Examinando o impacto do GDPR um ano depois

Em 25 de maio de 2018, o tão esperado Regulamento Geral de Proteção de Dados Europeu (GDPR) entrou em vigor. Agora que os profissionais de marketing digital tiveram tempo suficiente para se ajustar a essa nova legislação, analisaremos mais de perto como o GDPR está afetando consumidores e empresas, bem como como e por que implementar várias práticas recomendadas para conformidade com o GDPR.

O que é GDPR e por que foi criado?

A legislação do Regulamento Geral de Proteção de Dados Europeu foi aprovada para criar uma proteção de privacidade de dados maior e mais uniforme para todos os residentes da União Europeia. A lei estipula penalidades severas por não conformidade para qualquer marketing de negócios e coleta de dados comportamentais de indivíduos na UE. As multas por não conformidade podem chegar a 4% da receita global, portanto, as empresas são altamente incentivadas a seguir os regulamentos do GDPR.

Para resumir, os objetivos do GDPR incluem:

• Fornecer aos cidadãos mais informações sobre como seus dados são coletados e mais controle sobre como seus dados são usados.
• Esclarecendo e simplificando as expectativas legais para empresas de todos os tamanhos.
• Consolidando regulamentações regionais de privacidade de dados desconexas em um conjunto coeso e codificado.
• Melhorar a conformidade regulatória de todas as transações digitais — visíveis e ocultas dos consumidores.

Para atingir esses objetivos, o GDPR exige diferentes protocolos para que as empresas obtenham e mantenham o consentimento em todas as suas atividades e canais de marketing.

Obtendo o consentimento do usuário

O GDPR estreitou significativamente o conceito de consentimento do usuário e agora exige que os usuários tomem “ação afirmativa clara” antes que uma empresa possa começar a comercializar para eles. Este consentimento deve ser “dado livremente, específico, informado e inequívoco”. Por exemplo, as caixas de consentimento pré-marcadas nos formulários de envio não são mais permitidas, pois não exigem nenhuma ação real por parte do usuário e não implicam necessariamente que ele deu consentimento para receber material de marketing.

Além disso, o GDPR estipula que as empresas devem receber um “double opt-in” de seus usuários antes que possam comercializar para eles, o que significa fornecer consentimento em pelo menos duas instâncias separadas. Por exemplo, você deve criar formulários com caixas de consentimento claras e desmarcadas e também enviar um e-mail de confirmação onde o usuário pode confirmar seu consentimento clicando em um link. O GDPR também exige que todas as organizações forneçam prova de consentimento para cada um de seus contatos, e não fazer isso pode levar a penalidades e multas severas.

Por fim, os consumidores podem aproveitar o GDPR para enviar uma “solicitação de acesso do assunto” que lhes permite acessar os dados pessoais que cada organização possui, por que essa organização possui as informações e como as está usando. Quase metade das 18.000 reclamações relacionadas à proteção de dados que o Information Commissioner's Office (ICO) recebeu em 2016 estavam relacionadas a solicitações de acesso de assunto mal tratadas (1). Essas informações pessoais são extremamente importantes para os usuários, e o GDPR está tentando facilitar sua coleta.

Fornecendo oportunidades claras e simples para recusar

O GDPR também está comprometido em tornar mais fácil para os usuários optarem por não receber comunicações de empresas. Assim como o CASL no Canadá e o CAN-SPAM nos Estados Unidos, as organizações agora precisam tornar mais fácil para os usuários atualizar suas preferências, retirar seu consentimento ou ser removido do banco de dados de uma empresa.

Por “fácil”, queremos dizer:

• Os usuários não devem ter que visitar mais de uma página para desativar
• Os usuários não devem fazer login para desativar
• Os usuários só devem ser obrigados a fornecer seu endereço de e-mail para desativar
• Os usuários não devem pagar uma taxa para optar por não participar

Mais uma vez, não seguir esses estatutos pode levar a punições severas.

