O que é RGPD?
Legislação que abrange todos os cidadãos europeus, que passam a ter o direito à proteção dos seus dados pessoais. As entidades, deixam de poder usar as informações pessoais sem o consentimento dos cidadãos.
A penalização do não cumprimento são 4% das receitas até ao limite de 20 milhões de euros.
Outros Países com legislação similar ao RGPD
Outros países quiseram demonstrar a proteção de dados dos seus cidadãos, enumeramos algumas mais relevantes para os marketeers portugueses:
Brasil – Lei Geral de Proteçao de Dados (LGPD)
California-EUA – Uma legislação ainda mais restritiva que o RGPD. A prudência manda que todos os EUA sejam tratados com esta norma.
Ainda existem mais países com a sua RGPD, como a China, India, Suiça, Chile, Africa do Sul, Nova Zelândia, Coreia do Sul.
O RGPD e o Marketing?
Para o efeito, consideramos uma aproximação diferente: B2C e B2B. Pois, enquanto no B2B, a informação é tendencialmente menos pessoal, no B2C a empresa tende a ir mesmo aos dados pessoais, e por isso os marketeers incorrem em maiores responsabilidades.
Dados do Marketing que vamos tratar neste artigo
Visitante do Website – é necessário avisar que cookies existem no website e como os visitantes os podem desactivar.
Lista Emailing – basta ter nome e email, já é um dado. Um email com indicação de nome, também é um dado pessoal.
Outros dados de Marketing
A complexidade é bem maior, ainda não existem indicações de templates tal como para o emailing e website.
CRM – onde pode constar muita informação.
Bases de dados – elas existem, para fins de emailing, tratamento de dados, podem conter informação pessoal.
Social – se um indivíduo publica ao mundo a sua informação pessoal, deixa de ser privada e de estar abrangida pelo Regulamento.
Muitos dos problemas causados pelo RGPD digital serão resolvidos pelo ePrivacy (espera-se). Por exemplo, o tornar os visitantes de websites em burocratas que têm que clicar no “concordo”, só para fazer desaparecer o incomodo pop-up. Existem mais situações onde o RGPD aplicado à letra não são para o online, e que têm que ser endereçadas.
RGPD para WEBSITES
Este assunto é especial para a Good Intelligence, porque todo o web analytics é baseado na recolha de dados, através dos cookies. Nesse âmbito, deixamos os nossos parceiros devidamente protegidos.Google Analytics – o colector de cookies mais usado.
O Google Analytics, utiliza os cookies que permitem ver o comportamento do visitante do website, como por exemplo para saber se partilhou uma página, ou viu um video. Para efeitos de GDPR, as empresas devem informar os visitantes da existência dos cookies, bem como os mecanismos para o evitar.
- Google Analytics – mas usado com logins.
Juntar o login de uma loja de ecommerce, com a experiência de navegação, existe um maior risco de entrar no dominio da informação privada. Claramente deve haver um tratamento muito especial, o visitante//cliente deve saber claramente o que se está a passar, e deve haver a possibilidade de o visitante desligar esse mecanismo.
- Remarketing cookies
Estes cookies, permitem identificar os interesses de um visitante num website (sem identificar a pessoa), para que, numa plataforma de anúncios, normalmente o Google AdWords, FacebookAds ou páginas que os disponibilizem, sejam sugeridas anúncios idênticos e a sua permanência, quando mostrou interesse na compra de um produto.
- outros cookies e tecnologias
Existindo muitas plataformas e tecnologias importa saber o que elas fazem, se elas permitem chegar à informação pessoal do visitante, e posteriormente informar o visitante, e indicar a forma de desabilitar estas tecnologias.
O dono do website deve fazer o aviso das tecnologias que estão a ser usadas, o que elas fazem, como as desabilitar. E no caso de poder reunir informação pessoal, deve ser bem claro, dar a possibilidade do visitante ordenar a alteração ou eliminação dos dados.
