Um regulamento da União Europeia (UE) que rege a informação privada dos consumidores ganhará poder regulamentar em Maio de 2018. E isso terá um grande efeito sobre como as empresas em todo o mundo lidam com a privacidade. Por isso, é fundamental saber o que é GDPR – General Data Protection Regulation (em português, Regulamento Geral de Proteção de Dados).
O GDPR coloca regulamentação sobre como os estados membros da União Europeia (UE) lidam com informações pessoalmente identificáveis. Este nível de regulamentação para dados pessoais é sem precedentes e exigirá que as empresas garantam os mais altos níveis de proteção de privacidade ou sofram consequências financeiras graves.
Montamos esse guia para ajudar os profissionais de marketing digital a entender não apenas o que é o GDPR, mas também como ele está sendo implementado e aplicado e como se preparar.
O que é GDPR (Regulamento Geral de Proteção de Dados)
O Regulamento Geral de Proteção de Dados (GDPR), acordado pelo Parlamento Europeu e Conselho em Abril de 2016, substituirá a Diretiva de Proteção de Dados 95/46 como a lei primária que regula a forma como as empresas protegem os dados pessoais dos cidadãos da UE.
As empresas que já estão em conformidade com a Diretiva devem garantir que estejam em conformidade com os novos requisitos do GDPR antes dele entrar em vigor em 25 de maio de 2018. As empresas que não obtiverem conformidade com o GDPR antes do prazo estarão sujeitas a penalidades rígidas e multas.
Os requisitos do GDPR aplicam-se a cada estado membro da União Europeia, com o objetivo de criar uma proteção mais consistente dos dados pessoais e dos consumidores em todos os países da UE. Alguns dos principais requisitos de privacidade e proteção de dados do GDPR incluem:
- Exigir o consentimento dos indivíduos para processamento de dados
- Tornar anônimo os dados coletados para proteger a privacidade
- Fornecer notificações de violação de dados
- Manipular com segurança a transferência de dados entre fronteiras
- Exigir que determinadas empresas nomeiem um oficial de proteção de dados para supervisionar a conformidade com o GDPR.
Simplificando o que é GDPR: ele determina um conjunto de padrões de referência para as empresas que lidam com os dados dos cidadãos da UE para melhor salvaguardar o processamento e o movimento dos dados pessoais dos cidadãos.
O que o GDPR envolve?
Basicamente, o GDPR protege os dados do usuário de praticamente todos os modos concebíveis. Ele opera com o entendimento de que a coleta e o processamento de dados fornecem o mecanismo básico em que a maioria das empresas opera, mas se esforça para proteger esses dados a cada passo, dando ao consumidor o controle absoluto sobre o que acontece com ele.
Para estar em conformidade com o GDPR, uma empresa deve não apenas manusear os dados do consumidor com cuidado, mas também fornecer aos consumidores maneiras de controlar, monitorar, verificar e, se desejado, excluir qualquer informação que deseje.
Fonte: Codestring.
As empresas que desejam permanecer em conformidade devem implementar processos (e em muitos casos, adicionar pessoal) para garantir que, quando os dados são tratados, permaneçam protegidos. Para cumprir esse requisito, o GDPR promove a pseudonimização, anonimato e criptografia.
Tornar os dados anônimos é fazer a criptografia ou remoção de informações identificáveis para que nunca possam ser vinculadas a um usuário. A pseudonimização está entre a identificação e o anonimato.
Com a pseudonimização, os componentes de dados são tornados anônimos e separados, mas podem ser agrupados juntos. Por exemplo, um sistema pode atribuir a um usuário um identificador para localização que só pode ser vinculado ao usuário se for combinado com a data de nascimento, que é mantida separadamente. O regulamento promove a pseudonimização da anonimização.
Quer saber mais sobre esse conceito? Veja a definição no site oficial da Comissão Europeia.
Segundo o GDPR, as empresas devem garantir que os clientes tenham controle sobre seus dados, incluindo salvaguardas para proteger seus direitos. No seu núcleo, as proteções têm a ver com processos e comunicações que são claras e concisas e são feitas com o consentimento explícito e afirmativo dos titulares dos dados.
Uma olhada nos identificadores online
É fato que existe um grande número de identificadores potenciais. No entanto, se você olhar para cada um desses identificadores, surgirá uma imagem ainda mais ampla.
Um exemplo de identificador online é o cookie. Os cookies já existem em diversas formas e para diversas finalidades, da análise da web à publicidade (os cookies também são abordados pelas diretrizes do GDPR, no chamado Regulamento ePrivacy).
Outros tipos de identificadores online são descritos no Recital 30 do GPDR, onde se esclarece que as pessoas podem ser identificadas com identificadores online, fornecidos por:
- Dispositivos;
- Aplicativos;
- Ferramentas e Protocolos como: endereços IP (Internet Protocol), identificadores de cookies ou outros, por exemplo, tags de identificação por radiofreqüência (RFID).
- Dados de login e utilização em um software;
- Cadastro de e-mail na landing page de um e-book;
- Cadastro de telefone e nome em páginas de contato de site de empresas;
- Compra de um produto em um e-commerce;
- Dados de navegação em um site, etc.
