Artigo de Josmar Lenine Giovannini Jr.*
A regra para o tratamento de dados pessoais de acordo com as legislações globais são (em até certo ponto) bastante simples e coesas, exigindo que, caso dados pessoais sejam tratados pelas corporações, que este tratamento esteja de acordo com os requisitos legais das leis locais de proteção de dados vigentes.
Como não haveria de ser diferente, tais regras são válidas também para o segmento de feiras e eventos, o qual realiza o tratamento massivo de dados pessoais.
Na organização de um evento, a preocupação com a forma correta pela qual os dados pessoais devem ser tratados pode eventualmente parecer secundária para os organizadores bem como para algumas das empresas participantes (que efetivamente tratam de dados pessoais), o que pode resultar em riscos para os titulares dos dados pessoais com potenciais tratamentos indevidos dos seus dados.
Já em vigor desde 2020 no Brasil, a Lei Geral de Proteção de Dados Pessoais (Lei N° 13.709/2018, conhecida por LGPD) não coíbe que dados pessoais sejam tratados pelas empresas, vindo, porém, a regular a forma com a qual tais tratamentos sejam realizados.
O setor de feiras e eventos começa a tratar os dados pessoais dos seus visitantes no site a ser visitado pelos interessados em se inscreverem para os eventos promovidos, mediante aos cookies que são coletados em tais sites. A empresa organizadora do evento deverá obter os devidos consentimentos dos seus titulares visitantes para o tratamento dos diferentes tipos de cookies a serem coletados no site, sem os quais tais tratamentos de dados serão considerados como indevidos e não deverão ser realizados.
Vencida a etapa do fornecimento (ou não) dos consentimentos para o tratamento dos cookies, informações dos titulares visitantes dos eventos são coletadas pelos organizadores para viabilizar as suas inscrições. Neste momento, uma série de dados pessoais e informações são solicitadas, o que deve ser feito com bastante rigor, uma vez que, no Brasil, a LGPD exige que:
a.) O tratamento de dados pessoais seja feito atendendo a propósitos legítimos, específicos, explícitos e informados ao titular;
b.) Exista a compatibilidade do tratamento de dados pessoais com as finalidades informadas ao titular;
c.) O tratamento de dados pessoais seja limitado ao tratamento mínimo necessário para a realização de suas finalidades;
d.) Seja garantida aos titulares de dados pessoais a consulta facilitada e gratuita sobre a forma e a duração do tratamento realizado, bem como sobre a integralidade de seus dados pessoais;
e.) Seja garantida aos titulares de dados pessoais a exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
f.) Sejam garantidas aos titulares de dados pessoais informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
g.) Sejam utilizadas medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
h.) Que sejam adotadas pelos agentes de tratamento de dados pessoais medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
i.) Seja garantida aos titulares de dados pessoais a impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
j.) Que sejam demonstradas, pelos agentes de tratamentos de dados, as adoções de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Assim, todos os princípios descritos acima devem ser satisfeitos a fim de que o tratamento dos dados pessoais dos titulares visitantes seja feito em conformidade com a Lei Geral de Proteção de Dados pessoais.
Compartilhamento de Dados Pessoais
Dados pessoais coletados dos titulares visitantes são compartilhados pelos organizadores dos eventos com entidades afiliadas, expositores, fornecedores, contratados e terceiros, a menos que o titular visitante se manifeste em contrário. Tal compartilhamento deve ser expresso pelos organizadores do evento em um documento a ser publicado, descrevendo os Termos e Condições do Evento, no qual são detalhadas todas as formas com as quais são tratados os dados pessoais dos titulares visitantes.
Tais empresas receptoras destes dados pessoais deverão possuir grau de maturidade adequado para o tratamento dos dados pessoais, protegendo assim os dados pessoais recebidos e evitando episódios de violação de segurança.
