O que muda com o RGPD para empresas e cidadãos

REGULAMENTO
GERALPROTEÇÃO DE DADOS
www.fredericocarvalho.pt
para Marketers

Apresentação
Documento de apoio ao Regulamento Geral de Proteção de Dados (RGPD)
Para garantir informação a alunos, clientes e interessados em saber mais sobre a nova legislação de proteção de dados, este
documento reúne as principais ideias, sobre o enquadrando o novo Regulamento Geral de Proteção de Dados (RGPD) -
General Data Protection Regulation (GDPR), aprovado pelo Parlamento Europeu a 27 de Abril de 2016, e aplicável a partir de 25
de Maio de 2018.
Considerando o aumento exponencial da recolha e partilha de dados pessoais, este documento destaca as informações com
maior relevo para os profissionais de marketing, dando a conhecer as regras de harmonização legislativa e reforço jurídico
para as pessoas singulares, empresas privadas e autoridades públicas. Não cobre todos os temas, resume os principais.
Consultor de Vendas Online
FREDERICO CARVALHO
Devido à natureza
jurídica, a linguagem
aplicada não
corresponde aos
conceitos e à
terminologia do
marketing através dos
canais digitais. Foi feita
uma tentativa de
destacar processos
associados ao tema.
2

Qual é a fronteira da utilização
DOS NOSSOS DADOS?
O futuro Regulamento Geral de Proteção de Dados (RGPD) da UE tem como objetivo
impedir todo o seguimento não consensual dos dados do consumidor na UE.
3

Nova Legislação da União Europeia
Aplicável a todos os 28 Estados-Membros e a qualquer país que venda produtos ou serviços dentro da UE
Como se trata de um Regulamento, é
diretamente aplicável aos 28
Estados-Membros da União Europeia.
Regime de compliance relativo à
proteção de dados pessoais moderno
e baseado na responsabilidade das
empresas.
O Novo Regulamento Geral de
Proteção de Dados entrou em
vigor no dia 25 de Maio de
2016.
Aplicável a partir de dia 25 de
Maio de 2018
4

Comparando o Regulamento Geral de Proteção de Dados com a Lei nº67/98 de
1998, existem diversas alterações ao nível da operacionalização, mas ao nível dos
princípios dados pessoais não existem grandes diferenças.
O RGPD/GDPR tem caráter obrigatório e poder jurídico vinculativo.
5

O Regulamento Geral de Proteção de Dados da UE substitui a Diretiva de Proteção
de Dados 95/46/EC e destina-se a harmonizar as leis de privacidade de dados em
toda a Europa, a proteger e fortalecer a privacidade de todos os cidadãos da UE e a
remodelar as formas como as organizações abordam a privacidade dos dados.
6

O Regulamento Geral da Proteção de Dados irá reger todas as ORGANIZAÇÕES que lidam com dados pessoais.
• PRIVADAS
• PÚBLICAS
• E DO TERCEIRO SETOR DA UE
7

Tratamento de Dados Pessoais
Qualquer operação ou conjunto de operações sobre dados pessoais efetuadas com ou sem meios automatizados
RECOLHA
REGISTO
ORGANIZAÇÃO
CONSERVAÇÃO
ADAPTAÇÃO OU ALTERAÇÃO
APAGAR
CONSULTA
UTILIZAÇÃO
COMUNICAÇÃO POR
TRANSMISSÃO/DIFUSÃO
DESTRUIÇÃO
8

Hoje as organizações devem notificar e solicitar autorização à Comissão Nacional de
Proteção de Dados (CNPD) para os seus tratamentos de dados pessoais.
A partir de Maio de 2018, passa para um modelo de auto-regulação.
Abolição do princípio geral da notificação prévia, o que significa que a fiscalização e o
cumprimento passa a ser uma responsabilidade das empresas, aumentando o
agravamento do regime sancionatório com coimas muito elevadas.
9