Todos esses identificadores online podem deixar vestígios que, quando combinados com identificadores exclusivos e/ou outras informações recebidas pelos servidores, podem ser usados para criar perfis de dados de sujeitos e identificá-los.
Dependendo do seu setor e da área de atividades (de processamento), é necessário observar os fatores que podem afetar a privacidade dos participantes de dados nesse escopo.
Melhores práticas para o GPDR
O que uma empresa pode fazer para se preparar? Aqui estão alguns 6 passos básicos a considerar ao desenvolver um plano:
- Integre seus departamentos de TI e marketing. Entre a ameaça do cibercrime e a necessidade de estratégias específicas de monitoramento e implementação, seu departamento de TI será seu novo melhor amigo. Invista e use soluções de TI seguras e personalizadas para ficar do lado certo dos regulamentos – e do lado certo da confiança dos consumidores.
- Contrate um responsável pela Proteção de Dados. O GDPR atribui responsabilidade aos processadores e controladores de dados e não requer operações menores para contratar um oficial de dados. Mas é um investimento que merece uma consideração séria. O dano potencial à linha inferior de sua empresa não vale o risco. O GDPR tem uma mensagem singular: a informação do consumidor merece permanecer privada. Qualquer coisa que você possa fazer para ficar em conformidade ajudará você no geral.
- Faça uma auditoria completa do seu sistema de segurança de dados atual. A melhor maneira de garantir a conformidade é ter uma avaliação precisa de seus processos de dados atuais. Dessa forma, você pode identificar áreas de alto risco e consertar possíveis áreas problemáticas antes do início da fiscalização.
- Eduque sua equipe. Embora a maior parte da responsabilidade recaia sobre sua equipe de segurança, qualquer pessoa que lide com informações precisa ser instruída sobre o GDPR. Isso inclui funcionários que interagem com novos clientes ou usuários, aqueles que mantêm sistemas de CRM e até mesmo pessoal de entrada de dados.
- Crie ferramentas que garantam a privacidade. Todos os dias, há cada vez mais empresas surgindo com soluções de pseudonimização e outras formas de manter a conformidade. Trabalhe com seu Departamento de Proteção de Dados e seu departamento de TI para encontrar a solução que funciona melhor para você.
- Trabalhe com fornecedores terceirizados que sejam compatíveis com GDPR. Isso inclui seu provedor de serviços de e-mail, seu serviço de CRM e suas agências de marketing e relações públicas. Você pode ser responsabilizado por violações feitas pelos processadores com os quais você trabalha. É importante garantir que todos os aspectos do processamento de dados estejam em conformidade.
Execução do GPDR e penalidade por não cumprimento
Em comparação com a antiga Diretiva de Proteção de Dados, o GDPR aumentou as penalidades por não conformidade. As Autoridades de Supervisão (AS) têm mais autoridade do que na legislação anterior porque o GDPR estabelece um padrão em toda a União Europeia para todas as empresas que lidam com dados pessoais dos cidadãos da UE.
As ASs detêm poderes investigativos e corretivos e podem:
- emitir advertências por não conformidade
- realizar auditorias para garantir a conformidade
- exigir que as empresas façam melhorias especificadas em prazos prescritos
- determinar que as empresas não transfiram dados para outros países.
Controladores de dados e processadores estão sujeitos aos poderes e penalidades das ASs.
O GDPR também permite às Autoridades de Supervisão emitirem multas maiores do que a Diretiva de Proteção de Dados. As multas são determinadas com base nas circunstâncias de cada caso e o AS pode optar por impor seus poderes de correção com ou sem multas. Para empresas que não cumprem com certos requisitos do GDPR, as multas podem ser de até 2% ou 4% do total do faturamento anual global ou € 10 milhões ou € 20 milhões, o que for maior.
Todas as organizações, incluindo pequenas e médias empresas e grandes empresas, devem estar cientes de todos os requisitos GDPR e estar preparadas para cumpri-los até maio de 2018.
Ao começar a implementar políticas e soluções de proteção de dados agora, as empresas estarão em uma posição muito melhor alcançar a conformidade com o GDPR quando entrar em vigor. Para muitas dessas empresas, o primeiro passo para cumprir o GDPR é designar um encarregado de proteção de dados para construir um programa de proteção de dados que atenda aos requisitos GDPR.
Entender o que é GPDR é de extrema importância para as organizações porque ele não se aplica apenas a empresas na UE.
Todas as empresas que comercializam serviços ou bens para cidadãos da UE devem também preparar-se para cumprir o GDPR. Ao cumprir os requisitos, as empresas evitarão multas caras, ao mesmo tempo em que melhoram a proteção e a confiança dos dados do cliente.
A Links Experts é uma agência especializada em links patrocinados e trabalha com mídias como Google Adwords, Facebook, Instagram e outras. Os investimentos são personalizados de acordo com realidade de cada cliente e não exigimos orçamento mínimo ou tempo mínimo de contrato. Entre em contato com a nossa equipe e saiba como podemos ajudá-lo a transformar seus investimentos em resultado.