O que é GDPR e como isso afetará seu negócio?

Analisar o GDPR e como uma plataforma de gerenciamento de consentimento pode afetar seus negócios é algo que todos devemos fazer. O campo de batalha em torno do consentimento do cliente versus interesse legítimo é feroz. Quando o Reino Unido aprovou seu padrão GDPR sobre como as empresas podem coletar e processar dados do consumidor, enviou ondas de choque em todo o mundo. No entanto, foi apenas o primeiro padrão desse tipo. Desde então, o Canadá emitiu seu próprio padrão, assim como o estado da Califórnia .

O que é GDPR?

Definido pelo GDPR: GDPR significa o Regulamento Geral de Proteção de Dados. É a lei de privacidade e segurança de dados mais rígida do mundo. Embora elaborado e assinado em lei pela União Europeia (UE), o GDPR carrega pesadas responsabilidades legais para organizações em todo o mundo se coletarem dados relacionados a cidadãos da UE. O GDRP entrou em vigor em 25 de maio de 2018.

Em breve, as atualizações dos sistemas operacionais da Apple e do Google tornarão os dados ainda mais anônimos, tornando mais difícil para as empresas entender como os usuários encontraram seus sites. Isso preocupa muito o Facebook , já que seu principal gerador de receita é seu produto de anúncio – e sem a devida atribuição, as empresas não poderão dizer o quão eficaz um anúncio no Facebook ou suas outras propriedades, como o Instagram, realmente é. Em breve, será a linha de base que todas as empresas empregam uma plataforma de gerenciamento de consentimento.

Impacto do Regulamento Geral de Proteção de Dados (GDPR) para negócios online

Mas, por enquanto, vamos dar uma olhada no GDPR, a política original de privacidade de dados do consumidor. Todos os outros usam linguagem e casos de uso semelhantes, tornando o GDPR uma política padrão. Existem duas seções em particular que os profissionais de marketing precisam conhecer com a documentação do GDPR:

• Artigo 6.º, n.º 1, alínea a) do RGPD – Consentimento como base legal para o tratamento de dados: O titular dos dados deu consentimento para o tratamento dos seus dados pessoais para um ou mais fins específicos;
• Artigo 6.º, n.º 1, alínea f), do RGPD – O tratamento é necessário para os fins dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por um terceiro, exceto quando esses interesses se sobrepõem aos interesses ou direitos e liberdades fundamentais do titular dos dados que exijam proteção de dados pessoais, em particular quando o titular dos dados é uma criança.

Esses dois artigos detalham o que é conhecido como coleta de consentimento e coleta de interesse legítimo. Vamos nos certificar de que você obtenha uma boa compreensão de ambos.

Como sua organização pode se tornar compatível com GDPR: Resolvendo o consentimento do cliente de uma vez por todas

Tornar-se compatível com GDPR depende do consentimento do cliente.

O consentimento do cliente é considerado o padrão-ouro da coleta de dados: um consumidor deve clicar em um botão (que não pode ser pré-preenchido) para dizer que concorda em fornecer suas informações à empresa. Uma plataforma de gerenciamento de consentimento simplifica o processo de obtenção de consentimento.

Você, sem dúvida, já viu isso em vários sites que visitou recentemente. Aqui está um exemplo do site Future of Commerce da SAP:

O consentimento do cliente exige que o cliente – cada um individualmente – consinta fisicamente com a coleta e processamento de seus dados.

De fato, as políticas de SMS TCPA exigem algo semelhante para o marketing de mensagens de texto.

Assim como a exigência de consentimento do cliente de não ter uma caixa pré-marcada e exigir consentimento físico, as políticas TCPA também exigem um acordo físico para enviar mensagens de texto, e esse acordo não pode ser pré-verificado. Além disso, o idioma do contrato deve incluir informações sobre a frequência com que um usuário receberá mensagens enviadas e como cancelar a assinatura e interromper todas as mensagens.

