Consentimento versus interesse legítimo: qual você deve escolher para marketing?

O Artigo 6 do GDPR permite que você processe os dados pessoais de seus usuários sob seis bases legais, incluindo Consentimento e Interesses Legítimos:

Artigo 6.º, n.º 1, alínea a) do RGPD – Consentimento como base legal para o tratamento de dados: O titular dos dados deu consentimento para o tratamento dos seus dados pessoais para um ou mais fins específicos;

Artigo 6.º, n.º 1, alínea f), do RGPD – O tratamento é necessário para os fins dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por um terceiro, exceto quando esses interesses se sobrepõem aos interesses ou direitos e liberdades fundamentais do titular dos dados que exijam proteção de dados pessoais, em particular quando o titular dos dados é uma criança.

Estas duas são também as bases jurídicas mais discutidas para o tratamento de dados pessoais para fins de marketing.

Destes, a base de consentimento funciona de forma bastante direta… já que o usuário “consentiu” com seu processamento de dados.

O problema, no entanto, com o consentimento é que nem sempre é adequado para o processo de marketing.

O que deixa os profissionais de marketing com a disposição de interesses legítimos.

Diante disso, Interesses Legítimos parece um termo genérico que pode permitir muito processamento de dados pessoais. Mas o uso de Interesses Legítimos como base legal precisa de uma consideração cuidadosa, pois eles só podem ser considerados uma Base Legal para o processamento de dados SE o processamento de dados for realmente NECESSÁRIO.

Escolher entre consentimento e interesses legítimos para fins de marketing

O processamento de dados pessoais usando o consentimento como base legal é considerado bastante seguro, pois o consentimento é o “padrão de ouro”.

É também uma base muito mais forte para o processamento de dados do que a base de Interesses Legítimos porque é inequívoca. Você perguntou ao usuário e ele disse “Sim!”.

Mas obter consentimento sempre que você deseja processar um determinado tipo de dados pessoais significa fazer com que seus usuários aceitem uma série de formulários de consentimento diferentes.

O GDPR, de fato, oferece algumas diretrizes muito claras e rigorosas sobre como você pode buscar o consentimento de forma legítima:

[…] uma indicação de consentimento deve ser inequívoca e envolver uma ação afirmativa clara (um opt-in). Ele proíbe especificamente as caixas opt-in pré-marcadas. Também requer opções de consentimento distintas ('granulares') para operações de processamento distintas. O consentimento deve ser separado de outros termos e condições e geralmente não deve ser uma pré-condição para se inscrever em um serviço.

A base legal de Interesses Legítimos, por outro lado, é bastante flexível.

Em primeiro lugar, o GDPR permite que os profissionais de marketing defendam o processamento de dados pessoais para fins de marketing direto sob a base legal de Interesses Legítimos:

…O processamento de dados pessoais para fins de marketing direto pode ser considerado realizado por um interesse legítimo.

Além disso, o ICO (Information Commissioner's Office, uma autoridade independente sediada no Reino Unido que orienta as empresas sobre como aplicar as leis de privacidade de dados do Reino Unido, como o GDPR) explica como um interesse tão legítimo em marketing (como o de "aumento de vendas") pode fazer um propósito genuíno para o processamento de dados:

[Nós] temos um interesse legítimo em comercializar nossos produtos para clientes existentes para aumentar as vendas.

A ICO também explica como os Interesses Legítimos podem ser a base mais apropriada em vários casos, como quando:

• o processamento não é exigido por lei, mas é um benefício claro para você ou outros;
• há um impacto limitado na privacidade do indivíduo;
• o indivíduo deve razoavelmente esperar que você use seus dados dessa maneira; e
• você não pode, ou não quer, dar ao indivíduo controle total antecipado (ou seja, consentimento) ou incomodá-lo com solicitações de consentimento perturbadoras quando é improvável que ele se oponha ao processamento.

Para cada necessidade (ou finalidade) de marketing em mãos, um profissional de marketing precisa decidir cuidadosamente as diferentes bases legais a serem usadas (entre as seis bases legais sob as quais o GDPR permite o processamento de dados). Desses seis, consentimento e interesses legítimos são as duas bases legais que são frequentemente usadas para personalização de sites para visitantes gerais (ou não logados). (Este artigo se concentra em como você pode usar a base legal de interesses legítimos para personalizar suas experiências no site.)

