O objetivo deste post é meramente informativo – não prestamos consultoria jurídica nem nos responsabilizamos por medidas que possam ser adotadas por terceiros.

O GDPR (General Data Protection Regulation) é um novo regulamento da União Europeia que muda significativamente as obrigações de empresas que lidam com dados pessoais de cidadãos da UE. O intuito da mudança é aumentar a privacidade desses indivíduos online.

O regulamento vale para toda empresa que processar ou armazenar dados pessoais de qualquer cidadão da UE, independente de onde ela se encontre. Consideram-se dados pessoais quaisquer dados que, sozinhos ou em conjunto com outros dados, possam ser utilizados para identificar um indivíduo. Alguns exemplos são: nome, endereço físico, email, endereço de IP, dados financeiros, dados de comportamento em páginas da web e outras informações semelhantes.

Apesar de entrar em vigor no dia 25 de maio de 2018, o GDPR foi aprovado no parlamento da UE em abril de 2016. Esse ano, no entanto, ele passa a valer, e 25 de maio é quando todas as empresas do mundo que lidam com dados de cidadãos da UE devem estar em conformidade com as novas diretrizes da mudança.  

Isso significa que até os sistemas fornecidos pela DZ9 MARKETING, seus clientes e parceiros precisam atender o novo regulamento.

Como o sua empresa é impactada?

Para quem utiliza lojas virtuais ou sistemas de autmação de marketing como RD Station ou Mautic, a empresa, é considerada Data Processor.

Como controlador dos dados dos Leads, devemos nos adequar ao regulamento no que tange a segurança, transparência, privacidade e confidencialidade de dados. Já a DZ9 MARKETING como fornecedor de software que processa os dados dos Leads, devemos adequar tanto a plataforma Opencart, RD Station ou Mautic, permitindo que os nossos clientes também estejam em conformidade.

Controladores de dados são considerados responsáveis primários pelo regulamento (detêm a maior parte da responsabilidade), enquanto que processadores de dados são considerados responsáveis secundários.

Como clientes e parceiros são impactados?

Clientes e parceiros são considerados Data Controllers: eles detêm o controle sobre o que é feito com os dados dos Leads. Os Data Controllers são responsáveis primários: aos olhos do regulamento, são os maiores responsáveis por resguardar a privacidade de seus Leads.

O que estamos fazendo a respeito?

Estamos movimentando diversas áreas, entre elas Legal, Marketing, Produto e Desenvolvimento, para uma série de mudanças que adequarão a empresa e o produto ao novo regulamento.

Os principais pontos da mudança

Jurisdição do regulamento

Uma vez entrando em vigor, o GDPR passará a valer para todas as empresas que possuírem dados pessoais de cidadãos residentes em países da União Europeia, independente da localização da empresa.

Multa

A penalidade para empresas que não cumprirem com o regulamento pode chegar a 4% da receita global anual da empresa ou 20 milhões de euros – o que for maior. Esse valor máximo ultrapassa os 80 milhões de reais e é imposto a empresas que violarem os principais pontos do regulamento, como não pedir o consentimento do lead ou violar os princípios de privacidade desde a concepção (ver abaixo).

Consentimento expresso

O consentimento do lead deve ser expresso. As empresas não poderão mais utilizar letras miúdas nem omitir o texto legal. Isso significa que o lead precisa estar ciente de que seus dados serão captados ao realizar a conversão – e que ele precisa aceitar ceder esses dados de forma explícita. Um checkbox visível com texto de fácil legibilidade ou um double opt-in, que é quando o cliente recebe um email explicando que foi adicionado à base e precisa confirmar seu aceite, são o suficiente.

É preciso ser fácil para o lead tanto aceitar ceder seus dados quanto negar o acesso a eles, ou retirar esse acesso, uma vez dado.

Direito de acesso

O lead tem o direito de saber se qualquer dado pessoal seu está sendo processado na base de uma empresa, onde esse dado está sendo processado e para que fim será utilizado. Ele também tem direito a acessar todo e qualquer dado que a empresa detenha sobre ele em seu sistema, que deve ser entregue a ele em formato eletrônico e sem custo algum.

Portabilidade de dados

Além de ter direito a acessar e reivindicar seus dados pessoais, o indivíduo ganha o direito de fazer a portabilidade desses dados – isso é, mover esses dados para outro sistema que não seja o da empresa que os captou, sem perder a informação.

Direito de apagar dados

O lead ganha o direito de ter seus dados apagados definitivamente da sua base, caso assim deseje. Ele também tem direito de impedir que sua empresa continue disseminando esses dados e que os dados sejam processados por terceiros.

Notificação de violação do sistema

Se o sistema da empresa, por qualquer motivo, for violado, e os dados forem roubados, expostos ou se tornarem vulneráveis, a empresa fica obrigada a notificar os indivíduos cujas informações foram afetadas em até 72h após descoberta da violação. Isso é válido tanto para processadores quanto para controladores de dados, sob risco de multa.

Privacidade desde a concepção

O conceito de privacidade desde a concepção estabelece que o desenvolvimento de um sistema e as práticas de negócio para levá-lo ao mercado devem ser norteadas pelos conceitos de proteção de dados e privacidade de seus usuários.

Isso significa que ao criar novos produtos ou desenvolver novas funcionalidades, é preciso ter sempre em mente os pontos colocados no GDPR.

Responsável por proteção dos dados

Se a empresa conduz atividades que requerem monitoramento regular de dados pessoais em larga escala, ela precisa ter um profissional responsável pela proteção desses dados, alguém que tenha familiaridade com normas e boas práticas.