[Live do Data] Proteção de Dados e Mídia Programática

No dia 24 de fevereiro de 2022, em mais uma das lives do Data Privacy Brasil, conversamos com painelistas para debater as tendências da intersecção entre proteção de dados pessoais e o marketing, mais especificamente a publicidade direcionada e mídia programática.

Sob a moderação de Pedro Martins (Data Privacy Brasil) e com participação de Bruno Bioni (Data Privacy Brasil), Lívia Torres Pazianotto (CEPESP-FGV), Pedro Henrique Ramos (Baptista Luz Advogados) e Rodolfo Avelino (Insper/Coletivo Digital), conversamos sobre como a observância de regras de proteção de dados podem reforçar a confiança de um público, como funcionam mecanismos de rastreabilidade para traçar perfis comportamentais e como a decisão do Caso IAB pode impactar o futuro do mercado de publicidade direcionada.

Neste blog post, sumarizamos e destacamos os principais pontos da nossa conversa, que você pode conferir na íntegra aqui. Vem com a gente!

Começando do começo: Qual a relação entre proteção de dados e marketing?

Para iniciar a conversa, Lívia Torres destacou que o marketing busca, antes de mais nada, traçar estratégias para aproximar pessoas da organização. Para fazer isso, nada melhor que conhecer seu público-alvo e oferecer produtos ou serviços que se aproximem dos seus interesses. Com isso, os dados pessoais passam a ser um ativo central, uma vez que a partir das interações dessa pessoa com a organização torna-se possível identificar seus interesses e direcionar um conteúdo mais relevante.

A partir de um anúncio direcionado, uma pessoa pode conhecer uma organização, começar a interagir e navegar em seu site, e com isso começa-se a criar uma relação mais próxima. Justamente a partir dessa aproximação a organização pode começar a incluir esse cliente em cada vez mais campanhas e direcionar conteúdo para pessoas realmente engajadas.

Nesse sentido, a LGPD pode ser vista como uma janela de oportunidade para aumentar a transparência e melhorar a comunicação entre organizações e titulares de dados, gerando assim um ganho de confiança, que é também uma vantagem competitiva. Assim, Lívia concluiu defendendo que as estratégias de marketing e a observância das regras de proteção de dados têm, em última análise, os mesmos objetivos, e podem ser vistas como complementares.

Nada é por acaso: tecnologias de rastreamento e grandes plataformas 

Rodolfo Avelino começou sua fala lembrando que a Internet se tornou uma rede “comercial”, não mais restrita a universidades e Estados, por volta do meio da década de 1990, e com isso as empresas de publicidade começaram a enxergá-la como uma importante ferramenta para suas estratégias. Isso se intensifica com o surgimento das grandes plataformas como Google e Facebook, que possuem a maior parte de seu faturamento vindo de receitas relacionadas a venda de publicidade direcionada.

Essas plataformas tornam-se tão grandes que passam a ter um poder político e econômico capaz de influenciar o próprio desenvolvimento técnico da internet. Rodolfo destaca que o uso que fazemos da Internet hoje não é um resultado somente da evolução tecnológica, mas também da influência dessas grandes plataformas.

Embora muito se fale nos cookies como uma das principais formas de rastrear o comportamento de usuários na Internet, Rodolfo destaca que não se pode ter a ilusão de que esse rastreamento é feito apenas pelos meios de navegação. Cada vez mais novos canais de coleta de dados foram sendo criados, até mesmo como forma de gerar diferenciais competitivos entre as empresas que exploram esse recurso. Alguns exemplos disso são análises de faturas recebidas na caixa de entrada de um email, uso de geolocalização em aplicativos de GPS para analisar comportamentos a partir do padrão de deslocamento e outros mecanismos como beacons, que rastreiam o tempo de navegação e permanência em uma página.

Como funciona o ecossistema de mídia programática?