Conceito de Dados Pessoais
Alargamento do conceito de dados pessoais que passa a incluir quaisquer dados suscetíveis de identificar (mesmo indiretamente)
IdentificávelIdentificada
Por referência a um
identificador
Por referência a um ou mais
elementos específicos da
identidade física, fisiológica,
genética, económica,
cultural ou social.
Direta
ou
Indiretamente
10

Para a captação e armazenamento de dados pessoais, o consentimento prévio deve ser dado pelo visitante ou utilizador no site. Os
dados pessoais são divididos em 3 categorias:
1.Dados Pessoais: por exemplo, nome e morada, endereço IP e IDs de dispositivos.
2.Dados pseudo-anónimos : os dados pessoais são processados de tal forma que não podem ser recuperados sem o uso de informações
adicionais, mas que podem tornar uma pessoa individual, como um endereço de e-mail criptografado ou identificação de usuário.
3.Dados Anónimos. Os dados pessoais e os dados pseudo-anónimos podem ser usados com exclusão explícita e exclusão para fins
específicos, explícitos e legítimos e não processados de maneira incompatível com esses propósitos.
A pseudonimização é frequentemente o caso dos scripts de trilha. É um equívoco comum que estes são dados anónimos. Os dados
angariados através de IDs de rastreio, também se enquadram no RGPD porque a pessoa pode ser redirecionada e personalizada por
informações adicionais.
Oficialmente, por padrão, não pode usar o rastreio e deve indicar claramente quais os dados angariados e para que fins são
usados. Muitos sites pedem o consentimento de cookie ou ativação implícita. Se alguém já tiver dado permissão para processar as
informações pessoais, deve haver a possibilidade ou informação para remover-se a qualquer momento por meio de exclusão.
Conceito de Dados Pessoais
Captação
11

Extensão do conceito de "dados pessoais" passa englobar identificadores online, tais como IDs de cookies,
IDs de publicidade, endereços IP ou até mesmo dados de localização: assim, todas as formas modernas de
tecnologia de acompanhamento/rastreamento online, como a sincronização de cookies, a segmentação
entre dispositivos, a publicidade comportamental (OBA) e muitas outras tecnologias de segmentação,
estarão essencialmente sujeitas à legislação de proteção de dados.
12

Alteração na definição de dados pessoais
É alargada e passa a incluir
Pseudonimização
Dados relativos à saúde
Perfis
Dados biométricos
Dados genéticos
IDENTIFICADORES POR VIA
ELETRÓNICA
DADOS DE LOCALIZAÇÃO
DEFINIÇÃO
Há uma boa razão pela qual os dados de localização/geolocalização
estão agora em destaque - os consumidores que transportam os seus
smartphones e tablets podem não perceber quantos dados de
geolocalização estão a ser captados ou o que está ser usado.
Com dados de localização geográfica, as empresas sabem, não só o que
faz online, mas também onde está quando faz algumas operações.
Exemplo: https://www.google.com/maps/timeline
13

Alteração na definição de dados pessoais
É alargada e passa a incluir
Pseudonimização
Dados relativos à saúde
Perfis
Dados biométricos
Dados genéticos
IDENTIFICADORES POR VIA
ELETRÓNICA
DADOS DE LOCALIZAÇÃO
DEFINIÇÃO
Os dados pessoais incluem endereços de e-mail,
informações sobre hábitos de navegação na web,
endereço IP, número de telefone, nome, endereços
postais, data de nascimento, entre outros.
Qualquer coisa que possa ser usada para
identificar uma pessoa está enquadrado no RGPD.
14

A quem se aplica?
Todas as entidades que tratem ou tenham operação que envolva dados pessoais
SubcontratanteResponsável pelo tratamento
Podem ser entidades que determinam as finalidades e os meios de tratamento de dados
pessoais, mas também as que efetuam essas operações em regime de subcontratação.
Pessoa singular ou coletiva, autoridade
pública, agência ou outro organismo
que determine as finalidades e os meios
de tratamento de dados pessoais.
Pessoa singular ou coletiva, autoridade
pública, agência ou outro organismo
que trate os dados pessoais por conta
do responsável pelo tratamento dos
dados.
15

