Regulamento geral de proteção de dados (GDPR): tudo o que você precisa saber
Publicados: 2018-04-02O principal objetivo do novo Regulamento Geral de Proteção de Dados (GDPR) é fortalecer e combinar o tratamento de dados pessoais de vários países membros e adaptá-los sob um regulamento da União Europeia (UE).
Atualmente, os 28 países membros da UE têm seus próprios regulamentos de proteção de dados e aplicam essas leis ao comércio internacional, o que torna bastante difícil o exercício dos direitos de proteção de dados pessoais.
O novo GDPR vem com uma ampla gama de regras que afetam todas as empresas, independentemente do tamanho ou setor, e muitas vezes precisa estar preparado para focar em diferentes áreas de seus negócios.
O novo regulamento relativo à proteção das pessoas singulares no que diz respeito ao tratamento e à livre circulação de dados pessoais entra em vigor em 25 de maio de 2018, dois anos após o Regulamento 2016/679 ter sido aprovado pelo Parlamento Europeu e pelo Conselho. Neste artigo, queremos ajudá-lo a compreender o que pode e não pode fazer para cumprir os requisitos deste novo regulamento e reafirmar que a Benchmark, a sua ferramenta de email marketing, está também a cumprir os requisitos deste novo regulamento.
O novo GDPR não elimina a legislação de proteção de dados de cada um dos países membros atualmente em vigor. Em vez disso, ajuda a sincronizar todos os países membros da UE. Algumas das decisões ainda serão tomadas em nível nacional para cada um dos países membros, mas esteja ciente de que as partes responsáveis devem agora fazer referência ao GDPR como a norma e não aos regulamentos de proteção de dados de seus próprios países .
Se você atualmente atende aos requisitos de proteção de dados para o seu país, então você já tem uma boa base. No entanto, você ainda precisará revisar e alterar alguns aspectos para estar em conformidade com os novos regulamentos.
Existem três pontos principais que você precisa ter em mente com sua estratégia de email marketing, são eles: consentimento, acesso e coleta de dados.
Consentimento
De acordo com o artigo 4 (11), 'consentimento' do titular dos dados titular dos Conforme estabelecido na definição, o consentimento do usuário deve ser inequívoco e também explícito. Essas duas palavras eliminam qualquer dúvida ou ambigüidade.
(32) O consentimento deve ser dado por meio de um ato afirmativo claro que estabeleça uma indicação dada livremente, específica, informada e inequívoca da concordância do titular dos dados com o tratamento de dados pessoais que lhe digam respeito, tal como uma declaração escrita, incluindo por via eletrónica meios, ou uma declaração oral. Isso pode incluir marcar uma caixa ao visitar um site da Internet, escolher configurações técnicas para serviços da sociedade da informação ou outra declaração ou conduta que indique claramente, neste contexto, a aceitação do titular dos dados do tratamento proposto dos seus dados pessoais. Silêncio, caixas pré-marcadas ou inatividade não devem, portanto, constituir consentimento. O consentimento deve abranger todas as atividades de processamento realizadas para o mesmo propósito ou propósitos. Quando o processamento tem múltiplos propósitos, o consentimento deve ser dado para todos eles. Se o consentimento do titular dos dados for concedido na sequência de um pedido por via eletrónica, o pedido deve ser claro, conciso e não perturbar desnecessariamente a utilização do serviço para o qual é prestado.
Exemplo:
Recentemente participei de uma feira de negócios e ao longo do dia acumulei vários cartões de visita, que usarei para criar um banco de dados que irei carregar para minha conta Benchmark com o objetivo de enviar newsletters.
Com o novo Regulamento, isso é legal?
Não. O networking alcançado entre você e os indivíduos na feira não lhe dá o direito de usar seus dados pessoais, mesmo com a confirmação verbal do indivíduo. O GDPR agora exige que existam evidências desse acordo entre as duas partes.
O GDPR afirma que deve haver consentimento inequívoco e explícito do indivíduo que pode ser respaldado por evidências no caso de uma auditoria. É necessário que haja evidências de que o indivíduo está dando seu consentimento para que seus dados pessoais sejam usados.
RECOMENDAÇÃO:
- Revise seus métodos de coleta de dados e elimine qualquer ambigüidade que possa existir.
- Analise seu banco de dados e apenas os dados para os quais você pode fornecer prova de que o consentimento foi dado a você pelo indivíduo.
