Regulamento Geral de Proteção de Dados (RGPD) – o guia definitivo para clientes E-goi (e marketeers também :)

O Regulamento Geral de Protecção de Dados (RGPD) entra em vigor a 25 de Maio de 2018. A sua empresa já está preparada? Saiba o que precisa fazer na prática antes e depois da entrada em vigor do Novo Regulamento!

Regulamento Geral de Proteção de Dados (RGPD) - o guia definitivo para clientes E-goi (e marketeers também :) - E-goi

O Regulamento Geral de Protecção de Dados (RGPD) que entra em vigor a 25 de Maio de 2018 é, de facto, uma consequência já consagrada na Carta dos Direitos Fundamentais da União Europeia (artigo 8º sobre Protecção de dados pessoais, a partir de 26 de Outubro de 2012), afirmando que:

  • Qualquer cidadão tem o direito de proteção das suas informações pessoais e de as aceder e/ou corrigir sempre que o solicitar;
  • Qualquer um dos seus dados pessoais deve ser processado de forma justa para fins específicos e apenas com o seu consentimento ou em alternativa, com base jurídica estabelecida por lei.
  • O cumprimento destas regras deve estar sujeito a controle para garantir que os fornecedores de Serviços, Softwares e Sistemas asseguram a proteção de dados.

Não publicaria o seu nome, idade, número de telefone, raça, sexo ou outros dados num cartaz para o mundo saber, pois não? Claro que não! Simplesmente, porque é um direito seu ter total controlo sobre os seus dados pessoais e com quem os partilha. Isto é o que o Regulamento Geral de Protecção de Dados é literalmente, por lei.

Existem alterações de fundo no conceito de dados pessoais por isso importa, em primeiro lugar detalhar aquilo que significam a partir do momento em que o RGPD entrar em vigor.

1. O que são dados pessoais?

Os dados pessoais são divididos em 3 categorias:

  • Dados Pessoais
    • “Dados pessoais” significa QUALQUER INFORMAÇÃO PESSOAL que o identifique, direta ou indiretamente, como obviamente o nome, morada, email, o número de telefone e telemóvel, bem como quaisquer dados genéticos, físicos, fisiológicos, económicos ou culturais, que aponte para uma única pessoa. Pode ser a data de nascimento do cliente mas também pode ser tão subjetivo como “alguém que come areia ao pequeno-almoço”, se tal permitir que os outros, o identifiquem como sendo essa pessoa específica, então isso é pessoal (a.k.a privado) também!
  • Dados Anonimizados (tratados de forma a tornarem-se anónimos)
    • A anonimização de dados é a conversão irreversível de dados privados em dados não identificáveis e, consequentemente, extrai esses dados completamente do âmbito do RGPD. Isso pode ser conseguido quer através da substituição dos dados, quer pela redução da granularidade e por isso usa critérios para classificar os sujeitos num grande grupo de pessoas, em vez de um indivíduo específico, por exemplo, o uso do Código Postal mais amplo (removendo parte da granularidade).
  • Dados Pseudo-Anonimizados
    • Pseudo-anonimização é um processo semelhante ao de anonimização, mas difere, permitindo o processo de inversão (tornar a re-identificação do sujeito de dados possível) e assim sendo é abrangido pelo RGPD. O pseudo anonimato é incentivado pelo próprio regulamento como forma de reduzir os riscos para os sujeitos a dados e ajudar os controladores como o E-goi a alcançarem a protecção de dados necessária. Um exemplo de dados passíveis de inversão são as Cookies.

 

2. Como a E-goi pode ajudar a sua empresa caso os seus clientes queiram exercer os seus direitos?

A E-goi disponibiliza todos os recursos e ferramentas necessárias para que os seus clientes e utilizadores possam exercer os seus direitos sobre os dados dos quais você é responsável.

Direito de retificação: os seus clientes podem solicitar que as suas informações sejam atualizadas ou corrigidas. O E-goi pode inserir automaticamente botões no cabeçalho e no rodapé do seu email, através dos quais os contatos que recebem o email podem facilmente editar a subscrição.

Direito ao esquecimento: os seus clientes podem solicitar que as suas informações sejam esquecidas. Ou seja, que qualquer informação até esse momento sobre a pessoa, seja eliminada. Se usa o E-goi, basta seguir este guia.

Direito à portabilidade: os seus clientes podem solicitar que as suas informações sejam transmitidas para outra organização ou para um concorrente. Pode exportar as bases de dados dos seus clientes em CSV.

Direito de oposição: as pessoas envolvidas podem solicitar que as suas informações não sejam objeto de certos processamentos ou usos. Pode ser realizada através de opt-out.

