Baptista Luz

19/03/2018 Leitura de 10’’

A Regulação Europeia de Proteção de Dados e o Impacto na Publicidade Online

19/03/2018

A essa altura do ano, a sigla GDPR não deveria ser desconhecida por mais ninguém no mercado de publicidade, já que a General Data Protection Rule entrará em vigor na União Europeia (UE) em 25 de maio. O que poucos parecem ter percebido é o impacto da GDPR no Brasil, e o potencial transformador dessa regulação para o setor de publicidade online[1].

Entre as principais disposições da GDPR, podemos citar:

  • A ampla definição de dados pessoais, que determina que a regulamentação deve ser aplicada ao tratamento de dados relativos a uma pessoa identificada ou identificável, até mesmo por meio cookies, identificadores únicos e dados dissociados; e a responsabilidade conjunta tanto do controlador, ou em melhor tradução, do responsável pelos dados pessoais quanto do processador.

Para deixar mais claro, a GDPR traz dois conceitos distinto, o do data controller e o do data processor. O controlador não é necessariamente quem controla os dados ou os disponibiliza, é apenas quem determina o que será feito com os dados, desde a sua finalidade, forma de coleta etc. No caso do mercado publicitário, o controlador pode ser o publisher que coleta os dados ou o anunciante que os disponibiliza para operações de compra de mídia, por exemplo.

Quem executa os atos de tratamento é o processador. As vezes as duas figuras, a do controlador e a do processador, se confundem. Ademais, a responsabilidade do controlador, dependendo das medidas tomadas, pode estar limitada ao que ele determinou que fosse feito com os dados, portanto não é uma responsabilidade solidária irrestrita. Ainda, a tradução do termo data controller para o português brasileiro não seria “controlador”, e sim “responsável”. O data processor seria o operador, de acordo com o Projeto de Lei 5276/2016, em andamento na Câmara dos Deputados, que dispõe sobre o tratamento de dados pessoais no Brasil. Um exemplo de processador na publicidade seria a adtech que irá utilizar os dados para otimização do inventário;

  • Obrigatoriedade, quando possível, de utilização de procedimentos de pseudoanonimização, com o objetivo de reduzir riscos de danos oriundos de eventuais vazamentos. Pseudoanonimizar é diferente de anonimizar os dados pessoais. Neste último caso, o termo se refere aos processos que não permitem mais reidentificar ou individualizar a pessoa natural a quem os dados se referem. Já na pseudoanonimização, àquele que realizou o tratamento, pelo menos, pode reidentificar os titulares dos dados por meio de agregação dos dados com identificados que possui, como nomes, CPF, RGs, e-mails etc.

Entretanto, em alguns casos, a pseudoanonimização não é necessária. Por exemplo, o Facebook, na sua plataforma de ad Exchange, não estaria necessariamente obrigado a pseudoanonimizar os dados ali tratados, pois a empresa já tem diretamente a identificação de muitos dos titulares dos dados. O que a plataforma faz é processar os dados internamente e retornar o resultado, sem compartilhar dados individualizados;

  • Os direitos de acesso, retificação, cancelamento, oposição e portabilidade dos dados garantidos aos usuários, este último que garante que o titular dos dados pode transferir os seus dados para outros serviços, até mesmo concorrentes de quem está em posse dos dados; e
  • A necessidade de as empresas adotarem um alto nível de compliance por meio de inventários de dados, manutenção de relatórios de impacto de privacidade, checklists de fundamentação legal e indicação de um Data Protection Officer, de acordo o tipo de dados tratados e o tamanho da infraestrutura.

O impacto das disposições apresentadas não se restringe à UE: a GDPR impacta quase todas as operações de publicidade no Brasil, na medida em que seu texto prevê uma eficácia extraterritorial. Para citar só algumas hipóteses, se o anunciante, publisher ou adtech tiver sede, filial ou representação na UE, ou se os servidores em que há o processamento dos dados são localizados na UE, ou se os serviços ou produtos do anunciante são oferecidos para residentes na UE, independente da sua nacionalidade, aplica-se a GDPR.

E quando falamos de aplicação da GDPR, estamos falando também de altíssimas penalidades: as maiores multas podem chegar a 20 milhões de euros ou 4% do faturamento global das empresas, o que for maior.

Essas imposições trarão consequências para um dos mercados que mais cresce no mundo. Não são somente políticas de privacidade que precisarão ser repensadas, mas toda a lógica do modelo de negócio e de sua cadeia de valor.

Evidente, essas alterações vêm causando grande debate sobre como o mercado pode adequar-se sem prejudicar seu desenvolvimento, e um dos principais pontos de discussão é como obter a fundamentação legal (isto é, a autorização da GDPR) para a coleta e processamento de dados. Uma das novidades é que o consentimento do usuário não é a única forma de fundamentação legal possível: a GDPR prevê outras bases legais, tais como:

  • O cumprimento de um contrato junto ao usuário (ex. entregar um produto adquirido em um site);
  • O cumprimento de uma obrigação legal (ex. cumprimento de sentença judicial ou obrigação de guarda de dados);
  • Quando for necessário para proteger direitos vitais (ex. para contatar um serviço de ambulância);
  • Quando for necessário para o interesse público ou para atividades de uma autoridade legalmente autorizada (ex. uma investigação de vazamento de dados); e
  • Quando for do legítimo interesse do controlador (ou responsável pelo tratamento) fazer uso dos dados para outras finalidades, hipótese aberta que engloba situações em que o consentimento é de difícil obtenção mesmo se tratando de um tratamento razoável e proporcional, que não viola outros direitos, dentre eles os direitos (“ARCO”), ainda que não seja do interesse do titular dos dados (ex. como quando uma agência de cobrança de dívidas usa os dados do usuário para cobrar a dívida).