GDPR e Políticas de Privacidade

Um dos principais objetivos do GDPR é incentivar a transparência, o que significa que as empresas agora são obrigadas a divulgar como estão usando as informações de seus assinantes e visitantes do site – e devem fazê-lo de maneira clara e simples. De acordo com um estudo infame, levaria cerca de 76 dias úteis para ler todas as políticas de privacidade que encontramos em um ano (2), então o objetivo é reduzir esse número drasticamente.

De acordo com o GDPR, a política de privacidade de cada organização deve ser facilmente acessível, concisa, transparente, inteligível e de acesso gratuito. Ele deve ser escrito em linguagem clara e fácil de entender, então você também deve definir claramente qualquer terminologia ambígua ou confusa que você usará e evitar o juridiquês sempre que possível. Além disso, cada formulário online também deve incluir um link claro para a política de privacidade da empresa.

Por fim, se a organização estiver coletando dados de fontes de terceiros, será necessário fornecer informações adicionais sobre os dados e sua fonte.

O GDPR está funcionando?

Inicialmente, líderes empresariais e especialistas de diferentes áreas ficaram extremamente empolgados com o GDPR. Falando com o Verdict sobre o impacto potencial do GDPR, Giles Pratt (parceiro de IP e tecnologia da Freshfields) disse:

“Os reguladores da UE introduziram uma legislação pioneira que parece estabelecer os padrões de privacidade de dados em todo o mundo e oferece oportunidades para práticas de trabalho mais próximas entre profissionais internacionais de privacidade nos negócios e os reguladores com os quais se envolvem.”

No entanto, enquanto o caminho para a conformidade com o GDPR está sendo lentamente pavimentado com boas intenções, os primeiros retornos sugerem que muitas empresas ainda têm uma longa jornada pela frente em seu caminho para a conformidade. Desde que a legislação entrou em vigor em maio de 2018, houve mais de 200.000 relatos de violações menores e maiores do GDPR em mais de 30 países, de acordo com um relatório publicado pelo Conselho Europeu de Proteção de Dados – que consiste em vários reguladores de toda a região. Ao todo, cerca de US$ 56 milhões em multas foram distribuídos por vários grupos de vigilância, mas US$ 50 milhões disso vieram de uma única multa para o Google (3).

De acordo com Mathias Moulin, membro do painel do CNIL (o grupo de vigilância francês que entregou a multa ao Google), a multa foi baseada em uma violação “maciça e altamente intrusiva” e foi baseada em vários fatores diferentes – incluindo a “escala … e o tamanho da empresa.” Embora a multa tenha sido apenas uma gota no balde para uma empresa como o Google, que obteve US$ 137 bilhões em receita em 2018, Moulin sugere que o ano passado “deve ser considerado um ano de transição”.

Essa declaração sugere que podemos esperar que haja um monitoramento e aplicação mais fortes do GDPR, o que serve como um aviso para as organizações que ainda não priorizaram a conformidade com o GDPR em seus esforços de marketing. Parece justo dar às empresas (especialmente pequenas e médias empresas) mais tempo para implementar melhores procedimentos para conformidade com o GDPR antes de aplicar multas importantes, mas esse tempo pode estar se esgotando rapidamente à medida que o GDPR entra em seu segundo ano. Portanto, é importante que você faça o possível para se tornar compatível com o GDPR o mais rápido possível, tanto para a saúde de seus negócios quanto para a confiança e segurança de seus clientes.

Práticas recomendadas de conformidade com GDPR

A percepção do público é que muitas empresas estão deliberadamente tornando mais difícil para os assinantes da web optarem por não participar de suas assinaturas e, com base no número de infrações relatadas acima, é difícil argumentar sobre esse ponto. E é por isso que o GDPR foi criado em primeiro lugar: para aumentar a privacidade e a segurança dos dados e permitir que os consumidores naveguem na Internet com mais liberdade e confiança.

Até agora, o GDPR ainda não atingiu esse objetivo, mas com o chamado “ano de transição” para trás, o tempo para desculpas chegou ao fim. Agora, é hora de aprender e seguir as práticas recomendadas básicas do GDPR para entrar em conformidade, melhorar a confiança do consumidor e aumentar a receita da sua empresa.

