O objetivo deste post é meramente informativo – não prestamos consultoria jurídica nem nos responsabilizamos por medidas que possam ser adotadas por terceiros.
O GDPR (General Data Protection Regulation) é um novo regulamento da União Europeia que muda significativamente as obrigações de empresas que lidam com dados pessoais de cidadãos da UE. O intuito da mudança é aumentar a privacidade desses indivíduos online.
O regulamento vale para toda empresa que processar ou armazenar dados pessoais de qualquer cidadão da UE, independente de onde ela se encontre. Consideram-se dados pessoais quaisquer dados que, sozinhos ou em conjunto com outros dados, possam ser utilizados para identificar um indivíduo. Alguns exemplos são: nome, endereço físico, email, endereço de IP, dados financeiros, dados de comportamento em páginas da web e outras informações semelhantes.
Apesar de entrar em vigor no dia 25 de maio de 2018, o GDPR foi aprovado no parlamento da UE em abril de 2016. Esse ano, no entanto, ele passa a valer, e 25 de maio é quando todas as empresas do mundo que lidam com dados de cidadãos da UE devem estar em conformidade com as novas diretrizes da mudança.
Isso significa que a própria plataforma RD Station, seus clientes e parceiros precisam atender o novo regulamento.
Como o RD Station é impactado?
A RD possui dois papéis no regulamento: como Resultados Digitais, empresa, é considerada Data Controller, e como RD Station Marketing, software, é considerada Data Processor.
Como controlador dos dados dos Leads, devemos nos adequar ao regulamento no que tange a segurança, transparência, privacidade e confidencialidade de dados. Já como fornecedor de software que processa os dados dos Leads, devemos adequar tanto a plataforma RD Station, quanto o RD Station Marketing, permitindo que os nossos clientes também estejam em conformidade.
Controladores de dados são considerados responsáveis primários pelo regulamento (detêm a maior parte da responsabilidade), enquanto que processadores de dados são considerados responsáveis secundários.
Como clientes e parceiros são impactados?
Clientes e parceiros são considerados Data Controllers: eles detêm o controle sobre o que é feito com os dados dos Leads. Os Data Controllers são responsáveis primários: aos olhos do regulamento, são os maiores responsáveis por resguardar a privacidade de seus Leads.
O que estamos fazendo a respeito?
Estamos movimentando diversas áreas, entre elas Legal, Marketing, Produto e Expansão, para uma série de mudanças que adequarão a empresa e o produto ao novo regulamento.
Os principais pontos da mudança
Jurisdição do regulamento
Uma vez entrando em vigor, o GDPR passará a valer para todas as empresas que possuírem dados pessoais de cidadãos residentes em países da União Europeia, independente da localização da empresa.
Multa
A penalidade para empresas que não cumprirem com o regulamento pode chegar a 4% da receita global anual da empresa ou 20 milhões de euros – o que for maior. Esse valor máximo ultrapassa os 80 milhões de reais e é imposto a empresas que violarem os principais pontos do regulamento, como não pedir o consentimento do lead ou violar os princípios de privacidade desde a concepção (ver abaixo).
Consentimento expresso
O consentimento do lead deve ser expresso. As empresas não poderão mais utilizar letras miúdas nem omitir o texto legal. Isso significa que o lead precisa estar ciente de que seus dados serão captados ao realizar a conversão – e que ele precisa aceitar ceder esses dados de forma explícita. Um checkbox visível com texto de fácil legibilidade ou um double opt-in, que é quando o cliente recebe um email explicando que foi adicionado à base e precisa confirmar seu aceite, são o suficiente.
É preciso ser fácil para o lead tanto aceitar ceder seus dados quanto negar o acesso a eles, ou retirar esse acesso, uma vez dado.
Direito de acesso
O lead tem o direito de saber se qualquer dado pessoal seu está sendo processado na base de uma empresa, onde esse dado está sendo processado e para que fim será utilizado. Ele também tem direito a acessar todo e qualquer dado que a empresa detenha sobre ele em seu sistema, que deve ser entregue a ele em formato eletrônico e sem custo algum.
Portabilidade de dados
Além de ter direito a acessar e reivindicar seus dados pessoais, o indivíduo ganha o direito de fazer a portabilidade desses dados – isso é, mover esses dados para outro sistema que não seja o da empresa que os captou, sem perder a informação.
Direito de apagar dados
O lead ganha o direito de ter seus dados apagados definitivamente da sua base, caso assim deseje. Ele também tem direito de impedir que sua empresa continue disseminando esses dados e que os dados sejam processados por terceiros.
Notificação de violação do sistema
Se o sistema da empresa, por qualquer motivo, for violado, e os dados forem roubados, expostos ou se tornarem vulneráveis, a empresa fica obrigada a notificar os indivíduos cujas informações foram afetadas em até 72h após descoberta da violação. Isso é válido tanto para processadores quanto para controladores de dados, sob risco de multa.
Privacidade desde a concepção
O conceito de privacidade desde a concepção estabelece que o desenvolvimento de um sistema e as práticas de negócio para levá-lo ao mercado devem ser norteadas pelos conceitos de proteção de dados e privacidade de seus usuários.
Isso significa que ao criar novos produtos ou desenvolver novas funcionalidades, é preciso ter sempre em mente os pontos colocados no GDPR.
Responsável por proteção dos dados
Se a empresa conduz atividades que requerem monitoramento regular de dados pessoais em larga escala, ela precisa ter um profissional responsável pela proteção desses dados, alguém que tenha familiaridade com normas e boas práticas.
Quais os próximos passos?
Certamente mudanças serão necessárias – não somente na área de marketing – em empresas em todo o mundo. Para entender melhor como sua empresa precisará se adequar, o site oficial do regulamento (em inglês) fala sobre os principais pontos da mudança. Para ler o regimento na íntegra, no site da Eurlex é possível ter acesso o texto final em português.
Vale lembrar que, mais do que nunca, é hora de rever a forma como você interage com sua base. Enviar emails relevantes para uma segmentação selecionada é uma das formas de garantir que você está entregando aos leads apenas aquilo que eles querem, e não utilizando seus dados para incomodá-los e encher suas caixas de SPAM – garantia que, aliás, é um dos grandes objetivos do GDPR.
Ficou com dúvidas?
Nosso time de suporte está à disposição para nossos clientes e parceiros que queiram entender melhor como se adaptar ao regulamento do GDPR ou saber como a RD está se preparando para essas mudanças. Entre em contato conosco pela Central de Ajuda e se prepare para realizar as mudanças até a data em que o regulamento entra em vigor.