Artigos Reamp

Guia do GDPR: o que você precisa saber sobre a nova lei de dados?

Regulamentação entra em vigor amanhã na Europa, e afetará empresas do mundo todo

Estamos vivendo, hoje em dia, na era digital e da conectividade. Por conta disso, diariamente, dados pessoais de todos os usuários da internet são coletados em grandes quantidades. Desde sites que visitamos até nossas publicações em redes sociais, compras online, histórico de navegação, cadastros que preenchemos ou aplicativos que realizamos o download, deixamos informações pessoais que são monitoradas para que as empresas coletem, gerenciem e analisem os dados e entendam as preferências, hábitos e necessidades do seu público-alvo. Dessa maneira, torna-se mais fácil de construir uma estratégia de comunicação personalizada para a exata audiência que o negócio deseja atingir.

No entanto, como garantimos que podemos, de fato, confiar nas empresas para as quais estamos cedendo nossos dados e que realmente trarão resultados positivos, tanto para a empresa quanto para a experiência do cliente? Recentemente, pudemos acompanhar um dos maiores escândalos de vazamento de dados da história pela Cambridge Analytica que, a partir de dados coletados de maneira inapropriada do Facebook de 87 milhões de usuários, conseguiu utilizar informações a seu favor para a campanha eleitoral dos Estados Unidos em 2016.

Polêmicas como essa trazem à tona debates sobre a necessidade cada vez maior da transparência das empresas em relação à essas informações coletadas e a segurança dos usuários. Por isso, pensando na proteção dos dados dos cidadãos e com o objetivo de tornar os processos em torno deles mais simples, a nova regulamentação GDPR (Regulamento Geral de Proteção de Dados ou General Data Protection Regulation, em inglês), entrará em vigor no dia 25 de maio na União Europeia. Por causa dela, todas as empresas envolvidas com a manipulação e tratamento de dados pessoais dos usuários dos países aderidos, deverão cumprir novos requisitos legais em relação aos direitos de privacidade dos indivíduos e o processamento de seus dados – o que irá causar um enorme impacto no mercado de marketing!

Explicando de maneira simplificada, isso significa que, agora, as empresas da Europa serão obrigadas a criar configurações de privacidade em seus produtos e propriedades digitais, além de realizar regularmente avaliações de impacto de privacidade, fornecer explicações sobre a maneira como buscam permissão para usar dados e documentar como utilizam dados pessoais.

 

Mas o que é exatamente o GDPR e como ele protege os consumidores?

A nova lei substitui a Diretiva de Proteção de Dados de 1995, que até o momento estabeleceu os padrões mínimos para o processamento de dados na União Europeia. O GDPR foi adotado em abril de 2016 pelo Parlamento Europeu e pelo Conselho Europeu, após mais de quatro anos de negociações e tem como objetivo tornas as empresas que coletam, processam e armazenam dados, empresas mais responsáveis.

O GDPR fortalecerá significativamente vários direitos, como por exemplo: os indivíduos terão mais poder para exigir que as empresas revelem ou excluam os dados pessoais que possuem; os reguladores poderão trabalhar em conjunto com toda a União Europeia pela primeira vez, em vez de ter que lançar ações separadas em cada jurisdição; suas ações de fiscalização serão ainda maiores.

Será concedido à UE a autoridade para cumprir todos os regulamentos através das fronteiras internacionais. Isso significa que, uma empresa pequena de 20 pessoas localizada no Texas que coleta dados pessoais de um cliente residente em Paris para vender e despachar um chapéu de cowboy, por exemplo, estará sujeita às regras de segurança do GDPR e, mais importante, será responsável por quaisquer sanções impostos por não seguirem essas disposições. Não há exceções para tamanho, escopo, localização ou de quem foi a procura. Caso a empresa não cumpra com o GDPR, sofrerá penalidades.