O GDPR não está sozinho, então, nesse requisito para um processo de consentimento mais manual. As organizações podem optar por esperar, mas a necessidade de uma plataforma de gerenciamento de consentimento está escrita na parede do GDPR.

Como gerar uma política de privacidade compatível com GDPR e definir interesses legítimos

O interesse legítimo é mais uma área cinzenta dentro do GDPR e, como resultado, muitos profissionais de marketing o preferem. Adicionar um requisito para um contrato manual para coleta de dados adiciona atrito a um site, e o atrito pode reduzir severamente a conversão. É compreensível que possa haver resistência à implementação de uma plataforma de gestão de consentimento, porém, ao final, será algo que agrega valor tanto para consumidores quanto para empresas.

O Information Commissioner's Office (ICO), uma autoridade independente sediada no Reino Unido que orienta as empresas sobre como aplicar as leis de privacidade de dados do Reino Unido , como o GDPR , ofereceu orientações para empresas sobre como gerar uma política de privacidade compatível com GDPR e interpretar interesses legítimos. A ICO explica :

1. O processamento não é exigido por lei, mas é um benefício claro para você ou outros;
2. Há um impacto limitado na privacidade do indivíduo;
3. O indivíduo deve razoavelmente esperar que você use seus dados dessa maneira; e
4. Você não pode, ou não quer, dar ao indivíduo controle total antecipado (ou seja, consentimento) ou incomodá-lo com solicitações de consentimento perturbadoras quando é improvável que ele se oponha ao processamento.

Isso torna o interesse legítimo muito mais flexível do que o consentimento do cliente.

Quando usar consentimento versus interesse legítimo: uma avaliação útil de interesse legítimo

Com base em nossa divisão de consentimento versus interesse legítimo até agora, você pode estar pensando que é mais fácil usar o interesse legítimo em todos os casos. Isso não é necessariamente verdade. Na verdade, a ICO deixou claro que você não pode usar o interesse legítimo como método de cobrança padrão para sua empresa.

Embora o interesse legítimo seja um conceito flexível e muitas vezes relevante, ele não se aplica a tudo e você não pode usá-lo como base padrão para todo o seu processamento.

É por isso que a maioria dos sites pede consentimento quando você acessa o site. Uma plataforma de gerenciamento de consentimento torna esse processo perfeito.

Então, quando você pode usar o interesse legítimo? Felizmente, o ICO oferece um teste de três partes para determinar se o interesse legítimo pode ser aplicado ao seu projeto, site etc.

1. Teste de finalidade – existe um interesse legítimo por trás do processamento? Sob o teste de finalidade, você precisa se perguntar se a coleta de dados é ética, legal e para o benefício de sua empresa e do consumidor. E então, você precisa declarar claramente o propósito por trás de querer processar esses dados sem consentimento (ou sob interesse legítimo).
2. Teste de necessidade – o processamento é necessário para esse fim? Usando o teste de necessidade, você precisa demonstrar que não existe outra maneira menos invasiva de atingir seu objetivo e garantir que o processamento seja proporcional ao alcance de seus objetivos.
3. Teste de equilíbrio – o interesse legítimo é substituído pelos interesses, direitos ou liberdades do indivíduo? Finalmente, sob o teste de equilíbrio, você precisa garantir que o processamento dos dados não infrinja os direitos e liberdades do indivíduo.

Tudo bem – então, este teste de três partes não é tão útil. Vejamos alguns exemplos em vez disso.

Aplicando o teste de três partes: exemplos de interesse legítimo do GDPR

Os cenários a seguir são oferecidos pela ICO em sua documentação para ajudar as empresas a entender melhor como aplicar o teste de três partes e, finalmente, quais práticas de coleta de dados e informações usar.

O caso da caridade.

Uma instituição de caridade deseja enviar material de angariação de fundos por correio para indivíduos que doaram a eles no passado, mas que não se opuseram a receber material de marketing deles.

