O que o GDPR significa para o seu negócio

Hoje é um bom dia para aprender mais sobre o que o GDPR significa para o seu negócio.

O Regulamento Geral de Proteção de Dados da União Europeia, ou GDPR, entra em vigor em 25 de maio de 2018. E, embora falte quase um ano para isso, operacionalmente, há uma série de coisas que você precisará fazer para estar em conformidade. (Sim, “carga métrica” é um termo técnico.)

Neste episódio do Rethink Podcast, conversamos com David Fowler, que é o chefe de privacidade, conformidade e capacidade de entrega da Act-On. Como diz David, o GDPR marca a maior mudança na lei de proteção de dados da UE em uma geração. E se aplica aos 510 milhões de cidadãos da UE, bem como a qualquer empresa que faça negócios com eles, independentemente de onde estejam.

Aproveite a conversa e esperamos que você obtenha um ou dois tópicos úteis que você pode trazer para o seu negócio.

Nathan Isaacs : David, você pode me contar mais sobre o que você faz na Act-On?

David Fowler : Eu ajudo nossos clientes a navegar no roteiro digital em termos de suas obrigações sob as leis locais, estaduais, federais e internacionais no que se refere ao marketing digital. Também garanto que, quando nossos clientes clicarem no botão “enviar” de seus e-mails, as mensagens tenham todas as oportunidades de chegar à caixa de entrada. A conformidade digital em 2017 é um campo muito profundo e amplo. Se você for um comerciante nos EUA enviando correspondência para a UE, por exemplo, suas obrigações serão diferentes das de um comerciante nos EUA enviando correspondência para o Canadá. É nosso trabalho informar nossos clientes sobre suas obrigações sob esses roteiros legislativos específicos.

Nathan : Uma das coisas sobre as quais estamos falando hoje é o Regulamento Geral de Proteção de Dados, ou GDPR. Você pode me dizer o que é isso e do que se trata?

David : O GDPR é uma lei que entrará em vigor na Europa em 2018, 25 de maio para ser mais exato. E o que é, essencialmente, é uma reescrita completa da diretiva de dados da UE de 1995. E para aqueles que estão ouvindo o podcast, não existem leis universais na Europa em termos de conformidade digital. Existem interpretações da diretiva de dados e cada país pode determinar qual é a sua interpretação dessa lei. Então, como você pode ver, apenas isso em si cria esse enorme potencial de confusão.

O GDPR é uma lei universal que se aplicará a todas as empresas que tenham cidadãos europeus em seus bancos de dados. Isso será transversal a todos os países da UE. É uma lei para 500 milhões de indivíduos.

Nathan : Para empresas sediadas nos Estados Unidos ou em qualquer outro lugar do mundo que fazem negócios com indivíduos na Europa, isso se aplica a elas. Isso está certo?

David : Isso mesmo. E há algumas multas pesadas se você estiver em descumprimento - até 4% das receitas totais de uma empresa. Se você é o Google, por exemplo, quanto é 4% de um trilhão de dólares?

Suas responsabilidades sob o GDPR

Nathan : Uma nova lei está se aplicando a como eu faço negócios com indivíduos. O que eu preciso fazer como empresa para estar em conformidade?

David : É importante entender as responsabilidades do GDPR. E na Europa, você tem dois sabores. Você tem o controlador e o processador dos dados. Por exemplo, você é um cliente da Act-On. Você seria um controlador no roteiro do GDPR. E nós [Act-On] seríamos o processador de seus dados. Nossas obrigações sob o GDPR são, A, cumprir a lei, obviamente. Mas também B, construir nossos produtos e serviços que permitem que você cumpra suas obrigações sob o GDPR.

Não é nossa responsabilidade garantir que você esteja em conformidade. Mas é nossa responsabilidade mostrar que nossos produtos permitem que você esteja em conformidade, o que significa fornecer mecanismos de consentimento, backup de consentimento, aceitação dupla, todos esses tipos de coisas que tomamos como certo em termos de permissão, nossos produtos devem ser até o ponto em que eles fazem isso.

