O que é o Regulamento geral de proteção de dados da UE (GDPR) e como isso afetará seus negócios online?
Publicados: 2018-06-04Sua caixa de entrada está inundada com e-mails atualizando as políticas de privacidade? Há uma razão para isso - e essa razão é o Regulamento Geral de Proteção de Dados, ou GDPR.
Parece que todo mundo está falando sobre o GDPR atualmente. Mas por que agora?
Bem, o fato é que o GDPR está em desenvolvimento há sete anos. Mas recentemente, houve um acordo sobre o que essa reforma da proteção de dados realmente implicará.
Basicamente, o GDPR é um conjunto de normas destinadas a fornecer mais controle sobre os dados pessoais aos cidadãos europeus. Além disso, essa reforma também regulamentará as leis gerais de consentimento e privacidade no mundo online, criando novos padrões para processamento e armazenamento de dados em geral.
Pelo menos 50% das organizações declararam que terão dificuldade em cumprir o GDPR, a menos que alterem suas operações de maneira significativa. E isso pode ser um regulamento europeu, mas não afeta apenas a Europa.
As empresas online em todo o mundo são aconselhadas a cumprir os novos regulamentos GDPR - o GDPR é aplicado a todas as empresas dentro da União Europeia E a qualquer organização fora da UE que forneça produtos ou serviços a clientes ou empresas dentro da UE. Provavelmente, a maioria das empresas em todo o mundo terá que ser compatível com o GDPR ... incluindo você, se sua empresa se enquadrar na Lei de Proteção de Dados do Reino Unido.
Pense assim - a sede principal do Facebook fica na América, mas as pessoas que vivem na Europa e em todo o mundo podem se inscrever no Facebook. Portanto, como o Facebook está oferecendo serviços aos europeus e coletando seus dados, o Facebook deve ser compatível com o GDPR, embora esteja situado principalmente na América.
No entanto, não tenha medo de se tornar compatível com o GDPR. Mesmo se você não tiver que ser tecnicamente .
A conformidade com o GDPR só pode fazer bem a você. Você estará usando um sistema que processará informações pessoais e confidenciais sobre seus clientes (ou assinantes de e-mail), enquanto mantém todos esses dados seguros. Na realidade, todos podem se beneficiar com o GDPR.
O bom do GDPR é que ele vem com regras e diretrizes rígidas em relação à coleta de dados. Isso significa que não há mais linhas borradas e mais regulamentação. Mas isso também significa que aqueles que precisam cumprir o GDPR enfrentarão penalidades se não cumprirem os novos regulamentos.
Existem dois tipos distintos de tratamento de dados - as pessoas (ou uma agência, autoridade, etc.) encarregadas de processar os dados e as pessoas encarregadas de controlar. Com essa configuração, cada um dos dois lados é totalmente responsável se ocorrer mau uso, mas se todos seguirem as regras sobre proteção de dados, as violações serão menos prováveis. Antes do GDPR, não havia uma solução real se algo acontecesse com os dados.
Como sua empresa pode se tornar compatível com o GDPR
A primeira etapa para se tornar compatível com o GDPR é dar uma boa olhada nos dados que você coleta. Esses dados são pessoais? Em caso afirmativo, você deve aplicar as regras e regulamentos do GDPR.
Se algum dado (uma única parte dele ou o grupo inteiro) puder identificar a pessoa, então são dados pessoais. Nesse caso, você deve obter o consentimento desses indivíduos, informá-los sobre como seus dados serão usados e por quanto tempo. Além disso, você deve fornecer a eles insights sobre os dados que possui e permitir que os excluam, se quiserem.
Alguns exemplos típicos de dados pessoais incluem nomes, endereços, fotos e até mesmo o endereço IP é considerado dados pessoais.
Além disso, se eles não quiserem excluir os dados, você deve realizar uma determinada atividade para protegê-los. Uma das maneiras de fazer isso é a pseudonimização.
O que é pseudonimização?
