Um guia especializado em comércio eletrônico para se preparar para o GDPR
Publicados: 2018-05-15Hoje em dia, parece que todas as conversas voltam à privacidade online e ao uso indevido de dados. Recentemente, assistimos ao CEO do Facebook, Mark Zuckerberg, testemunhar perante o Senado dos EUA sobre o uso de dados pessoais no Facebook – e a subsequente luta da empresa para reconstruir sua reputação à medida que o engajamento diminuiu após o escândalo. Todos os dias parece que há uma nova controvérsia relacionada a dados para desvendar.
Com o desejo público por uma internet mais anônima e o reconhecimento do setor privado de que coletar dados de usuários é bom para os negócios, o debate continua. Enquanto isso, os países europeus estão trabalhando para proteger seus cidadãos contra a má gestão de dados, e as ramificações podem ser enormes para empresas em todo o mundo.
Em 25 de maio de 2018, as empresas europeias serão forçadas a lidar com a maneira como lidam com os dados do consumidor. Como parte do Regulamento Geral de Proteção de Dados (GDPR), as empresas devem dar aos clientes mais controle sobre como seus dados são coletados, armazenados e usados.
O regulamento visa fortalecer a proteção de dados e a privacidade dos cidadãos da União Europeia, independentemente de onde a empresa de coleta de dados exista. Em outras palavras, se você tem um negócio aberto a clientes europeus, precisa estar atento ao GDPR antes que ele finalmente entre em vigor. Se sua empresa processa dados de usuários da UE, reserve um tempo para conhecer esse novo regulamento.
O que é o RGPD? Perguntas e respostas comuns
O GDPR foi adotado oficialmente em 27 de abril de 2016, mas não se tornará aplicável até 25 de maio de 2018, devido a um período de transição de dois anos projetado para ajudar as empresas a se ajustarem às novas regras. Em suma, o regulamento visa dar aos consumidores controle total de como seus dados são coletados e usados. A UE define dados pessoais como “qualquer informação relativa a uma pessoa física identificada ou identificável”, incluindo data de nascimento, endereço, número de telefone, salário, aluguel e endereço IP.
Aqui estão algumas perguntas comuns relacionadas a esse regulamento crítico para que você possa entender melhor se precisa gastar recursos adicionais para se preparar para essa mudança no setor.
Posso ser multado se não cumprir?
Sim, as organizações que não cumprirem os novos regulamentos enfrentarão multas pesadas. Os regulamentos determinam que qualquer violação do GDPR pode resultar em uma multa de até quatro por cento do faturamento global anual ou € 20 milhões (aproximadamente US$ 24 milhões), o que for maior.
Aplica-se ao meu negócio?
O escopo do GDPR é decididamente enorme. Aplica-se a qualquer empresa que processe dados de residentes da União Europeia. Com isso dito, o regulamento não se aplica se você usar dados exclusivamente para uso pessoal ou doméstico, e pode ser menos rigoroso para empresas com menos de 250 funcionários. Independentemente do tamanho do seu negócio, você ainda precisa manter registros internos detalhados e cumprir o GDPR, mas os requisitos de manutenção de registros são diferentes.
As empresas americanas podem ser multadas?
As empresas norte-americanas serão responsabilizadas pelo não cumprimento e poderão ser multadas de acordo com os mesmos padrões da lei internacional. Mesmo as empresas sem presença física na União Europeia devem cumprir a nova regulamentação, dizem os especialistas.
O que o GDPR protege?
O principal objetivo da legislação é fornecer aos consumidores uma linguagem opt-in clara e não confusa sobre a coleta de dados. Oferece aos consumidores oito direitos individuais: ser informado, acessar, retificar, apagar, restringir o processamento, ter portabilidade de dados, se opor e tomar decisões sobre tomada de decisão automatizada e criação de perfis.
Como o GDPR beneficia os consumidores?
