Até 6 de março de 2024, os “gatekeepers” designados no âmbito da Lei dos Mercados Digitais (DMA) devem estar prontos para cumprir os requisitos do regulamento para os seus principais serviços de plataforma identificados ou correr o risco de multas pesadas e outras sanções.
Essa data não afeta apenas essas grandes empresas de tecnologia. As empresas com operações digitais na União Europeia (UE) e/ou no espaço Econômico Europeu (EEE) também devem estar prontas para a Lei dos Mercados Digitais para que possam continuar a utilizar os principais serviços de plataforma sem interrupção.
Neste artigo, examinamos a quem se aplica a Lei dos Mercados Digitais, as obrigações jurídicas impostas pelo regulamento e como as empresas podem se preparar para a DMA.
Obrigações impostas pela Lei dos Mercados Digitais
É importante observar que a Lei dos Mercados Digitais se concentra diretamente nos gatekeepers, que devem trabalhar ativamente para cumprir as obrigações estabelecidas pela Comissão Europeia (CE). Isso não quer dizer que os usuários corporativos estão livres dela. O regulamento afetará igualmente as empresas com operações digitais que dependem das plataformas e serviços dos gatekeepers para recolher e processar dados dos usuários na UE e/ou no EEE.
As disposições da DMA em relação à privacidade de dados têm um amplo alcance, abrangendo não apenas as plataformas, mas também todos os dados pessoais coletados nas plataformas. Além disso, os gatekeepers geralmente têm seus próprios termos de serviço ou acordos contratuais que as empresas devem seguir ao usar suas plataformas, o que pode se alinhar aos requisitos da DMA sobre transparência e proteção de dados. Além disso, a União Europeia e seus estados membros têm outras leis de privacidade de dados que também devem ser observadas, como o Regulamento Geral de Proteção de Dados (GDPR).
Isso significa que as empresas que usam os principais serviços de plataforma não podem se dar ao luxo de serem observadoras passivas e devem alinhar suas práticas e políticas de dados com a DMA. Essa é uma etapa necessária para qualquer empresa que queira continuar usando esses serviços sem complicações legais ou perda de acesso à plataforma.
Embora existam várias obrigações impostas aos gatekeepers pela DMA, as situações a seguir podem ter consequências diretas para as empresas que utilizam os principais serviços de plataforma e determinam como elas devem funcionar nos termos da DMA.
Obter consentimento explícito dos usuários para coletar seus dados pessoais
A Lei dos Mercados Digitais coloca controles rígidos nas bases legais para que os gatekeepers coletem dados pessoais, tornando o consentimento do usuário essencial para o processo. O artigo 2 (32) do regulamento traz a definição de consentimento do usuário de acordo com a definição do GDPR:
“Consentimento do titular dos dados significa qualquer indicação livremente dada, específica, informada e inequívoca dos desejos do titular dos dados pela qual o titular, por uma declaração ou por uma ação afirmativa clara, expressa concordância com o processamento de dados pessoais relacionados a ele.”
Por isso, de acordo com a DMA, o consentimento deve satisfazer quatro critérios fundamentais: deve ser livremente dado, específico, informado e inequívoco.
Dado livremente: O consentimento é dado livremente se a pessoa que o der tiver a opção de fazê-lo, não for pressionada, coagida ou manipulada a isso, e não será penalizada ou desfavorecida se ela se recusar a dá-lo. O consentimento não pode ser uma condição para acessar um serviço ou produto, a menos que o processamento de dados pessoais seja necessário para que esse serviço ou produto funcione. O processo de retirada do consentimento deve ser tão simples quanto o da concessão, permitindo que as pessoas mudem facilmente de ideia.
Específico: O consentimento não é específico se alguém concordar com uma coleta de dados vaga ou excessivamente ampla. Consentimento específico significa que os usuários devem concordar com cada propósito distinto para o qual seus dados pessoais estão sendo coletados e processados e ter acesso a informações sobre cada um para tomar essa decisão. Por exemplo, se uma empresa quiser processar os dados de uma pessoa para fins de publicidade e análise, ela deverá obter consentimento separado para cada um desses propósitos. Se uma empresa quiser usar os dados para outra finalidade posteriormente, ela terá que obter um novo consentimento separado que aborde especificamente esse novo uso.
Informado: Para que o consentimento seja informado, os usuários devem ter todas as informações relevantes antes de tomar uma decisão. Isso inclui entender quais dados serão coletados, para quais finalidades específicas serão usados e quem terá acesso a eles. Os usuários também devem ser informados sobre seu direito de retirar seu consentimento a qualquer momento e as consequências de fazê-lo.
Inequívoco: Não deve haver espaço para interpretação: o consentimento não é ambíguo se o usuário concordar claramente com o processamento de dados. Normalmente, isso é feito por meio do usuário que executa uma ação, como marcar uma caixa ou clicar em um botão que diz “Concordo com os termos e condições”. As caixas de silêncio, inatividade, rolagem ou pré-selecionadas não se qualificam como consentimento inequívoco.
Quando o consentimento está em conformidade com todas as condições acima, é uma ação clara e afirmativa nos termos da Lei dos Mercados Digitais e do GDPR.