Em geral, incluir um caso sob a disposição de interesses legítimos requer muita reflexão. Para tornar isso um pouco mais fácil, a ICO projetou um teste de três partes para ajudá-lo a identificar se o objetivo que você tem em mãos realmente é uma base legal sob a disposição de Interesses Legítimos.

Aqui está o teste de três partes da ICO para determinar interesses legítimos sob o GDPR:

1. Teste de finalidade – existe um interesse legítimo por trás do processamento?
   Para usar Interesses Legítimos como base legal para o processamento de dados pessoais, você precisa primeiro explicar sua necessidade de processar os dados pessoais em questão. Você precisa de um propósito claramente articulado por trás de querer processá-lo.
2. Teste de necessidade – o processamento é necessário para esse fim?
   Para usar Interesses Legítimos como base legal para o processamento de dados pessoais, você precisa demonstrar que não há outra forma menos invasiva de atingir seu objetivo e que seu processamento é “ proporcional e adequadamente direcionado para atender seus objetivos… ”
3. Teste de equilíbrio – o interesse legítimo é suplantado pelos interesses, direitos ou liberdades do indivíduo?
   Depois que seu caso se qualificar nos dois primeiros testes, você precisa garantir que o processamento dos dados pessoais em questão não infrinja os direitos e liberdades do indivíduo cujos dados pessoais serão processados.

Com isso, vejamos agora alguns exemplos muito comuns de processamento de dados pessoais que podem se enquadrar na disposição de Interesses Legítimos do GDPR.

10 Exemplos de motivos para processamento de dados pessoais usando interesses legítimos

Antes de vermos os exemplos reais, entenda que cada exemplo listado abaixo tem uma grande lista de advertências. Esses exemplos destinam-se apenas a fornecer algumas sugestões de propósitos de marketing que podem ser explorados sob a disposição de Interesses Legítimos.

Aqui vai…

1. Processamento de dados de endereço IP

Dependendo da quantidade de dados que você captura, um endereço IP pode dizer muito. Por exemplo, você pode usá-lo para encontrar a localização de um visitante ou também para descobrir para qual empresa ele trabalha (leia mais sobre isso em nosso artigo ABM 101).

Os Interesses Legítimos são uma das bases legais que podem ser usadas para processar os dados de endereço IP de um usuário (classificados como dados pessoais). Um exemplo de finalidade de marketing sob a disposição de Interesses Legítimos usando o endereço IP pode ser oferecer ofertas localizadas.

Por exemplo, uma loja de comércio eletrônico pode promover uma capa de chuva para alguém navegando em uma área onde é a estação das monções. Como alternativa, uma loja online pode usar os dados de localização de um visitante para oferecer uma oferta de frete grátis por tempo limitado para a área do visitante.

Da mesma forma, uma empresa B2B pode usar a empresa de um visitante (identificada a partir de seu endereço IP) para mostrar alguma personalização dinâmica na forma de uma imagem ou conteúdo personalizado com, digamos, o nome da empresa ou o setor.

Observação: se você usar os endereços IP de seus visitantes para personalizar suas experiências no site, é melhor nunca armazená-los em seu banco de dados se você os tiver usado para serviços de clima ou localização. Dessa forma, esses dados não serão um problema ao coletar vários pontos de dados sobre uma pessoa no mesmo local.

2. Processamento de dados analíticos do site

A maioria dos sites coleta dados de navegação de seus visitantes para fins de otimização de desempenho. Isso geralmente é coberto pela disposição de Interesses Legítimos. Geralmente, esses dados não representam um problema, pois geralmente são anonimizados e a maioria das ferramentas de análise, como o Google Analytics, proíbe o processamento/armazenamento de PII (informações de identificação pessoal).

As tendências desse processamento de dados podem ser usadas para formar a base de uma ampla gama de experiências personalizadas em sites.

Por exemplo, usando o Google Analytics, você pode identificar as páginas do seu site onde você perde a maioria dos seus leads. Você também pode usar algumas das opções de segmentação avançada no Google Analytics para identificar os segmentos de público que desistem. Esse processamento de dados pode gerar muitos insights para você sobre os dados demográficos e mais sobre o tráfego que você está perdendo.