Direito de acesso: os seus clientes têm o direito de conhecer todos os dados coletados sobre elas e qual o seu tipo de utilização. Pode exportar as bases de dados dos seus clientes em CSV.

 

3. Qual o papel da sua empresa?

Uma das questões que tem gerado dúvidas na implementação do novo Regulamento Geral de Proteção de Dados (RGPD) é a responsabilidade em relação aos dados pessoais que a “nossa organização acarreta, mas que são processados pelos nossos clientes”. No âmbito do novo RGPD, levanta-se a questão, quais as responsabilidades dessas organizações?

O novo regulamento (RGPD) será aplicado diretamente em cada país da União Europeia (EU) e a países não pertencentes à UE que armazenem dados pessoais dos cidadãos de países UE, permitindo assim consistência das regras entre os países sobre os direitos da privacidade dos cidadãos.

 

3.1. Eu sou um Controlador ou Processador? – O que significam?

De acordo com o artigo 4º do RGPD diferentes funções são identificadas do seguinte modo:

  • Data controller (Controlador) – Qualquer organização que recolhe e processa dados pessoais. Se é um cliente E-goi é então um controlador das bases de dados na sua conta.
  • Data Processor (Processador) – Qualquer organização que, tal como o E-goi, trate e processe os dados pessoais em nome do controlador.

 

3.2. E as multas?

A Regulamentação aprovada pelo Parlamento Europeu, disposta no nº 5 do artigo 83ª determina que as multas em casos menos graves podem atingir 10 milhões de euros ou 2% do volume total de negócios. Alguns desses casos são:

  • Ausência de comunicação de violações de dados à autoridade nacional que rege esses dados, no caso, a CNPD (aqui deve ser você a informar a entidade);
  • Não cooperação com as autoridades

Em casos mais graves podem atingir 20 milhões de euros ou 4% da faturação. Alguns desses casos são:

  • Incumprimento das regras de consentimento
  • Transferências internacionais de dados (se os dados dos clientes são transferidos para fora da União Europeia, sem qualquer conhecimento e/ou consentimento)

No entanto, o Governo português decidiu ainda definir valores mínimos das coimas na proposta de lei aprovada em Conselho de Ministros, com valores específicos para pequenas e médias empresas (PME).

No caso de uma contra-ordenação grave, as coimas mínimas previstas são 1000€ para PME e 2500€ para grandes empresas. No caso de uma contra-ordenação muito grave, as coimas mínimas previstas são 2000€ para PME e 5000€ para grandes empresas. O valor da coima será estipulado pela CNPD que esteve recentemente com a E-goi numa sessão de esclarecimento sobre a implementação do Novo Regulamento.

A proposta de lei determina também que as coimas não se apliquem às administrações públicas durante 3 anos.

Mas se é cliente E-goi, não tenha medo

O E-goi armazena informação nos seus servidores localizados na União Europeia, por isso, não há transferência de dados.

Relativamente ao consentimento, o E-goi disponibiliza todas as ferramentas necessárias, para tornar clara a sua obtenção de dados (opt-in), bem como o direito à oposição/esquecimento. Mostraremos mais à frente como funciona na prática.

3.2.1. Multas: O que pode acontecer no pior dos cenários?

  1. Alguém recebe mensagem de Email, SMS (ou por outro canal);
  2. Apesar de ter opção na mensagem para se opor/remover (links de remoção), prefere procurar informação para queixa, e entra no site CNPD e submete queixa;
  3. CNPD demora um “certo” tempo até dar seguimento à mesma, e possivelmente conseguirá abrir inquérito e chegar ao seu fim antes de prescrever;
  4. A empresa visada, defende-se durante o inquérito, com informações de opt-in, opt-out, ePrivacy, Artigo 16.ª (Comunicações não solicitados), interesses legítimos, não interferência grave com os direitos e as liberdades fundamentais da pessoa, etc;
  5. Se existir irregularidades a CNPD aplica a normal recomendação para melhoria de processos;
  6. Mesmo que, existisse uma multa, a proposta de lei que assegura a implementação do RGPD em Portugal as coimas mínimas passam de 500€ a 5000€. 
  7. As multas serão aplicadas em caso de problemas muito graves que coloquem em causa os direitos fundamentais da privacidade dos consumidores.
  8. A empresa pode levar o caso para tribunal e mesmo que a coima não passe a ser zero, a decisão ainda é passível de recurso.

