Seguir

O que é o Regulamento Geral de Proteção de Dados e como ele afeta você?

Este documento tem fins exclusivamente informativos. Nada neste documento deve ser interpretado como a criação de representação, assessoria jurídica, garantia ou compromisso, contratual pela Return Path Inc., ou qualquer afiliada da Return Path, a você ou a qualquer outra pessoa ou entidade. Também não garante que seu e-mail e/ou qualquer outro aspecto da sua empresa esteja em conformidade com as leis estaduais, federais ou internacionais. A Return Path não faz nenhuma representação, garantia ou compromisso de que qualquer mensagem que você enviar aos usuários finais será entregue. Este documento não substitui, não deve ser usado no lugar, e não deve ser considerado como aconselhamento jurídico. É recomendável que você entre em contato com um advogado geral ou jurídico.

O que é Regulamento Geral de Proteção de Dados (GDPR)? 

O Regulamento Geral de Proteção de Dados, ou GDPR, é o regulamento da Área Econômica Europeia (AEE) adotado em 24 de maio de 2016 com o objetivo de harmonizar, modernizar e fortalecer as políticas de privacidade e processamento de dados em toda a Europa. O GDPR substitui a Diretriz 95/46/CE (a “Diretriz de Proteção de Dados”), que está desatualizada devido à evolução dos padrões de tecnologia. 

Os requisitos do GDPR entrarão em vigor a partir de 25 de maio de 2018. Ele exige que as organizações protejam dados pessoais de maneira diligente e que forneçam provas de como esses dados são protegidos. 

O GDPR estabelece um alto padrão de consentimento, o que terá um enorme impacto no setor de marketing. Os clientes precisarão ter escolha e controle sobre como os dados deles serão manipulados. Para estar em conformidade, você precisa saber como o GDPR define os dados pessoais, onde eles estão localizados na sua empresa, como são usados, quem pode acessá-los e muito mais. 

O GDPR afeta você? 

O GDPR afeta QUALQUER empresa que coleta, processa, armazena e usa dados de pessoas residentes na AEE. Ele afeta você se a sua organização tem sede na AEE ou não; ou se o processamento em si ocorre dentro ou fora da AEE. Isso significa que, seja com uma sede na Europa ou apenas uma empresa com escritórios ou clientes na Europa, você precisa adotar novas práticas para garantir o cumprimento integral deste regulamento. 

As equipes de marketing serão as primeiras a serem afetadas por essas novas mudanças, por serem um dos principais influenciadores no que diz respeito ao processamento de dados. Sua coleta de dados e estratégias de processamento terão que ser inequívocas e comunicadas a todos os usuários e assinantes. 

Você também tenha que nomear um Diretor de Proteção de Dados (DPO), que será responsável por informar e aconselhar a pessoa responsável pelo seu processamento de dados, bem como monitorar a conformidade da sua empresa com o novo regulamento.

Quais informações são consideradas dados pessoais? 

O GDPR define dados pessoais como "qualquer informação relativa a um indivíduo identificado ou identificável". Assim, qualquer informação capaz de identificar diretamente uma pessoa ou de ter ligações cruzadas com outros dados será considerada como parte dos dados pessoais. 

Quais são os principais conceitos do GDPR? 

Abaixo estão alguns dos principais conceitos que vêm com o novo regulamento. No entanto, esta não é uma lista completa, e esperam-se atualizações no futuro, uma vez que esta é a primeira grande mudança nos regulamentos de proteção de dados em mais de 20 anos. Consulte um advogado para obter as atualizações mais recentes. 

