Atualizado: Novembro 2020
Devido ao escândalo de vazamento de dados, o Facebook tem começado a levar a sério a proteção dos dados dos seus utilizadores, e têm sido transparentes e proativos em relação ao RGPD.
Neste artigo vamos saber o que é necessário para fazer para que, enquanto anunciante no Facebook, esteja em conformidade com o RGPD.
O que é o RGPD?
O Regulamento Geral sobre a Proteção de Dados (RGPD) tem como objetivo a proteção de dados pessoais nos países que integram o Espaço Económico Europeu.
Segundo o website oficial, é a maior alteração na regulação de dados pessoais dos últimos 20 anos.
Se você estiver no Espaço Económico Europeu ou tiver produtos ou serviços que regulam dados pessoais de indivíduos na UE, então tem de estar em conformidade com o RGPD, em relação aos dados pessoais que recolha e o que faz com eles.
Além disso, os seus visitantes e leads têm de lhe dar consentimento expresso antes que você possa recolher e utilizar os seus dados.
Isto dá ao consumidor mais liberdade e controlo sobre os seus dados pessoais. As pessoas devem ter o direito de:
- pedir para eliminarem os seus dados
- pedir para retificarem os seus dados
- pedir para não utilizarem os seus dados
As multas podem ir até 20 milhões de euros ou 4% da faturação anual.
Embora este regulamento tenha sido feito mais para as grandes empresas (porque são elas que têm dinheiro), não significa que alguém não possa fazer queixa de si e colocar o seu negócio em apuros.
O que tem feito o Facebook?
Grandes marcas como o Facebook têm sido proativas para serem transparentes e trabalharem para estar em conformidade com o RGPD.
Os três pilares em que o Facebook se está a focar são transparência, controlo e responsabilidade.
O que isto significa é que o Facebook quer que seja fácil para as pessoas saberem o que o Facebook sabe sobre elas com base nos dados pessoais que partilham no Facebook. Isto inclui lidarem com a forma como os anunciantes usam esses dados.
Por isso é importante para todos aqueles que fazem anúncios saber o que o Facebook quer de quem anuncia na rede social.
Faz anúncios?
A sua responsabilidade como anunciante é fazer o que o Facebook está a fazer.
Precisa de informar os seus clientes e contactos sobre os dados pessoais que está a recolher, o que está a fazer com eles, e quem mais irá (se tiver) acesso a eles.
Se estiver a fazer retargeting no Facebook dentro do próprio Facebook (ex.: retargeting para visualizações de vídeo), não tem muito com que se preocupar.
Se estiver a usar o Píxel do Facebook e Públicos Personalizados, tem de tomar cautela com algumas coisas.
Mas antes disso, temos de perceber como estar em conformidade com o RGPD, precisa saber o que significa o consentimento:
“[é] uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.”
Você tem de garantir que existe uma base legal e relevante (por exemplo, consentimento, necessidade contratual ou interesse legítimo) para usar os dados das pessoas.
Não tente passar essa responsabilidade para o Facebook, porque isso não pega. O Facebook diz que:
“Todas as empresas são responsáveis por cumprir o RGPD, da mesma forma que são responsáveis por cumprir as leis que se aplicam às mesmas atualmente.”
O Píxel do Facebook é afetado pelo RGPD?
“Ao utilizares o píxel do Facebook, terás de cumprir o RGPD”, diz o próprio Facebook.
No Guia de Consentimento, o Facebook mostra alguns exemplos de onde temos de pedir consentimento às pessoas:
- Sites de revenda que recolhem dados sobre os produtos que as pessoas veem no site deles, para efeitos de segmentação de anúncios;
- Blogues que usem cookies para obter dados demográficos dos seus leitores/visitantes;
- Anunciantes no Facebook que têm o Píxel do Facebook instalado para medir conversões de anúncios ou fazer retargeting de públicos no Facebook.
Como obter consentimento? Precisa de informar os visitantes do seu site que tipo de dados está a recolher, como e o porquê da sua recolha, e eles têm de concordar com isto.
Isto pode ser afeito através duma barrinha de cookies no rodapé ou cabeçalho do seu site, ou ao pedir consentimento na inscrição.
Para mais informação sobre como estar em conformidade com o RGPD aconselho que consulte o site oficial, o guia de consentimento e o RGPD do Facebook.
Então e o Instagram?
Como o Instagram é uma das empresas que fazem parte do Facebook, então, sim, o Instagram também estará em conformidade com o RGPD como o Facebook.
Você não precisa tomar nenhuma ação adicional para usar os anúncios Instagram nem obter consentimento adicional para usar dados dos consumidores para efeitos de segmentação, desde que já esteja em conformidade com aquilo que faz no Facebook.
O mesmo se aplica a todas as empresas ou produtos do Facebook, como o Oculus, WhatsApp e Messenger.