Usar uma plataforma de automação de marketing dentro do escopo do GDPR é algo que você, como controlador de seus dados e dos dados de seus clientes, não apenas terá que cumprir, mas também entender como você usa a tecnologia para fazer isso. Agora, os direitos humanos, em termos de dados e informações pessoais e esse tipo de coisa, há muito mais problemas que surgem no GDPR se você for o destinatário de um relacionamento digital do cliente. Operacionalmente, há muitas coisas que você precisa pensar em termos de se preparar para isso. Mas, em última análise, onde a borracha encontra a estrada, se você tem um cliente que não pode provar como ele entrou em sua lista, ou não pode provar de onde veio, ou não pode provar o mecanismo de consentimento que foi usado para iniciar o marketing para eles, então, essencialmente, você não estaria em conformidade com o GDPR.

Impactos operacionais do GDPR

Nathan : Quais são os impactos operacionais do GDPR?

Davi : Ótima pergunta. Existem 10 áreas nas quais você precisa pensar do ponto de vista da sua empresa em termos de preparação para o lado operacional do GDPR. O número um é segurança de dados e notificação de violação.

Portanto, se você tiver uma violação de dados, sua obrigação é informar o DPA ‒ a autoridade de proteção de dados ‒ dentro de uma janela de 72 horas a partir da ocorrência da violação ou de seu conhecimento. O DPO obrigatório, ou oficial de proteção de dados, é algo que está sendo implementado sob o GDPR, o que significa que se você é uma empresa de um determinado tamanho, na verdade precisa ter um funcionário na equipe que cuide de seus esforços de proteção de dados.

O consentimento do titular dos dados é um problema enorme - como você obtém o consentimento de um titular dos dados. Sob o GDPR, um titular de dados é o indivíduo real e não uma anomalia. As transferências de dados transfronteiriças são grandes. Se você estiver movendo dados pela Europa ou da Europa de volta para os EUA ou para onde quer que vá, isso é algo para se pensar. Em termos de como isso é feito de uma perspectiva de adequação, no ambiente atual, o mecanismo de transferência de dados transfronteiriça entre a Europa e os EUA é regido por um programa chamado escudo de privacidade, e somos uma empresa certificada pelo escudo de privacidade. Mas haverá outras entidades que virão para ajudar nisso.

A criação de perfil e o direito de rejeitar serão uma questão enorme em termos de como os indivíduos são perfilados e como eles têm o direito de se opor ao serem perfilados; ou seja, se eu souber que você está vestindo uma camisa branca hoje, vou traçar o perfil de suas preferências de camisa e talvez enviar algumas calças brancas para combinar com isso. Como indivíduo, a questão é como você pode gerenciar isso em termos de poder cancelar esse perfil no futuro.

Outro grande é o direito à portabilidade de dados e o direito ao esquecimento. De acordo com o GDPR, o conceito é que você, como indivíduo, tem o direito de pegar seus dados da empresa A e movê-los para a empresa B em um formato de leitura de máquina aceitável, e também tem o direito de ter o fato de que realmente já teve uma relação digital com aquela marca em particular esquecida. Portanto, esse é um problema enorme em termos de como as empresas serão capazes de cumprir isso e realmente implantar esses tipos de estratégias em torno desses conceitos. Ainda estamos meio que colocando nossos braços em torno disso.

A sétima área são os deveres e responsabilidades dos controladores e processadores. Qual é a sua responsabilidade sob o GDPR como processador, que é a Act-On, e quais são suas responsabilidades sob o GDPR como controlador, que é o cliente da Act-On. E são duas questões diferentes em termos de algumas das coisas que surgem com isso.

Outra questão a se pensar é a pseudonimização de dados pessoais - como posso pegar seus dados e criar um perfil maior com base em outras entidades do tipo terceirizadas que podem se conectar a isso, em seu roteiro específico. Códigos de conduta, como e por que você deve agir de determinada maneira. E, finalmente, multas e procedimentos são um grande problema; você pode ser multado em 4% da receita global de sua empresa se não estiver em conformidade.

Então, há muitas coisas do ponto de vista operacional. E eu garanto a você, se você tem uma pessoa de privacidade, se você tem uma pessoa de compliance, e essas pessoas não estão falando com seus técnicos ou engenheiros, então você precisa começar a pensar em reunir essas pessoas, porque isso vai tomar uma aldeia para fazer isso de uma perspectiva organizacional.

Direitos individuais sob GDPR

Nathan : Quais são os direitos dos indivíduos em tudo isso?

