GDPR é a sigla para General Data Protection Regulation (regulamentação geral de proteção de dados, em português), que é o regulamento que muda significativamente as obrigações de empresas que lidam com dados de pessoas residentes na União Europeia. O intuito do GDPR é aumentar a privacidade desses indivíduos online.
Em vez de ler, que tal ouvir o post? Experimente no player abaixo:
Se a sua empresa faz ações de Marketing Digital e guarda dados pessoais de seus contatos, você precisa saber sobre o GDPR.
O General Data Protection Regulation (que em português quer dizer regulamentação geral de proteção de dados) é um novo regulamento da União Europeia que muda significativamente as obrigações de empresas que lidam com dados de pessoas que sejam residentes na União Europeia. O intuito da mudança é aumentar a privacidade desses indivíduos online.
O novo regulamento vale para toda empresa que processar ou armazenar dados pessoais de qualquer residente na UE, independentemente de onde se encontre. Ou seja, mesmo que sua empresa esteja no Brasil, precisa estar de acordo com a nova regulamentação caso tenha dados pessoais de contatos em Portugal, Espanha, França ou qualquer outro país da UE.
Mas o que são esses dados pessoais? O GDPR considera que são quaisquer dados que, sozinhos ou em conjunto com outros dados, possam ser utilizados para identificar um indivíduo. Alguns exemplos são nome, endereço físico, email, endereço de IP, dados financeiros, dados de comportamento em páginas da web e outras informações semelhantes.
O GDPR foi aprovado no parlamento da UE em abril de 2016, mas passa a entrar em vigor em 25 de maio de 2018.
Portanto, até essa data, todas as empresas do mundo que lidam com dados de cidadãos residentes na UE devem estar em conformidade com as novas diretrizes da mudança.
Isso inclui nós, da Resultados Digitais, você que possui uma base de Leads, todos os clientes do RD Station Marketing e todas as agências que fazem parte do programa de parceria da RD.
Ninguém está livre. Toda empresa precisa atender ao novo regulamento.
Se você é cliente do RD Station Marketing, acesse o post sobre o assunto no nosso blog de produto e saiba como a plataforma é impactada.
Como sua empresa pode ser impactada? 7 pontos a serem observados
De acordo com o GDPR, os responsáveis primários aos olhos do regulamento são os data controllers, isto é, as empresas que controlam os dados de Leads, seja por meio de um software ou não.
Já os data processors, como os softwares que processam dados privados, deverão adotar medidas técnicas e organizativas para que o processamento de informações seja feita de forma segura, respeitando a privacidade dos titulares dos dados.
Por exemplo: a Resultados Digitais é data controller de todos os Leads gerados para si. Esses Leads são processados pelo RD Station Marketing, o data processor. Ou seja, a RD não é data controller dos Leads que os clientes geram por meio da plataforma, pois isso é responsabilidade da empresa que utiliza o software.
O exemplo foi interno da própria RD e do RD Station, mas como já falamos, vale para qualquer empresa (data controller) e qualquer software (data processor).
Existem alguns pontos que precisam ser observados e, provavelmente, alterados nas ações de marketing de sua empresa. Vamos falar sobre eles a seguir:
1. Consentimento inequívoco
O consentimento do Lead ao fornecer seus dados deve ser por meio de uma declaração ou ação afirmativa, como um comportamento. As empresas não poderão mais utilizar letras miúdas, deixar campos de marcação pré-selecionados nem omitir o texto legal.
Isso significa que o Lead precisa estar ciente de que seus dados serão captados ao realizar a conversão – e que ele precisa ceder esses dados de forma inequívoca.
É preciso ser fácil para o Lead tanto aceitar ceder seus dados quanto negar o acesso a eles, ou retirar esse acesso, uma vez dado.
2. Direito de acesso
O Lead tem o direito de saber se qualquer dado pessoal seu está sendo processado na base de uma empresa, onde esse dado está sendo processado e para que fim será utilizado.
