Regulamentação Geral sobre a Proteção de Dados: Tudo o que Você Precisa Saber
April 2, 2018 5 min read
O principal objetivo do novo Regulamento Geral sobre a Proteção de Dados (RGPD) é fortalecer e combinar o manuseio de dados pessoais de vários países membros e adaptá-los sob um único regulamento da União Europeia (UE).
Atualmente, os 28 países membros da UE têm seus próprios regulamentos de proteção de dados e aplicam essas leis ao comércio internacional, o que dificulta o exercício dos direitos de proteção de dados pessoais.
O novo RGPD vem com uma gama de regras que afetam todas as empresas, independente do tamanho ou setor, e que por vezes precisam estar prontos para focar em diferentes áreas de suas empresas.
O novo regulamento relativo à proteção das pessoas físicas no que diz respeito ao processamento e livre circulação de dados pessoais entra em vigor em 25 de maio de 2018, dois anos após a aprovação do Regulamento 2016/679 pelo Parlamento Europeu e pelo Conselho. Neste artigo, queremos te ajudar a entender o que você pode (e o que não pode) fazer para atender aos requisitos deste novo regulamento e assegurá-lo de que a Benchmark, sua ferramenta de email marketing, também os está atendendo.
O novo RGPD não elimina as legislações de Proteção de Dados atualmente em vigor em cada um dos países membros. Em vez disso, ele ajuda a sincronizar todos os países membros da UE. Algumas das decisões ainda serão tomadas a nível nacional para cada um dos países membros, mas lembre-se de que as partes responsáveis devem agora referenciar o RGPD como norma e não os próprios regulamentos de Proteção de Dados de seus países.
Se você atualmente atende aos requisitos de proteção de dados de seu país, já tem uma boa base. No entanto, ainda precisará revisar e alterar alguns aspectos para cumprir com as novas regras.
Há três pontos principais que você precisa ter em mente em sua estratégia de email marketing: consentimento, acesso e coleta de dados.
Consentimento
De acordo com o artigo 4 (11), “Consentimento” do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;
Como afirmado na definição, o consentimento do usuário deve ser inequívoco e também explícito. Essas duas palavras eliminam qualquer dúvida ou ambiguidade.
(32) O consentimento do titular dos dados deverá ser dado mediante um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que o titular de dados consente no tratamento dos dados que lhe digam respeito, como por exemplo mediante uma declaração escrita, inclusive em formato eletrónico, ou uma declaração oral. O consentimento pode ser dado validando uma opção ao visitar um sítio web na Internet, selecionando os parâmetros técnicos para os serviços da sociedade da informação ou mediante outra declaração ou conduta que indique claramente nesse contexto que aceita o tratamento proposto dos seus dados pessoais. O silêncio, as opções pré-validadas ou a omissão não deverão, por conseguinte, constituir um consentimento. O consentimento deverá abranger todas as atividades de tratamento realizadas com a mesma finalidade. Nos casos em que o tratamento sirva fins múltiplos, deverá ser dado um consentimento para todos esses fins. Se o consentimento tiver de ser dado no seguimento de um pedido apresentado por via eletrónica, esse pedido tem de ser claro e conciso e não pode perturbar desnecessariamente a utilização do serviço para o qual é fornecido.
Exemplo:
Recentemente participei de uma feira onde, ao longo do dia, acumulei vários cartões de visita que serão usados para criar um banco de dados que salvarei na minha conta da Benchmark com o objetivo de enviar newsletters informativas.
Com o novo Regulamento, isso é legal?
Não. O networking alcançado entre você e os indivíduos na feira não lhe dá o direito de usar seus dados pessoais, mesmo com a confirmação verbal do indivíduo. O RGPD exige agora que exista evidência deste acordo entre ambas as partes.
O RGPD afirma que deve haver consentimento inequívoco e explícito do indivíduo que pode ser apoiado com evidências no caso de uma auditoria. É necessário que haja evidências de que o indivíduo está dando seu consentimento para que seus dados pessoais sejam usados.
RECOMENDAÇÃO:
- Revise seus métodos para coleta de dados e elimine qualquer ambiguidade que possa existir.
- Analise seu banco de dados e use apenas os dados para os quais você pode fornecer prova de que o consentimento foi dado a você pelo indivíduo.