David : Sim, essa é uma ótima pergunta. Porque, de acordo com o GDPR, o indivíduo tem o direito de ser informado, de ouvir: 'Recebi suas informações daqui e é isso que vou fazer com elas, e é isso que não vou fazer com isso.' O direito de acesso, para que você, como indivíduo, possa entrar em contato conosco e dizer: 'Ei, minhas informações não estão corretas, estão incorretas, imprecisas e preciso que você mude isso, com base no perfil que você tem sobre mim .' O direito à recertificação significa a mesma coisa - você pode realmente mudar ou ajustar com base no que sabe. O direito de apagar: 'Ei, Act-On, apague todas essas informações sobre mim' ou 'Sr. e Sra. Cliente, por favor, apague todas essas informações sobre mim', e como você vai fazer isso?

Você tem o direito de restringir o processamento, o que significa 'Ei, gostaria de receber seus e-mails, mas não quero receber SMS'. Ou, 'Gostaria de receber e-mails, mas não quero receber mensagens de texto' … ou qualquer que seja o caso. E então o direito de restringir a portabilidade de dados, ou seja, eu vou pegar meus dados da empresa A e movê-los para a empresa B. Você poderia, em teoria, ter clientes que saem em uma sexta-feira às 17h e depois vão para outra empresa na segunda-feira às 8h E, tecnicamente, eles devem estar funcionando dentro desse ambiente.

E, finalmente, o direito de objetar: 'Isto está certo, isto está errado, isto é indiferente.' E o direito de se relacionar com tomada de decisão automatizada e criação de perfis, o que significa que, como estamos no canal digital agora com coisas como inteligência artificial, você pode começar a criar perfis de pessoas e assuntos, independentemente de saberem disso ou não. Você tem que ser muito direto em termos de como divulgar essas informações e como construir esses perfis.

O que imagino é que as empresas compensarão demais pelo consentimento. Você pensa em como se envolve em um relacionamento digital hoje – divulgação, consentimento e todas essas coisas que tomamos como certas. Mas o ponto é que acho que você verá muitas páginas de perfil e páginas de integração, onde não haverá caixas pré-marcadas, mas permitirá que as pessoas digam: 'Eu gostaria de selecione isto ou desmarque aquilo.' As caixas pré-marcadas no GDPR são totalmente proibidas. É totalmente ilegal.

E o que eu faria agora como profissional de marketing é, em seus esforços de preparação, quando isso for lançado em maio do próximo ano, não haverá período de carência. Todos os dados que você tiver em seu arquivo em maio de 2018 terão que estar em conformidade no dia em que forem publicados. Portanto, você deve começar a pensar agora sobre como repermitir ou chegar ao ponto em que começa a divulgar coisas diferentes sobre os indivíduos enquanto se prepara para a implementação do GDPR. Portanto, repermita suas listas, obtenha seu consentimento em ordem, comece a falar sobre divulgações e esse tipo de coisa. E é isso que você deve começar a abraçar hoje.

Aprendendo mais sobre GDPR

Nathan : Estamos falando sobre isso agora apenas para que as pessoas tenham a oportunidade de começar a entrar em conformidade ou implementar esses mecanismos para estar em conformidade, tanto nós quanto qualquer outra pessoa. Existe uma lista de verificação?

David : Divulgação completa, não estamos em posição de fornecer aconselhamento ou orientação jurídica. Mas algumas das autoridades de proteção de dados na UE são mais vocais e têm sido mais comunicativas do que outras. E um ótimo exemplo de um DPA que divulgou muitas informações é o ICO, o Information Commissioner's Office do Reino Unido.

Se você for ao site deles, eles têm uma tonelada de informações sobre o que você deve pensar, como se preparar e quais serão suas obrigações no próximo ano.

Nathan : Então, isso é algo para discutir com toda a equipe, do marketing à conformidade, ao jurídico e à engenharia, correto?

Davi : Com certeza. Porque todo mundo vai interpretar de forma diferente. Quero dizer, a documentação tem centenas de páginas. É extremamente complicado. Mas é realmente uma abordagem de bom senso para um relacionamento digital. E não é apenas sobre o indivíduo agora. É também sobre como você faz negócios com seus fornecedores e como você os responsabiliza pelas coisas. Em alguns aspectos, é uma estrutura para uma abordagem digital de bom senso não apenas para marketing, mas também para optar por não participar de certas coisas. É definitivamente algo que você deveria estar pensando agora. E se você não o fez, então você está um pouco atrás da bola 8.

Resumo

A Act-On produzirá webinars, fichas técnicas e outros conteúdos sobre GDPR ao longo do próximo ano. Você também pode enviar um e-mail para David se tiver alguma dúvida: [email protected] .