A partir de maio, as empresas não poderão mais coletar ou processar os dados dos consumidores europeus sem antes identificar sua base jurídica para fazê-lo, ou seja, sem antes obter a autorização dos usuários. Além disso, também serão impedidas de usarem dados previamente coletados se não obtiverem a notificação adequada com as medidas de consentimento.

Diversas regras serão aplicadas a partir da nova lei para garantir a segurança dos consumidores, como:

1. Jurisdição ampla: o GDPR aplica-se a todas as empresas que processam dados pessoais de cidadãos da União Europeia, independentemente do local onde ele ou a empresa reside. Ou seja, empresas brasileiras que, de alguma maneira manipulam ou armazenam dados de cidadãos europeus, também serão afetadas pelos novos padrões de consentimento;

2. Penalidades fortes: as violações podem custar às empresas 20 milhões de euros ou até 4% do seu faturamento global anual. Algumas infrações são menos caras, mas ainda representam uma penalidade significativa;

3. Consentimento simplificado e reforçado dos titulares de dados: o consentimento deve ser dado de uma forma acessível e fácil de entender, com um propósito claro e escrito para o usuário assinar, e deve haver uma maneira fácil para que o usuário possa reverter o consentimento, caso queira;

4. Notificação de violação obrigatória: qualquer violação de dados que possa “resultar em risco para os direitos e liberdades dos indivíduos” deve ser relatada dentro de 72 horas após sua descoberta. Os processadores de dados também serão obrigados a notificar seus clientes “sem atrasos indevidos” após tomar conhecimento de uma violação de dados”;

5. Uma reiteração de importantes direitos do consumidor: isso inclui o direito do sujeito dos dados de obter cópias de suas informações, como elas estão sendo usadas e o direito de ser esquecido, também conhecido como Data Erasure. Além disso, também permitirá que os clientes transfiram seus dados de um provedor de serviços para outro;

6. Melhores sistemas: a fim de cumprir com a base principal da “privacidade desde a concepção”, o GDPR exige que os processos sejam construídos tendo em mente a proteção de dados, em vez de tratados como uma reflexão tardia;

7. Proteção específica para crianças: como as crianças geralmente são mais vulneráveis e menos conscientes dos riscos, o GDPR inclui orientações como o consentimento dos pais para usuários de até 16 anos.

 

Quem será impactado?

O GDPR irá afetar todas as empresas, mas as mais atingidas serão aquelas que detêm e processam diferentes quantidades de dados do consumidor: empresas de tecnologia, profissionais de marketing e os corretores de dados que as conectam. Mesmo o cumprimento dos requisitos básicos para acesso e exclusão de dados representa um grande ônus para algumas empresas, que podem não ter ferramentas para agrupar todos os dados que possuem de um indivíduo.

No entanto, o maior impacto será nas empresas cujos modelos de negócios dependem da aquisição e exploração de dados de consumo em escala. Se as empresas confiam no consentimento para processar dados, esse consentimento deve ser explícito e informado – e renovado, caso sua utilização mude para outros fins.

As maiores empresas do mundo atualizaram seus sites para conseguirem cumprir as novas regras. O Facebook lançou uma série de ferramentas para “colocar as pessoas em maior controle sobre sua privacidade”, unificando suas opções de privacidade e criando uma ferramenta de “acesse suas informações” para permitir que os usuários encontrem, baixem e excluam dados específicos do site. A empresa também fez com que todos os usuários concordassem com os novos termos de serviço, e aproveitou a oportunidade para incentivá-los a optar pela tecnologia de reconhecimento facial.

A Apple revelou um painel de privacidade próprio – embora a empresa tenha deixado claro que, ao contrário de seus concorrentes, ela não coleta muitos dados pessoais e, portanto, não precisava mudar muito para obedecer às novas regras. O Google optou por adotar uma abordagem diferente, atualizando silenciosamente seus produtos de privacidade sem chamar atenção para mudanças.

Os usuários, agora, têm o poder de responsabilizar as empresas como nunca tiveram. Se os indivíduos começarem a tirar proveito do GDPR em grande número, recusando o consentimento para certos usos de dados, solicitando acesso a suas informações pessoais de corretores de dados ou excluindo suas informações de sites, isso poderá causar um efeito enorme na indústria de dados.