Acesso
A parte responsável pelo processamento de dados pessoais deve fornecer a cada usuário acesso simples e direto para modificar seus próprios dados pessoais. A parte responsável também deve fornecer um meio pelo qual o indivíduo possa confirmar que está dando seu consentimento por meio eletrônico, seja através de seu próprio site, formulários de inscrição ou confirmação por email.
A parte responsável terá um mês para fornecer uma resposta ao cliente, com a possibilidade de estendê-lo para dois meses no caso de ser uma solicitação complexa, na qual as medidas necessárias estejam sendo tomadas para completar a solicitação dos indivíduos.
No caso da nossa ferramenta de Email Marketing, a opção Gerenciar Inscrição permite que o indivíduo acesse seus dados pessoais e modifique os dados, caso necessário, ou cancele a assinatura diretamente.
Neste ponto, há um novo direito, que é o DIREITO DE SER ESQUECIDO (artigo 17). O usuário pode exercer o seu “direito de ser esquecido” e ter seus dados pessoais removidos do banco de dados permanentemente. Selecionamos duas das seis razões incluídas no sub-ponto 1, que dão ao indivíduo a capacidade de exercer o seu direito:
- a) os dados pessoais não são mais necessários em relação aos fins para os quais foram coletados ou processados;
- d) os dados pessoais foram processados ilegalmente;
Coleta de dados:
O RGPD defende a simplicidade na coleta de dados pessoais. Como profissionais de marketing, tendemos a pedir mais detalhes do que o necessário quando tudo o que estamos fazendo é enviando uma newsletter informativa semanal. Por esta razão, essas novas regulamentações incentivam que apenas um mínimo de dados pessoais seja coletado e compilado para a nossa estratégia atual e não a coleta de dados adicionais que possam possivelmente ser úteis no futuro.
Se seu objetivo for informar os contatos de seu banco de dados sobre as próximas promoções, a compilação do nome e endereço de email de um indivíduo serão mais que suficiente para atingi-lo.
Brexit
O Reino Unido sairá oficialmente e deixará de fazer parte da UE em 2019. Com essa saída, os regulamentos não serão aplicáveis a eles. Atualmente, não sabemos como o Reino Unido, ou empresas do Reino Unido, lidarão com a proteção de dados, mas acreditamos que eles aprovarão regulamentos semelhantes que serão comparáveis com os da UE.
O que acontece se eu não atender aos novos requisitos do RGPD?
O Regulamento Geral de Proteção de Dados estabelece um conjunto de ferramentas para cumprir com o novo regulamento, incluindo sanções e multas. Uma série de fatores serão levados em consideração e cuidadosamente avaliados quando uma multa for imposta devido ao descumprimento do novo RGPD, como:
- a gravidade / duração da violação;
- o número de titulares de dados afetados e o nível de dano sofrido por eles;
- o caráter intencional da infração;
- quaisquer ações tomadas para mitigar o dano;
- o grau de cooperação com a autoridade supervisora.
O regulamento estabelece dois tipos de multas caso as regras não sejam respeitadas. O primeiro teto estabelece multa de até 10 milhões de euros ou, em caso de falência, até 2% do faturamento anual global. Esta primeira categoria de multa seria aplicada, por exemplo, se os responsáveis pelo processamento não realizassem avaliações de impacto, conforme exigido pelo regulamento. O teto mais alto das multas atinge um máximo de 20 milhões de euros, ou 4% do faturamento anual mundial. Um exemplo seria uma violação dos direitos das pessoas estabelecidos pelo regulamento. As multas são ajustadas de acordo com as circunstâncias de cada caso individual.
Você deve dar atenção aos pontos acima (consentimento, acesso e coleta de dados) quando chegar a hora de planejar sua estratégia de email marketing.
Benchmark
Na Benchmark, estamos trabalhando duro para atualizar nossa Política de Privacidade, a fim de cumprir com os requisitos do regulamento. No caso do RGPD, não há certificação que nos declare que estamos em conformidade com os novos regulamentos, assim como com o Privacy Shield Framework.
Nós da Benchmark queremos garantir que seus dados pessoais estejam sendo tratados em conformidade com o novo RGPD.
Pela primeira vez, a UE mostra liderança e união na maneira como os dados pessoais precisam ser tratados e obriga o resto do mundo, sem exceção, a seguir essas regulamentações caso queira lidar com dados pessoais europeus.
Não se esqueça de compartilhar este artigo com seus contatos e deixar um comentário abaixo. Obrigado pela leitura!