Principais operações de tratamento
-
Conservação
Relacionamento
Organização e Consulta
Recolha
Comunicação e Transferência
Terá de haver uma reformulação
dos processos de negócios, um
envolvimento de todos os
departamentos e do órgão de
gestão da sociedade.
• Adaptação dos sistemas
tecnológicos
• Adaptação de
Procedimentos
16

O que vai mudar para o cidadão
Reforço dos direitos dos titulares de dados pessoais
DIREITO AO
ESQUECIMENTO
O cidadão vai poder
exigir a eliminação dos
seus dados pessoais.
Qualquer cidadão vai poder exigir a uma
empresa que elimine os seus dados pessoais.
O direito ao esquecimento é, na realidade, uma
extensão do direito que já existia de o cidadão
poder impedir que os seus dados pessoais
fossem tratados.
As empresas devem tornar fácil ao utilizador
remover o seu consentimento no
processamento dos dados.
Com o Regulamento vai poder exigir algo
mais: que os seus dados sejam destruídos.
17

-
PORTABILIDADE
DOS DADOS
Vai facilitar a mudança dos dados de uma empresa
para outra, ou seja, o cliente pode exigir a uma
empresa os dados que lhe dizem respeito num
formato que permitirá a migração para outra empresa,
de uma maneira mais fácil e rápida.
Com este direito, a mudança de prestador de serviço
que trate os seus dados pessoais tornar-se-á mais
simples.
Exemplo: Na conjugação de interesses entre o banco
e a seguradora, o cidadão exerce este direito e não
terá de fornecer novamente os seus dados pessoais
ao novo prestador de serviços.
18

Uma das funções do novo RGPD é reforçar os direitos dos indivíduos, incluindo o direito de ser esquecido e a portabilidade dos dados, o
que significa que uma organização pode ser forçada a partilhar dados a um indivíduo que pode repassar posteriormente a uma empresa
concorrente.
As empresas são obrigadas a promover estes direitos, por isso importa assegurar que existem os procedimentos adequados para
possibilitar os novos requisitos.
19

Informação sobre os Dados
-
Finalidade do
tratamento
Direito de apresentar
reclamação a uma
autoridade
Existência de decisões
automatizadas
Categorias dos
dados
Prazo de conservação
Existência dos seus
direitos
Informação disponível
sobre a origem dos dados
(quando não tenha sido
recolhida junto do titular)
O titular tem o direito de obter do responsável pelo tratamento, a confirmação de que os seus dados pessoais são ou não são
objeto de tratamento. Se houver tratamento pode pedir para aceder aos seus dados e às seguintes informações:
Destinatários ou
categorias de
destinatários a quem os
dados sejam divulgados
20

6%das empresas não sabe
que as base de dados de
e-mail constituem
informações pessoais
79%das empresas
desconheciam que a data
de nascimento de um
cliente é classificada como
dado pessoal
29%das empresas não sabe que
precisa de proteger
informaticamente os dados
dos clientes
Fonte: Report de Setembro 2017 da Trend Micro em parceria
com a Opinium | Questionário a 1132 empresas do Reino Unido
21

O papel das empresas
Principais Princípios
Licitude, lealdade e
transparência
Responsabilidade
Limitação das
finalidades
Minimização dos dados
Exatidão
Integridade e
confidencialidade
Limitação e Conservação
22

O papel das empresas
Sistema de Gestão de Proteção da Privacidade
Obrigatoriedade de report à Autoridade de Controlo de potenciais incidentes relativo ao acesso
indevido a dados pessoais e aos títulos dos dados afetados.
(Obrigatoriedade aumenta a exposição mediática e aumenta o risco reputacional)
Para não adiar o RGPD a organização precisa de um sistema de gestão “Sistemas de Gestão da
Proteção de Privacidade (SGPP) que tenha em consideração as práticas necessárias para:
• Compreender políticas;
• Processos;
• Procedimentos;
• Registos;
• Documento interno com a organização da estrutura;
Documentar as atividades relacionadas com o tratamento de dados pessoais é importante, bem a
obrigação de manter o registo dos procedimentos internos.
23

