Especialista em conformidade com leis de privacidade de marketing

Leis de privacidade de dados em todo o mundo: seus processos e iniciativas de marketing estão em conformidade?

Concentre-se em uma lei de privacidade: o que é GDPR?

O GDPR foi adotado pelo Parlamento Europeu em abril de 2016. As disposições reforçam a proteção de dados em linha com as preocupações contemporâneas sobre informações pessoais e se aplicam tanto aos estados membros da UE quanto a organizações fora da união ao processar os dados de cidadãos dentro dela.

Os regulamentos foram harmonizados para facilitar o cumprimento, com um conjunto de leis aplicáveis a todos os 28 estados membros.
A clareza vem com penalidades severas para violações se você não seguir os princípios básicos para processamento de dados, como consentimento, ignorar os direitos dos indivíduos sobre seus dados ou transferir dados para outro país. De acordo com o GDPR, as autoridades podem multar as organizações em até € 20 milhões ou 4% da receita global anual de uma empresa, com base na gravidade da violação e nos danos incorridos.

Por que foi criado?

A cláusula GDPR pretende substituir as leis de proteção de dados desatualizadas em cada estado membro da UE para fortalecer a proteção de dados pessoais à luz do rápido desenvolvimento tecnológico, aumento da globalização e fluxos internacionais mais complexos de dados pessoais.
Os objetivos principais por trás do GDPR são duplos.

1. Uso e armazenamento de dados de cidadãos da UE

O GDPR regula o “processamento”, que inclui a coleta, armazenamento, transferência ou uso de dados pessoais sobre indivíduos da UE. É importante ressaltar que, de acordo com o GDPR, o conceito de “dados pessoais” é muito amplo e cobre qualquer informação relacionada a um indivíduo identificado ou identificável (também chamado de “titular dos dados”).

2. Dar maior controle aos cidadãos da UE sobre como seus dados pessoais são usados

Além dos direitos existentes, como acesso e retificação, os indivíduos ganham direitos aprimorados, incluindo a capacidade de retirar o consentimento, mover dados pessoais para outro provedor e até mesmo solicitar a exclusão de dados.

Quais empresas são afetadas pelo GDPR?

Qualquer organização que processe dados pessoais de indivíduos da UE, incluindo o rastreamento de suas atividades online, está dentro do escopo da lei, mesmo que não tenha uma presença comercial na UE. Os critérios específicos para as empresas que devem cumprir são:

  • Uma presença num país da UE.
  • Sem presença na UE, mas processa dados pessoais de residentes europeus.
  • Mais de 250 funcionários.
  • Menos de 250 funcionários, mas seu processamento de dados afeta os direitos e liberdades dos titulares dos dados, não é ocasional ou inclui certos tipos de dados pessoais sensíveis.

Em outras palavras, o GDPR se aplica a todas as empresas em todo o mundo que trabalham com dados pessoais de cidadãos da União Europeia (UE).

O que isso requer?

Para processar dados pessoais, as organizações devem ter uma base legal para processar os dados, como para cumprir a execução de um acordo com o titular dos dados ou obter o consentimento do titular dos dados.

Na medida em que o consentimento é a única base legal, esse consentimento deve ser dado livremente, específico, informado e inequívoco.
Em outras palavras, as organizações devem dar aos titulares de dados uma escolha genuína se permitem que seus dados sejam processados, e os titulares dos dados devem concordar por meio de uma declaração clara ou ação afirmativa.
Exigir que os titulares dos dados concedam amplo consentimento para o processamento de seus dados pessoais quando se registram para usar um serviço pode não constituir consentimento dado livremente além do processamento necessário para a prestação do serviço.
Além disso, as organizações devem ser capazes de provar que obtiveram um consentimento válido.

Para processar dados pessoais, as organizações devem ter uma base legal para processar os dados, como para cumprir a execução de um acordo com o titular dos dados ou obter o consentimento do titular dos dados. Na medida em que o consentimento é a única base legal, esse consentimento deve ser dado livremente, específico, informado e inequívoco. Em outras palavras, as organizações devem dar aos titulares de dados uma escolha genuína se permitem que seus dados sejam processados, e os titulares dos dados devem concordar por meio de uma declaração clara ou ação afirmativa. Exigir que os titulares dos dados concedam amplo consentimento para o processamento de seus dados pessoais quando se registram para usar um serviço pode não constituir consentimento dado livremente além do processamento necessário para a prestação do serviço. Além disso, as organizações devem ser capazes de provar que obtiveram um consentimento válido.