Embora o nome seja complicado, a ideia é bastante simples. A pseudonimização é uma técnica de gerenciamento de dados em que o objetivo principal é despersonalizar os dados para que não possam ser rastreados até uma pessoa, a menos que você use dados adicionais - isso é como uma chave. Sem essa chave, você não pode descobrir os dados originais que os tornam criptografados.
O GDPR também possui uma lista de regras sobre o armazenamento de todas as chaves criptografadas para que o processo de despersonalização e as informações permaneçam seguros.
Os dados pessoais e criptografados representam diferentes peças do quebra-cabeça, onde se você tirar uma da equação, não poderá ver a imagem completa.
A diferença entre pseudonimização e criptografia
Embora existam semelhanças, a principal diferença é clara. A criptografia não é imutável e existem várias maneiras de consegui-la. O resultado final é o mesmo - os dados são protegidos e criptografados.
A diferença entre criptografia e pseudonimização reside no fato de que você não pode processar os dados criptografados a menos que os retorne ao seu estado original, não criptografado. Com a pseudonimização, você anonimiza apenas temporariamente os dados pessoais para que, durante o processamento de dados, ninguém possa conectá-los à pessoa real.
Basicamente, embora a criptografia seja muito mais segura e completa, também é tecnicamente muito complexa de se conseguir, e a pseudonimização permite criptografar apenas as partes confidenciais dos dados. Pode ser traduzido grosso modo para uma situação da vida real em que você está conduzindo um questionário público e as respostas são anônimas, mas o resultado final é o mesmo - você obtém os dados que estava procurando.
GDPR e proteção de dados eficaz
Para processar dados, as empresas precisam usar pseudonimização se quiserem ser compatíveis com o GDPR. Eles podem escolher não ser, mas enfrentarão multas múltiplas que podem chegar a milhões de dólares.
Com a pseudonimização, os dados podem ser usados em pesquisas analíticas, exploratórias e estatísticas, mas também com o consentimento do proprietário dos dados. E as empresas também terão que ter esse consentimento prontamente disponível.
Além da pseudonimização, existem várias soluções técnicas que as empresas podem implementar para garantir que esses dados sejam protegidos. É melhor alcançar a criptografia total, se possível, mas, fora isso, as empresas podem ter certeza de que seus sistemas atuais podem sustentar as mudanças de política.
Outra forma de proteger os dados é fortalecer os sistemas existentes. Crie as proteções necessárias nos sistemas, mas também certifique-se de que elas sejam integradas aos produtos e serviços desde os estágios iniciais de desenvolvimento.
As regras do GDPR começarão a ser aplicadas em 25 de maio de 2018. A partir desta data, todas as organizações e empresas da UE deverão estar em conformidade com o GDPR.
Quais são os benefícios do GDPR?
- Menos violações de dados, invasão e uso indevido.
- A proteção de dados será integrada em cada produto ou serviço desde o início.
- As empresas ainda terão acesso aos dados necessários se usarem mecanismos de proteção de dados, como pseudonimização.
- Novos empregos serão criados.
- As pessoas terão controle total sobre seus dados.
- As empresas terão que notificar os consumidores se seus dados foram hackeados, limitando o acobertamento.
Você está preocupado com a forma como a legislação afetará seus negócios? Fique por dentro das novidades inscrevendo-se no DesignRush Daily Dose!
Penalidades e multas do GDPR
Embora muitas empresas pensem que o GDPR é apenas um incômodo, elas são incentivadas a cumprir as novas regras do GDPR porque as multas são gigantescas. As penalidades podem variar de 10 milhões de euros (mais de 11,5 milhões de dólares) a 20 milhões de euros (23 milhões de dólares), ou dois a quatro por cento do faturamento global anual de uma empresa, o que pode valer bilhões de dólares para algumas empresas.
As empresas podem ser multadas se transferirem dados sem autorização, ignorando a solicitação das pessoas por informações e remoção de dados. Multas também podem afetar empresas que não notificam usuários e autoridades nas primeiras 72 horas após a ocorrência de uma violação. Outra instância que pode resultar em multa é a não nomeação de uma pessoa responsável pelas regras e conformidade do GDPR - uma pessoa responsável pela proteção de dados dentro da organização.