Atualizar contatos legados

O GDPR permite que as organizações se comuniquem com usuários existentes, mas somente se você tiver recebido consentimento ativo anteriormente. Se, no entanto, suas listas de envio incluírem usuários aos quais optamos automaticamente, você precisará entrar em contato solicitando seu consentimento explícito para continuar comercializando para eles.

Revise suas listas para determinar quais contatos ativaram ativamente e quais não o fizeram. Em seguida, envie um e-mail para sua lista de contatos que ainda precisam ativar ativamente pedindo permissão para continuar enviando mensagens. Certifique-se de que o idioma do seu e-mail seja honesto, amigável e direto com um botão de CTA proeminente convidando-os a participar. Se um assinante não responder dentro de 10 dias do seu e-mail, envie um e-mail de acompanhamento final informando que será removido da sua lista se não aceitar. Se eles ainda não agirem após cinco dias, você deve removê-los completamente da sua lista.

Exigir caixas de consentimento adicionais

Anteriormente, quando um usuário se inscrevia para uma avaliação, baixava um e-book ou concluía qualquer ação que dava às empresas suas informações de contato, essas empresas podiam continuar acompanhando as campanhas de e-mail, boletins informativos, blogs etc. subsequentes sem receber consentimento adicional. Hoje, o GDPR não permite que as empresas façam isso sem adicionar uma caixa de seleção adicional abaixo do formulário digital.

Por exemplo, se um usuário em seu site preencher um formulário para visualizar um webinar sob demanda, mas não preencher a caixa de seleção no formulário, dando a você o consentimento explícito para comercializá-lo de outras maneiras, você está proibido de fazê-lo. Certifique-se de que todos os seus formulários tenham uma linguagem clara solicitando consentimento explícito para fornecer materiais de marketing adicionais e certifique-se de enviar apenas para usuários que marcaram essa caixa.

Facilite a desativação dos usuários

Deixar de fornecer opções claras e simples de desativação é um dos não-nos mais comuns do GDPR. Isso também pode levar a usuários frustrados, o que geralmente resulta em reclamações de pessoas que fazem o GDPR.

Seus assinantes não lhe devem lealdade e devem se reservar “o direito de serem esquecidos” sempre que quiserem. Se eles não quiserem mais saber de você (talvez eles tenham ido com outra seguradora ou tenham decidido comprar ingressos para shows por meio de outro fornecedor), eles poderão cancelar a inscrição da sua lista facilmente.

Portanto, você precisa garantir que todas as suas comunicações tenham um link de “cancelamento de inscrição” em destaque no rodapé, no qual os destinatários possam clicar para serem removidos da sua lista permanentemente ou até que decidam reativar.

Além disso, você deve oferecer a seus usuários a opção de gerenciar suas assinaturas. Crie um link “Gerenciar suas assinaturas” no rodapé ou ofereça a opção como um link na cópia de seus e-mails, páginas de confirmação e outras comunicações de marketing digital. Esse link deve levar a uma página separada que oferece ao usuário várias opções sobre quais tipos de comunicação ele deseja receber, como boletins informativos, blogs, ofertas especiais ou convites para eventos.

O software Act-On ajuda as empresas a cumprir o GDPR

Na Act-On, nosso software de automação de marketing foi desenvolvido para ajudar profissionais de marketing de empresas de todos os tamanhos e formatos a melhorar a capacidade de entrega de e-mail, proteger os dados de seus clientes e gerar mais receita por meio de uma plataforma omnicanal completa. Nossa equipe de serviços profissionais de classe mundial está aqui para ajudar nossos clientes a tomar medidas adicionais de conformidade e alinhar sua estratégia com nosso software.

Se você estiver interessado em saber mais sobre como resolver suas preocupações com GDPR com a poderosa plataforma de automação de marketing da Act-On, baixe nosso e-book gratuito abaixo ou entre em contato conosco diretamente para falar com um profissional de vendas experiente.