 

4. Tenho consentimentos, mas anteriores ao RGPD. Devo pedir novos consentimentos?

Na maioria dos casos, não há nenhuma necessidade de fazê-lo. Mas existe uma exceção:

  • Se pediu consentimento para processar os dados a fim de enviar um tipo de conteúdo diferente do que está a enviar agora (ex: na inscrição comprometeu-se a enviar apenas dicas e material de conteúdo e depois acaba por enviar campanhas de marketing, promoções, etc).

4.1. Como implementar no E-goi?

Para criar um formulário de consentimento além de adicionar os campos como o email ou o número de telemóvel para receber os dados que vai querer usar no futuro para comunicar com os seus clientes, deve também criar previamente um campo extra do tipo lista de valores nas opções da sua lista de contatos, que lhe permita mapear essas informações com o seu formulário que vai receber e registar os novos consentimentos.

Desta forma consegue registar e fazer prova do consentimento do utilizador para fins específicos com a localização, data de registo, link do formulário e browser. Pode consultar esta informação no E-goi editando os subscritores da sua lista.

 

Caso queira enviar um email a solicitar um consentimento específico que ainda não tenha sugerimos que obtenha o link do formulário escolhendo a opção “partilhá-lo com um link” após a publicação do formulário. Este URL permite-lhe pré-preencher os campos do formulário após o clique do utilizador no link do seu formulário de consentimento.

Os dados que serão armazenados devem ser encriptados e seguros, por isso não se esqueça de ativar a opção “usar HTTPS”.

Se já utilizou o double opt-in mas houve subscritores que não confirmaram a inscrição, ou seja, não confirmaram o seu consentimento, embora não seja de carácter obrigatório, pode reenviar email de confirmação a quem não confirmou inscrição.

Se mesmo assim, não obteve os consentimentos que pretendia e tiver o número de telemóvel dos seus clientes, use o nosso Smart SMS e inclua o seu formulário de consentimento.

4.2. O Regulamento prevê outras razões legais para o processamento de dados?

Sim!

Mesmo sem o opt-in tradicional, a lei permite que os dados sejam tratados quando, por exemplo, existe um legítimo interesse por parte do consumidor. Um contrato onde esteja já espelhado o âmbito e tratamento dos dados é também suficiente à luz do RGPD.

Mesmo sem opt-in está legal quando existe:

  • Contrato com o titular dos dados/obrigação legal:
    • Um bom exemplo é a relação entre qualquer empresa e cada um de seus funcionários. Há um contrato entre eles, bem como uma exigência legal para processar dados.
  • Interesse vital
    • O exemplo de interesse vital seria o óbvio acesso aos registros médicos em relação uma pessoa não responde, envolvidas em uma emergência médica.
  • Uma missão pública
    • O exemplo de missão pública seria solicitar dados no interesse público a qualquer empresa privada de energia/água/gás, que são considerados serviços de utilidade.
  • Legítimos interesses
    • Um exemplo de um interesse legítimo uma cadeia de lojas no retalho pedir códigos postais dos seus cliente (o IKEA, por exemplo já o fez), a fim de abrir nova filial em outra localização geográfica.
    • Outro bom exemplo é a personalização do e-mail marketing mensagens, como isso vai melhorar a experiência do usuário (bem como sendo razoável esperar por eles!).

 

4.2.1. Agora “a bola está do seu lado”

Reveja e analise a forma como construiu a sua base de dados para determinar se realmente necessita pedir novamente o consentimento, a todas as pessoas com quem se tem relacionado ao longo destes anos. Se realmente necessita de consentimento então seja criativo e peça-o antes da entrada em vigor do novo Regulamento!

E, a partir do dia 25 de Maio, garanta o cumprimento destes 3 pontos:

1. Direitos das Pessoas

  • Pedir consentimento para comunicar, muito claro quanto ao âmbito, tema, tempo e tudo o que faça sentido informar;
  • Que seja muito fácil pedir o cancelamento ou oposição, em todas as mensagens enviadas;
  • Forma acessível para pedir alteração dos seus dados e o esquecimento

2. Processos em Casos de Falhas

  • Ter processos pensados e descritos, para em caso de fuga de informação, avisar o CNPD e os titulares dos dados (em caso grave de perda de dados sensíveis);
  • A existência destes processos deve ser da responsabilidade e conhecimento das pessoas responsáveis pelo tratamento de dados.

3. Proteger Dados

  • Tentar que todos os dados e sistema estejam seguros. Não há nenhuma fórmula ou regra específica aqui, mas é necessário demonstrar que existe a preocupação e acção
  • Garantir que os fornecedores de Serviços, Software, Sistema, estão conscientes do RGPD e ePrivacy e o cumprem;
  • Dados alojados na Europa

 

4.3. Consentimento: Boas práticas

Conforme referido, o consentimento deve ser muito claro quanto ao âmbito, tema, tempo e tudo o que faça sentido informar. Podemos no entanto avançar com alguns aspectos que deve ter em conta quando solicita o consentimento.

