O GDPR está chegando - Preparem-se os profissionais de marketing por e-mail

Publicados: 2018-04-05

O Regulamento do parlamento da UE 2016/679 sobre a proteção de dados pessoais GDPR entrará em vigor em 25 de maio de 2018. Estudamos seus princípios fundamentais, novos requisitos e possíveis multas por sua violação. Neste artigo, compartilharemos alguns pontos que um profissional de marketing por e-mail deve levar em consideração para trabalhar em conformidade com a nova legislação.

Qual é o GDPR

O marketing digital é baseado na análise de grandes volumes de dados do consumidor. Essas informações permitem que as empresas criem produtos ou serviços relevantes e alcancem resultados elevados.

Os sites salvam arquivos de cookie nos PCs de seus usuários para saber mais sobre suas preferências; operadoras de telefonia móvel rastreiam chamadas recebidas e efetuadas e as gravam. O Facebook utiliza reconhecimento facial para identificar e marcar usuários nas fotos. O Instagram organiza as postagens em seu feed de acordo com o número de visualizações, curtidas e comentários. No entanto, os dados devem ser processados ​​de forma justa e legal. É por isso que as novas regras de proteção de dados - o Regulamento Geral de Proteção de Dados (GDPR) - estão entrando em vigor. De acordo com este Regulamento, as empresas que coletam, armazenam, usam dados pessoais de clientes ou os processam para outras empresas, devem revisar três aspectos principais do processamento de dados:

  1. Coleção de dados.
  2. Processamento, armazenamento, adaptação, descarte ou transferência das informações coletadas.
  3. Proteção de dados pessoais.

A quem se aplica o GDPR?

Além dos dados recebidos e processados ​​pelas empresas localizadas na UE, o GDPR se aplicará a todas as informações pessoais transferidas para fora da zona da UE. Em outras palavras, se uma empresa dos EUA coleta dados de cidadãos da UE, ela estará sujeita aos mesmos requisitos de proteção de dados que qualquer empresa com sede na França, Alemanha ou qualquer outro país da União Europeia.

Partes Responsáveis

Vamos ver quem está envolvido na coleta, processamento e armazenamento de dados pessoais e quais funções eles executam:

  1. O titular dos dados é um indivíduo que fornece seus dados pessoais.
  2. O controlador de dados é uma pessoa singular ou colectiva que recebe os dados pessoais e determina os fins e meios do seu tratamento. O termo se refere a qualquer empresa que coleta e faz uso de dados pessoais de clientes. Informa os usuários sobre as finalidades da coleta de dados, documenta seu processamento, avalia os riscos inerentes, protege as informações confidenciais e notifica as autoridades de supervisão e os usuários sobre quaisquer problemas que possam surgir no processo.
  3. O processador de dados é o contratante que coleta, processa e armazena dados pessoais em nome do controlador de dados. No marketing por email, essa função é comumente desempenhada por serviços de email. Em caso de qualquer infração, o processador informa o controlador a respeito.
  4. A autoridade supervisora é um órgão oficial que supervisiona o processamento de dados pessoais. Ele determina a gravidade da violação da segurança de dados e impõe multas apropriadas às partes responsáveis.

Penalidades por não conformidade

As multas potenciais por não conformidade com o GDPR são severas. Eles são divididos em dois grupos, dependendo do tipo de infração.

Até € 10 milhões

Uma empresa pode ser multada em até € 10 milhões ou 2% de seu faturamento anual no ano anterior por violar as responsabilidades do controlador de dados e do processador. Isso inclui consentimento para o processamento de dados pessoais de uma criança e proteção de privacidade.

Até € 20 milhões

Uma multa de valor superior a € 20 milhões ou 4% do faturamento anual da empresa será imposta por violação das regras básicas do GDPR, como as que regulam os direitos dos titulares dos dados, princípios de processamento e transferência de dados ou consentimento requisitos.

Se a infração não for grave, a empresa receberá uma reprimenda.

Agora, vamos examinar mais de perto os princípios-chave do processamento de dados de acordo com o GDPR.

Legalidade, justiça e transparência

A empresa deve explicar clara e explicitamente por que e em que condições coleta dados pessoais. Os usuários devem ter acesso gratuito a essas informações, o que os tornará cientes das formas como os dados coletados serão utilizados e dos riscos que enfrentam, as regras que devem cumprir e os direitos que podem exercer em relação à sua vida pessoal. em formação.

Os profissionais de marketing por e-mail costumam usar ímãs de lead para atrair assinantes. Eles oferecem incentivos, como períodos de teste gratuito, artigos, manuais ou outro conteúdo útil, em troca dos detalhes de contato do usuário.