Com o livre consentimento (na forma exigida pela GDPR) sendo de difícil obtenção no contexto da publicidade online, é de se esperar que o setor se baseie, principalmente, no legítimo interesse para fundamentar suas atividades, ainda que diversas autoridades europeias têm se mostrado céticas em entender a publicidade como uma legítima expectativa do usuário.

O legítimo interesse tende a ser um “balanço” entre interesses de terceiros e interesses do titular dos dados (expectativas de como é feito o processamento e medidas de proteção adequadas). Exemplos: prevenção de crimes, detecção de fraude, segurança cibernética, etc. A prática de “direct marketing” pode se enquadrar como uso legítimo, porém com certas limitações. Tende-se a considerar que análise agregada para relatórios de tendências, acompanhamento de desempenho de anúncios, acompanhamento pós-click e medição de audiência como aceitáveis, desde que com opção de “opt-out” dentro do contexto de uma relação prévia. Todavia, não está claro se publicidade comportamental e programática irão se enquadrar em interesse legítimo.

Exemplo de perfilhamento permitido, que em tese poderia ser feito com base em legítimos interesses, mesmo se feito de forma totalmente automatizado: mulher na região de São Paulo com idades entre 25 e 35 anos que provavelmente teria interesse em moda e determinados itens de roupas. Neste cenário também é possível incluir o uso de determinado dados para fins de personalização das configurações de exibição de um site; manutenção de endereços de e-mails para evitar que novos cadastros sejam feitos com o mesmo endereço; analytics de tráfego para o site; receber dados pessoais do usuário por meio de fonte externa para fins de atualização, se adequando ao princípio da qualidade dos dados.

Exemplo de perfilhamento que poderia ter sua legitimidade desafiada, a exceção que haja o consentimento expresso do titular, e todos seus direitos sejam garantidos: tracking do usuário através de múltiplos websites, localizações, equipamentos e serviços. Deve sempre ser informado, livre e com a possibilidade de opt-out.

E, mesmo que esse cenário de incerteza possa trazer insegurança jurídica, também pode fomentar a inovação e boas práticas de uma maneira sem precedentes na recente história da mídia interativa.

Em primeiro lugar, a preocupação por compliance na publicidade não surge somente com a GDPR. Discussões de proteção de marca (brand safety), transparência e responsabilidade na prestação de contas (accountability) já são questões do mercado há alguns anos, e muitas empresas já se mostram maduras o suficiente para lidar com esses temas no melhor interesse de seus anunciantes e dos consumidores.

Segundo, a preocupação com privacidade não é consequência da GDPR, mas sim sua causa. Nos últimos anos, vimos uma propagação do uso de ferramentas de rastreamento e perfilização dos usuários, mas que foi seguida de uma maior consciência dos usuários em relação ao tema, com o aumento do uso de navegadores anônimos, adblockers e ferramentas de transparência (como Ghostery). Ademais, as discussões irão continuar e aumentar em complexidade com as discussões da ePrivacy Directive, que irá diretamente reger as regras para uso de serviços online, em adição à GDPR.

Por fim, há inúmeras iniciativas sendo discutidas que buscam conformidade com a GDPR e podem trazer inovação para o setor, como:

  • O desenvolvimento de ferramentas de transparência, opt-out e controle dos dados dos usuários, que podem reforçar o fundamento de legítimo interesse;
  • A criação de alternativas tecnológicas para obtenção e, principalmente, registro do consentimento do usuário em toda cadeia de valor da entrega de mídia;
  • O aprimoramento de ferramentas de leilão em tempo real de mídia (RTB), com o objetivo de minimizar a possibilidade de vazamento de dados;
  • O desenvolvimento de uma rede de cooperação entre publishers, anunciantes, agências e adtechs, aumentando a transparência dos riscos assumidos e criando mecanismos (contratuais e técnicos) para mitigar a exposição das marcas;
  • O uso de ferramentas de inteligência artificial e aprendizado de máquina que evitem o uso de dados individualizados para o perfilhamento estatístico de grupos de interesse de usuários; e
  • A criação, pelas agências de publicidade, de campanhas de publicidade que agreguem cada vez mais importância para o controle feito pelo usuário, reforçando a possibilidade de se aplicar o legítimo interesse.

Em suma, se algumas pessoas ainda defendem que a GDPR irá destruir a mídia programática e devolver o setor para a Era Paleolítica, sugerimos exatamente o contrário: o futuro da publicidade online será, inevitavelmente, voltado à proteção de dados pessoais, e o caminho para isso passa pela inovação do setor e pela consolidação do valor da publicidade na sociedade.

Quer saber mais?

Entre em contato com os autores ou visite a página da área de Mídia & Publicidade

NOTAS E REFERÊNCIAS:

 

Nota:

 

[1] Esse artigo é uma expansão de outro artigo intitulado: “O impacto na publicidade brasileira da regulação europeia de proteção de dados”, publicado no veículo de comunicação Meio e Mensagem em 01.03.2018 com a autoria de Pedro Ramos. Artigo disponível em: goo.gl/GzNCnC. Acesso em 13.03.2018.

 

Mostrar + notas

Mais lidas:

Mais recentes:

Assine nossa newsletter

Inscreva-se para receber informações relevantes sobre o universo jurídico e tomar decisões informadas que vão impactar seus negócios.

Nós respeitamos a sua privacidade e protegemos seus dados pessoais de acordo com a nossa Política de Privacidade.

Baptista Luz