A legislação anterior da UE regulava diretamente os controladores de dados; no entanto, o GDPR impõe várias obrigações de conformidade direta aos processadores de dados. Isso inclui requisitos de que os processadores apenas processem dados pessoais de acordo com as instruções do controlador, não compartilhem dados com outros fornecedores sem o consentimento do controlador e implementem medidas de segurança apropriadas (que discutiremos mais adiante na próxima unidade). Além disso, a lei impõe várias outras obrigações de conformidade aos controladores e processadores de dados para implementar políticas apropriadas, avaliar o impacto da privacidade das mudanças nas práticas de negócios e manter registros detalhados sobre as atividades de dados.

Os controladores de dados devem relatar qualquer violação de dados à autoridade de proteção de dados o mais rápido possível e no máximo 72 horas após tomarem conhecimento da violação, a menos que seja improvável que a violação resulte em qualquer dano aos titulares dos dados. Se houver um alto risco de danos, os controladores de dados devem relatar violações de dados aos titulares dos dados o mais rápido possível. Os processadores de dados também devem notificar os controladores de dados sobre violações de dados o mais rápido possível.

Qualquer organização que processa regularmente dados pessoais confidenciais em grande escala ou está envolvida no monitoramento regular e sistemático dos titulares dos dados deve nomear um oficial de proteção de dados para garantir que a organização cumpra a lei de privacidade.

De acordo com a legislação da UE anterior, as autoridades de proteção de dados na Europa tinham capacidade limitada para punir empresas que violavam a lei de privacidade. De acordo com o GDPR, as autoridades podem multar as empresas em até € 20 milhões ou 4% da receita global anual de uma empresa, com base na gravidade da violação e danos incorridos.

Os controladores de dados devem ter acordos por escrito com os processadores de dados que garantam que os processadores atuem apenas de acordo com as instruções do controlador, implementem medidas de segurança adequadas para proteger os dados, ajudem o controlador com suas obrigações de conformidade, devolvam ou destruam dados pessoais no final do relacionamento, e cumprir as disposições do GDPR aplicáveis aos processadores.

O GDPR impõe certas restrições ao processamento automatizado de dados pessoais para avaliar o titular dos dados – ou “criação de perfil”. Isso inclui monitorar ou rastrear os titulares dos dados para analisar ou prever o desempenho no trabalho, a situação econômica, a saúde, o comportamento, as preferências ou as atitudes. Os processos automatizados que podem resultar em um impacto significativo em um indivíduo, como a recusa de um emprego ou solicitação de crédito, são considerados de alto risco e são permitidos apenas em casos limitados.

Observação:O GDPR mantém as restrições existentes sobre as transferências internacionais de dados pessoais para países cujas leis de privacidade são consideradas “inadequadas”, a menos que as organizações que transferem e recebem os dados tomem medidas adicionais para garantir que eles sejam protegidos. Além de endossar medidas existentes, como regras corporativas vinculativas e cláusulas contratuais padrão, o GDPR declara que a adesão a códigos de conduta de associação ou programas de certificação de proteção de dados aprovados por reguladores também podem ser mecanismos de transferência aceitáveis.

O GDPR fornece aos titulares de dados uma ampla gama de direitos em relação aos seus dados pessoais. Os titulares dos dados podem solicitar que os controladores de dados lhes forneçam acesso a todos os dados pessoais que o controlador mantém sobre eles e podem solicitar que os dados sejam corrigidos, excluídos, congelados ou tornados portáteis (por exemplo, baixados). Além disso, eles podem se opor a determinado processamento e revogar o consentimento previamente concedido. Falaremos mais sobre esses direitos na próxima unidade.

O GDPR fornece um ponto central de aplicação para organizações com operações em vários estados membros da UE, exigindo que essas organizações trabalhem com uma autoridade supervisora líder para questões de proteção de dados transfronteiriços.

Como podemos ajudá-lo?

