A REGULAÇÃO EUROPEIA DE PROTEÇÃO DE DADOS E O IMPACTO NA PUBLICIDADE ONLINE

Transcrição

1 A REGULAÇÃO EUROPEIA DE PROTEÇÃO DE DADOS E O IMPACTO NA PUBLICIDADE ONLINE

2 / A REGULAÇÃO EUROPEIA DE PROTEÇÃO DADOS E O IMPACTO NA PUBLICIDADE ONLINE 1 Pedro Henrique Soares Ramos Renato Leite Monteiro A essa altura do ano, a sigla GDPR não deveria ser desconhecida por mais ninguém no mercado de publicidade, já que a General Data Protection Rule entrará em vigor na União Europeia (UE) em 25 de maio. O que poucos parecem ter percebido é o impacto da GDPR no Brasil, e o potencial transformador dessa regulação para o setor de publicidade online 2. Entre as principais disposições da GDPR, podemos citar: (i) A ampla definição de dados pessoais, que determina que a regulamentação deve ser aplicada ao tratamento de dados relativos a uma pessoa identificada ou identificável, até mesmo por meio cookies, identificadores únicos e dados dissociados; e a responsabilidade conjunta tanto do controlador, ou em melhor tradução, do responsável pelos dados pessoais quanto do processador. Para deixar mais claro, a GDPR traz dois conceitos distinto, o do data controller e o do data processor. O controlador não é necessariamente quem controla os dados ou os disponibiliza, é apenas quem determina o que será feito com os dados, desde a sua finalidade, forma de coleta etc. No caso do mercado publicitário, o controlador pode ser o publisher que coleta os dados ou o anunciante que os disponibiliza para operações de compra de mídia, por exemplo. Quem executa os atos de tratamento é o processador. As vezes as duas figuras, a do controlador e a do processador, se 1 Esse artigo é uma expansão de outro artigo intitulado: O impacto na publicidade brasileira da regulação europeia de proteção de dados, publicado no veículo de comunicação Meio e Mensagem em com a autoria de Pedro Ramos. Artigo disponível em: goo.gl/gzncnc. Acesso em Esse artigo é uma expansão de outro artigo intitulado: O impacto na publicidade brasileira da regulação europeia de proteção de dados, publicado no veículo de comunicação Meio e Mensagem em com a autoria de Pedro Ramos. Artigo disponível em: goo.gl/gzncnc. Acesso em / 1

3 confundem. Ademais, a responsabilidade do controlador, dependendo das medidas tomadas, pode estar limitada ao que ele determinou que fosse feito com os dados, portanto não é uma responsabilidade solidária irrestrita. Ainda, a tradução do termo data controller para o português brasileiro não seria controlador, e sim responsável. O data processor seria o operador, de acordo com o Projeto de Lei 5276/2016, em andamento na Câmara dos Deputados, que dispõe sobre o tratamento de dados pessoais no Brasil. Um exemplo de processador na publicidade seria a adtech que irá utilizar os dados para otimização do inventário; (ii) Obrigatoriedade, quando possível, de utilização de procedimentos de pseudoanonimização, com o objetivo de reduzir riscos de danos oriundos de eventuais vazamentos. Pseudoanonimizar é diferente de anonimizar os dados pessoais. Neste último caso, o termo se refere aos processos que não permitem mais reidentificar ou individualizar a pessoa natural a quem os dados se referem. Já na pseudoanonimização, àquele que realizou o tratamento, pelo menos, pode reidentificar os titulares dos dados por meio de agregação dos dados com identificados que possui, como nomes, CPF, RGs, s etc. Entretanto, em alguns casos, a pseudoanonimização não é necessária. Por exemplo, o Facebook, na sua plataforma de ad Exchange, não estaria necessariamente obrigado a pseudoanonimizar os dados ali tratados, pois a empresa já tem diretamente a identificação de muitos dos titulares dos dados. O que a plataforma faz é processar os dados internamente e retornar o resultado, sem compartilhar dados individualizados; (iii) (iv) Os direitos de acesso, retificação, cancelamento, oposição e portabilidade dos dados garantidos aos usuários, este último que garante que o titular dos dados pode transferir os seus dados para outros serviços, até mesmo concorrentes de quem está em posse dos dados; e A necessidade de as empresas adotarem um alto nível de compliance por meio de inventários de dados, manutenção de relatórios de impacto de privacidade, checklists de / 2

4 fundamentação legal e indicação de um Data Protection Officer, de acordo o tipo de dados tratados e o tamanho da infraestrutura. O impacto das disposições apresentadas não se restringe à UE: a GDPR impacta quase todas as operações de publicidade no Brasil, na medida em que seu texto prevê uma eficácia extraterritorial. Para citar só algumas hipóteses, se o anunciante, publisher ou adtech tiver sede, filial ou representação na UE, ou se os servidores em que há o processamento dos dados são localizados na UE, ou se os serviços ou produtos do anunciante são oferecidos para residentes na UE, independente da sua nacionalidade, aplica-se a GDPR. E quando falamos de aplicação da GDPR, estamos falando também de altíssimas penalidades: as maiores multas podem chegar a 20 milhões de euros ou 4% do faturamento global das empresas, o que for maior. Essas imposições trarão consequências para um dos mercados que mais cresce no mundo. Não são somente políticas de privacidade que precisarão ser repensadas, mas toda a lógica do modelo de negócio e de sua cadeia de valor. Evidente, essas alterações vêm causando grande debate sobre como o mercado pode adequar-se sem prejudicar seu desenvolvimento, e um dos principais pontos de discussão é como obter a fundamentação legal (isto é, a autorização da GDPR) para a coleta e processamento de dados. Uma das novidades é que o consentimento do usuário não é a única forma de fundamentação legal possível: a GDPR prevê outras bases legais, tais como: (i) (ii) (iii) O cumprimento de um contrato junto ao usuário (ex. entregar um produto adquirido em um site); O cumprimento de uma obrigação legal (ex. cumprimento de sentença judicial ou obrigação de guarda de dados); Quando for necessário para proteger direitos vitais (ex. para contatar um serviço de ambulância); / 3