  • Escopo territorial:o GDPR abrange todas as empresas que processam dados pessoais de pessoas residentes na AEE, independentemente da localização da empresa. O GDPR também abrange o processamento de dados pessoais de pessoas residentes na AEE por um controlador ou processador não estabelecido na AEE, onde as atividades se relacionam a:
    • Oferecer bens ou serviços (independentemente de exigir pagamento).
    • O monitoramento do comportamento que ocorre na AEE.
  • Penalidades e multas: as organizações que violarem o GDPR poderão ser multadas em até 4% da receita global anual ou 20 milhões de euros (o que for maior). Essa é a multa máxima que pode ser imposta por não ter o consentimento suficiente do cliente para processar dados ou violar os principais conceitos de privacidade.
  • Consentimento: os requisitos de consentimento são fortes. Você deve usar termos que sejam facilmente compreendidos e não usar termos e condições longos e ilegíveis, com palavras e expressões jurídicas complexas. O pedido de consentimento deve ser dado de forma clara e inequívoca, e as organizações podem precisar adotar novas políticas de consentimento, como:
    • O consentimento deve ser específico para propósitos distintos. O consentimento não pode ser implícito ou inferido para vários fins.
    • Caixas pré-assinaladas não constituem consentimento suficiente.
    • Organizações que processam dados pessoais de crianças com menos de 16 anos (os Estados-membros podem diminuir a idade de consentimento para 13) devem obter o consentimento dos pais da criança.  
    • O processo de exclusão deve ser tão simples e direto quanto o processo de adesão.
    • As organizações devem fornecer consentimento documentado e passível de confirmação a qualquer momento. É essencial que o controlador de dados acompanhe:
      • Os mecanismos usados para obter o consentimento (por exemplo, formulários on-line ou uma aceitação afirmativa por meio de um cookie).
      • O objetivo de usar os dados.
      • A data de adesão.
  • As pessoas residentes na AEE ganham novos direitos; o mais importante é:
    • O direito ao esquecimento: as organizações devem ter meios para localizar e apagar todos os dados de um indivíduo mediante solicitação, inclusive em circunstâncias nas quais um controlador possa ter passado os dados para um controlador ou processador secundário.
    • O direito de contestar: todo indivíduo pode rejeitar como uma organização usa os dados dele para fins específicos, como o perfil de marketing.
    • O direito de retificação: todo indivíduo pode ter dados incompletos ou incorretos preenchidos ou corrigidos.
    • O direito de acesso: todo indivíduo tem o direito de saber o que e como os elementos de dados específicos estão sendo coletados e processados.
    • O direito à portabilidade de dados: todo indivíduo tem o direito de transmitir os dados dele (ou solicitar que sejam feitos no nome dele) de uma organização para outra, sem quaisquer restrições ou atrasos indevidos.
  • Relatório de violação de dados pessoais: as violações de dados pessoais com o controlador de dados devem ser comunicadas à Autoridade de Supervisão local (estabelecida dentro de cada estado membro da AEE) no prazo de 72 horas. Se a violação de dados pessoais também representar um alto risco para o indivíduo, o controlador deve comunicar a violação de dados pessoais ao indivíduo imediatamente. Se a violação de dados for com o processador de dados, o processador de dados deve informar o controlador de dados imediatamente.
  • Avisos de privacidade: as organizações devem declarar, de maneira transparente, a abordagem delas à proteção de dados pessoais em um aviso de privacidade. As pessoas também têm o direito de receber informações "justas e legais" sobre o processamento dos dados delas no aviso de privacidade, entre outras coisas:
    • Dados de contato do controlador de dados e do responsável pela proteção de dados.
    • Como os dados são usados (por exemplo, detalhes de transferências de dados fora da AEE).
    • Finalidade dos dados: isto deve ser o mais específico e minimizado possível (limitação de finalidade e minimização de dados).
    • Por quanto tempo os dados são mantidos: este período deve ser o mais curto possível (limitação de armazenamento).
  • Ampliação das definições de dados pessoais e sensíveis: as definições de dados pessoais e sensíveis foram ampliadas e incluem dados genéticos e biométricos. O GDPR impõe a seguinte definição limitante para dados pessoais: “qualquer informação que possa ser usada, sozinha ou em conjunto com outros dados, para identificar um indivíduo”.
  • Privacidade por padrão e conceito: as organizações devem considerar a privacidade de dados nos estágios iniciais de conceito de um projeto, bem como durante todo o ciclo de vida do processamento de dados relevantes.
  • Controlador de dados e processador de dados: o controlador de dados e o processador de dados são responsáveis pela implementação de medidas técnicas e organizacionais apropriadas para garantir e demonstrar que as atividades de processamento estão em conformidade com os requisitos do GDPR. O controlador de dados também deve garantir que cada processador de dados com o qual ele trabalha tenha as medidas apropriadas em vigor. 

Que efeito o GDPR terá na entregabilidade? 

A entregabilidade é influenciada por centenas de fatores relacionados à sua reputação de envio, incluindo a qualidade dos seus assinantes. Com o crescente foco no consentimento informado inequívoco que o GDPR tem para as organizações que enviam para as pessoas residentes na AEE, a entregabilidade pode melhorar em alguns provedores de caixa de e-mail da Europa. 

Quanto mais você enviar e-mails para pessoas que dão consentimento expresso para receber seu e-mail, maior será a probabilidade de elas se envolverem com o seu e-mail. Como o engajamento é um fator usado por muitos provedores de caixa de e-mail ao filtrar seu e-mail, taxas de engajamento mais altas (e menos reclamações) podem levar a um posicionamento mais alto da caixa de entrada em alguns provedores de caixa de e-mail europeus. 

Onde obter mais informações sobre o Regulamento Geral de Proteção de Dados (GDPR)?

Esse artigo foi útil?
Usuários que acharam isso útil: 0 de 0
Tem mais dúvidas? Envie uma solicitação