Para que esse método de coleta de dados esteja em conformidade com os requisitos do GDPR, certifique-se de receber o consentimento explícito dos usuários para armazenamento e processamento de suas informações pessoais. Esse consentimento pode ser evidenciado por uma ação afirmativa clara do assinante, como

  • marcando uma caixa de seleção,
  • escolhendo configurações de conta específicas,
  • qualquer outra ação ou documento que comprove o conhecimento do assinante dos métodos de processamento de dados.

Como obter consentimento explícito em marketing por e-mail

Incentive os usuários a revisar a política de privacidade e os termos de uso antes de assinar. Nesses documentos, explique em detalhes como você coleta, sistematiza, armazena, adapta e exclui dados de clientes.

Recomendamos o uso de configuração de assinatura dupla opt-in para construir sua lista de e-mails. Ao contrário do opt-in único, em que o usuário final apenas insere seu endereço de e-mail e pressiona o botão de inscrição, o opt-in duplo exige que o usuário também clique no link ou pressione um botão no e-mail de confirmação. Desta forma, o assinante demonstra consentimento genuíno para o processamento e armazenamento de suas informações pessoais.

Como alternativa, para se proteger de acusações indesejadas, é melhor adicionar duas caixas de seleção de opt-in separadas ao seu formulário de inscrição, como você pode ver no exemplo abaixo. O usuário confirmará ter revisado a política de privacidade e os termos de uso na primeira caixa de seleção e expressará seu consentimento para receber e-mail do seu site na segunda. No entanto, certifique-se de não marcar as caixas de seleção com antecedência - esse consentimento “forçado” viola os princípios do GDPR.

Formulário de inscrição

Fique à vontade para fazer uso de outros canais de comunicação. Existem várias outras maneiras de entrar em contato com seus clientes em potencial sem enviá-los por e-mail. A notificação push da web é outra ótima maneira de envolver novos visitantes. Ao assinar mensagens push na web, os usuários não precisam fornecer nenhum dado pessoal, mas expressam seu consentimento explícito pressionando o botão “Permitir notificações”.

Exemplo de push da web

Com um push da web, você pode notificar o usuário sobre notícias, ofertas especiais e outros eventos importantes.

Push da web para desktop

Minimização de dados

O regulamento incentiva os profissionais de marketing a coletar apenas dados relevantes do cliente que serão usados ​​para fins específicos. Se você precisar saber o tamanho da roupa do assinante ou a cor de sua preferência, certifique-se de explicar por que essa informação é importante. Caso contrário, é melhor abster-se de coletar esses dados.

Evite solicitar informações extras

Recomendamos limitar as informações coletadas e analisar cuidadosamente as perguntas feitas nos formulários de inscrição e questionários.

Por exemplo, uma empresa de turismo Massachusetts Office of Travel & Tourism adiciona uma pesquisa à sua campanha de e-mail de Halloween, limitando suas perguntas àquelas que podem ajudar a empresa a oferecer passeios relevantes para seus clientes.

Pesquisa de Halloween

Ao pressionar o botão “Fazer pesquisa”, o assinante vai para as páginas que exigem o fornecimento das seguintes informações:

  • era,
  • informações sobre crianças,
  • cidades em Massachusetts que gostariam de visitar,
  • horário preferido para viajar: fins de semana ou dias úteis,
  • atitude em relação ao entretenimento com tema de Halloween.

Precisão

Seguindo esse princípio, o usuário pode ter seus dados pessoais alterados caso se tornem irrelevantes ou desatualizados. Essas solicitações devem ser processadas em tempo hábil, portanto, pode ser necessário desenvolver um sistema de atualização de dados eficaz.

Incentive seus assinantes a atualizar suas preferências

Adicione um link para a página de configurações ao seu e-mail (preferências de e-mail, atualize as preferências, gerencie as preferências) ou use um serviço que permitirá a atualização dos dados do cliente. Se a conta do usuário tiver uma página de configurações, ele poderá clicar no link e atualizar por conta própria suas informações pessoais. Dê uma olhada na maneira como Astley Clarke lida com essa tarefa em seu e-mail.

Aqui está o que o usuário pode alterar em seu perfil Astley Clarke.

Minha página de preferências

Limitação de propósito

Colete e use dados pessoais apenas para os fins especificados. Não esconda suas intenções dos usuários e sempre peça a eles que confirmem seu consentimento se você precisar usar seus dados para uma finalidade diferente.

Certifique-se de que seus assinantes saibam a verdade

Para não buscar o consentimento dos usuários com muita frequência, pense em possíveis propósitos da coleta de dados com antecedência e indique-os claramente em sua política de privacidade.

Por exemplo, dados pessoais podem ser necessários para

  • Registro de conta,
  • consultas de helpdesk,
  • prestação de serviço ou produto,
  • envio de notícias, ofertas especiais ou atualizações sobre o produto.