Ligação com o titular dos dados
Informação a transmitir ao titular
24
Identidade e contactos de responsável pelo tratamento (e seu representante);
Contacto do encarregado da proteção de dados (se aplicável);
Finalidade e fundamento do tratamento;
Se o tratamento for necessário para prosseguir interesses legítimos, referi-los;
Eventuais destinatários;
Transferências de dados e informações a esse respeito;
Prazo de conservação dos dados;
Possibilidade do titular tirar o consentimento;
Direito a apresentar reclamação perante a Autoridade de Proteção de Dados;
Se o titular está ou não obrigado a fornecer os dados e consequências do seu fornecimento;
Existências de decisões automatizadas.

Abordagem de “Minização dos Dados”
Captar dados a menos que sejam necessários
25
O RGPD exige que as empresas adotem uma abordagem de "minimização de dados", onde não captem informações, a
menos que sejam necessárias.
As informações de identificação pessoal são mais do que apenas o seu nome, morada, e-mail e número de telefone.
Também inclui endereços IP, identificação do dispositivo e geolocalização, porque se reunir o suficiente desses pontos de
dados pode identificar a pessoa.

Encarregado de Proteção de Dados
Artigo 37 do RGPD
26
Trata-se de um trabalhador da empresa ou um consultor externo que assume a responsabilidade formal, pela conformidade
com a legislação de proteção de dados dentro da empresa.
• Monitorização regular e sistemática de dados pessoais em grande escala;
• Tratamento em grande escala de categorias especiais de dados, como dados sensíveis;
• Seja uma entidade/autoridade pública.
Notas:
• Não deverá ser designado alguém na empresa com um cargo de direcção (CEO, COO, CFO, Diretor de Recursos
Humanos, Diretor de Marketing ou Diretor de Tecnologias de Informação) ou outras funções que potenciem conflitos de
interesse ou que levem à determinação das finalidades e meios de tratamento.
• Profissional com especialização em leis e práticas nacionais e europeias de proteção de dados, bem como
conhecimento do setor empresarial e da organização. Conhecimento sobre as operações de tratamento de dados, dos
sistemas de informação e segurança de dados e necessidades de proteção de dados.
Nem todas as empresas têm de designar um encarregado de proteção de dados e um grupo de empresas pode designar apenas
um encarregado de proteção de dados.

Contratar um encarregado de Proteção de Dados
-
Deve ser designado um Encarregado da Proteção de Dados sempre que:
a) O tratamento for efetuado por uma Autoridade ou um Organismo
Público.
b) As atividades principais do responsável pelo tratamento ou do
subcontratante consistam em operações de tratamento que, devido
à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e
sistemático dos titulares dos dados em grande escala.
c) As atividades principais do responsável pelo tratamento ou do
subcontratante consistam em operações de tratamento em grande
escala de categorias especiais de dados.
27

Subcontratantes no Regulamento
Os subcontratantes terão obrigações e responsabilidade diretas, o que significa que os
subcontratantes podem ser diretamente responsabilizados.
O tratamento em subcontratação é regulado por um contrato que, vincule o subcontratante ao
responsável pelo tratamento, estabeleça o objeto e a duração do tratamento, a natureza e finalidade
do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados, e as obrigações e
direitos do responsável pelo tratamento.
Os subcontratantes deverão apresentar garantias suficientes de execução de medidas técnicas e
organizativas adequadas de uma forma que o tratamento satisfaça os requisitos do Regulamento.
Para além disso, não poderão contratar outro subcontratante sem que o responsável pelo tratamento
tenha dado autorização prévia e por escrito.
28