Para responder essa pergunta, nosso convidado Pedro Ramos, autor do livro Direito e Mídia Digital: melhores práticas, começou com uma retrospectiva histórica das estratégias de marketing

A publicidade, há muitos anos atrás, poderia contar com técnicas mais simples como colocar anúncios em lugares públicos, como uma praça, para que pessoas que passassem pela praça vissem aquele anúncio. Com cada vez mais ferramentas e tecnologias, mais atores passam a se envolver no processo. Com jornais e revistas de ampla circulação, por exemplo, surge uma nova oportunidade para divulgar um anúncio. Contudo, passa-se também a ser necessário um intermediário entre o veículo e o anunciante, como uma agência de publicidade. O mesmo ocorreu com rádio e televisão, exigindo uma especialização da produção desses anúncios. As particularidades de cada meio acabam ditando como funciona o seu ecossistema de publicidade.

Com a Internet, muitas dessas relações passam a ser automatizadas, havendo uma “programação” para determinar como esses anúncios chegarão às pessoas, daí surgindo o nome mídia programática, nos anos 2010. É possível identificar em tempo real o perfil do usuário que está em determinado site ou plataforma e, a partir desse perfil, enviar uma publicidade direcionada a ele. Isso tornou-se tão comum que as nossas próprias expectativas foram alteradas, sendo até motivo de estranhamento receber um anúncio não direcionado, ou que não atende a nenhum dos nossos interesses.

Em resumo, a mídia programática nada mais é do que uma forma de programar qual anúncio será direcionada para qual usuário, a partir do perfil atrelado a ele. Dentro da mídia programática existem diferentes formas de como realizar essa programação. A mais famosa delas é o RTB (Real-time Bidding), em que a partir da estrutura do anúncio e dos perfis de usuários identificados, anunciantes fazem um leilão para ofertar sua publicidade naquele espaço e para aquele usuário. Esse método não é novo, mas a automatização e a proliferação da quantidade de anunciantes que podem participar desse leilão aumentou exponencialmente, especialmente a partir de protocolos abertos que permitem a interoperabilidade entre diferentes softwares, permitindo que pequenas empresas também participem desse leilão.

Por fim, Pedro Ramos destacou que a mídia programática não requer o uso de dados pessoais, uma vez que ela diz respeito apenas à automação do envio de anúncio. Contudo, é evidente que o uso de dados pessoais ajudam a melhorar a assertividade dos anúncios.

Caso IAB Europe: ecossistema de publicidade direcionada em xeque?

No dia 2 de fevereiro, a Autoridade de Proteção de Dados da Bélgica emitiu uma decisão declarando que um dos principais frameworks de coleta de consentimento para viabilização de mídia programática, o Transparency and Consent Framework (“TCF”), utilizado por 80% dos sites e aplicativos europeus, não estava de acordo com as regras de proteção de dados da União Europeia. Para comentar essa decisão, Bruno Bioni também começou com uma retrospectiva histórica.

Bioni ressalta que essa decisão não “surgiu do nada”, mas parte de um acúmulo dos órgãos reguladores, que definiram o mercado de publicidade comportamental como uma prioridade. A grande novidade trazida por essa decisão é a argumentação usada pela Autoridade Belga e sua racionalidade, com dois grandes pontos em destaque:

  1. O ponto mais marcante, do ponto de vista jurídico-regulatório, é a análise das bases legais. A Autoridade Belga concluiu que o legítimo interesse não seria cabível. No “teste do legítimo interesse” realizado pela autoridade, a atividade de tratamento passa nas 2 primeiras fases, de finalidade e necessidade. Contudo, a atividade não passou na fase de balanceamento, justamente por não atender aos princípios de proteção de dados pessoais, em especial aos da transparência e necessidade. 
  2. O segundo grande ponto que a decisão traz é em relação ao direito de oposição. A decisão então trabalha com bases legais, princípios e também direitos dos titulares. Segundo a DPA Belga, o TCF não oportunizou adequadamente o direito de oposição, que é um direito forte trazido pela GDPR. No Brasil, por exemplo, esse direito de oposição não é tão forte quanto na GDPR, destaca Bruno.

