1 de março de 2018 - 18h50
Créditos: YuriyVlasenko/iStock
O que poucos parecem ter percebido é o impacto da GDPR no Brasil, e o potencial transformador dessa regulação para o setor de publicidade online. Entre os principais pontos da nova legislação, podemos citar:
1-A ampla definição de dados pessoais e a responsabilidade conjunta tanto do controlador dos dados (ex. o publisher que coleta os dados ou o anunciante que os disponibiliza para operações de compra de mídia) quanto do processador (ex. a adtech que irá utilizar os dados para otimização do inventário).
2-A obrigatoriedade de utilização de procedimentos de pseudoanonimização (isto é, técnicas para desvincular total ou parcialmente bancos de dados de informações pessoais), com o objetivo de reduzir riscos de vazamentos.
3-Os direitos de acesso, exclusão e portabilidade garantidos aos usuários.
4-A necessidade de as empresas adotarem um alto nível de compliance por meio de inventários de dados, manutenção de relatórios de impacto de privacidade, checklists de fundamentação legal e indicação de um Data Protection Officer.
E esse impacto não se restringe à União Europeia. Quase todas as operações de publicidade no Brasil também serão impactadas com a nova lei, na medida em que seu texto prevê uma eficácia extraterritorial. Para citar só algumas hipóteses, se o anunciante, publisher ou adtech tiver sede na UE, ou se os servidores em que há o processamento dos dados são localizados na UE, ou se os serviços ou produtos do anunciante são oferecidos para residentes na UE, aplica-se a GDPR.
E quando falamos de aplicação desta legislação, estamos falando também de altíssimas penalidades: as maiores multas podem chegar a 20 milhões de euros ou 4% do faturamento global das empresas, o que for maior.
Essas imposições trarão consequências para um dos mercados que mais cresce no mundo. Não são somente políticas de privacidade que precisarão ser repensadas, mas toda a lógica do modelo de negócio e de sua cadeia de valor.
Evidente, essas alterações vêm causando grande debate sobre como o mercado pode adequar-se sem prejudicar seu desenvolvimento, e um dos principais pontos de discussão é como obter a fundamentação legal para a coleta e processamento de dados. Uma das novidades é que o consentimento do usuário não é a única forma fundamentação legal possível: a GDPR prevê outras formas de autorização, como:
1-O cumprimento de um contrato junto ao usuário (ex. se a empresa precisar de dados pessoais para entregar um produto adquirido em um site).
2-O cumprimento de uma obrigação legal (ex. cumprimento de sentença judicial).
3-Quando for necessário para proteger direitos vitais (ex. para contatar um serviço de ambulância).
4-Quando for necessário para o interesse público ou para atividades de uma autoridade legalmente autorizada (ex. uma investigação de vazamento de dados).
5-Quando for do legítimo interesse do usuário, hipótese aberta que engloba situações em que o consentimento é de difícil obtenção, mas que há uma legítima expectativa e interesse do usuário em concordar com aquele tratamento.
Com o livre consentimento (na forma exigida pela GDPR) sendo de difícil obtenção no contexto da publicidade online, é de se esperar que o setor se baseie no legítimo interesse para fundamentar suas atividades, ainda que diversas autoridades europeias têm se mostrado céticas em entender a publicidade como uma legítima expectativa do usuário. E, mesmo que esse cenário de incerteza possa trazer insegurança jurídica, também pode fomentar a inovação e boas práticas de uma maneira sem precedentes na recente história da mídia interativa.
Em primeiro lugar, a preocupação por compliance na publicidade não surge somente com a nova legislação europeia. Discussões de proteção de marca (brand safety), transparência e responsabilidade na prestação de contas (accountability) já são questões do mercado há alguns anos, e muitas empresas já se mostram maduras o suficiente para lidar com esses temas no melhor interesse de seus anunciantes e dos consumidores.
Segundo, a preocupação com privacidade não é consequência da GDPR, mas sim sua causa. Nos últimos anos, vimos uma propagação do uso de ferramentas de rastreamento e perfilização dos usuários, mas que infelizmente foi seguida por estratégias de publicidade que criaram experiências ruins de navegação, interrupção de leitura e outros formatos invasivos, o que gerou uma maior consciência dos usuários em relação ao tema, com o aumento do uso de navegadores anônimos, adblockers e ferramentas de transparência (como Ghostery).
Por fim, o mercado já está se movendo e há inúmeras iniciativas sendo discutidas que buscam conformidade com a GDPR e podem trazer inovação para o setor, como:
1-O desenvolvimento de ferramentas de transparência, opt-out e controle dos dados dos usuários, que podem reforçar o fundamento de legítimo interesse.
2-A criação de alternativas tecnológicas para obtenção e, principalmente, registro do consentimento do usuário em toda cadeia de valor da entrega de mídia.
3-O aprimoramento de ferramentas de leilão em tempo real de mídia (RTB), com o objetivo de minimizar a possibilidade de vazamento de dados.
4-O desenvolvimento de uma rede de cooperação entre publishers, anunciantes, agências e adtechs, aumentando a transparência dos riscos assumidos e criando mecanismos (contratuais e técnicos) para mitigar a exposição das marcas.
5-O uso de ferramentas de inteligência artificial e aprendizado de máquina para o perfilamento estatístico de grupos de interesse de usuários, sem necessariamente utilizar dados pessoais.
6-A criação, pelas agências de publicidade, de campanhas de publicidade que agreguem cada vez mais importância para o usuário, reforçando o legítimo interesse.
Em suma, se algumas pessoas ainda defendem que a GDPR irá destruir a mídia programática e devolver o setor para a Era Paleolítica, sugerimos exatamente o contrário: o futuro da publicidade online será, inevitavelmente, voltado à proteção de dados pessoais, e o caminho para isso passa pela inovação do setor e pela consolidação do valor da publicidade na sociedade.