Comunicação

OS IMPACTOS DA LGPD NAS RELAÇÕES COM INVESTIDORES

A Lei Geral de Proteção de Dados Pessoais (LGPD) impacta qualquer serviço que envolva a coleta, o armazenamento e o tratamento de informações pessoais. Por isso, o departamento de Relações com Investidores precisa estar de acordo com a norma. Vale salientar que a lei está em vigência desde agosto de 2020, com multas e sanções administrativas começando a ser aplicadas a partir deste mês (agosto de 2021).

Tratando-se de relações com investidores, há diferentes fontes de captura de dados. É o caso, por exemplo, do uso de formulários - seja no “fale conosco” ou até mesmo em inscrições para webcastings e mailings.

Além disso, é importante estar atento aos detalhes exigidos pela LGPD perante a construção de websites, como a política de privacidade e o uso de cookies, além da coleta e tratamento de dados pessoais.

Como iniciar a adequação à LGPD nas relações com investidores
Com as exigências estabelecidas pela lei, as corporações devem ter como primeiro passo o mapeamento de todo o fluxo de informações pessoais dos investidores, mostrando como os dados entram, como são armazenados e como são tratados. É necessário, também, evidenciar as pessoas que possuem acesso às informações. Outro passo a se fazer é mapear a forma de exclusão dos dados, caso seja solicitado pelo titular.

Para isso, as empresas necessitam de um profissional especializado, o Data Protection Officer (DPO). Ele será responsável por supervisionar as ações de proteção dos dados pessoais, também sendo encarregado por informar às autoridades sobre qualquer ataque cibernético e/ou vazamento de informações.

Coletando dados de acordo com a LGPD
O uso de formulários para coletar dados pessoais é uma prática muito utilizada em relações com investidores. Geralmente, o campo fica em landing page dentro do site de RI, que costuma ser uma página objetiva e que tem por finalidade gerar cadastros que estejam interessados em informações da companhia.

Quando a pessoa solicita o contato pelo formulário, automaticamente, passa a integrar a base de dados da empresa. Com isso, é comum que ela comece a receber e-mails mesmo sem ter consentido com isso — algo que fere a LGPD. Por isso, muito cuidado para quem envia os e-mails. É preciso ter autorização prévia.

Adequando o formulário do site de RI
Em todos os formulários se faz necessário um campo de consentimento, no qual a pessoa autoriza o uso de suas informações pessoais. O titular deve concordar em receber e-mails, devendo ficar explícito que a inscrição pode ser cancelada a qualquer momento. Caso não haja consentimento, o contato não deve ser realizado.

Essa prática deve ser adotada em todos os formulários do site de RI. O consentimento dado pelo titular é uma base legal presente na LGPD, que permitirá a coleta e o tratamento das informações sem ferir a lei. 

Responsabilidade dos dados pessoais
É importante deixar claro sobre como a empresa utilizará os dados do titular. No site de RI, redija um texto que evidencie isso e deixe exposto em todas as páginas que possuírem formulário.O ideal é que esse trecho seja linkado com a página da política de sua empresa, que é um dos instrumentos de implementação da lei e que faz parte da estrutura de proteção de dados.

O nome do responsável pelo tratamento dos dados e um meio de contato para que o titular possa acionar devem ser expostos ao final de cada página que contenha a política de privacidade. A pessoa poderá pedir para retificar determinado dado ou solicitar a remoção completa de suas informações no sistema da corporação em questão.

Como os cookies impactam a LGPD no site de RI
A LGPD possui uma categoria especial, chamada “dados pessoais sensíveis”, que são aqueles que podem ser utilizados para fim de segmentação, reunindo informações como religião, opinião política, vocação filosófica, dados de saúde, genéticos e biométricos, orientação sexual e filiação sindical. Essas informações são tratadas com maior rigor perante à lei e algumas delas podem ser obtidas por meio dos cookies. Por isso, novamente: muito cuidado.

Com a LGPD, o uso dos cookies deve ficar extremamente claro ao titular. Uma boa prática que vem sendo adotada é a possibilidade do usuário administrar os cookies, fornecendo apenas as informações que desejar. Tudo deve ser explícito e combinado previamente, pois se houver alguma disputa judicial no futuro, o ônus da prova sempre caberá à empresa.

Uso de opt-in e double opt-in em mailings
Enviar e-mails em massa é uma prática muito comum em relações com investidores e a LGPD impacta diretamente esse tipo de ação. Agora, é preciso que o titular tenha autorizado o uso dos dados para qualquer finalidade. Isso porque, com base no Artigo 2º da própria LGPD, os dados pertencem à pessoa física. Ou seja, não é possível enviar mais e-mails sem um consentimento prévio.

O opt-in nada mais é do que uma abordagem que solicita permissão de um analista ou investidor para o envio de determinados conteúdos sobre a companhia. São aqueles campos “assine nossa newsletter” e/ou “receba nossas novidades por e-mail”, que estão presentes em diversos sites, por exemplo.

No conteúdo do opt-in, deve ficar explícito todas as finalidades de uso dos dados do titular. Outra prática interessante é o double opt-in, que é uma espécie de opt-in reforçado. É aquele e-mail que chega para o titular assim que ele se cadastra em algo, solicitando que ele clique no link para confirmar, pela segunda vez, o seu interesse.

O opt-out também é fundamental
O titular pode barrar o uso de seus dados nos e-mails que receber, por meio do opt-out — um botão que, geralmente, fica no fim do e-mail com a opção de cancelar a inscrição a qualquer momento.

Para evitar erros, é recomendável a contratação de um serviço de CRM que filtre de forma automatizada os titulares que não forneceram opt-in para excluí-los dos envios. Esse tipo de serviço é fornecido pela RIWeb, que cuida de todo o processo perante as bases legais da LGPD, envolvendo desde a captação, o tratamento e, se necessário, até a exclusão dos dados pessoais, por meio de plataforma com tecnologia de ponta.

Caso o processamento resulte em alto risco para os titulares, o controlador dos dados deve realizar um estudo chamado Data Protection Impact Assessment (DPIA), que serve para avaliar os riscos com as informações pessoais para evitar que a lei seja desobedecida.

Agora, um breve resumo de tudo o que foi falado:
1. Revise o fluxo de coleta de dados;
2. Adicione em todos os formulários um termo de consentimento;
3. Adapte os termos de cookies do site de RI à LGPD;
4. Realize a revalidação de opt-in, double opt-in e opt-out.

E lembre-se: a LGPD é coisa séria. As multas podem chegar a até R$ 50 milhões por infração. E esse artigo sozinho não resolverá todas as questões relacionadas a isso. A recomendação é contratar um escritório de advocacia especializado. No entanto, nada impede de você já começar a tomar as precauções principais para a área de relações com investidores.

Lucas Barra
é Head na RIWeb.
l.barra@comunique-se.com.br


Continua...