Acesso
A parte responsável pelo tratamento dos dados pessoais deve fornecer a cada usuário um acesso simples e direto para modificar seus próprios dados pessoais. O responsável também deve disponibilizar um meio no qual a pessoa física possa confirmar que está dando seu consentimento por meio eletrônico, seja por meio do próprio site, de formulários de inscrição ou de confirmação por e-mail.
O responsável terá um mês para dar resposta ao cliente, podendo prolongar-se para dois meses, caso se trate de um pedido complexo, em que estão a ser dados os passos necessários para a concretização do pedido individual.
No caso de nossa ferramenta de marketing por e-mail, a opção Gerenciar assinaturas permite que o indivíduo acesse seus dados pessoais e modifique os dados se necessário ou cancele a assinatura imediatamente.
Neste ponto surge um novo direito, que é o DIREITO DE APAGAR (Artigo 17), podendo o utilizador exercer o seu “direito ao esquecimento” e ter os seus dados pessoais retirados da base de dados de forma permanente. Selecionamos dois dos seis motivos incluídos no subitem 1, que proporcionam ao indivíduo a capacidade de exercer seu direito:
a) os dados pessoais não são mais necessários em relação aos fins para os quais foram coletados ou de outra forma processados;
d) os dados pessoais foram processados ilegalmente;
Compilação:
O GDPR defende a simplicidade na coleta de dados pessoais. Como profissionais de marketing, tendemos a pedir mais detalhes do que o necessário quando tudo o que estamos fazendo é enviar um boletim informativo semanal. Por esse motivo, esses novos regulamentos incentivam que apenas um mínimo de dados pessoais sejam coletados e compilados para nossa estratégia atual e não a coleta de dados adicionais que você acha que podem ser úteis no futuro.
Se sua meta é informar seu banco de dados sobre as próximas promoções, a compilação do nome e endereço de e-mail de um indivíduo é mais do que suficiente para atingir sua meta.
Brexit
O Reino Unido sairá oficialmente e não fará mais parte da UE em 2019. Com essa saída, os regulamentos não serão mais aplicáveis a eles. No momento, não sabemos como o Reino Unido, ou empresas dentro do Reino Unido, lidarão com a proteção de dados, mas acreditamos que eles aprovarão regulamentações semelhantes que serão comparáveis com a UE.
O que acontecerá se eu não atender aos novos requisitos do GDPR?
O Regulamento Geral de Proteção de Dados estabelece um conjunto de ferramentas para o cumprimento do novo regulamento, incluindo sanções e multas. Vários fatores serão levados em consideração e avaliados cuidadosamente quando uma multa for imposta por não conformidade com o novo RGPD, tais como:
- a gravidade / duração da violação;
- o número de titulares de dados afetados e o nível de danos sofridos por eles;
- o caráter intencional da infração;
- quaisquer ações tomadas para mitigar o dano;
- o grau de cooperação com a autoridade supervisora.
O regulamento estabelece dois limites máximos para multas caso as regras não sejam respeitadas. O primeiro limite máximo estabelece multas até um máximo de € 10 milhões ou, no caso de uma empresa, até 2% do volume de negócios anual mundial. Esta primeira categoria de coimas seria aplicada, por exemplo, se os responsáveis pelo tratamento não realizassem avaliações de impacto, conforme exigido pelo regulamento. O limite máximo de multas atinge um máximo de € 20 milhões ou 4% do faturamento anual mundial. Um exemplo seria uma violação dos direitos das pessoas em causa ao abrigo do regulamento. As multas são ajustadas de acordo com as circunstâncias de cada caso individual.
Você precisará manter os pontos principais acima (consentimento, acesso e compilação) em mente quando chegar a hora de planejar sua estratégia de marketing por e-mail.
Benchmark
Na Benchmark, estamos trabalhando muito para atualizar nossa Política de Privacidade a fim de cumprir os requisitos dos regulamentos. No caso do GDPR, não nos foi fornecida nenhuma certificação que indique que estamos em conformidade com os novos regulamentos, assim como com o Privacy Shield Framework.
Nós, da Benchmark, queremos assegurar-lhe que os seus dados pessoais estão a ser tratados em conformidade com o novo GDPR.
Pela primeira vez, a UE mostra liderança e unidade na forma como os dados pessoais devem ser tratados e obriga o resto do mundo, sem exceção, a qualquer país a seguir estes regulamentos se quiserem lidar com dados pessoais europeus.
Não se esqueça de compartilhar este artigo com seu público e deixar seus comentários. Obrigado por ler!