Como a obtenção de consentimento explícito afeta as empresas que usam os principais serviços de plataforma?
As empresas que coletam e processam dados pessoais dos usuários na UE e/ou no EEE devem coletar o consentimento explícito e válido dos usuários. Embora as obrigações, multas e penalidades detalhadas na DMA sejam destinadas a gatekeepers, as empresas não podem se dar ao luxo de ignorar suas próprias práticas de coleta de dados. A não obtenção de um consentimento válido não só traz o risco de perder o acesso aos principais serviços de plataforma, como também pode desencadear penalidades de acordo com o GDPR ou outras leis.
Restrições na combinação de dados para a criação de perfis
A Lei dos Mercados Digitais tem requisitos rigorosos quando se trata de combinar dados de usuários em diferentes plataformas que os gatekeepers operam e entre plataformas de propriedade de um gatekeeper e plataformas de terceiros.
O Artigo 5 (2) da DMA estabelece especificamente que os gatekeepers não podem:
- a) processar, com o objetivo de prestar serviços de publicidade on-line, dados pessoais dos usuários finais que utilizam serviços de terceiros que usam os principais serviços de plataforma do gatekeeper;
- (b) combinar dados pessoais do principal e relevante serviço de plataforma com dados pessoais de quaisquer outros principais serviços de plataforma ou de quaisquer outros serviços fornecidos pelo gatekeeper ou com dados pessoais de serviços de terceiros;
- (c) utilizar dados pessoais do principal e relevante serviço de plataforma em outros serviços fornecidos separadamente pelo gatekeeper, incluindo outros principais serviços de plataforma, e vice-versa;
- (d) conectar usuários finais a outros serviços do gatekeeper para combinar dados pessoais
a menos que o usuário final tenha sido consultado e tenha dado consentimento válido de acordo com o GDPR.
Os objetivos aqui são impedir que os gatekeepers obtenham uma vantagem injusta, agrupando dados dos usuários de várias fontes e proteger a privacidade dos usuários.
Esta provisão restringe a capacidade de gatekeepers e empresas de terceiros de usar dados em várias plataformas para identificar clientes para a publicidade direcionada. A definição de perfis de menores já está proibida de acordo com o GDPR.
No entanto, a Lei dos Mercados Digitais não proíbe a criação de perfis totalmente, e os gatekeepers precisam estar abertos sobre como eles realizam a criação de perfis de usuários. Eles devem fornecer informações auditadas sobre os dados que coletam, como são processados, para o que são usados, por quanto tempo serão armazenados para fins de criação de perfil e o impacto da criação de perfis nos serviços dos gatekeepers.
É importante ressaltar que os gatekeepers também devem mostrar como eles estão conscientizando os usuários sobre a criação de perfis, como estão buscando o consentimento do usuário e oferecendo aos usuários a opção de negar ou retirar o consentimento para a coleta de dados e o uso para a criação de perfis. Os dados pessoais dos usuários que negam ou retiram o consentimento não podem ser usados para a criação de perfis.
Como as restrições na combinação de dados para a criação de perfis afetam as empresas que usam os principais serviços de plataforma?
As empresas não podem combinar dados de usuários de diferentes plataformas — mesmo que essas plataformas sejam serviços de terceiros — para fins de criação de perfis sem o consentimento explícito do usuário para esse tipo específico de compartilhamento de dados.
Isso significa que as empresas precisam ter sistemas em vigor para garantir que os dados do usuário coletados de diferentes plataformas permaneçam separados. Em essência, a DMA exige uma abordagem mais transparente e segregada do gerenciamento de dados para todos os envolvidos.
Esta última é especialmente importante à luz dos requisitos da DMA em matéria de interoperabilidade. Os gatekeepers devem permitir que os usuários troquem de serviços, acessem e transportem seus dados facilmente e garantir a compatibilidade e a integração com outras plataformas ou serviços. Empresas e anunciantes que têm acesso a dados de usuários de várias plataformas não podem combinar esses dados para criação de perfis sem o consentimento válido dos usuários.
Riscos associados à não conformidade com a Lei dos Mercados Digitais
A Lei dos Mercados Digitais regula os gatekeepers, e não há multas nos termos do regulamento para outras empresas que não estejam em conformidade. No entanto, há possíveis repercussões para as empresas que não conseguem lidar com os dados do usuário de acordo com seus requisitos.
A não conformidade pode resultar em acesso limitado ou remoção dos principais serviços de plataforma, que geralmente são canais importantes para que as empresas se conectem com clientes em potencial e impulsionem as vendas e a receita de anúncios. As empresas podem perder o acesso a seus dados e público, levando a uma perda de receita como resultado de tal remoção.
Uma preocupação diferente, mas igualmente urgente, é o dano reputacional. Ficar aquém das regras de proteção de dados da DMA tem o potencial de prejudicar a confiança do cliente, o que pode levar a taxas de conversão mais baixas, rotatividade de clientes e perda de receita.