Recomendações:

  • Caso tenha intenção de ceder os seus dados a terceiros, seja claro sobre quais as entidades ou empresas com as quais estará a partilhar os dados pessoais;
  • Se o seu público-alvo forem menores de idade, não se esqueça de perguntar a idade ou solicitar autorização aos responsáveis legais antes de pedir o consentimento;
  • Certifique-se que guarda toda a informação relativa ao momento em que o consentimento é dado (data/hora, IP, dados fornecidos, etc). Se usa o E-goi, não precisa de se preocupar, pois essas informações são registadas automaticamente;
  • Atualize os seus termos e condições do serviço para esclarecer os seus clientes sobre a forma como os seus dados são tratados e qual a sua finalidade;
  • Em caso de dúvida, peça uma consultoria jurídica para aconselhamento legal.

No E-goi, terá disponível um modelo de formulário que pode personalizar à vontade para solicitar consentimento de acordo com o Novo Regulamento. Um formulário como este será disponibilizado em breve:

4.3.1. Tem um serviço online ou um ecommerce?

Então este modelo de formulário pode perfeitamente ser usado por si. Neste exemplo, a autorização para envio de comunicações (ex: emails de bloqueio de conta, informações de pagamento, expedição de encomendas, etc) é obrigatória caso pretenda utilizar o serviço.

Os conteúdos informativos, promocionais ou de marketing, não serão, neste exemplo, de subscrição obrigatória para utilização do serviço, mas são um outro tipo de consentimento que deve ser solicitado separadamente e de forma opcional.

4.3.2. É um blogger, afiliado ou produtor de conteúdos?

Então provavelmente envia apenas conteúdo informativo (ex: os últimos posts do seu blog) e assim sendo, não existe um contrato de prestação de serviços, por isso apenas deverá ser necessário pedir esse tipo de consentimento.

No entanto, se usar a sua base de dados para promover serviços, o que é comum se é também um afiliado e trabalha com sistemas de afiliação então deve solicitar também esse tipo de consentimento.

4.3.3. É uma agência?

Aqui assume o papel de processador ao lidar com as bases de dados dos seus clientes. Deve portanto educar os seus clientes sobre os consentimentos anteriores à entrada em vigor do RGPD e ajudar na sua implementação.

4.3.4. Exemplos de Comunicações

Dependendo do tipo de negócio e dos seus objetivos são utilizados tipos de comunicações diferentes. Reunimos alguns deles que podem ser transversais a vários tipos de negócio ou atividade e que devem ter consentimento antecipado.

  • Boas vindas de um subscritor
  • Confirmação de um webinar
  • Questionários ou Reviews
  • Anúncios de Passatempos
  • Conteúdo Promocional
  • Lançamento de Novos Produtos
  • Anúncios de Eventos
  • Up selling / Cross Selling

 

5. Vou enviar comunicações electrónicas (email, SMS, etc): Preciso ter algum cuidado especial?

O Regulamento não prevê qualquer tipo de obrigatoriedade nas comunicações. No entanto, reunimos algumas boas práticas que pode implementar.

5.1. Se vai enviar email:

  • Coloque os botões de remoção ou edição de dados (pode personalizar nas opções da sua campanha) de forma bem visível no email, por exemplo no cabeçalho, para garantir ao cliente de forma clara o direito de retificação, oposição e esquecimento.
  • Personalize o double opt-in e aproveite para colocar uma mensagem que explique o motivo pelo qual está a solicitar a inscrição. Desta forma, reforça a prova de consentimento.

Nós aqui na E-goi, enquanto processadores temos há vários anos o nosso próprio formulário público que permite a todo e qualquer utilizador, remover-se das bases de dados de todas as empresas que utilizam o E-goi. Esse direito à oposição/esquecimento pode ser exercido através desta página de remoção que pode ser acedida através de um selo presente no rodapé de todas as campanhas de email enviadas pelo E-goi.

5.2. Se vai enviar SMS ou Smart SMS:

Exemplo de SMS com short-link de remoção para opt-out
Exemplo de SMS com link personalizado de remoção para opt-out

Ficou com alguma dúvida? Então entre em contato connosco ou deixe o seu comentário e partilhe as suas opiniões!

P.S. Recomendamos a leitura dos nossos artigos sobre o RGPD

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.