Ele também tem direito a acessar todo e qualquer dado que a empresa detenha sobre ele, que deve ser entregue em formato eletrônico e sem custo algum, mediante solicitação.
3. Portabilidade de dados
Além de ter direito a acessar e reivindicar seus dados pessoais, o indivíduo ganha o direito de fazer a portabilidade desses dados — isto é, mover esses dados para outro sistema que não seja o da empresa que os captou, sem perder a informação.
4. Direito de apagar dados
O Lead ganha o direito de ter seus dados apagados definitivamente da sua base, caso assim deseje.
Ele também tem direito de impedir que sua empresa continue disseminando esses dados e que os dados sejam processados por terceiros.
5. Notificação de violação do sistema
Se a empresa, por qualquer motivo, tiver uma violação de dados, e estes forem roubados, expostos ou se tornarem vulneráveis, ela fica obrigada a notificar os indivíduos cujas informações foram afetadas em até 72h após descoberta da violação.
Isso é válido tanto para processadores quanto para controladores de dados, sob risco de multa.
6. Privacidade desde a concepção
O conceito de privacidade desde a concepção estabelece que o desenvolvimento de um sistema e as práticas de negócio para levá-lo ao mercado devem ser norteadas pelos conceitos de proteção de dados e privacidade de seus usuários.
Isso significa que, ao criar novos produtos ou desenvolver novas funcionalidades, é preciso ter sempre em mente os pontos colocados no GDPR.
7. Responsável por proteção dos dados
Se a empresa conduz atividades que requerem monitoramento regular de dados pessoais em larga escala, ela precisa ter um profissional responsável pela proteção desses dados, alguém que tenha familiaridade com normas e boas práticas.
E a multa do GDPR?
Agora você deve estar se perguntando: e se minha empresa não estiver de acordo com o GDPR? O que vai acontecer?
A penalidade para empresas que não cumprirem com o regulamento pode chegar a 4% da receita global anual da empresa ou a 20 milhões de euros – o que for maior. Esse valor máximo ultrapassa os 80 milhões de reais e é imposto a empresas que violarem os principais pontos do regulamento, como não pedir o consentimento do Lead ou violar os princípios de privacidade desde a concepção.
Checklist rápido
Para recapitular, compartilhamos abaixo algumas ações rápidas que você pode fazer para que as ações de Marketing Digital de sua empresa estejam em conformidade com as normas do GDPR.
- Alterar suas Landing Pages, deixando mais claro o objetivo pelo qual estão capturando cada um dos dados pessoais;
- Excluir definitivamente os dados de um Lead caso ele deseje;
- Enviar todos os dados armazenados a respeito do Lead caso seja solicitado por ele;
- Incluir um alerta sobre o uso de cookies em páginas monitoradas;
- Fazer alterações em termos de uso, contratos e políticas de privacidade, incluindo exigências da regulamentação, como quais são os serviços utilizados para armazenamento e processamento dos dados do indivíduo.
Quais os próximos passos?
Certamente mudanças serão necessárias — não somente na área de marketing — em empresas em todo o mundo.
Para entender melhor como sua empresa precisará se adequar, o site oficial do regulamento (em inglês) fala sobre os principais pontos da mudança. Para ler o regimento na íntegra, no site da Eurlex é possível ter acesso ao texto final em português.
Vale lembrar que, mais do que nunca, é hora de rever a forma como você interage com sua base. Enviar emails relevantes para uma segmentação selecionada é uma das formas de garantir que você está entregando aos Leads apenas aquilo que eles querem, e não utilizando seus dados para incomodá-los e encher suas caixas de SPAM — garantia que, aliás, é um dos grandes objetivos do GDPR.
Se você é cliente do RD Station Marketing e ainda tem dúvidas de como se adaptar, entre em contato conosco pela Central de Ajuda e prepare-se para realizar as mudanças até a data em que o regulamento entra em vigor.