Nomeando um controlador de dados
Cada organização que lida com dados confidenciais, incluindo processamento, monitoramento e rastreamento de comportamento, deve nomear um oficial de proteção de dados. Isso significa que as empresas que usam estratégias de marketing digital provavelmente precisam ser compatíveis com o GDPR.
Ser um DPO não exige um certificado e há apenas um conjunto de diretrizes, não a legislação real, sobre quem deve ser um oficial de proteção de dados. Principalmente, essa pessoa deve ter experiência e compreensão das leis de proteção de dados e deve realizar atividades para garantir que a empresa está em conformidade. Essa pessoa também é considerada responsável se a empresa não estiver em conformidade.
Além disso, dependendo do tamanho da empresa, pode haver apenas um DPO ou todo o departamento dedicado a minimizar os riscos e maximizar a proteção de dados.
Tornando o GDPR um valor fundamental
Existem várias maneiras pelas quais as empresas podem garantir que o GDPR seja levado a sério e executado pela empresa.
- Treinamento dos empregados
- Revisões da política
- Regulamentos de RH
- Audições internas
- Documentar todos os processos e atividades que envolvem o uso de dados
- Minimizando o uso de dados
- Usando táticas como pseudonimização
Como as empresas podem preparar a legislação GDPR
Os departamentos de marketing dentro das empresas são os que geralmente usam os dados confidenciais dos usuários, mas não importa quem lida com os dados dentro da empresa. A empresa como um todo precisa estar em conformidade e aqui está uma lista de verificação para ajudar a simplificar o processo.
Etapa 1 - Nomear um oficial de proteção de dados
Você precisa ter alguém que irá supervisionar e revisar todos os processos internos e garantir que sua empresa siga as diretrizes. Se você acredita que não tem ninguém em sua empresa que possa desempenhar essa função, você deve procurar contratar alguém que possa. Além disso, agora há treinamento GDPR que sua equipe atual pode fazer para aprender mais sobre o GDPR.
Etapa 2 - Revise sua lista de distribuição
Faça uma revisão completa de toda a sua lista de discussão. Envie os e-mails necessários sobre a nova atualização da política de privacidade e pergunte às pessoas se ainda desejam compartilhar seus dados com você. Se eles não derem seu consentimento, remova-os da lista. Se você usar a automação de marketing por e-mail, basta usar uma nova lista em que segmentará os usuários europeus para que possa garantir seu consentimento.
Etapa 3 - Aprovar campanhas de marketing por meio de um oficial de proteção de dados
Até que sua equipe de marketing aprenda as cordas, um DPO deve supervisionar suas campanhas de marketing e aprová-las antes do lançamento. Dessa forma, você pode ter certeza de que tudo está em ordem e que você permanece em conformidade com o GDPR.
Etapa 4 - Fluxos e processos de dados de documentos
Provavelmente, sua lista de e-mail será eliminada, mas como você já sabe, isso é uma necessidade. No entanto, você ainda precisa se certificar de que todas as coletas de dados futuras também sejam compatíveis com o GDPR. Seus pontos de entrada de dados também devem permanecer seguros. Isso inclui inscrição no boletim informativo, todos os registros de conta, vários eventos, listas de compra, proteção de dados transferidos para parceiros e, bem, qualquer tipo de uso e coleta de dados. Os usuários devem dar seu consentimento para todas as suas operações de dados e você deve apontar explicitamente todas as atividades que realizará com seus dados.
Etapa 5 - Atualize sua Política de Privacidade
Certifique-se de que seu site tenha uma página de política de privacidade facilmente acessível, onde você possa descrever publicamente como você coleta e trata os dados e quais ações você toma para protegê-los.
Etapa 6 - Implementar treinamento de equipe e gerenciamento no GDPR
Ensine todos os tomadores de decisão e equipe de marketing sobre a proteção de dados e os protocolos em vigor. Você pode até mesmo dimensionar isso para educar todos os seus funcionários sobre as novas regras e processos. Isso pode ser feito por meio de seminários, treinamento, distribuição de livretos ou manuais online - o que funcionar para o seu negócio.