5 (iv) (v) Quando for necessário para o interesse público ou para atividades de uma autoridade legalmente autorizada (ex. uma investigação de vazamento de dados); e Quando for do legítimo interesse do controlador (ou responsável pelo tratamento) fazer uso dos dados para outras finalidades, hipótese aberta que engloba situações em que o consentimento é de difícil obtenção mesmo se tratando de um tratamento razoável e proporcional, que não viola outros direitos, dentre eles os direitos ( ARCO ), ainda que não seja do interesse do titular dos dados (ex. como quando uma agência de cobrança de dívidas usa os dados do usuário para cobrar a dívida). Com o livre consentimento (na forma exigida pela GDPR) sendo de difícil obtenção no contexto da publicidade online, é de se esperar que o setor se baseie, principalmente, no legítimo interesse para fundamentar suas atividades, ainda que diversas autoridades europeias têm se mostrado céticas em entender a publicidade como uma legítima expectativa do usuário. O legítimo interesse tende a ser um balanço entre interesses de terceiros e interesses do titular dos dados (expectativas de como é feito o processamento e medidas de proteção adequadas). Exemplos: prevenção de crimes, detecção de fraude, segurança cibernética, etc. A prática de direct marketing pode se enquadrar como uso legítimo, porém com certas limitações. Tende-se a considerar que análise agregada para relatórios de tendências, acompanhamento de desempenho de anúncios, acompanhamento pós-click e medição de audiência como aceitáveis, desde que com opção de opt-out dentro do contexto de uma relação prévia. Todavia, não está claro se publicidade comportamental e programática irão se enquadrar em interesse legítimo. Exemplo de perfilhamento permitido, que em tese poderia ser feito com base em legítimos interesses, mesmo se feito de forma totalmente automatizado: mulher na região de São Paulo com idades entre 25 e 35 anos que provavelmente teria interesse em moda e determinados itens de roupas. Neste cenário também é possível incluir o uso de determinado dados para fins de personalização das configurações de exibição de um site; manutenção de endereços de s para evitar que novos cadastros sejam feitos com o mesmo endereço; analytics de tráfego para o site; receber dados pessoais do / 4

6 usuário por meio de fonte externa para fins de atualização, se adequando ao princípio da qualidade dos dados. Exemplo de perfilhamento que poderia ter sua legitimidade desafiada, a exceção que haja o consentimento expresso do titular, e todos seus direitos sejam garantidos: tracking do usuário através de múltiplos websites, localizações, equipamentos e serviços. Deve sempre ser informado, livre e com a possibilidade de opt-out. E, mesmo que esse cenário de incerteza possa trazer insegurança jurídica, também pode fomentar a inovação e boas práticas de uma maneira sem precedentes na recente história da mídia interativa. Em primeiro lugar, a preocupação por compliance na publicidade não surge somente com a GDPR. Discussões de proteção de marca (brand safety), transparência e responsabilidade na prestação de contas (accountability) já são questões do mercado há alguns anos, e muitas empresas já se mostram maduras o suficiente para lidar com esses temas no melhor interesse de seus anunciantes e dos consumidores. Segundo, a preocupação com privacidade não é consequência da GDPR, mas sim sua causa. Nos últimos anos, vimos uma propagação do uso de ferramentas de rastreamento e perfilização dos usuários, mas que foi seguida de uma maior consciência dos usuários em relação ao tema, com o aumento do uso de navegadores anônimos, adblockers e ferramentas de transparência (como Ghostery). Ademais, as discussões irão continuar e aumentar em complexidade com as discussões da eprivacy Directive, que irá diretamente reger as regras para uso de serviços online, em adição à GDPR. Por fim, há inúmeras iniciativas sendo discutidas que buscam conformidade com a GDPR e podem trazer inovação para o setor, como: (i) O desenvolvimento de ferramentas de transparência, opt-out e controle dos dados dos usuários, que podem reforçar o fundamento de legítimo interesse; (ii) A criação de alternativas tecnológicas para obtenção e, principalmente, registro do consentimento do usuário em toda cadeia de valor da entrega de mídia; / 5

7 (iii) (iv) (v) (vi) O aprimoramento de ferramentas de leilão em tempo real de mídia (RTB), com o objetivo de minimizar a possibilidade de vazamento de dados; O desenvolvimento de uma rede de cooperação entre publishers, anunciantes, agências e adtechs, aumentando a transparência dos riscos assumidos e criando mecanismos (contratuais e técnicos) para mitigar a exposição das marcas; O uso de ferramentas de inteligência artificial e aprendizado de máquina que evitem o uso de dados individualizados para o perfilhamento estatístico de grupos de interesse de usuários; e A criação, pelas agências de publicidade, de campanhas de publicidade que agreguem cada vez mais importância para o controle feito pelo usuário, reforçando a possibilidade de se aplicar o legítimo interesse. Em suma, se algumas pessoas ainda defendem que a GDPR irá destruir a mídia programática e devolver o setor para a Era Paleolítica, sugerimos exatamente o contrário: o futuro da publicidade online será, inevitavelmente, voltado à proteção de dados pessoais, e o caminho para isso passa pela inovação do setor e pela consolidação do valor da publicidade na sociedade. / 6