O que é o GDPR (e como ele pode afetar sua empresa)

O novo regulamento da União Europeia é válido para todas as empresas que detêm dados pessoais de seus cidadãos - independente de onde estejam localizadas. Conheça melhor o GDPR e entenda o que ele tem a ver com você.

O objetivo deste post é meramente informativo – não prestamos consultoria jurídica nem nos responsabilizamos por medidas que possam ser adotadas por terceiros.

O GDPR (General Data Protection Regulation) é um novo regulamento da União Europeia que muda significativamente as obrigações de empresas que lidam com dados pessoais de cidadãos da UE. O intuito da mudança é aumentar a privacidade desses indivíduos online.

O regulamento vale para toda empresa que processar ou armazenar dados pessoais de qualquer cidadão da UE, independente de onde ela se encontre. Consideram-se dados pessoais quaisquer dados que, sozinhos ou em conjunto com outros dados, possam ser utilizados para identificar um indivíduo. Alguns exemplos são: nome, endereço físico, email, endereço de IP, dados financeiros, dados de comportamento em páginas da web e outras informações semelhantes.

Apesar de entrar em vigor no dia 25 de maio de 2018, o GDPR foi aprovado no parlamento da UE em abril de 2016. Esse ano, no entanto, ele passa a valer, e 25 de maio é quando todas as empresas do mundo que lidam com dados de cidadãos da UE devem estar em conformidade com as novas diretrizes da mudança.  

Isso significa que a própria plataforma RD Station, seus clientes e parceiros precisam atender o novo regulamento.

rd station mock up

Como o RD Station é impactado?

A RD possui dois papéis no regulamento: como Resultados Digitais, empresa, é considerada Data Controller, e como RD Station Marketing, software, é considerada Data Processor.

Como controlador dos dados dos Leads, devemos nos adequar ao regulamento no que tange a segurança, transparência, privacidade e confidencialidade de dados. Já como fornecedor de software que processa os dados dos Leads, devemos adequar tanto a plataforma RD Station, quanto o RD Station Marketing, permitindo que os nossos clientes também estejam em conformidade.

Controladores de dados são considerados responsáveis primários pelo regulamento (detêm a maior parte da responsabilidade), enquanto que processadores de dados são considerados responsáveis secundários.

Como clientes e parceiros são impactados?

Clientes e parceiros são considerados Data Controllers: eles detêm o controle sobre o que é feito com os dados dos Leads. Os Data Controllers são responsáveis primários: aos olhos do regulamento, são os maiores responsáveis por resguardar a privacidade de seus Leads.

O que estamos fazendo a respeito?

Estamos movimentando diversas áreas, entre elas Legal, Marketing, Produto e Expansão, para uma série de mudanças que adequarão a empresa e o produto ao novo regulamento.

proteção de dados - GDPR - rd station

Os principais pontos da mudança

Jurisdição do regulamento

Uma vez entrando em vigor, o GDPR passará a valer para todas as empresas que possuírem dados pessoais de cidadãos residentes em países da União Europeia, independente da localização da empresa.

Multa

A penalidade para empresas que não cumprirem com o regulamento pode chegar a 4% da receita global anual da empresa ou 20 milhões de euros – o que for maior. Esse valor máximo ultrapassa os 80 milhões de reais e é imposto a empresas que violarem os principais pontos do regulamento, como não pedir o consentimento do lead ou violar os princípios de privacidade desde a concepção (ver abaixo).

Consentimento expresso

O consentimento do lead deve ser expresso. As empresas não poderão mais utilizar letras miúdas nem omitir o texto legal. Isso significa que o lead precisa estar ciente de que seus dados serão captados ao realizar a conversão – e que ele precisa aceitar ceder esses dados de forma explícita. Um checkbox visível com texto de fácil legibilidade ou um double opt-in, que é quando o cliente recebe um email explicando que foi adicionado à base e precisa confirmar seu aceite, são o suficiente.

É preciso ser fácil para o lead tanto aceitar ceder seus dados quanto negar o acesso a eles, ou retirar esse acesso, uma vez dado.

Direito de acesso

O lead tem o direito de saber se qualquer dado pessoal seu está sendo processado na base de uma empresa, onde esse dado está sendo processado e para que fim será utilizado. Ele também tem direito a acessar todo e qualquer dado que a empresa detenha sobre ele em seu sistema, que deve ser entregue a ele em formato eletrônico e sem custo algum.

Portabilidade de dados

Além de ter direito a acessar e reivindicar seus dados pessoais, o indivíduo ganha o direito de fazer a portabilidade desses dados – isso é, mover esses dados para outro sistema que não seja o da empresa que os captou, sem perder a informação.

Direito de apagar dados

O lead ganha o direito de ter seus dados apagados definitivamente da sua base, caso assim deseje. Ele também tem direito de impedir que sua empresa continue disseminando esses dados e que os dados sejam processados por terceiros.

Notificação de violação do sistema

Se o sistema da empresa, por qualquer motivo, for violado, e os dados forem roubados, expostos ou se tornarem vulneráveis, a empresa fica obrigada a notificar os indivíduos cujas informações foram afetadas em até 72h após descoberta da violação. Isso é válido tanto para processadores quanto para controladores de dados, sob risco de multa.

Privacidade desde a concepção

O conceito de privacidade desde a concepção estabelece que o desenvolvimento de um sistema e as práticas de negócio para levá-lo ao mercado devem ser norteadas pelos conceitos de proteção de dados e privacidade de seus usuários.

Isso significa que ao criar novos produtos ou desenvolver novas funcionalidades, é preciso ter sempre em mente os pontos colocados no GDPR.

Responsável por proteção dos dados

Se a empresa conduz atividades que requerem monitoramento regular de dados pessoais em larga escala, ela precisa ter um profissional responsável pela proteção desses dados, alguém que tenha familiaridade com normas e boas práticas.

Quais os próximos passos?

Certamente mudanças serão necessárias – não somente na área de marketing – em empresas em todo o mundo. Para entender melhor como sua empresa precisará se adequar, o site oficial do regulamento (em inglês) fala sobre os principais pontos da mudança. Para ler o regimento na íntegra, no site da Eurlex é possível ter acesso o texto final em português.

Vale lembrar que, mais do que nunca, é hora de rever a forma como você interage com sua base. Enviar emails relevantes para uma segmentação selecionada é uma das formas de garantir que você está entregando aos leads apenas aquilo que eles querem, e não utilizando seus dados para incomodá-los e encher suas caixas de SPAM – garantia que, aliás, é um dos grandes objetivos do GDPR.

Ficou com dúvidas?

Nosso time de suporte está à disposição para nossos clientes e parceiros que queiram entender melhor como se adaptar ao regulamento do GDPR ou saber como a RD está se preparando para essas mudanças. Entre em contato conosco pela Central de Ajuda e se prepare para realizar as mudanças até a data em que o regulamento entra em vigor.

Marcadores:

Deixe seu comentário