A LGPD e a Awin
Escrito por Camila Alves em 8 minutos de leitura
Desde antes da LGPD entrar em vigor em 2020, temos nos ocupado com preparações para garantir que a Awin tenha compliance total.
A LGPD e a Awin
Desde antes da Lei Geral de Proteção de Dados Pessoais (a “LGPD”) entrar em vigor em 2020, temos nos ocupado com preparações para garantir que a Awin tenha os processos e as políticas necessárias para compliance total. Gostaríamos de destacar algumas das medidas que estamos tomando para garantir o cumprimento das novas normas da lei de proteção de dados pessoais no Brasil estabelecidas pela LGPD.
Como a LGPD se aplica à Awin
A LGPD introduz uma definição ampla de “dados pessoais”, semelhante à do GDPR. Dados pessoais de acordo com a LGPD significa “informações relacionadas a uma pessoa física identificada ou identificável”. Isto inclui dados que podem ser combinados com outros dados para identificar um indivíduo. É importante destacar que os dados de tracking da Awin são considerados dados pessoais de acordo com a LGPD, assim como com o GDPR. Este não é um conceito novo para a Awin; como um estabelecimento operando na União Europeia, temos consciência da necessidade de nosso processamento de dados de tracking para cumprir as normas estabelecidas pelo GDPR desde antes de sua promulgação em 2018, e temos operado continuamente como tal desde aquela época.
A LGPD aplica-se quando os dados de indivíduos localizados no Brasil são processados, independentemente da localização da entidade que está realizando o processamento. Também se aplica ao processamento de dados pessoais que é realizado no Brasil, ou ao processamento de dados destinados a oferecer bens e serviços a indivíduos no Brasil. Esta é uma aplicação “extra-territorial” similar que vemos no GDPR. Se, por exemplo, os anunciantes ou afiliados que trabalham com a Awin tem visitantes em seu site baseados no Brasil que são rastreados usando a tecnologia Awin, a LGPD é aplicável a tal processamento.
Base legal para o processamento
Como sob o GDPR, a LGPD estabelece as possíveis bases legais sobre as quais uma organização pode confiar em seu processamento de dados pessoais. A LGPD inclui 10 dessas bases, uma das quais é onde o processamento é necessário para os interesses legítimos do controlador ou de terceiros. Esta base legal pode ser usada exceto quando os direitos e liberdades fundamentais da pessoa em questão prevalecem sobre tais interesses. A Awin conta com a base legal de interesse legítimo sob o GDPR para o processamento de dados de rastreamento. Você pode encontrar mais informações sobre isso em nosso White Paper. Da mesma forma, confiamos na base legal de interesse legítimo consagrada na LGPD em relação a qualquer processamento de dados pessoais para os fins de rastreamento aos quais as novas leis se aplicam. Como fizemos com nosso trabalho de preparação e conformidade ao GDPR, empreendemos as avaliações de impacto de privacidade de dados necessárias para fazê-lo no âmbito da LGPD. Continuaremos a monitorar para obter orientações adicionais que sejam divulgadas pela Autoridade Nacional de Proteção de Dados (ANPD) também a este respeito.
DPA com Anunciantes
Embora a LGPD não contenha nenhuma exigência específica para um acordo de processamento de dados (“DPA”) que rege o processamento de dados pessoais entre as partes, temos um DPA que agora incorpora tanto os requisitos LGPD quanto GDPR para nossos anunciantes (o “DPA da LGPD”). Esta DPA serve para definir o processamento de dados pessoais que é realizado especificamente para os serviços da Awin, bem como a alocação de responsabilidade entre as partes para tal processamento. O DPA da LGPD será incorporado automaticamente em todos os novos contratos de anunciantes com a entidade brasileira da Awin e pode ser incorporado em contratos de anunciantes existentes com qualquer entidade da Awin mediante solicitação.
DPA com Afiliados
Desde o final de 2020, nossos Termos de Afiliados incluem um “Anexo LGPD”, que se aplica sempre que os dados pessoais de um indivíduo no Brasil são processados, ou seja, sempre que um afiliado tem visitantes em seu site baseados no Brasil. Este Anexo LGPD se aplica se esse requisito for cumprido, quer o afiliado tenha um contrato com a Awin Brasil ou com qualquer outra entidade do grupo Awin.
Transparência e Direitos do Titular dos Dados
Aperfeiçoamos nossa Política de Privacidade (você pode encontrar a versão relevante aqui em português) para garantir que todas as informações exigidas pela LGPD sejam incluídas.