 

Como o GDPR afeta o marketing?

A nova regra altera completamente a forma como os profissionais de marketing lidam com os dados. Será preciso demonstrar como sua empresa atende às condições legais, e se não puder provar como obtiveram consentimento de uso de dados, a probabilidade é que ela será multada. A coleta de dados precisa ser relevante para algum propósito, e caso seja executada uma campanha, por exemplo, as informações devem ser utilizadas apenas para ela. Criar outra finalidade para utilizar esses dados precisará de um novo consentimento da pessoa.

De acordo com o GDPR, “o tratamento de dados pessoais para fins de marketing direto pode ser considerado como realizado para algum interesse legítimo”. Algumas diretrizes do regulamento são claras sobre o consentimento dos cidadãos:

  • A empresa deve ser capaz de demonstrar como a pessoa consentiu no processamento, ou seja, o marketing deve registrar como e quem deu o consentimento;
  • A pessoa em questão deve poder retirar o consentimento a qualquer momento (direito de oposição) e sua retirada deve ser tão simples quanto sua concessão;
  • O consentimento deve abranger todas as atividades de processamento realizadas para os mesmos fins;
  • Caso o processamento de dados seja para diversos fins, deve ser dado consentimento para todas as finalidades;
  • O consentimento não deve ser considerado genuinamente dado se a pessoa em questão não tiver uma escolha genuína ou gratuita;
  • O consentimento silencioso, caixas pré-marcadas ou a inatividade não devem constituir consentimento.

 

Como vai funcionar?

Considerada a mudança mais abrangente para a proteção de dados em uma geração, a nova abordagem da União Europeia para a privacidade online coloca os indivíduos em primeiro lugar, acreditando que eles devem ser protegidos e capacitados e evitar que sejam explorados ou ignorados pelas empresas. Dessa maneira, as empresas tornam-se responsáveis pelas suas ações e devem ser transparentes sobre a maneira que utilizam dados pessoais.

Segundo o Super Office, existem três áreas nas quais os profissionais de marketing devem estar atentos: permissão de dados, acesso a dados e foco em dados.

 

Fonte: Super Office

 

1. Permissão de dados: trata-se de como a empresa gerencia os e-mails opt-ins de pessoas que solicitam receber material promocional. Agora, não é possível assumir que eles querem ser contratados e é necessário assumirem seu consentimento de maneira clara. Ou seja, a partir de agora, leads, clientes e parceiros precisam confirmar fisicamente que desejam receber e-mails. O Super Office, por exemplo, em vez de assumir que os visitantes que preencherem o formulário da web desejam receber e-mails de marketing (imagem da esquerda), agora pede aos visitantes que marquem a opção na caixa de inscrição (imagem da direita):

 

Fonte: Super Office

 

2. Acesso a dados: o direito de ser esquecido tornou-se uma das decisões mais polêmicas no Tribunal de Justiça da U.E. Ele dá aos usuários o direito de terem seus dados pessoais desatualizados ou imprecisos removidos, e as empresas devem se certificar de que seus usuários podem facilmente acessar seus dados e remover consentimento para seu uso. Isso deve ser tão direto quanto incluir um link de cancelamento na sua inscrição, como no exemplo abaixo do Twitter:

 

Fonte: Super Office

 

3. Foco em dados: muitas vezes, os comerciantes acabam coletando mais dados do que realmente precisam. Por isso, o GDPR exige que a empresa justifique legalmente o processamento de dados pessoais que são coletados – ou seja, cada vez mais as empresas devem se concentrar em dados que são realmente necessários e relevantes.

A maior parte do GDPR não é realmente novo, e sim transforma ideias que já estavam em vigor na Diretiva de Proteção de Dados. No entanto, apresenta alguns conceitos que ainda não eram vistos, incluindo multas por falta de conformidade e direitos aprimorados para os indivíduos e seus dados. O que há de novo na regulamentação?