O principal benefício do novo regulamento é que ele mantém os dados dos consumidores privados, o que significa uma melhor proteção para aqueles que optam por permanecer privados. Como abordaremos abaixo, as novas regras podem trazer vários benefícios mensuráveis para as empresas.
O que isso significa para as empresas de comércio eletrônico?
Não há dúvida sobre isso. Compreender seu consumidor por meio de ferramentas de análise de comércio eletrônico como o Springbot – que pode coletar dados valiosos de maneira eficiente sobre seus consumidores para coisas como anúncios de retargeting, esforços de marketing por e-mail e personalização de anúncios – geralmente é um investimento substancial para a maioria das lojas online. Você não precisa parar de confiar nessas ferramentas valiosas diante do GDPR e regulamentações semelhantes, desde que colete dados com responsabilidade . A conclusão é que a mineração de dados pessoais é incrivelmente obscura, e a maioria dos consumidores só a suporta quando está no controle.
O que a mudança nas regras representa é um impulso para uma coleta de dados mais padronizada, o que na verdade pode significar coisas melhores para o seu negócio. Na prática, isso significa que sempre que você processa os dados de uma pessoa – seja ela se inscrevendo em sua lista de e-mail ou fazendo uma compra – você deve dar a ela o direito de revisar, ajustar, apagar e restringir o acesso.
No quadro geral, significa que você está colocando o consumidor em primeiro lugar, melhorando a segurança cibernética de sua empresa e até mesmo protegendo sua reputação. Ao coletar dados de pessoas que desejam compartilhá-los, você ainda pode agregar análises importantes e minimizar a insatisfação do cliente de pessoas que não desejam que suas informações sejam armazenadas.
Cinco principais coisas que você deve fazer para se preparar
A coisa mais importante que você pode fazer para preparar sua empresa para a implementação oficial do GDPR é aprender a lei. A regulamentação formal é longa e repleta de jargões jurídicos, mas existem recursos online de qualidade que fornecem um excelente resumo das novas regras em torno da coleta de dados. Por exemplo, a nova lei afirma que você deve informar os consumidores sobre uma violação de dados dentro de 72 horas, que você deve dar aos consumidores o direito de acessar como seus dados estão sendo usados e que você deve permitir que eles sejam “esquecidos” ou removidos seu sistema, mediante solicitação.
Em seguida, é essencial que você determine como a lei afetará especificamente o seu negócio. Conforme mencionado, os aspectos de relatórios e as regras de manutenção de registros diferem para pequenas e médias empresas (SMBs) em comparação com corporações de grande porte, portanto, você deve estar ciente das responsabilidades de sua empresa.
Naturalmente, há muitas coisas benéficas que você pode fazer para preparar sua empresa para a conformidade. Além das dicas recomendadas abaixo, sugerimos consultar um consultor jurídico para garantir que seus processos não contenham vulnerabilidades.
1. Mude para processos transparentes
A principal conclusão da aprovação deste regulamento é que as pessoas querem – e as leis vão impor – o direito de os consumidores saberem tudo sobre como seus dados estão sendo usados. Isso significa que cada comunicação com os consumidores sobre dados deve ser o mais transparente possível. Compreender como sua empresa processa os dados o ajudará a determinar se eles estão em conformidade — portanto, saiba onde seus dados estão armazenados e como estão sendo usados.
- Reescreva os formulários de consentimento com linguagem clara.
- Obtenha o consentimento claro dos usuários ao coletar seus dados.
- Mude do idioma “opt-out” para o idioma “opt-in”.
- Indique por que você processa determinados dados.
- Execute uma avaliação de impacto de proteção de dados (DPIA).
2. Nomear Líderes e Compartilhar Informações
Outra faceta importante deste regulamento é que algumas empresas serão obrigadas a nomear um Data Protection Officer (DPO), que será responsável por supervisionar os processos de proteção de dados dentro da empresa. Nem todas as empresas precisarão de um DPO – apenas aquelas que processam grandes quantidades de dados pessoais – mas todas as empresas devem designar um líder de conformidade que possa ajudar a garantir que todas as leis sejam seguidas corretamente.