Ações de Marketing a serem direcionadas aos titulares visitantes dos eventos
Uma das questões principais a serem notadas é que a obtenção do consentimento do titular de dados pessoais é fundamental para viabilizar as ações de marketing direcionado, tais como o envio de e-mails, envio de newsletters e demais ofertas e/ou promoções, caso elas estejam nos planos dos organizadores e expositores do evento. Tais consentimentos podem ser obtidos através do uso de “opt-ins”, que são as caixas que quando selecionadas indicam a concordância dada pelo titular de dados em receber o marketing especificado. É importante que tais caixas estejam sempre desmarcadas, direcionando o titular a confirmar a concordância mediante a sua seleção, sendo esta a forma mais segura da demonstração do consentimento, sendo este consentimento considerado então uma manifestação livre, informada e inequívoca por parte do titular de dados.
Importante notar que o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular de dados visitante do evento, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação. Para tal revogação, é importante que sejam incluídas em todas as formas de marketing direcionado as caixas “opt-out”, as quais, quando selecionadas, indicam o desejo do titular de dados em não mais receber a determinada comunicação enviada. Tal desejo deve ser respeitado pelas organizações, as quais não poderão continuar a enviar e-mails com marketing para tais titulares após o recebimento do “opt-out”.
Importante frisar que tão importante quanto a obtenção dos consentimentos para os tratamentos de dados pessoais é a gestão dos consentimentos obtidos pelos organizadores de eventos e expositores para os seus tratamentos, a fim de evitarem-se envios indevidos de comunicações para titulares de dados pessoais que eventualmente já tenham expressado o seu desejo em não mais receberem-nas. Atualmente existem plataformas específicas para a gestão dos consentimentos oferecidos, que são importantes aliadas para os departamentos de marketing das corporações.
Durante o evento
Passada a fase de inscrição e coleta de dados, já nos estandes dos eventos, a ânsia dos expositores pelo escaneamento dos dados pessoais dos titulares visitantes para futuros contatos é muito grande. Isso pois cada visitante dos estandes é um cliente em potencial para os expositores, podendo representar volumes significativos em receitas futuras, sendo os seus contatos muito importantes de serem obtidos. Tais visitantes também podem ser de clientes atuais, parceiros de negócios, funcionários do governo, concorrentes etc., dados estes que podem ser extremamente importantes de serem computados e futuramente mapeados pelos anfitriões.
Antes da existência dos scanners, cartões de visita eram deixados pelos visitantes em recipientes específicos nos estandes, o que representava o interesse por contatos futuros dos expositores. Eram muito comuns as notícias de que tais recipientes eram simplesmente furtados durante os eventos, demonstrando o grande interesse pelas informações depositadas em tais recipientes, pelos motivos anteriormente comentados.
Falando em cartões de visitas, como ficam os tratamentos de dados pessoais conferidos aos cartões de visita, tão compartilhados nas feiras e eventos, à luz da LGPD? A Lei geral de Proteção de Dados Pessoais define regras para o tratamento de dados pessoais de pessoas físicas, não de pessoas jurídicas. As empresas (pessoas jurídicas) são formadas por titulares de dados (pessoa física), o que implica dizer que não se consegue contactar uma pessoa jurídica sem se contactar antes uma pessoa física. Neste sentido, os dados do titular de dados presentes nos cartões de visita são utilizados apenas como um meio de contato pela empresa. Assim, o contato estabelecido tem por fim a pessoa jurídica, mas não a pessoa física. Porém, é claro que isso não dá o direito de os dados dos referidos cartões serem inseridos, por exemplo, em listas de distribuição de e-mails pela empresa portadora dos mesmos. Caso esta seja uma intenção da empresa que detém os cartões, o devido consentimento deverá ser obtido dos titulares de dados pessoais.
Pelo exposto, fica clara a necessidade do setor de Feiras e Eventos bem como as empresas participantes dos eventos em se adequarem aos requisitos legais da Lei Geral de Proteção de Dados pessoais, a fim de que possam continuar a desempenhar as suas atividades protegendo os dados dos titulares, evitando eventuais episódios de violação de segurança e, principalmente, de acordo com a conformidade Legal exigida.
*Josmar Lenine Giovannini Jr é Fundador da empresa Conformidados e especialista em LGPD para o segmento hoteleiro. Contato: E-mail: josmar.giovannini@conformidados.com.br
