Entenda como a LGPD impacta o setor de relações com investidores e saiba como se adequar
A Lei Geral de Proteção de Dados Pessoais (LGPD) impacta qualquer serviço que envolva a coleta, o armazenamento e o tratamento de informações pessoais — algo que acontece no mercado de RI. Por isso, o departamento de relações com investidores precisa estar de acordo com a norma.
Na área de relações com investidores, há diferentes fontes de captura de dados. É o caso, por exemplo, do uso de formulários — seja no “fale conosco” ou até mesmo em inscrições para webcastings e mailings.
Além disso, é importante estar atento aos detalhes exigidos pela LGPD perante a construção de websites, como a política de privacidade e o uso de cookies, além dos já citados formulários.
Como iniciar a adequação à LGPD
Com as novas exigências estabelecidas pela lei, as corporações devem ter como primeiro passo o mapeamento de todo o fluxo de informações pessoais dos investidores, mostrando como os dados entram, como são armazenados e como são tratados — evidenciando as pessoas que possuem acesso —; e, se necessário, como eles são excluídos.
Para isso, as empresas necessitam de um profissional especializado, o DPO (sigla que significa o termo em inglês Data Protection Officer). Ele será responsável por supervisionar as ações de proteção dos dados pessoais, também sendo encarregado por informar às autoridades sobre qualquer ataque cibernético e/ou vazamento de informações.
Utilizando formulários na coleta de dados
O uso de formulários para coletar dados pessoais é uma prática muito utilizada nas relações com investidores. Geralmente, o campo fica dentro de uma landing page dentro do site de RI, que costuma ser uma página objetiva e que tem por finalidade gerar cadastros que estejam interessados em investir na corporação.
Também é comum disponibilizar materiais institucionais ou até mesmo educativos sobre o mercado de investimentos para gerar o cadastro de potenciais investidores. Para ter acesso aos conteúdos, é preciso preencher um formulário com informações pessoais.
Quando a pessoa solicita contato pelo formulário, automaticamente, passa a integrar a base de dados da empresa. Com isso, é comum que ela passe a receber e-mails mesmo sem ter consentido com isso — algo que fere a LGPD.
Adequando o formulário do site
Em todos os formulários se faz necessário um campo de consentimento, no qual a pessoa autoriza o uso de suas informações pessoais. O titular deve concordar em receber e-mails, e no campo deve ficar explícito que a inscrição pode ser cancelada a qualquer momento. Caso não haja consentimento, o contato não deve ser realizado.
Essa prática deve ser adotada em todos os formulários do site de RI. O consentimento dado pelo titular é uma base legal presente na LGPD, que permitirá a coleta e o tratamento das informações sem ferir a lei.
Responsabilidade dos dados
Com a autorização do titular, a segurança dos dados pessoais fica por conta da empresa. Por isso, é preciso tomar muito cuidado. Qualquer vazamento de informações é de responsabilidade da corporação que colheu os dados.
Por isso é importante manter uma boa reputação e deixar claro sobre como utilizará os dados do titular. No site de RI, redija um texto que evidencie isso e deixe exposto em todas as páginas que possuírem formulário.
O ideal é que esse trecho seja linkado com a página da política de sua empresa, que é um dos instrumentos de implementação da lei e que faz parte da estrutura de proteção de dados. A política de privacidade deve ser objetiva e visar o tratamento de dados pessoais em um determinado serviço, atendendo os princípios da LGPD.
Resumindo, é um documento direcionado aos usuários de um site, serviço ou sistema (titulares de dados) que, geralmente, é público. No final de cada política, precisa conter o responsável pelo tratamento dos dados e um meio de contato para que o titular possa exercer o seu direito, seja retificando ou removendo os seus dados.
Os “Cookies” e a LGPD
“O nosso site utiliza cookies para melhorar a navegação”. Essa frase, muito famosa na internet, faz parte de uma ferramenta fundamental para a navegação online, que registra os sites que foram utilizados pelos usuários, além de seus formulários que já foram preenchidos. Sem os cookies, a navegação seria bem menos atrativa e prática. Os cookies são considerados como dados pessoais, pois tornam pessoas identificáveis por meio de informações coletadas durante a navegação online.
Alguns cookies são essenciais para que uma página fique visível a um usuário, adaptando a resolução e a responsividade do site, por exemplo. Outros são utilizados para mensuração de audiência ou gerar estatísticas de navegação. Por fim, podem ser utilizados também para impactar uma audiência por meio de publicidade direcionada.
A LGPD possui uma categoria especial, chamada “dados pessoais sensíveis”, que são aqueles que podem ser utilizados para fim de segmentação, reunindo informações como religião, opinião política, vocação filosófica, dados de saúde, genéticos e biométricos, orientação sexual e filiação sindical. Essas informações são tratadas com maior rigor perante à lei e algumas delas podem ser obtidas por meio dos cookies. Por isso, muito cuidado.
Com a LGPD, o uso dos cookies deve ficar extremamente claro ao titular. Uma boa prática que vem sendo adotada é a possibilidade do usuário administrar os cookies, fornecendo apenas as informações que desejar. Tudo deve ser explícito e combinado previamente, pois se houver alguma disputa judicial no futuro, o ônus da prova sempre caberá à empresa.
Uso de opt-in e double opt-in em mailings
Enviar e-mails em massa é uma prática muito comum nas relações com investidores e a LGPD impacta diretamente esse tipo de ação. Agora, é preciso que o titular tenha autorizado o uso dos dados para qualquer finalidade. Isso porque, com base no Artigo 2º da própria LGPD, os dados pertencem à pessoa física. Ou seja, não é possível enviar mais e-mails sem um consentimento prévio.
Por isso, agora, o opt-in deixa de ser uma boa prática para se tornar uma obrigação. O opt-in é uma abordagem que solicita permissão de um investidor em potencial para enviar determinados conteúdos sobre uma marca. São aqueles campos “assine nossa newsletter” e/ou “receba nossas novidades por e-mail”, que estão presentes nos sites, por exemplo. No conteúdo do opt-in, deve ficar explícito todas as finalidades de uso dos dados do titular.
Outra prática interessante é o double opt-in, que é uma espécie de opt-in reforçado. É aquele e-mail que chega para o titular assim que ele se cadastra em algo, solicitando que ele clique no link para confirmar, pela segunda vez, o seu interesse.
Não esqueça do opt-out
O titular pode barrar o uso de seus dados nos e-mails que receber, por meio do opt-out — um botão que, geralmente, fica no fim do e-mail com a opção de cancelar a inscrição a qualquer momento.
Para evitar erros, é recomendável a contratação de um CRM que filtre de forma automatizada os titulares que não forneceram opt-in para excluí-los dos envios. Caso o processamento resulte em alto risco para os titulares, o controlador dos dados deve realizar um estudo chamado Data Protection Impact Assessment (DPIA), que serve para avaliar os riscos com as informações pessoais para evitar que a lei seja desobedecida.
Concluindo…
A LGPD impacta diretamente nas ações do departamento de relações com investidores que envolvam a coleta, o armazenamento e o tratamento de dados pessoais.
Por causa disso, é de extrema importância por parte do setor de RI implementar as exigências da nova lei, a fim de evitar multas e sanções administrativas, que corre o risco de chegar a até 5% do faturamento anual da corporação — número que pode ser altíssimo se tratando de empresa de capital aberto.