Como as empresas podem se preparar para a Lei dos Mercados Digitais
Entender a Lei dos Mercados Digitais e como ela afeta operações e serviços pode ajudar as empresas a alocar recursos, seja em termos de pessoal ou orçamento, para se tornarem e permanecerem em conformidade. Ao fazer isso, as empresas podem garantir uma base tanto na segurança jurídica quanto na maior confiança do cliente.
A preparação para a Lei dos Mercados Digitais exige que as empresas garantam a coleta de consentimento do usuário e a sinalização em conformidade com a Diretiva ePrivacy e o GDPR sobre as preferências dos usuários para sites ou aplicativos.
Use uma plataforma de gerenciamento para obter um consentimento de usuário válido
A proteção do consentimento válido do usuário começa com a existência de uma política de privacidade clara e facilmente acessível que explica quais dados serão coletados, como os dados serão usados e quem pode ter acesso a eles.
Os banners de consentimento para cookies também devem ter uma linguagem direta que transmita quais dados estão sendo coletados e para qual finalidade. Estas faixas devem ser concebidas para obter o consentimento de aceitação que é dado livremente sem utilizar manipulação ou linguagem enganosa.
As empresas que buscam uma abordagem simplificada para gerenciar esses requisitos de consentimento podem usar uma plataforma de gerenciamento de consentimento (CMP), como a CMP da Usercentrics. A Usercentrics é uma parceira de CMP certificada pelo Modo de consentimento do Google, e a CMP ajuda as empresas a coletar e documentar o consentimento válido do usuário para atender aos requisitos regulamentares. Isso ajuda as empresas a alcançar a conformidade jurídica, evitar multas e manter a confiança do cliente à medida que elas crescem. A CMP da Usercentrics se integra a muitos sistemas populares de gerenciamento de conteúdo, simplificando a configuração.
Quer configurar ou mudar para uma CMP a fim de se preparar para a Lei dos Mercados Digitais? Comece sua avaliação gratuita de 30 dias da CMP da Usercentrics.
Realizar auditorias regulares de privacidade de dados e verificações de conformidade
Um cronograma sistemático para auditorias internas pode servir como uma rede de segurança para monitorar a conformidade à medida que a DMA e outras regulamentações relevantes evoluem. Essas auditorias devem se concentrar nas avaliações de impactos da proteção de dados (DPIA) para avaliar as especificidades de como os dados do usuário são processados, armazenados e compartilhados sob a Lei dos Mercados Digitais.
Igualmente importante é avaliar as práticas de dados de parceiros e fornecedores externos. Se eles estiverem lidando com dados provenientes das plataformas de uma empresa, suas políticas de processamento de dados também devem estar alinhadas com os regulamentos. Um lapso em sua parte pode ter repercussões para o relacionamento comercial e potenciais consequências legais. Muitas leis de privacidade de dados exigem contratos com terceiros envolvidos no processamento de dados para descrever responsabilidades relacionadas ao acesso, proteção e uso de dados.
Mudar para marketing baseado em consentimento
As empresas devem reexaminar suas estratégias de marketing existentes em resposta às rígidas diretrizes da Lei dos Mercados Digitais sobre a definição de perfis de usuários e restrições de redirecionamento. Em vez de depender da segmentação com base em dados combinados de usuários, as empresas devem adotar um marketing baseado em consentimento e explorar outras estratégias, inclusive publicidade contextual.
Essa mudança para o contexto, em vez da segmentação específica do usuário, se alinha melhor com o requisito da DMA para o consentimento explícito do usuário para o uso de dados. Ele também oferece um caminho para que as empresas mantenham estratégias de publicidade eficazes sem comprometer a confiança do usuário. O marketing baseado em consentimento protege a privacidade do usuário e fornece uma interação mais transparente entre a empresa e o consumidor, potencialmente levando a relacionamentos de marca mais fortes e confiáveis.
Construir uma abordagem robusta para o gerenciamento de dados
As empresas que coletam dados de usuários em várias plataformas devem priorizar estratégias de gerenciamento de dados que protegem a privacidade do usuário e estão em conformidade com diferentes normas. Cada etapa do ciclo de vida dos dados (coleta, armazenamento, uso, exclusão) deve ser examinada para garantir que os dados pessoais sejam protegidos e não compartilhados com terceiros desnecessários ou qualquer outra pessoa ou empresa não autorizada. As empresas também devem garantir que os dados de diferentes plataformas não sejam combinados para criação de perfis e publicidade direcionada.
Comunicar o valor de alinhamento com a Lei dos Mercados Digitais dentro da empresa
Fazer com que todos na empresa se preparem para a DMA é uma maneira poderosa de torná-la parte das operações diárias e reduzir o risco de violar seus requisitos.
Equipes voltadas para o público, como marketing, vendas e sucesso do cliente, que compartilham mensagens unificadas sobre alinhamento com a DMA, reforçam o compromisso da empresa com a privacidade do usuário, práticas éticas e conformidade legal.
Para isso, as equipes internas precisam de treinamento abrangente para entender como permanecer no lado direito da Lei dos Mercados Digitais e ter pontos de discussão específicos da DMA ao alcance das suas mãos para reuniões com clientes e apresentações de vendas.