O que é conformidade com o GDPR? Aqui está o mínimo que você precisa saber

O GDPR , ou o Regulamento Geral de Proteção de Dados para qualquer pessoa com usuários na Europa, entra em vigor hoje. Tem a infeliz combinação de ser EXTREMAMENTE IMPORTANTE enquanto DIFÍCIL DE ENTENDER.

A maioria dos especialistas em conversão, profissionais de marketing por e-mail e profissionais de marketing on-line em geral não terão tempo para percorrer o juridiquês, mas ainda precisarão sair da zona de explosão.

Este artigo pretende ser um ponto de partida para esses profissionais de marketing.

Ele não substituirá o conselho de sua equipe jurídica – você definitivamente deve se reunir com suas equipes jurídicas e de segurança da informação para finalizar a estratégia. Mas isso deve apontar na direção certa e ajudá-lo se você quiser obter detalhes sobre o GDPR em linguagem simples.

Minimização de dados – sem síndrome de “marketing ganancioso”

Uma das principais razões pelas quais a UE está implementando o GDPR é como os dados estão sendo coletados pelos profissionais de marketing. Quando você pede informações em qualquer lugar do mundo, pode pedir uma quantidade desproporcional de informações em troca. Sua taxa de conversão provavelmente vai cair por causa disso, mas não há nenhuma razão legal para que você não possa fazer isso.

O GDPR muda isso.

Aqui está a parte relevante do artigo 5º , sobre os princípios relativos ao tratamento de dados pessoais .

Os dados pessoais devem ser:

• processados ​​de forma lícita, justa e transparente em relação ao titular dos dados ('legalidade, justiça e transparência');
• coletados para fins específicos, explícitos e legítimos e não processados ​​de maneira incompatível com esses fins; O tratamento posterior para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos não deve, nos termos do artigo 89.º, n.º 1, ser considerado incompatível com os fins iniciais («limitação da finalidade»);
• adequados, relevantes e limitados ao necessário em relação às finalidades para as quais são processados ​​('minimização de dados');

Isso significa que você tem ainda mais motivos para coletar apenas os dados de que precisa .

• Você precisa desse endereço de e-mail para encaminhar ao usuário o PDF que ele solicitou
• Você deseja que o número de telefone, a empresa em que trabalha, o tamanho da empresa e o endereço físico para criar o perfil deles em seu sistema de automação de marketing

Essas coisas extras que você quer? Eles não são mais um jogo justo se você tiver usuários na Europa.

Você precisa ser explícito sobre para que usará os dados e coletar apenas os dados necessários do usuário.

Consentimento opt-in – sem assinaturas padrão

Alguns profissionais de marketing jogam esses jogos de consentimento com os visitantes:

• Os usuários podem optar por não preencher um formulário, mas a caixa de seleção é pré-marcada
• Os usuários são ativados automaticamente e precisam notificar manualmente a empresa de que não desejam participar de um programa específico
• A linguagem no programa de ativação é vaga o suficiente para que os usuários possam se inscrever em várias coisas sem perceber

Todos esses jogos colocarão as organizações em risco de não conformidade. Aqui estão as partes relevantes do artigo 7, condições para consentimento :

Quando o tratamento for baseado no consentimento, o responsável pelo tratamento deve poder demonstrar que o titular dos dados consentiu no tratamento dos seus dados pessoais.

Se o consentimento do titular dos dados for dado no âmbito de uma declaração escrita que diga também respeito a outras matérias, o pedido de consentimento deve ser apresentado de forma claramente distinguível das restantes matérias, de forma inteligível e de fácil acesso, de forma clara e linguagem simples. Qualquer parte dessa declaração que constitua uma violação do presente regulamento não é vinculativa.

O que isso significa para você é que, se você tiver usuários na Europa, esses jogos de consentimento não serão mais viáveis.

Você precisa ser claro sobre o que os usuários estão optando. Se você quiser que eles aceitem seu boletim informativo E você quiser mostrar promoções de produtos, você vai querer que eles concordem com as duas coisas separadamente, e você precisará declarar isso explicitamente.

Lembre-se destas quatro coisas:

• O consentimento deve ser dado ativamente
• Os usuários devem ser informados sobre o que estão se inscrevendo em linguagem clara
• Silêncio e caixas pré-marcadas não contam como consentimento
• O consentimento para uma atividade não se aplica como consentimento para outras atividades

Retirada de consentimento – não faça os visitantes pularem em aros

Outra coisa em que você precisa trabalhar é dar aos usuários a opção de optar por não participar de seus programas. O artigo 7º continua:

O titular dos dados terá o direito de retirar o seu consentimento a qualquer momento. A retirada do consentimento não afetará a legalidade do processamento com base no consentimento antes de sua retirada. Antes de dar o consentimento, o titular dos dados deve ser informado disso. Será tão fácil retirar quanto dar consentimento.

Se você tiver envios de e-mail na forma de promoções de produtos ou boletins informativos, eles devem sempre ter formas claras para as pessoas optarem por não participar de seus programas. E esses devem estar à vista de todos.

Costumava ser melhor do ponto de vista da conversão ter apenas pessoas em seu banco de dados que QUEREM estar lá. Agora, isso é melhor do ponto de vista legal também.

Pilha de tecnologia – sem segurança, sem nomes

Se você está jogando rápido e solto com qualquer coisa que contenha informações de identificação pessoal, é melhor reforçar sua pilha de tecnologia rapidamente. Isso significa que você não pode ter informações confidenciais de clientes e criação de perfis sem provisões para pseudonimização ou tecnologias relacionadas.

Arquivos do Excel circulando pela empresa com nomes reais e informações confidenciais sempre deveriam ter sido proibidos, mas agora você tem mais motivos para impedir que isso aconteça.

O Artigo 25, proteção de dados por design e por padrão , tem disposições bastante duras para empresas com segurança leve:

Tendo em conta o estado da arte, o custo de implementação e a natureza, âmbito, contexto e finalidades do tratamento, bem como os riscos de probabilidade e gravidade variáveis ​​para os direitos e liberdades das pessoas singulares decorrentes do tratamento, o responsável pelo tratamento deve, tanto no momento da determinação dos meios de tratamento como no momento do próprio tratamento, implementar medidas técnicas e organizativas adequadas, como a pseudonimização, que visam implementar princípios de proteção de dados, como a minimização de dados, de forma eficaz forma e integrar as salvaguardas necessárias no tratamento para cumprir os requisitos do presente regulamento e proteger os direitos dos titulares dos dados.

O responsável pelo tratamento deve implementar as medidas técnicas e organizativas adequadas para garantir que, por defeito, apenas sejam tratados os dados pessoais necessários para cada finalidade específica do tratamento. Essa obrigação aplica-se à quantidade de dados pessoais recolhidos, à extensão do seu tratamento, ao período do seu armazenamento e à sua acessibilidade. Em particular, essas medidas devem assegurar que, por defeito, os dados pessoais não sejam disponibilizados sem a intervenção do indivíduo a um número indefinido de pessoas singulares.

Resumindo, se você deseja armazenar informações de identificação pessoal, precisa desembolsar para manter essas informações seguras.

Conformidade com GDPR: uma fera complexa

Evite ser atingido com penalidades. Se você está atrasado no trabalho de conformidade com o GDPR, você precisa, no mínimo, fazer…

• uma auditoria de quantos dados você coleta e se você precisa fazer alguma minimização de dados,
• um resumo de como você transforma dados pessoais em dados anônimos e
• uma revisão de quão explícito você é sobre obter consentimento para usar os dados do visitante