Limitação de armazenamento

As empresas estão autorizadas a armazenar dados de clientes apenas durante o tempo necessário para seu processamento.

Considere a política de armazenamento de dados

Em uma seção separada da política de privacidade, descreva por quanto tempo os dados serão armazenados e o que acontecerá com eles se o assinante decidir cancelar.

Integridade e confidencialidade

A empresa é responsável pela segurança dos dados coletados, o que significa que deve protegê-los de processamento ilegal e contra perda, dano ou destruição acidental.

Em caso de violação de dados, certifique-se de notificar o usuário e as autoridades nacionais de proteção de dados no prazo de 72 horas após o acidente. A notificação deve incluir o relatório da investigação do incidente, as possíveis causas e a descrição das intervenções realizadas. Todos estes são necessários para uma reação oportuna por parte dos titulares dos dados e minimização de perdas financeiras e outras consequências indesejadas.

Certifique-se de que os dados estão protegidos e incentive os usuários a fazer isso

É ilegal comprar, transferir ou divulgar informações pessoais. Aconselhe os usuários registrados a tornar suas senhas confiáveis, alterá-las de tempos em tempos e nunca divulgá-las a terceiros.

Transfira os dados pessoais de planilhas do Excel e arquivos do Google Docs para o seu sistema CRM para aumentar a segurança e a conveniência do processamento de dados.

Direitos do Titular dos Dados

Os novos requisitos do RGPD estendem as regras dos cidadãos da UE no que diz respeito ao controle de seus dados pessoais. O controlador de dados é responsável por conceder esses direitos aos usuários.

Acesso de dados

Não limite o acesso dos usuários aos dados. Informe-os sobre quem usa os dados coletados e para que fins. Indique o período de armazenamento dos dados.

Portabilidade de dados

Agora, o cliente pode receber uma cópia digital de seus dados pessoais em até 30 dias, mediante solicitação. Este desenvolvimento torna mais fácil para o usuário mudar para um serviço diferente.

Apagamento de dados

O usuário pode revogar seu consentimento para o processamento de dados e enviar um pedido de apagamento. Certifique-se de reagir a essas solicitações sem atrasos. Para marketing por e-mail, significa excluir os dados do cliente de todas as listas de mala direta. Um link de cancelamento de inscrição direto enviado com um e-mail irá acelerar o processo. Em outras palavras, se o assinante não deseja receber e-mails do seu site, basta clicar no botão correspondente ou no link “Cancelar inscrição”.

Cancelar inscrição no e-mail

No serviço SendPulse, você não terá que excluir os dados de cada usuário não inscrito manualmente. Os endereços de e-mail de tais usuários são transferidos para a lista de destinatários não assinados e o e-mail não é entregue a esses endereços.

Usuários não inscritos

Preferências de processamento de dados

Caso o usuário não goste da ideia do processamento automatizado de dados, pode solicitar o preenchimento manual do seu perfil. Descreva em sua política de privacidade como você lida com o processamento manual de dados e quem o executa.

Proteção infantil

Para coletar dados pessoais de crianças menores de 16 anos, certifique-se de obter o consentimento dos pais. Não se esqueça de indicar na política de privacidade como exatamente as crianças irão assinar o e-mail.

Resumindo

Para cumprir todos os requisitos do GDPR e evitar possíveis multas, recomendamos começar com estas sete etapas:

  1. Escolha a configuração opt-in para construir sua lista de e-mails.
  2. Adicione duas caixas de seleção ao seu formulário de inscrição, a saber, “Eu revisei a política de privacidade e os termos de uso” e “Concordo em receber notificações do serviço”.
  3. Não colete nenhuma outra informação além do que você precisa para seus propósitos específicos e informe seus usuários sobre elas.
  4. Inclua um link para a página “gerenciar preferências” para que o assinante altere ele mesmo as informações desatualizadas.
  5. Desenvolva mecanismos para proteger os dados pessoais contra divulgação, dano ou perda.
  6. Revise sua lista de e-mails atual.
  7. Os endereços de e-mail dos assinantes que não expressaram consentimento explícito para a coleta e processamento de seus dados pessoais devem ser assinados novamente ou excluídos. Solicite que eles confirmem o consentimento para o recebimento de seu e-mail e informem sobre as novas regras de coleta de dados que se refletem na política de privacidade de sua empresa.

Exoneração de responsabilidade: Fornecemos essas informações para ajudá-lo a entender melhor como abordamos alguns pontos jurídicos importantes. Não é o mesmo que aconselhamento jurídico, onde um advogado aplica a lei às suas circunstâncias específicas, portanto, recomendamos que você consulte um advogado para obter aconselhamento sobre sua interpretação dessas informações ou sua exatidão.