Contratar um encarregado de Proteção de Dados
-
Os sistemas devem ser projetados e mantidos tendo em consideração a portabilidade de
dados pessoais, retenção de dados pessoais e destruição de dados pessoais, e as
empresas precisam validar o tempo que detêm os dados - por exemplo, o ciclo de vendas é
um ano.
A criptografia deve ser atividade por padrão e os dados pessoais anónimos sempre que
possível. A privacidade precisa ser incorporada, para que os indivíduos tenham a
capacidade de controlar seus próprios dados.
O RGPD não especifica tudo o que as marcas devem fazer, mas uma empresa com uma
nova atitude em relação à privacidade do consumidor entende instintivamente como
proteger o ID do dispositivo, geolocalização e dados semelhantes para atenuar o risco de
identificar a pessoa.
29

Sanções para as empresas
-
Nos casos MAIS graves, as coimas
podem ascender a 20 milhões de
euros ou 4% do volume mundial de
negócios do grupo onde a empresa
se insere (ex: deveres perante os
titulares, regras de consentimento,
transferências internacionais de
dados, ...)
No caso de violações MENOS
graves as coimas poderão atingir
10 milhões de euros ou 2% do
volume mundial de negócios do
grupo onde a empresa se insere (ex:
comunicação de violação,
obrigação de notificação,
cooperação com autoridade, ...)
Aplica-se consoante o montante que for mais elevado
30

Sanções para as empresas
-
A UE não aplicou um conjunto de
medidas específicas que se
aplicam a todas as empresas, por
isso faz depender da organização, a
identificação dessas medidas,
apresentando quais as medidas
técnicas e organizacionais em
vigor:
• Os dados pessoais que detém
ou processa;
• As tecnologias que usa.
Há a responsabilidade ou
capacidade de demonstração do
cumprimento do RGPD Art.5/2 do
RGPD, obrigações relativas à
transparência das informações das
comunicações e das regras para o
exercício dos direitos dos titulares
dos dados Art.12 do RGPD
31

Avaliação de Impacto sobre a Proteção de Dados
-
Se o tipo de tratamento, for suscetível de implicar um elevado risco para os titulares dos dados. Deve ser efetuada uma
avaliação de impacto das operações de tratamento previstas sobre a proteção de dados pessoais, nomeadamente
quando utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades,
Avaliações sistemáticas e
completas dos aspetos
pessoais, baseada no
tratamento automatizado,
incluindo a definição de perfis.
Operações de tratamento em
grande escala de categorias
especiais de dados.
32

Regras de segurança dos Dados Pessoais
-
3
2
1 Regulamento obriga a que o responsável pelo tratamento e o
subcontratante apliquem medidas técnicas e organizativas adequadas
para assegurar um nível de segurança adequado, nomeadamente, através::
1. Da pseudonimização e a encriptação dos dados pessoais;
1. Da capacidade de assegurar a confidencialidade, integridade,
disponibilidade e resiliência permanentes dos sistemas e dos serviços
de tratamento;
1. Da capacidade de restabelecer a disponibilidade e o acesso aos dados
pessoais de forma atempada no caso de um incidente físico ou
técnico.
33

Regras de Segurança dos Dados Pessoais
O responsável pelo tratamento e o subcontratante devem ter
um processo que permita testar, apreciar e avaliar
regularmente a eficácia das medidas técnicas e organizativas
para garantir a segurança do tratamento, o que vai implicar
nomeadamente, que muitas entidades necessariamente se
certifiquem, nomeadamente, a nível da ISO 27001.
O Regulamento prevê que as entidades em regime de
subcontratação, designadas de “subcontratantes”
passem a ter quase as mesmas obrigações que os
responsáveis pelos tratamentos dos dados.
34

As condições de consentimento foram
fortalecidas, e as empresas não podem
usar termos e condições longas e
ilegíveis, uma vez que o pedido de
consentimento deve ser dado de forma
inteligível e facilmente acessível, com o
objetivo de processamento de dados
para esse consentimento.
O consentimento deve ser claro e
distinguível de outros assuntos e fornecido
de forma inteligível e facilmente acessível,
usando linguagem clara e simples.
Deve ser tão fácil retirar o
consentimento quanto é dar.
35