Preparar e manter a conformidade com o GDPR, LGPD, PIPEDA, etc. está longe de ser um “acéfalo”. Por isso estabelecemos um procedimento passo a passo para garantir a conformidade dos seus sistemas de hospedagem de dados de clientes com a legislação, sem prejudicar o seu negócio.

Etapa 1: Identifique os dados pessoais em sua empresa

A primeira etapa é entender quais dados pessoais sua organização possui e onde os armazena. Não é incomum que as organizações tenham dezenas, senão centenas, de diferentes bancos de dados e sistemas que armazenam dados pessoais

(sejam de propriedade e gerenciados internamente, baseados na nuvem ou pertencentes e gerenciados por terceiros, mas pelos quais a organização é responsável pelos dados armazenados no sistema).
Os dados pessoais podem vir de funcionários, candidatos a emprego, afiliados, parceiros, pessoas que preenchem formulários em sites, participam de concursos ou programas de fidelidade, fazem compras, preenchem cartões de desconto ou garantia, participam de eventos ou entram em contato com equipes de atendimento ao cliente por e-mail, telefone ou mídia social.

Etapa 2: documentar o uso e a finalidade dos dados pessoais

Bancos de dados e sistemas que armazenam dados pessoais podem ser usados por muitos departamentos diferentes de uma empresa. Os departamentos de marketing, vendas, recursos humanos, finanças, TI, sourcing, folha de pagamento, gerenciamento de risco, saúde e segurança, auditoria e jurídico podem operar seus próprios sistemas ou trabalhar com fornecedores diferentes para gerenciar dados pessoais.

Depois que uma fonte de dados for identificada como contendo dados pessoais, a próxima etapa é documentar a finalidade e o uso desses dados. Nós ajudamos você a construir um inventário de dados que mostra, para cada sistema de armazenamento, que tipo de dados estão armazenados lá, de onde vieram, para que são usados, quem tem acesso a eles, como estão protegidos, de quais terceiros eles são transferido para e por quanto tempo mantê-lo.

Etapa 3: Estabelecer controles e processos

  • Garantir que avisos de privacidade estejam presentes onde quer que dados pessoais sejam coletados
  • Implementar controles para limitar o uso de dados pela organização para os fins para os quais ela os coletou
  • Estabelecer mecanismos para gerenciar as preferências de consentimento do titular dos dados
  • Implementar medidas e processos de segurança administrativos, físicos e tecnológicos adequados para detectar e responder às violações de segurança
  • Estabelecer procedimentos para responder aos pedidos de titulares de dados para acesso, retificação, objeção, restrição, portabilidade e exclusão (direito de ser esquecido)
  • Celebrar contratos com afiliados e fornecedores que coletam ou recebem dados pessoais
  • Estabeleça um processo de avaliação do impacto da privacidade
  • Administrar treinamento de conscientização de segurança e privacidade de funcionários e fornecedores

Etapa 4: Definir novos processos de marketing / metas de vendas

Estar em conformidade é uma necessidade, mas ser capaz de continuar a ter processos de marketing e vendas relevantes e eficientes é um sério desafio. Na verdade, muitas organizações se preocupam com a perda de vantagens competitivas devido à observância das regras de privacidade de dados. É por isso que, se necessário, fornecemos uma mão forte para remodelar seus processos para torná-los amigáveis à privacidade, mas também relevantes e eficientes para seus negócios.

Etapa 5: Manter a conformidade

  • Compilar cópias de avisos de privacidade e formulários de consentimento, o inventário de dados e registro de atividades de processamento de dados, políticas e procedimentos escritos, materiais de treinamento, acordos de transferência de dados dentro da empresa e contratos de fornecedores
  • Desenvolvimento de recursos avançados de pesquisa e consultas para atender às solicitações regulatórias de dados pessoais
  • Realizar avaliações de risco periódicas

Mais estudos de caso sobre conformidade de privacidade de dados

Nossas publicações recentes

Algumas das empresas que ajudamos a ser mais bem sucedidas

Quer saber mais sobre como podemos ajudar na implementação da sua plataforma de automação de marketing B2B?

O que podemos ajudá-lo a encontrar?
Estou procurando por

O que podemos ajudá-lo a encontrar?
Estou procurando por