Pedro Ramos também comentou a decisão do Caso IAB, fazendo antes o disclaimer de que também atua como membro do conselho do IAB Brasil. O TCF, segundo Pedro Ramos, é nada mais que um protocolo aberto e gratuito, desenvolvido pelo IAB Europe e com contribuições de várias empresas e autoridades da Europa, como da França e Alemanha, que funciona basicamente como um “guia” de recomendações para ferramentas para softwares ligados ao ecossistema de publicidade, como o protocolo RTB e cookie banners

Pedro também destacou que a decisão ainda é recorrível, sendo uma decisão administrativa, restringindo-se à Autoridade Belga, e que não invalida o TCF, mas exige determinadas adequações ao protocolo. O maior problema atribuído por Pedro Ramos à decisão são os impactos que irão ser ocasionados nas pequenas e médias empresas, que segundo diversos estudos no Brasil e no mundo, são as maiores usuárias de sistemas de publicidade programática.

Outro ponto preocupante da decisão foi o entendimento de que o IAB é um controlador conjunto com as entidades que utilizam o protocolo do TCF. Considerar uma entidade que desenvolve um protocolo aberto como responsável por todos os usos que outras entidades farão deste protocolo coloca em xeque muitas atividades legítimas e benéficas para o ecossistema, de acordo com Pedro. O mau uso do protocolo deveria ser uma responsabilidade de quem está aplicando-o de forma errônea, e não de quem o desenvolveu, argumenta.

Caso você se interesse em saber mais sobre a discussão do caso IAB, além da decisão da autoridade Belga já referenciada acima, indicamos o artigo Impossible Asks: Can The Transparency and Consent Framework Ever Authorise Real-Time Bidding After The Belgian DPA Decision, escrito pelos pesquisadores Michael Veale, Midas Nouwens e Cristiana Teixeira Santos. 

E no Brasil?

Embora os impactos no mercado europeu possam causar reflexos no mundo inteiro, é importante entender as particularidades desse cenário e o que é ou não aplicável ao Brasil. Bruno Bioni destaca que de início já existe uma grande diferença entre o arcabouço jurídico de Brasil e Europa: na Europa há o E-privacy Directive, uma diretiva que regula relações na internet, e define  o consentimento como única base legal possível para envio de marketing. Por conta disso, a própria indústria se antecipou e criou esse protocolo para auxiliar a adequação dos atores desse mercado.

No Brasil, por outro lado, não há esse paralelo e essa limitação de base legal. Por outro lado, há uma incerteza no cenário brasileiro de qual base legal seria aplicável, e se o legítimo interesse “passaria no teste”. Contudo, o incentivo à criação de boas práticas pelo próprio setor também existe no Brasil, previsto no art. 50 da LGPD, sendo possível até mesmo solicitar à Autoridade Nacional de Proteção de Dados a homologação de protocolos de boas práticas.

De toda forma, Bioni enxerga que tanto no Brasil quanto na Europa ainda tem “muita água pra rolar”, vários outros casos ainda devem ser analisados por autoridades da Europa, pelo próprio European Data Protection Board e, em última análise, o judiciário deve ser chamado a dar a palavra final.

Lívia Torres também trouxe algumas conclusões do Guia de Proteção de Dados e Marketing: em relação às bases legais, entende-se que quanto mais distante fosse a relação com o titular, maior seria a probabilidade do consentimento ser necessário para que uma campanha de marketing esteja adequada à LGPD. Por outra via, quanto mais próxima for essa relação com o titular (por exemplo, um ex-aluno de uma instituição), maior a possibilidade do uso da base legal do legítimo interesse para legitimar o tratamento de dados com finalidade de envio de conteúdo de marketing. Como medida de boas-práticas adotada pela FGV após elaboração do guia, Lívia destacou que o opt-out, ou seja, o direito de oposição, sempre seria aplicável em campanhas de marketing.

E o titular? É possível se proteger?

Após uma longa discussão tendo como foco as boas práticas de agentes de tratamento de dados, Rodolfo Avelino nos contou um pouco de como se proteger enquanto titular de dados de práticas invasivas de rastreamento e perfilamento.

