A LGPD e o UX Research
Estamos cada vez mais próximos da entrada em vigor da Lei Geral de Proteção de Dados. Na corrida para a conformidade nos deparamos com algumas dúvidas sobre atividades rotineiras que realizamos, mas que podem sofrer mudanças com a nova legislação.
Uma delas são as pesquisas.
Vamos recapitular aqui o papel da Lei Geral de Proteção de Dados. A Lei tem o intuito de cuidar da nossa privacidade, protegendo nossos dados pessoais. Essa proteção é baseada em regras para tratamento desses dados pessoais.
O Dado Pessoal é o coração da LGPD.
Durante o processo de elaboração e aplicação de pesquisas, podemos coletar dados pessoais e sensíveis e, por isso, construí aqui um passo a passo para não errarmos ao trabalharmos com informações pessoais e, assim não violarmos a privacidade de nenhum perfil recrutado :)
1 — Defina seu objetivo
Leia-se: finalidade da pesquisa. O que você espera com essa pesquisa, por exemplo: "Entender as necessidades de compra em meio a pandemia". Se você vai coletar dados pessoas com essa finalidade, aproveite para deixar isso muito transparente (você sabe da importância da transparência para a LGPD? Se não, clique aqui) para o usuário.
2- Perfil de recrutamento
Para a seleção do universo da pesquisa, geralmente são utilizadas informações que podem não identificar uma pessoa e que não tem impacto na LGPD. Como por exemplo:
Homens e mulheres, de 22 a 33 anos, que morem no Rio de Janeiro, que tem o hábito de realizar compras online.
Se esse perfil é gerado sem que você tenha acesso a identificação do indivíduo, está tudo certo.
Mas, se você está trabalhando, por exemplo, com uma base interna de clientes para seleção de seu universo de pesquisa, provavelmente irá identificar os indivíduos. Também está tudo bem, mais temos algumas regras para trabalhar com esses dados que identificam pessoas. Você vai entender melhor, no passo 3.
3 — A pesquisa
Para ouvirmos nossos usuários, entendermos suas necessidades e propormos soluções, são consideradas pesquisas que coletam informações que servirão de base para tomadas de decisões centradas no usuário.
Nessas pesquisas podem ser levantados dados pessoais, dados sensíveis e dados que, não necessariamente são pessoais, para análise.
3.1 — Dados pessoais e dados sensíveis
Vamos entender primeiro o que são dados pessoais. Duas perguntas podem te ajudar a saber se você está trabalhando com dados pessoais:
O dado que você deseja coletar identifica diretamente uma pessoa? O dado que você deseja coletar, em conjunto com outros dados coletados, identifica uma pessoa?
Se a resposta for sim para as duas ou para uma das perguntas, você estará coletando dados pessoais.
Os dados que podem identificar uma pessoa diretamente ou indiretamente, podem ser, por exemplo: nome, cpf, rg, e-mail, cnh, passaporte, endereço, telefone, cookies, e-mail.
E, o que são dados pessoais sensíveis? São nada mais que dados pessoais que , se usados indevidamente, podem causar alguma discriminação ou dano aos seus titulares. São considerados dados sensíveis:
- dados pessoais que revelem a origem racial ou étnica, opiniões políticas e convicções religiosas ou filosóficas;
- filiação sindical;
- dados genéticos, dados biométricos tratados simplesmente para identificar um ser humano;
- dados relacionados com a saúde;
- dados relativos à vida sexual ou orientação sexual da pessoa.
Então, se estamos utilizando algum dado pessoal ou dado sensível para realização de pesquisas, seja no momento de definição do universo, seja no momento em que realizamos a pesquisa, precisamos considerar as regras da Lei Geral de Proteção de Dados.
3.2 — Tratamento de dados
Antes de irmos às regras, o que queremos dizer com tratamento de dados? É toda operação realizada com um dado pessoal ou sensível: a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, segundo a Lei 13.709.