Etapa 7 - Excluir dados que sua empresa não usa
Uma das etapas para se tornar compatível com o GDPR é minimizar os dados que você está usando nos processos diários, se possível, e excluir os dados quando não precisar mais deles.
Etapa 8 - Reverificação
Envie um e-mail a todos os residentes europeus e solicite a renovação do seu consentimento, caso queiram constar da sua lista. Isso pode ser feito por e-mail, aplicativo móvel ou até mesmo mala direta. As políticas do GDPR proíbem estritamente o envio de um novo e-mail a indivíduos que tenham cancelado a inscrição anteriormente em sua lista.
Privacidade por padrão e privacidade por design - Qual é a diferença
Existem dois novos termos que devem ser reconhecidos e observados nesta nova era do GDPR. Basicamente, já dissemos que os novos produtos e serviços precisam vir com um mecanismo integrado que cumpra as regras do GDPR. Privacidade desde o design significa que as empresas devem pensar e planejar com antecedência como incluir políticas de proteção de dados, mesmo nos estágios iniciais do projeto, bem como no restante do ciclo de vida de um projeto.
Os processadores de dados devem proteger a privacidade dos dados por padrão, o que significa que os dados pessoais não estão disponíveis para ninguém, exceto o proprietário dos dados. Além disso, os processadores devem coletar apenas os dados pessoais mínimos necessários para fins de processamento, sem armazenar esses dados após a conclusão.
O que você pode fazer para automatizar o processo
Tente obter uma solução técnica que resolverá muitos desses problemas para você. Pode ser, por exemplo, um software que apaga automaticamente certos dados pessoais.
Reavaliação e teste
Para impedir as possíveis violações e cumprir o GDPR, é melhor que as empresas coloquem vários testes, estudos de caso e processos de reavaliação em andamento.
Faça uma lista de verificação de conformidade com o GDPR para cada novo sistema, campanha de mídia, ação de planejamento de projeto ou qualquer coisa semelhante. Dessa forma, seus funcionários podem avaliar o processo rapidamente e notificar os responsáveis se o projeto não cumprir e fizer uso indevido de dados de alguma forma. Claro, empresas ou funcionários podem pensar nessas etapas adicionais como um fardo, mas é melhor prevenir do que remediar.
Lembre-se das multas de milhões de dólares.
Novas políticas de coleta de dados
Além de proteger os dados coletados anteriormente, você deve garantir que a coleta de dados futura seja segura desde o início. Você pode usar uma linguagem simples e natural quando solicitar consentimento.
Mascarar isso por trás de uma linguagem complicada pode ser muito enganoso. O consentimento que as pessoas fornecem deve ser claro e inequívoco. Certifique-se de delinear claramente como usará as informações recém-coletadas.
Também é hora de outra autorização de política de cookies em seu site. Você deve se certificar de que as pessoas que assinam são maiores de idade, porque de acordo com as novas regras do GDPR, apenas pessoas com 16 anos ou mais podem fornecer seus dados pessoais. Crianças menores de 16 anos devem ter o consentimento dos pais.
As empresas precisam entender que não podem solicitar informações pessoais sem uma causa adequada. Nem mesmo se o armazenamento dessas informações estiver de acordo com as regras do GDPR. As empresas devem solicitar assistência jurídica para preparar uma base jurídica para cada atividade de coleta e processamento de dados.
Novos formulários podem incluir a idade do usuário e até mesmo o país de residência para determinar se as regras do GDPR se aplicam ou não. Além disso, seus clientes têm o direito de saber se seus dados serão transferidos através das fronteiras. Em todos os momentos, você deve se certificar de que existe um mecanismo que permitirá aos usuários retirar seu consentimento ou até mesmo registrar uma reclamação.