RGPD para cookies
Como assegurar o cumprimento desta regulamentação? Para já não existem certezas de qual o melhor procedimento. Vão surgir muitas ideias, e provavelmente, mais tarde irão convergir para um procedimento que será assumido como o mais certo. Para já, reunimos os procedimentos de instituições crediveis, e sugerimos a adoção.
1º Saber quais são os cookies
Esta é a nossa área de negócio. Existem muitas empresas que não têm consciencia dos cookies que estão ativos. E por isso recomendamos esta auditoria aos cookies ativos.
Nós usamos os nossos mecanismos. Google: online cookie audit
2º Revisão de procedimentos
Tendo em vista a proteção de dados dos seus visitantes, a empresa tem que determinar quais os dados que quer, as entidades que podem ter acesso, quanto tempo deve ter os dados.
3º Aviso de Cookies
Apenas um aspecto técnico. No CMS wordpress, existem vários plugins, nós adotamos um script através do Google Tag Manager, o programador pode facilitar.
4º Redação da página de cookies
Entre copiar, a página dos “melhores de”, pedir a um advogado para o redigir, redação da associação, é necessário adaptar o modelo de acordo com os cookies que tem e como são usados.
5º Redação e mecanismos especiais de cookies
Existem casos especiais, que vão mais ao detalhe da identificação do visitante, como o lead qualification através de cookies, identificação através do login na página. Este caso deve ser analisado com especial atenção.
O nosso parceiro preferido tem a capacidade de configurar todo o tipo de notificação cookie de acordo com as especificações próprias para cada website. Existem outras soluções como a Ibuenda ou a OneTrust, mas fica sempre sujeito a uma renda.
RGPD para emailing marketing
Podem existir dados pessoais no emailing marketing. Quando é um geral@goodi.pt, não existe identificação, mas quando temos um manel@goodi.pt, já sabemos que o Manuel trabalha na Good Intelligence.
O problema, não acaba aqui, se o email é de um consumidor, a empresa tem que assegurar a que esse individuo aceita a posse dos seus dados.
- O passado não compatível com GDPR
Para assegurar os dados anteriores ao conhecimento do GDPR, estejam conforme, a empresa deve enviar emailing exclusivamente para dar oportunidade para sair da lista, ou para alterar os seus dados.
- Novos termos, privacidade e condições
Aqui a empresa deve rever com o seu advogado os termos legais. Em alternativa, pode considerar os dados da associação ou outras fontes.
- Alterar os formulários de subscrição
As soluções de formulários e as plataformas de onde enviam o emailing devem ajudar nesse sentido. O mailchimp, a plataforma mais comum, publicou recentemente um artigo e soluções.
- Lidar com os dados existentes
Para além do nome e email, podem existir outros dados como profissão, idade. Existem, outros dados que os subscritores não vão gostar saber que existem: se abriu o email e se clicou em links desse email. A própria mailchimp, nesta altura não tem solução, mas parece-nos que deve passar por dar opção aos subscritores para omitir essas informações.
A Good Intelligence tem uma posição diferente da corrente dominante. Pensamos que o excesso de burocratização digital prejudica a própria privacidade. É que com tantas politicas, termos e condições para ler, os visitantes não vão ligar a isso, e como não lêem, muitos termos acabam por até poder prejudicar os visitantes, para não falar da experiência de utilização, ao possibilitar uma maior responsabilidade do próprio visitante.
RGPD Checklist Genérico [Extra em Inglês]
A GDPR Form, que também está no negócio do cumprimento do RGPD, está a partilhar uma checklist comunitária para validar o cumprimento RGPD. Este checklist está dividido pelas duas responsabilidades essenciais:
- Data Controller: determina quais os dados a serem processados
- Data Processor: que processa e trata os dados de outras entidades
É importante saber as responsabilidades destes dois. Por exemplo, se a plataforma de mailing (data processor) tem uma quebra de segurança, existe a obrigação de informação deste.
Outro aspecto, que é o minimo é a existencia da listagem das bases de dados, com informação relacionada, como por exemplo a quem partilham os dados.