O tratamento de dados é muito familiar para um profissional de UX Research, não é?! Em pesquisas é comum coletar, classificar, avaliar, processar dados pessoais e, o que mais for necessário para seu objetivo.
3.3 — Hipóteses
Falamos então sobre o dado pessoal, sobre o tratamento de dados e agora vamos às regras, ou, como descrito na lei, hipóteses para tratamento de dados pessoais.
Aqui temos uma regra importante: Você só pode realizar o tratamento de dados pessoais com base em uma hipótese prevista na lei.
Na prática precisamos respeitar as 10 bases legais para realizar algum tratamento de dados pessoais, verificando qual se encaixa no cenário de sua pesquisa e assim justificar o tratamento dos dados pessoais envolvidos:
I — Consentimento
II — Cumprimento de obrigação regulatória ou legal
III — Administração Pública na execução de políticas
IV — Realização de estudo por órgãos de pesquisa
V — Para a execução de contratos ou itens a ele relacionados
VI — Exercício de diretos em processos
VII — Proteção à vida e integridade física
VIII — Para tutela da Saúde
IX — Para atender interesses Legítimos do controlador
X — Para Proteção ao Crédito
4- Um exemplo prático
Vamos supor que estamos realizando uma pesquisa para um e-commerce que busca entender os hábitos de consumo, em meio a pandemia.
A finalidade da pesquisa é conhecer quais são as necessidades dos usuários na pandemia, período em que pessoas estão reclusas, para ofertar produtos que atenderiam as expectativas de nossos clientes alvo.
O perfil que será pesquisado:
Homens e Mulheres, de 24 a 38 anos, que morem em São Paulo, e realizam compras online pelo menos três vezes ao mês.
Para chegar nesse perfil, eu dei uma olhada na minha base de clientes e, selecionei os indivíduos que se encaixaram no perfil delimitado. Na minha base interna eu consigo identificar meus clientes e, logo, preciso de uma hipótese legal para seleção dos entrevistados, pois, fiz uma seleção e uma classificação, que são considerados tratamentos de dados.
Após a seleção, eu preciso entrar em contato com o cliente para realizar a pesquisa, certo? É a comunicação que está citada na descrição do tratamento de dados. Então, eu preciso também de uma hipótese legal para falar com meu cliente. Talvez ele não estava esperando por isso, quando me forneceu seus dados pessoais.
Olá! Estamos realizando uma pesquisa para entender suas necessidades e trabalharmos novas ofertas de produtos que entendemos que possam ser de seu interesse (transparência sobre a coleta de dados) e, para isso, gostaríamos que respondesse 4 perguntas sobre seus hábitos de consumo, nesse período de quarentena.
Para que o usuário responda as perguntas (coleta de dados) também vou precisar de uma hipótese legal, afinal, estou coletando dados sobre o comportamento do meu usuário identificado, e esses dados que podem estar no rol de dados sensíveis.
Então temos, necessidade de uma hipótese para seleção do perfil, entrar em contato com o cliente e para coletar os dados do cliente.
Para pesquisas podemos ter duas hipóteses chaves: o Interesse Legítimo e o Consentimento.
O interesse legítimo do controlador funciona basicamente assim: podemos tratar dados pessoais quando entendermos que exista uma expectativa do cliente que realizaremos esse tratamento. Exemplo: Existe um interesse legítimo do controlador (e-commerce) em melhorar a oferta de produtos e uma expectativa do usuário em receber produtos mais adequados a suas necessidades.
Já o consentimento é feito mediante autorização explícita e dada por livre espontânea vontade do cliente. Exemplo: Você autoriza que eu utilize seus dados pessoais para análise de seu interesses para melhorar minha oferta de produtos? Você só poderá realizar a pesquisa se o cliente concordar e fornecer o consentimento. Se, estiver coletando dados sensíveis, você não pode utilizar o interesse legítimo, apenas o consentimento. Lembre-se disso!
É isso!
Se você fizer pesquisas que não tenha como identificar os entrevistados, não precisará de nenhum dos passos acima :)
