publicidade enganosa, uma vez que, sem a identificação da postagem como publicitária, pode induzir o consumidor a erro, fazendo-o pensar que se trata de opinião pessoal do influenciador, quando, na verdade, se trata de publicidade paga, contrariando, portanto, o art. 6º, IV, do Código de Defesa do Consumidor e o art. 27, parágrafo 2º, do CONAR, que vedam a publicidade enganosa. Ainda, a não identificação da postagem como publicitária é contrária ao art. 31 do CDC e ao art. 9º, caput e parágrafo 1º, do CONAR, que pregam que os anúncios publicitários devem ser ostensivos.
Assim, em todos os casos, o CONAR determinou a alteração do anúncio original e, na maior parte deles, advertência ao influenciador e ao anunciante.
Este cenário deve permanecer no ano de 2019, inclusive em maior quantidade, visto que os influenciadores assumem um papel cada vez mais importante na publicidade e, em consequência disso, provavelmente crescerá o número de casos envolvendo estes personagens da era digital.
É muito importante, assim, que as agências de publicidade e os anunciantes se preocupem em garantir que o influenciador, ao divulgar produtos ou serviços da marca, deixem claro a natureza publicitária da divulgação, utilizando, por exemplo, hashtags e ferramentas disponibilizadas pela própria plataforma, para não infringir os direitos dos consumidores e evitar que o caso seja levado ao CONAR.
A contratação de influenciadores digitais, além das questões acima levantadas, envolve aspectos trabalhistas, contratuais e tributários, além de questões concernentes às políticas de publicidade e termos de uso. Todas estas informações estão detalhadas no nosso manual jurídico de influenciadores digitais, disponível no site www.baptistaluz.com.br
/ blockchain: uma nova tendência no mercado de publicidade digital?
Ana Paula Varize Silveira
Nos últimos anos, a blockchain tem apresentado papel importante na inovação de práticas do mercado. Como já se sabe, essa tecnologia permite a transferência de ativos digitais em uma rede peer-to-peer descentralizada, através de protocolos de autenticação, sem a necessidade de um terceiro para validar a transação, garantindo que essa se dê de forma segura.
Apesar de a aplicação mais conhecida da blockchain se dar no mercado financeiro, viabilizando a transação dos mais variados tipos de criptomoedas, pode ser também usada em outros modelos de negócio: em contratos inteligentes, em aplicativos, tais como o Spotify, e mais recentemente, vem sendo utilizada na cadeia de publicidade digital. Deve-se reconhecer que essa tecnologia pode trazer contribuições positivas ao mercado de marketing, mas alguns desafios devem ser também observados.
Mas de que forma a blockchain aprimorar os processos mídia programática? Tendo em vista a velocidade na qual as transações ocorrem na publicidade digital, através do real-time bidding, a blockchain pode representar um aumento na eficiência destes processos, uma vez que, além de conectar o anunciante diretamente com seu público-alvo, evita erros que poderiam ocorrer a partir da intermediação destas duas partes. As aplicações são diversas, desde a compra e venda de inventário de anúncios, passando pela prevenção de fraudes na inserção e veiculação de mídia, pela elaboração de whitelist de vendedores de inventário autorizados e até na estruturação contratos inteligentes que simplifiquem o procedimento de pedido de inserção de campanhas.
Além da eficiência já apontada, o uso dessa tecnologia pode permitir a obtenção de dados confiáveis e de qualidade: como se trata de um sistema descentralizado, os resultados das transações geradas a partir dele podem ser mais seguros contra ataques cibernéticos. Merece destaque, nesse sentido, o fato de que dados pessoais coletados e processados nessa cadeia contam com hashes criptografados, e que podem ser acessados apenas por aqueles que possuem a respectiva chave de autenticação. Em um contexto de crescente de preocupações com segurança da informação, o que tem sido um desafio para o setor de mídia interativa, a tecnologia da blockchain emerge como uma alternativa com bom potencial para lidar com essa dificuldade, ainda que seus efeitos para proteção de dados sejam ambíguos.
Além disso, como a blockchain é capaz de manter registros imutáveis das transações realizadas, pode atribuir à atividade de publicidade digital maior transparência. Isto é interessante na medida em que, atualmente, essa transparência nem sempre é viável.
A aplicação da tecnologia de blockchain a esse setor parece ser promissor, ainda que desafios como a velocidade das transações precisem ser superados. Todavia, a mesma descentralização pode representar alguns desafios jurídicos.
Por se tratar de uma aplicação relativamente recente, ainda não foram estabelecidas práticas de mercado que regulem de que forma essa solução deverá ser utilizada, quais os limites e restrições que devem ser observados. A descentralização pode ser a resposta a diversos obstáculos, mas dificulta o estabelecimento de um conjunto de normas de conduta que deverão ser observadas pelos agentes de mercado, seja para observar as normas vigentes em relação aos consumidores e destinatários de anúncios, seja para equilibrar a concorrência entre os agentes que utilizam essa tecnologia.
Observando essas questões, o IAB Tech Lab possui um grupo de trabalho com o objetivo de entender as potencialidades do uso da tecnologia de blockchain aplicada à mídia interativa, assim como compreender quais são as melhores práticas relacionadas a esse uso, produzindo materiais sobre o tema.
O mercado tem se reinventado de forma cada vez mais rápida, e soluções inovadoras são frequentemente criadas. A aplicação de blockchain à publicidade digital é mais uma dessas novidades, que vem sendo cada vez mais explorada, mas seu potencial ainda vem sendo estudado e suas melhores práticas possuem contornos ainda pouco definidos. De todo modo, temos regulações já vigentes e que devem ser observadas: Lei de Propriedade Industrial, Lei de Direitos Autorais, Código do Consumidor, leis de proteção de dados, dentre outras. Nesse sentido, a adesão a essa nova tecnologia pode ser muito promissora, mas adequar seu uso às normas que já estão em vigor é um modo mais seguro de se inserir nessa nova tendência.