Com certo ceticismo, Rodolfo ressaltou que talvez o máximo que possamos fazer no momento é mitigar esse rastreamento. Por mais que a Internet seja composta por protocolos abertos, na maior parte das vezes os usuários estarão navegando em ambientes e plataformas privadas, o que diminui as possibilidades de exercício de algum tipo de controle mais estrutural por parte do usuário. 

Considerando esse cenário, algumas ferramentas podem ser estratégicas. A primeira destacada por Rodolfo foi a criptografia, um mecanismo técnico que viabiliza ferramentas que permitem formas seguras de troca de informações na internet em anonimato. A rede Tor é uma rede que tem como base a criptografia, mas também oferece outras ferramentas. Uma das mais conhecidas é o Tor Browser, um navegador que protege o usuário de um rastreamento publicitário. Grandes empresas como Google e Apple também têm se movimentado, criando ferramentas para que o usuário possa melhor controlar o compartilhamento de seus dados com possíveis anunciantes, respectivamente, o Privacy Sandbox e App Tracking Transparency.

Após cerca de 1h10 de ricas discussões, encerramos a live com as considerações finais de cada painelista, que destacaram a dinamicidade da regulação do tema, que ainda deve passar por um olhar mais atento da Autoridade Nacional de Proteção de Dados, mas também pelas constantes evoluções tecnológicas que afetam como a publicidade direcionada é viabilizada, com maior ou menor quantidade de uso de dados pessoais.

Caso tenha perdido a conversa, reforçamos a indicação para conferir o bate papo na íntegra, que encontra-se disponível aqui!

Compartilhe este conteúdo em pdf.

Até a próxima!

MATERIAIS CONSULTADOS PARA REALIZAÇÃO DA LIVE

AVELINO, Rodolfo da Silva; SILVEIRA, Sérgio Amadeu da. A dependência do rastreamento comportamental online para a economia globalizada. V Simpósio Internacional da Rede Latinoamericana de Estudos em Vigilância, Tecnologia e Sociedade, nov./dez. 2017. 

AVELINO, Rodolfo da Silva. A evolução dos mecanismos de rastreamento e vigilância intrusivos em clientes web. VI Simpósio Internacional da Rede Latinoamericana de Estudos em Vigilância, Tecnologia e Sociedade, 2019.

DATAGUIDANCE. EU:  IAB Europe notified by Belgian DPA of draft finding of GDPR infringements. 05 nov. 2021.

IAB EUROPE. Update on the Belgian Data Protection Authority’s Investigation of IAB Europe. 05 nov. 2021.

IRISH COUNCIL FOR CIVIL LIBERTIES. Tracking-industry body IAB Europe told it has infringed the GDPR, and its “consent” pop-ups used by Google and other tech-firms are unlawful. 05 nov. 2021.

BRAVE. RTB Evidence: selected evidence submitted to data protection authorities to demonstrate RTB’s GDPR problems.

VEALE, Michael; NOUWENS, Midas; SANTOS, Cristiana Teixeira. Impossible Asks: Can the Transparency and Consent Framework Ever Authorise Real-Time Bidding After the Belgian DPA Decision? In: Technology and Regulation, 2022, 12-22, https://doi.org/10.26116/techreg.2022.002, ISSN: 2666-139X.

DATAGUIDANCE. Belgium: Belgian DPA imposes €250,000 fine on IAB Europe for TCF violations of GDPR. 02 fev. 2022.

COMPETITION AND MARKETS AUTHORITY. Online platforms and digital advertising: market study final report. CMA, 01 jul. 2020. 

EUROPEAN DATA PROTECTION BOARD. Guidelines 08/2020 on the targeting of social media users. EDPB, 02 set. 2020. 

DATAGUIDANCE. France: CNIL finds use of Google Analytics non-compliant with Chapter V of GDPR, orders website to comply. 10 fev. 2022.

DATAGUIDANCE. Netherlands: AP announces investigations regarding use of Google Analytics. 18 jan. 2022.

DATAGUIDANCE. Norway: Datatilsynet announces investigations concerning use of Google Analytics. 04 fev. 2022.

Cadastre-se e receba em seu email a nossa newsletter