  • Dados pessoais: na regra anterior, dados pessoais eram definidos como nome, imagem, endereço, e-mail, telefone e identificação pessoal. Agora, o conceito foi ampliado para dados “identificados” e inclui qualquer informação que possa ser usada para identificar uma pessoa, como dados de localização, IDs de dispositivos móveis e endereço IP em alguns casos;
  • Direitos individuais: além de conseguirem apagar seus dados quando desejarem, os indivíduos também terão direito à portabilidade de dados entre plataformas online, não sendo submetidos a processamentos automatizados, além do direito de obterem uma cópia de seus dados pessoais mediante solicitação, dizendo onde está sendo usado e com qual finalidade;
  • Requisitos de manutenção de registros: os controladores de dados devem manter registros escritos de suas atividades, disponibilizando às autoridades de proteção de dados mediante solicitação;
  • Diretor de proteção de dados (DPO): organizações cujas atividades principais envolvem monitoramento sistemático de dados ou processamento de pessoas em hospitais, companhias de seguros e bancos de grande escala, devem nomear um DPO;
  • Maiores multas: as infrações de GDPR têm penalidades significativas.

 

As empresas estão preparadas para receber o GDPR?

Apesar dos riscos de não estar em conformidade com as novas regras, uma pesquisa do governo descobriu que muitas organizações não estão preparadas – nem mesmo conscientes – sobre a legislação e como isso afetará sua estratégia de segurança. Apenas uma em cada quatro empresas do setor de construção está ciente do GDPR, e a conscientização na fabricação também é baixa. Os setores com maior conhecimento da legislação são o financeiro e de seguros.

No geral, o relatório diz que quase metade das empresas, incluindo um terço das instituições de caridade, fizeram alterações em suas políticas de segurança cibernética como resultado do GDPR. Esses preparativos podem incluir a criação ou melhoria de procedimentos de segurança cibernética, a contratação de funcionários e a realização de esforços concentrados para atualizar o software de segurança.

Um relatório recente divulgado pelo portal da TechRepublic revelou, em uma pesquisa feita com tomadores de decisões tecnológicas, que 60% das empresas provavelmente perderão o prazo de conformidade com o GDRP. A maioria delas cita a falta de orçamento e o conhecimento insuficiente da equipe para implementar as mudanças.

O relatório, compilado pela Crowd Research Partnets, revela ainda que apenas 7% das empresas relataram estar em conformidade com as regras no mês de abril, e 28% nem sequer começaram a trabalhar no assunto. No entanto, 80% deles afirmou que os ajustes à lei estavam entre as três principais prioridades de sua organização no momento.

Mesmo sem a pressão do usuário, os novos poderes conferidos aos comissionados da informação em toda a União Europeia devem resultar em efeitos à longo prazo, como processadores de dados sendo mais cautelosos quanto ao uso de dados antigos para finalidades radicalmente novas.

 

O que pode ser feito para se preparar?

Alguns pontos básicos listados pela Martech Today e que podem ajudar as empresas a se adaptarem ao GDPR são:

 

Integre seus departamentos de TI e marketing:

Entre ameaças de cyber crime e a necessidade de estratégias específicas de monitoramento e implementação, seu departamento de TI será seu novo melhor amigo. Agora terão ainda mais motivos para utilizar soluções seguras e personalizadas para ficar do lado certo do regulamento – a da confiança dos consumidores;

 

Contrate um responsável pela proteção de dados (DPO):

O GDPR atribui responsabilidade aos processadores e controladores de dados e não exige operações menores para contratar um oficial de dados. Mas é um investimento que merece ser seriamente considerado. O dano que pode ser causado à sua empresa não vale o risco. Por isso, o GDPR tem uma mensagem singular: a informação do consumidor merece permanecer privada. Qualquer coisa que você possa fazer para ficar em conformidade, ajudará você;

 

Conclua uma auditoria completa do seu sistema de segurança de dados atual:

A melhor maneira de garantir a conformidade é ter uma avaliação precisa de seus processos de dados atuais. Dessa forma, você pode identificar áreas de alto risco e consertar possíveis áreas problemáticas antes do início da fiscalização;

 

Eduque sua equipe:

Embora a maior parte da responsabilidade recaia sobre sua equipe de segurança, qualquer pessoa que lide com informações precisa ser instruída sobre o GDPR. Isso inclui funcionários que interagem com novos clientes ou usuários, aqueles que mantêm sistemas de CRM e até mesmo pessoal de entrada de dados;

 

Crie ferramentas que garantam a privacidade:

Todos os dias, mais e mais empresas aparecem com soluções de pseudonimização e outras formas de se manterem em conformidade. Trabalhe com seu DPO e seu departamento de TI para encontrar a solução que funciona melhor para você;

 

Trabalhe com fornecedores terceirizados que sejam compatíveis com GDPR:

Isso inclui seu provedor de serviços de e-mail, seu serviço de CRM e suas agências de marketing e relações públicas. Você pode ser responsabilizado por violações feitas pelos processadores com os quais você trabalha. É importante garantir que todos os aspectos do processamento de dados estejam em conformidade.

 

Glossário do GDPR

Para auxiliar no entendimento da lei e de todas as novas regras que serão impostas ao tratamento de dados de usuários da União Europeia, confira a lista de termos que constam no novo regulamento e seus significados:

  • Accountability: é a capacidade de demonstrar conformidade com o GDPR. Para isso, medidas técnicas e organizacionais apropriadas devem ser implementadas. Ferramentas de melhores práticas, como avaliações de impacto de privacidade e privacidade por design são, agora, legalmente exigidas em determinadas circunstâncias.
  • Binding Corporate Rules (BCRs): conjunto de regras vinculativas criadas para permitir às empresas e organizações multinacionais que transfiram dados pessoais que controlam da UE para seus afiliados fora da UE (mas dentro da organização);
  • Personal Data: quaisquer dados pessoais relacionados à vida privada, profissional ou pública do indivíduo. Pode ser qualquer informação como nome, foto, endereço de e-mail, dados bancários, postagens em sites ou redes sociais, informações médicas, endereço IP e combinações dos dados que identifiquem direta ou indiretamente a pessoa;
  • Sensitive Personal Data: a lei refere-se à dados pessoais sensíveis como “categorias especiais de dados pessoais”, que incluem origem racial ou étnica do indivíduo, opiniões religiosas ou filosóficas, filiação à sindicatos, orientação sexual e saúde, dados genéticos e biométricos, processados para identificar exclusivamente um indivíduo. Os dados pessoais relacionados à condenações e crimes não estão inclusos, mas proteções extras semelhantes se aplicam ao seu processamento;
  • Data Subject/Assunto dos dados: o sujeito dos dados é uma pessoa comum. Exemplos de assuntos de dados podem ser um indivíduo, um cliente, um cliente em potencial, um funcionário, pessoa para contato, etc.;
  • Data Controller/Controlador de dados: qualquer organização, pessoa ou organismo que determine os propósitos e meios de processar dados pessoais, controla os dados e é responsável por eles, individualmente ou em conjunto;
  • Processador de dados: processa os dados em nome do controlador de dados. Por exemplo, empresas de folha de pagamento, contadores e empresas de pesquisa de mercado;
  • DPO: nomeação de um responsável pela proteção de dados. É obrigatória se 1) o processamento for efetuado por uma autoridade pública ou 2) as “atividades essenciais” de um controlador/processador de dados requerem o “monitoramento regular e sistemático de dados em grande escala”, ou consistem no processamento de categorias especiais de dados ou dados sobre condenações criminais “em grande escala”;
  • Consentimento: qualquer indicação “dada, específica, informada e inequívoca” da vontade do indivíduo titular dos dados, seja por uma declaração ou por uma ação afirmativa clara, de que seus dados pessoais serão processados para alguma finalidade. A ação afirmativa ou um opt-in positivo significa que o consentimento não pode ser inferido em silêncio, caixas pré-marcadas ou inatividade. Também deve ser separado dos termos e condições e deve ter uma maneira simples de retirá-lo. As autoridades públicas e os empregadores terão que prestar atenção especial para garantir que o consentimento seja gratuito. Os consentimentos já existentes não precisam ser atualizados automaticamente para o GDPR, mas precisam atender seus padrões e serem específicos, granulares, claros, opt-in, devidamente documentados e facilmente retirados. Caso contrário, altere seus mecanismos de consentimento e procure um novo compatível com a nova lei;
  • Conceito One-stop-shop: se uma empresa estiver estabelecida em mais do que um Estado-Membro, terá uma “autoridade principal”, determinada pelo local do seu “estabelecimento principal” na UE. Uma autoridade de supervisão que não seja uma autoridade principal também pode ter um papel regulador, por exemplo, quando o processamento afeta os titulares de dados no país em que ela supervisiona;
  • Privacy Impact Assessment (PIA): a Avaliação de Impacto de Privacidade deve ser conduzida pelos controladores de dados e processadores antes de qualquer processamento que apresente um risco de privacidade específico em virtude de sua natureza, escopo ou finalidade;
  • Processamento: qualquer operação executada em dados pessoais, como criação, coleta, armazenamento, visualização, transporte, uso, modificação, transferência, exclusão, e etc., seja ou não por meios automatizados;
  • Profiling: criação de perfil é qualquer forma de processamento automatizado de dados pessoais destinado a avaliar certos aspectos pessoais relacionados à um indivíduo, ou analisar ou prever em particular o desempenho dessa pessoa no trabalho, situação econômica, localização, saúde, preferências pessoais, confiabilidade ou comportamento;
  • Subject Access: o acesso ao assunto é o direito dos titulares dos dados de obter, a pedido do responsável pelo tratamento, determinadas informações relacionadas ao processamento de seus dados pessoais;
  • Territorial scope: o âmbito territorial do GDPR inclui o Espaço Econômico Europeu (EEE – todos os 28 estados membros da UE), a Islândia, Liechtenstein e a Noruega, e não inclui a Suiça;
  • Third-party: é uma pessoa singular ou coletiva, autoridade pública, agência ou qualquer outro organismo que não seja titular dos dados, o responsável pelo tratamento o processador e as pessoas que, sob a autoridade direta do responsável, estão autorizados a processar os dados;
  • Transfer: a transferência de dados pessoais para países fora do EEE ou para organizações internacionais está sujeita à restrições. Tal como já acontece com a Diretiva de Proteção de Dados, os dados não precisam ser fisicamente transportados para serem transferidos;
  • Data Minimisation: a minimização dos dados significa que os dados pessoais recolhidos devem ser limitados ao que é necessário às finalidades para quais serão utilizados;
  • Privacy by Design: a privacidade desde a concessão exige que os processadores levem em conta o risco de privacidade durante todo o processo de concessão de um novo produto ou serviço, avaliando e implementando medidas e procedimentos adequados desde o início;
  • Privacy by Default: deve ser colocado em prática dentro de uma organização mecanismos que garantam que apenas será recolhida e utilizada a quantidade necessária de dados pessoais;
  • Pseudonimização: tratamento de dados pessoais de forma que deixem de ser atribuídos a um titular de dados específicos sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas à medidas técnicas e organizativas que garantam que os dados pessoais não possam ser atribuídos a uma pessoa singular.
  • Data Erasure: autoriza a pessoa em causa fazer com que o controlador de dados apague seus dados pessoais, interrompa a disseminação dos dados e, potencialmente, third-parties cancelem o processamento doas dados;
  • Violação de dados pessoais: refere-se à violação de segurança que provoque, de modo acidental ou ilícito, a destruição, perda, alteração ou divulgação de informações não autorizadas.

 

Clique para comentar

Deixe seu comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Início