Usando esses insights, você também pode testar oferecer a esses segmentos experiências de site mais personalizadas.

Por exemplo, se uma loja de comércio eletrônico descobrir que uma determinada página de produto tem uma alta taxa de desistência, ela pode usar as informações demográficas de seu público para ajustar as mensagens de sua página de produto.

Essa personalização não é apenas sutil e significativa, mas os dados pessoais processados ​​também não parecem intrusivos.

3. Processamento de dados de comunicações

A execução de comunicações de marketing personalizadas por e-mail ou SMS sempre precisa de consentimento explícito.

Além disso, publique o GDPR, adicionar o e-mail de uma pessoa ao seu CRM e enviar e-mails de marketing apenas porque eles entraram em contato com você por meio de seu formulário de contato com o e-mail não é legal. Você precisa usar as caixas de consentimento abaixo do seu formulário de contato que busquem explicitamente a permissão do visitante para fazê-lo.

Além disso, o GDPR não funciona isoladamente. E, portanto, suas campanhas de marketing por e-mail (ou SMS) devem estar em conformidade com os regulamentos legais relevantes, como oferecer aos usuários um link de cancelamento de assinatura e muito mais.

Dito isso, se você obteve o consentimento para tais comunicações de um assinante, poderá personalizar a experiência do seu site para esse assinante com base na interação dele com seus e-mails de marketing ou SMS. Isso deve ser razoavelmente coberto pela cláusula de Interesses Legítimos.

Por exemplo, uma empresa de viagens pode usar seu histórico de comunicações com seus assinantes para mostrar páginas personalizadas. Por exemplo, um assinante que demonstrou interesse (digamos, clicando em um link) em viagens de luxo pode ver uma página que promove um pacote de estadia em um hotel de luxo. Alternativamente, um viajante econômico pode ver algumas ofertas selecionadas em hotéis econômicos.

4. Processamento de dados comportamentais por meio de cookies, web beacons, etc.

O processamento de dados comportamentais é muito semelhante ao processamento de dados de análise de sites. Assim como os dados de análise de sites, os dados pessoais usados ​​para impulsionar campanhas orientadas por insights comportamentais também são anonimizados. E o GDPR é bastante flexível com o processamento de dados anônimos.

Insights da interação dos visitantes com um site (por exemplo, as páginas que eles visualizaram e seus dados de clique) podem ser usados ​​para fornecer experiências de site contextualmente ricas.

Por exemplo, uma empresa de software de nível empresarial pode rastrear dados comportamentais de seus visitantes e oferecer a eles experiências mais personalizadas em suas visitas de retorno. Por exemplo, um visitante que parece estar explorando uma determinada solução pode ver a página de avaliação da mesma solução ou o formulário de inscrição em sua próxima visita ao site.

5. Processamento de dados de perfil

Assim como a análise de sites e o processamento de dados comportamentais, uma empresa pode usar a base de interesses legítimos para usar dados pessoais anônimos para criar perfis de usuários (perfil).

Por exemplo, um site de comparação de gadgets pode usar os dados pessoais anônimos de seus usuários para identificar seus principais tipos de público-alvo. Ele pode então veicular ofertas personalizadas e campanhas promocionais para cada um (por exemplo, sugerindo celulares de última geração para seu segmento de público de alto padrão e mostrando descontos em celulares de baixo custo para seu segmento de baixo orçamento).

O documento sobre a orientação do uso de Interesses Legítimos não apenas sugere tal base como base legal para o processamento de dados pessoais sob Interesses Legítimos, mas também oferece suporte para tal perfil de usuário usando dados de mídia social. O documento afirma que uma empresa pode usar:

… [Um] algoritmo fornecido pelo provedor de mídia social para direcionar melhor sua publicidade para 'semelhantes' – ou seja, outros indivíduos que tenham características semelhantes aos próprios clientes dessa empresa. A empresa carrega os dados pessoais mínimos necessários de seus clientes para permitir o direcionamento de mídia social, mas exclui aqueles que se opuseram ao marketing. A criação de perfis é realizada dentro da plataforma de mídia social para permitir a segmentação, no entanto, é puramente para fins de marketing e a empresa avaliou que não resulta em nenhum efeito legal ou similar significativo sobre esses indivíduos.