Públicos personalizados: cuidado
Para usar os públicos personalizados do Facebook em conformidade com o RGPD, precisamos de perceber dois termos:
- Responsável pelo tratamento de dados: “Uma empresa é responsável pelo tratamento de dados quando tem a responsabilidade de decidir o motivo e a forma (os “fins” e os “meios”) como os dados pessoais são tratados.”
- Subcontratante: “Uma empresa é subcontratante quando procede ao tratamento de dados pessoais em nome de um responsável pelo tratamento de dados. Ao abrigo do RGPD, os subcontratantes têm obrigações para proceder ao tratamento de dados de forma segura e legal.”
Quando coloca o píxel do Facebook no seu site, o Facebook é o responsável pelo tratamento de dados. São eles responsáveis por informar as pessoas de que os dados pessoais delas estão a ser tratados e usados para efeitos de segmentação de anúncios.
Por outro lado, quando você carrega um público personalizado a partir dum ficheiro de clientes (ex.: lista de email), o Facebook é meramente um subcontratante. Como tal, é você responsável por estar em conformidade com o RGPD antes que essa informação seja carregada para o Facebook para efeitos de segmentação de anúncios.
Para mais, o Facebook está a a criar uma ferramenta de permissão de públicos que requer que seja dada prova de que existe consentimento no ficheiro de clientes que está a carregar.
Anúncios de leads afetados
Os anúncios de geração de leads (lead ads) podem ser uma boa ferramenta para captar leads.
São o tipo de anúncios que permite captar leads dentro do Facebook, sem precisar duma landing page (mas não é desculpa para não ter um website).
Segundo o Facebook:
No caso dos anúncios de leads, o Facebook e o negócio são ambos responsáveis pelo tratamento de dados. Como resultado, ambas as partes são responsáveis por garantir a conformidade[…]
Isto significa que tanto você como o Facebook têm de informar as pessoas que estão a fazer o tratamento dos dados.
Felizmente isto é relativamente fácil de fazer, porque neste tipo de anúncios podemos colocar um link para a nossa política de privacidade, e se ela estiver bem escrita, com tudo o que é necessário, estamos em conformidade.
RGPD e Políticas de privacidade
Ao abrigo do RGPD, o consentimento deve partir da pessoa.
As empresas e websites que estejam na UE, ou que estejam a atuar na UE, não poderão mais usar linguagem ambígua e complicada nos seus termos de serviço para esconder as suas intenções.
Você deve informar de forma clara, num sítio acessível (em todo o seu website) este tipo de informação:
- Quem é o seu controlador de dados?
Controladores são entidades que “possuem” os dados dos seus clientes. Isto é provavelmente a sua empresa. Caso seja uma entidade terceira a tomar decisões dos dados que você recolha, eles devem ser identificados. Se você tem um Data Protection Officer (DPO), ele deve ser identificado também. - Que decisões toma com os dados que recolhe?
Se toma decisões ou ações automatizadas com os dados pessoais que recolhe, tais como requisitos para fazer um seguro, ou emprego nos recursos humanos, tem de informar os utilizadores. - O que está a recolher?
Descreva todo o tipo de dados que está a recolher dos utilizadores do seu website. - Como irá usar esses dados?
Descreva todos os usos que irá dar aos dados que está a recolher. Para um anunciante, isso será personalização de anúncios e maior segmentação. - Durante quanto tempo mantém os dados?
Informe durante quanto tempo irá manter os dados dos utilizadores. O RGPD avisa que os dados devem ser mantidos apenas o tempo necessário. - É obrigatório?
Os utilizadores poderão usar o seu serviço sem lhe dar os seus dados pessoais? Como é a falta de personalização afeta a experiência deles. O que isto significa é que deve apenas captar os dados necessário para uma boa experiência do utilizador (se não precisa da morada dele, não peça). - Transfere dados internacionalmente?
Se sim, com que propósito e que tipo de proteção tem em vigor para garantir a segurança dos dados? - Quem mais tem acesso a isso?
Partilha os dados recolhidos com terceiros? Se sim, que dados e com que propósitos?
Após obter o consentimento, deve ter provas de que cada utilizador deu o consentimento e dar-lhes o poder de poderem revogar o consentimento se lhe pedirem.
Se decidir fazer algo mais com os dados dos utilizadores que não descreveu explicitamente na sua política de privacidade, deve notificá-los desta mudança, e dar-lhes a possibilidade de se removerem.
Conclusão
Se estiver na União Europeia ou se tem potenciais clientes da UE, precisa de estar em conformidade com o RGPD.
Se estiver fora da União Europeia (ex.: Brasil), convém à mesma estar em conformidade com a lei, porque mesmo que tente fazer o seu marketing apenas para pessoas no seu país, é muito provável que algumas pessoas da UE venham parar ao seu website ou à sua lista de email.
Independentemente do canto do mundo onde esteja, estar em conformidade diz às pessoas que o seu negócio é profissional e tem interesse na privacidade e direitos das pessoas.
Ao teu sucesso,
João Alexandre
Estratega Digital
Marketing Digital sem espinhas