Além disso, nossos processos internos relevantes foram revisados para que, por exemplo, possamos garantir o cumprimento dos direitos aplicáveis do titular dos dados consagrados na LGPD, levando em conta os prazos de cumprimento estabelecidos pela lei.
Nosso DPO pode ser contatado através do e-mail brasil-privacy@awin.com, que é monitorado constantemente, garantindo que possamos responder em tempo hábil às solicitações de privacidade também em português.
Perguntas adicionais
Para os anunciantes, estas podem ser direcionados ao seu gerente de conta ou a brazil-advertisermanagement@awin.com. Os afiliados podem entrar em contato com brasil-service@awin.com. Alternativamente, você pode entrar em contato diretamente com nosso DPO via brasil-privacy@awin.com.
- ENGLISH VERSION -
The LGPD and AWIN
Since before the Lei Geral de Proteção de Dados Pessoais (the “LGPD”) came into force in September 2020, we have been busy preparing in order to ensure Awin has the necessary processes and policies in place for full compliance. We wanted to outline some of the steps we’re taking to ensure we meet the new standards for privacy law in Brazil set by the LGPD.
How the LGPD applies to Awin
The LGPD introduces a broad definition of “personal data”, similar to that of the GDPR. Personal data according to the LGPD means “information related to an identified or identifiable natural person”. This includes data that can be combined with other data to identify an individual. Importantly, Awin’s tracking data is considered personal data under the LGPD as with the GDPR. This is not a new concept for Awin; as an establishment operating in the EU, we have been aware of the need for our processing of tracking data to comply with the standards set by the GDPR since before its enactment in 2018, and we have been continually operating as such since that time.
The LGPD applies when the data of individuals located in Brazil are processed, regardless of the location of the entity undertaking the processing. It also applies to personal data processing that is undertaken in Brazil, or to data processing intended to offer goods and services to individuals in Brazil. This is a similar “extra-territorial” application that we see in the GDPR. If, for example, advertisers or publishers working with Awin have Brazilian-based website visitors that are tracked using Awin technology, the LGPD is applicable to such processing.
Legal basis for processing
As under the GDPR, the LGPD sets out the possible legal bases upon which an organisation may rely in their processing of personal data. The LGPD includes 10 such bases, one of which is where the processing is necessary for the legitimate interests of the controller or third party. This legal basis may be used except where the fundamental rights and freedoms of the data subject prevail over such interests. Awin relies on the legal basis of legitimate interest under the GDPR for the processing of tracking data. You can find more information on this in our White Paper. Similarly, we rely on the legitimate interest legal basis enshrined in the LGPD in respect to any personal data processing for the purposes of tracking to which the new laws apply. As we did with our GDPR preparation and compliance work, we have undertaken the necessary data privacy impact assessments in order to do so under the LGPD. We will continue to monitor for additional guidance that is released by the Brazilian National Data Protection Authority (the ANPD) in this regard too.
DPAs with Advertisers
Although the LGPD contains no specific requirement for a data processing agreement (“DPA”) governing the processing of personal data between parties, we have a DPA that now incorporates both LGPD and GDPR requirements for our advertisers (the “LGPD DPA”). This DPA serves to set out the personal data processing that is undertaken specific to Awin’s services, as well as the allocation of responsibility between the parties for such processing. The LGPD DPA will be incorporated into all new advertiser agreements with Awin’s Brazilian entity automatically, and can be incorporated into existing advertiser agreements with any Awin entity upon request.
DPAs with Publishers
Since the end of 2020, our Publisher Terms have included an ‘LGPD Annex’, which applies whenever the personal data of an individual in Brazil is processed, i.e. whenever a publisher has Brazilian-based website visitors. This LGPD Annex applies if that requirement is fulfilled, whether the publisher contracts with Awin Brazil or any other Awin group entity.
Transparency and Data Subject Rights
We have tweaked our Privacy Policy (you can find the relevant version here in Portuguese) to make sure all information required by the LGPD is included.
In addition, our relevant internal processes have been reviewed so that, for example, we can ensure to comply with the applicable data subject rights enshrined in the LGPD, taking into account the timeframes for compliance set by the law.
Our DPO can be reached via brazil-privacy@awin.com, which is closely monitored ensuring we can respond in a timely manner to privacy requests, also in Portuguese.
Additional Questions
For advertisers, these can be directed to your account manager or to brazil-advertisermanagement@awin.com. Publishers can contact brasil-service@awin.com. Otherwise, you can contact our DPO directly via brazil-privacy@awin.com.