6. Processamento de dados de terceiros e de terceiros

Além dos dados primários (ou seja, os dados que uma empresa coleta por conta própria — por exemplo, dados de sua conta do Google Analytics), algumas empresas também usam dados secundários e de terceiros.

Esses dados – provenientes de parceiros e trocas de dados – capacitam os profissionais de marketing com insights poderosos sobre os psicográficos, tecnográficos e demográficos de seus públicos. Geralmente é usado para criar perfis detalhados de clientes. Que, por sua vez, são usados ​​para criar conteúdo e mensagens mais relevantes e para entregá-los aos principais segmentos do público em geral.

Por exemplo, uma empresa B2B pode usar esses dados para identificar os principais segmentos de seu público e direcionar cada segmento com recomendações de conteúdo personalizadas.

Se você precisar usar esses dados de origem, certifique-se de fazer parceria apenas com os provedores de dados e trocas que seguem práticas justas e legais de coleta e processamento de dados.

7. Processamento de dados do histórico de compras

Uma loja de comércio eletrônico pode oferecer recomendações personalizadas de produtos para seus visitantes com base em seu histórico de transações.

A DPN (Data Protection Network, um órgão sediado no Reino Unido que oferece consultoria especializada em proteção de dados e privacidade) oferece muitas orientações sobre o uso de interesses legítimos. Ele sugere que o uso de uma loja online do histórico de compras de um usuário para fazer recomendações personalizadas de produtos pode ser um bom fundamento para uma base legal de processamento de dados pessoais:

Um varejista com uma ampla gama de produtos realiza o processamento automatizado com base no histórico de transações de um cliente, com o objetivo de prever em quais outros produtos e serviços ele pode estar interessado.

8. Processamento de dados do histórico da conta

O processamento de dados da conta pode ser considerado equivalente ao processamento de dados do histórico de compras, mas para uma configuração B2B.

Uma empresa B2B pode usar os dados do histórico da conta do usuário para oferecer experiências de conteúdo contextual mais ricas. Por exemplo, uma empresa B2B pode usar os dados de seus clientes para oferecer a eles ofertas de upgrade ou venda cruzada mais relevantes e melhores.

9. Processamento de dados de cookies

Há muitas maneiras pelas quais os dados de cookies podem ajudar a oferecer experiências personalizadas no site que não são intrusivas e relevantes. A maioria dos tipos de cookies que podem fornecer experiências eficazes nem precisa de consentimento explícito do usuário, pois seu uso e instruções de exclusão podem ser explicadas nas páginas de privacidade de um site.

Por exemplo, um site de negócios pode usar dados de cookies para determinar qual conteúdo entregar a um cliente em potencial para movê-lo ainda mais no funil de vendas. Existem inúmeras maneiras pelas quais os dados de cookies podem ser usados, mesmo de maneiras amigáveis ​​à privacidade. De fato, todos os dados dos exemplos acima são coletados e armazenados principalmente em algumas formas de cookies.

Para obter mais exemplos sobre o processamento de dados sob a cláusula de interesses legítimos, confira as Orientações sobre o uso de interesses legítimos de acordo com o Regulamento geral de proteção de dados da UE.

Embrulhando-o …

A escolha de uma das duas opções – Interesses Legítimos ou Consentimento – para seus fins de marketing precisa ser considerada caso a caso. Embora os interesses legítimos possam ser (e sejam) os fundamentos legais mais comuns para o processamento de dados pessoais para a maioria dos profissionais de marketing, eles devem ser usados ​​com cuidado.

Além disso, embora a provisão de interesses legítimos possa abranger muitas táticas de personalização de sites, você ainda deve fazer a avaliação de interesses legítimos e procurar ajuda de um profissional de privacidade online legal para ter certeza antes de recorrer a ela.

Na Convert Experiences, capacitamos profissionais de marketing como você a oferecer experiências de site personalizadas seguras e amigáveis ​​à privacidade do GDPR para seus usuários. Também realizamos uma LIA completa de todos os dados que usamos sob a provisão de Interesses Legítimos para potencializar tais personalizações. Confira aqui. E se você deseja oferecer personalizações de sites que oferecem privacidade por design e privacidade por padrão, confira Converter experiências.