O objetivo do marketing direto da instituição de caridade para buscar fundos para promover sua causa é um interesse legítimo.

A instituição de caridade então analisa se o envio da correspondência é necessário para sua finalidade de angariação de fundos. Decide que é necessário processar os dados de contacto para este efeito e que o envio por correio é uma forma proporcional de abordar os indivíduos para doações.

A instituição de caridade considera o teste de equilíbrio e leva em consideração que a natureza dos dados processados ​​são apenas nomes e endereços e que seria razoável que esses indivíduos esperassem que eles pudessem receber material de marketing por correio, devido ao seu relacionamento anterior.

A instituição de caridade determina que o impacto de uma correspondência de angariação de fundos sobre esses indivíduos provavelmente será mínimo, mas inclui detalhes na correspondência (e em cada uma subsequente) sobre como os indivíduos podem optar por não receber marketing postal no futuro.

O caso do seminário de negócios do GDPR.

Indivíduos participam de um seminário de negócios e o organizador coleta cartões de visita de alguns dos delegados.

O organizador determina que eles têm um interesse legítimo na rede e no crescimento de seus negócios. Eles também decidem que a coleta de detalhes de contato de delegados de cartões de visita é necessária para essa finalidade.

Tendo considerado o propósito e a necessidade, o organizador avalia que o saldo favorece seu processamento, pois é razoável que os delegados que entregam cartões de visita esperem que seus detalhes de contato comercial sejam processados ​​e o impacto sobre eles seja baixo. O organizador também garante que fornecerá aos delegados informações de privacidade, incluindo detalhes de seu direito de oposição. O organizador posteriormente coleta os detalhes de contato dos delegados e os adiciona ao banco de dados de contatos comerciais.

Não há brechas de interesse legítimo: trata-se de práticas éticas de dados

Em cima do muro sobre o que usar? Comece com o padrão-ouro do consentimento. A partir daí, expanda para o interesse legítimo, mas sempre faça o possível para explicar antecipadamente quais dados serão coletados e para quais finalidades. Por fim, sempre permita que os destinatários do material de marketing desativem uma lista de informações enviadas – mesmo que essas informações sejam baseadas em consentimento ou interesse legítimo. Comece a construir uma plataforma de gerenciamento de consentimento estabelecendo como sua empresa tratará o consentimento e os dados como uma prática.

Em outras palavras, trate os dados do consumidor da maneira que você gostaria que os seus fossem tratados. O GDPR exige que as empresas simplesmente pensem um pouco mais sobre quais dados estão coletando, se necessário, e como fazê-lo de maneira ética.

Algumas empresas estão levando esse padrão a um novo nível e usando a coleta de dados éticos e a transparência como uma tática de marketing por si só. Vejamos a Lush, por exemplo. Eles fizeram da Ética de Dados um pilar dos valores de sua empresa.

“Agora, mais do que nunca, as pessoas estão cientes do valor crítico de seus dados pessoais. Em sua forma mais leve, são os tweets que você publica, as fotos que você envia, as pessoas que você envia. Em suas formas mais sombrias, é um rastreador de sua identidade, um algoritmo que decide se você deve estar em uma lista de mortes. Acreditamos que a Privacidade de Dados é um direito humano fundamental. A política de dados éticos visa garantir que todos os dados de funcionários e clientes da Lush sejam seguros e transparentes. Nossos clientes e funcionários têm o direito de saber o que temos sobre eles.”

À medida que mais e mais países, estados e afins adotam padrões do tipo GDPR, é provável que vejamos mais e mais empresas adotando as melhores práticas de ética digital como valores internos e, em seguida, usando-as como forragem de marketing. Esse é o objetivo ideal das políticas de privacidade e proteção de dados do consumidor. Integrar uma plataforma de gerenciamento de consentimento é um investimento transparente em respeitar seus clientes.