Se as pessoas solicitarem insights sobre suas informações, as empresas devem obedecer e fornecer uma resposta que não seja atrasada sem motivo e, no máximo, enviada dentro de um mês após o recebimento da solicitação.
A nova lei de privacidade eletrônica
O Comité Europeu publicou uma nova proposta de lei relativa ao Regulamento ePrivacy. Pretende-se como uma atualização da “Lei de Cookies” existente, que também estará de acordo com a já utilizada lei GDPR.
A diferença entre o GDPR e a lei de privacidade eletrônica
Enquanto o GDPR se preocupa com a proteção de dados pessoais, a lei de privacidade eletrônica deseja regulamentar a privacidade da vida pessoal de um usuário. Dessa forma, a comunicação online pode proteger o usuário. Muitos setores e indústrias são afetados por essas leis. O Comité Europeu considera que devem existir dois conjuntos diferentes de regras baseadas em direitos humanos diferentes.
Essa nova lei de privacidade eletrônica pode impactar bastante a indústria de marketing. Mais de 92% das pessoas estão preocupadas com sua privacidade online e como seus dados são usados para fins de marketing. Eles estão extremamente preocupados com a percepção que as empresas têm de suas vidas, especialmente ao monitorar suas atividades online, conteúdo de e-mail e mensagens. É por isso que essa noção evoluiu do GDPR e da proteção de dados pessoais para a lei de privacidade eletrônica e o restante dos dados.
Basicamente, haverá muito mais regras e políticas regulamentadas em relação à obtenção de consentimento para todos os fins de marketing. Isso inclui também as estratégias de marketing comportamental. Com a nova lei de privacidade eletrônica, as empresas não poderão utilizar quaisquer dados da comunicação eletrônica, informações armazenadas nos dispositivos utilizados pelos consumidores, ou qualquer outra informação, sem o consentimento do usuário, a menos que seja necessária para o processamento imediato dos dados.
Palavras para o sábio - Cuidado com os golpes
Como as empresas têm enviado e-mails oferecendo às pessoas a opção de não participar de suas listas de mala direta, os golpistas descobriram uma maneira de usar toda a conformidade com o GDPR para seus golpes de phishing. Você realmente não pode escapar da ironia de que os hackers estão propositalmente visando pessoas que estão tentando manter seus dados seguros com as novas regras GDPR.
Veja como você pode reconhecer um golpe de phishing GDPR:
Se a empresa perguntar se você deseja permanecer em seu banco de dados, provavelmente não é um golpe de phishing. No entanto, se a qualquer momento você receber uma mensagem na qual deve enviar quaisquer dados ou informações pessoais novamente - como nomes, endereços, nomes de usuário, senhas e até mesmo informações de pagamento - evite. Uma empresa real nunca faria isso por e-mail.
O futuro da proteção de dados e como sua empresa pode usar essas informações
Novamente, como com o GDPR, o poder do controle de privacidade está voltando para o proprietário dos dados. Com a nova lei, os usuários poderão dar consentimento para o uso de cookies ou retirá-los, diretamente em seus navegadores de internet.
Ao fazer isso, acredita-se que não será necessário haver uma política de cookies para cada site, mas sim um livro-razão de software que cuidará disso. Isso também significa que os sites não precisarão usar pop-ups enfadonhos para pedir consentimento se usarem apenas a coleta de dados anônima.
Essas novas leis de privacidade serão aplicáveis a todos os serviços de mensagens, incluindo o aplicativo Messenger do Facebook, Viber, WhatsApp e Gmail.
Muitas dessas medidas terão um impacto direto no futuro do marketing digital, mas ainda é cedo para dizer ou mesmo prever como isso vai acabar. Teremos apenas que esperar para ver, ficar de olho em nossos dados enquanto isso.
Sua empresa precisa de ajuda para se manter atualizada com todos esses novos regulamentos de dados? Confira a lista da DesignRush das melhores empresas de segurança cibernética e gerenciamento de risco que podem ajudar a agilizar o processo quando as regulamentações GDPR chegarem.
Quer mais informações de negócios? Assine a nossa newsletter!