- Descubra se o seu negócio requer um DPO.
- Mesmo que você não precise de um DPO, indique um líder de privacidade de dados.
- Alerte todos os departamentos sobre as novas regras.
- Decida como lidar com solicitações de acesso a dados.
3. Verifique todos os seus serviços
As empresas são obrigadas apenas a usar processadores de dados que ajudem a implementar o armazenamento de dados legal, o que significa que você deve fazer uma auditoria robusta para garantir que não tenha nenhuma ferramenta em vigor que possa desrespeitar grosseiramente os novos regulamentos. Por exemplo, se você usar algum plug-in de análise, certifique-se de que ele armazene e gerencie os dados do consumidor em conformidade com o GDPR. A Springbot está empenhada em ajudar os clientes a obter dados de forma legal e ética.
- Verifique se todos os serviços de terceiros estão em conformidade.
- Descubra se as ferramentas que você usa exigem o consentimento do usuário.
- Procure ferramentas de parceiros para acelerar seu processo.
4. Renove sua manutenção de registros
Um dos aspectos mais assustadores do GDPR é a manutenção de registros. Como os consumidores agora têm o direito de serem informados, acessarem e apagarem seus dados pessoais, você precisa ter certeza de que seus processos são registrados meticulosamente. Você também precisará ter acesso sob demanda aos dados do cliente, caso um consumidor solicite isso de você.
Você deve ser capaz de identificar e relatar dados pessoais, independentemente de compartilhá-los com terceiros. Um dos principais objetivos das regras de manutenção de registros mais rigorosas é garantir que os dados pessoais sejam precisos. Caberá a você registrar dados pessoais corretos e atualizar outras organizações de acordo.
- Conheça o artigo 30, que trata da manutenção de registros.
- Registre a finalidade de qualquer processamento de dados.
- Mantenha registros sobre categorias de titulares de dados e destinatários.
- Registre tudo, além do exigido pelo Artigo 30.
5. Aproveite os dados da maneira certa
Por fim, a última coisa que você pode fazer para se preparar para a transição é descobrir a maneira mais responsável de aproveitar os dados do cliente sob esses novos regulamentos. O GDPR afirma que os dados pessoais devem “ser mantidos de uma forma que permita a identificação dos titulares dos dados por não mais do que o necessário para os fins para os quais os dados pessoais são processados”. Portanto, você ainda pode usar dados para coisas como retargeting e outros esforços de marketing de longo prazo, desde que informe ao consumidor que planeja usá-los para a finalidade declarada.
- Entenda por quanto tempo você tem permissão para manter dados pessoais registrados.
- Desenvolva um plano para quando e como destruir dados após esse período.
- Tente “anonimizar” os dados o máximo possível para que você possa armazená-los por mais tempo.
- Identifique quais tipos de dados pessoais apresentam os maiores riscos.
Por que isso importa
Tudo isso parece muito trabalhoso, certo? Mas é o seguinte: o GDPR é bom para a experiência do cliente tanto quanto a coleta de dados pessoais. Isso porque, embora os consumidores prefiram predominantemente experiências personalizadas e reconheçam que a agregação de dados pode levar a uma experiência online mais pessoal, eles também querem ter o controle total de seus próprios dados. E, como 92% dos compradores on-line citam a segurança e a privacidade como uma preocupação, tais medidas devem ser tomadas para tornar as compras on-line mais privadas.
Com tudo isso em mente, é importante que todos trabalhemos para fazer novos ajustes que nos ajudem a atender melhor o cliente sem ultrapassar limites importantes de privacidade. Quando se trata de marketing, vendas e crescimento de seus negócios, o GDPR não deve prejudicar você.
Em vez disso, deve mudar a maneira como você faz as coisas para melhor, para que você cultive clientes felizes, confiantes e leais. Assim, gastar um pouco de tempo e dinheiro extra preparando sua empresa para o GDPR valerá a pena seus esforços.