Uma das principais medidas a ser introduzidas no novo RGPD é que os casos de
violação de dados têm de ser reportados no prazo máximo de 72 horas após
serem descobertos – sob pena de a empresa pagar multas significativas.
Obrigações em caso de violação dos Dados Pessoais 36

-
Subcontratante deve notificar o
responsável pelo tratamento sem
demora injustificada, após ter
conhecimento de uma violação de
dados
Quaisquer violações de dados
pessoais deve ser documentadas,
compreendendo os factos
relacionados com a violação, os
efeitos que esta causou e as
medidas que se efetuaram para
emendar a mesma.
Quando a violação dos dados
pessoais for suscetível de implicar
um elevado risco para os titulares
dos dados, o responsável pelo
tratamento tem a obrigação de
comunicar a violação de dados ao
titular dos dados sem demora.
O responsável pelo tratamento
tem de notificar a autoridade de
controlo da violação de dados
pessoais até 72 horas após ter
tido conhecimento da mesma. Se
não cumprir o prazo, tem de
apresentar os motivos do atraso,
juntamente com a notificação.
37
Obrigações em caso de violação dos Dados Pessoais

Registo das atividades de tratamento
-
Passa a ser obrigatório que cada responsável pelo tratamento e subcontratante
conserve um registo de todas as atividades de tratamento sob a sua
responsabilidade, do qual deverão constar um conjunto específico de
informações devidamente definido no Regulamento.
A Autoridade de Controlo poderá solicitar a disponibilização desses registos
para verificação.
38

Registo das atividades de tratamento
O novo RGPD exigirá que as empresas comprem ou construam infraestrutura de gestão de
dados, criando procedimentos de governação de dados e investindo mais dinheiro em
tecnologia de marketing.
A gestão adequada de dados permite um número surpreendente de inovações de marketing,
como a melhor segmentação dos clientes, a implantação de conteúdos mais atualizados,
relevantes e personalizados e também a descoberta de informações mais profundas sobre o
impacto das campanhas que eles executam.
Com o RGPD, as organizações terão que priorizar a segurança dos dados que possuem,
comunicar claramente os termos de privacidade e informar os clientes se houver alguma
violação. As pessoas terão poderes para tomar decisões claras sobre as mensagens que
recebem e o que acontece com seus dados.
39

Transferência de dados pessoais para países terceiros
As regras relativas às transferências de dados pessoais para um
país terceiro são reforçadas.
Na ausência de uma decisão de adequação do nível de proteção,
os responsáveis pelo tratamento ou subcontratantes só podem
transferir dados pessoais para um país terceiro se tiverem
apresentado garantias adequadas e na condição de os titulares
dos dados gozarem de direitos oponíveis e de medidas jurídicas
corretivas eficazes.
40

Consentimento
Todas as empresas terão que ter o consentimento do cidadão para o tratamento
dos dados pessoais.
Terão também que verificar os consentimentos já existentes e apurar as condições
em que foram conferidos de modo a cumprir o estabelecido no novo Regulamento.
O responsável pelo tratamento dos dados, caso não tenha essa informação, terá
que obter novo consentimento, sob pena de ser considerado ilícito à luz do novo
Regulamento.
Maior transparência e informação para o titular dos dados no momento da recolha
Art 4/11 do RGPD.
Obrigação de aviso sobre direito de revogação do consentimento (Art 7/3 do RGPD).
Condições especiais para o consentimento das crianças em relação aos serviços
online Art 8 do RGPD).
41

O Regulamento Geral de Proteção de Dados é, em parte, uma medida anti-spam.
Significa que só pode enviar E-mail Marketing para indivíduos que tenham
consentido conscientemente.
NÃO PODE haver caixas de seleção
automática para opt-in
42

Problema: Está automáticamente preenchido
Link: https://www.ptempresas.pt/blog/whitepapers/protecao-dados
Exemplos a não fazer
Problema: Não tem checkbox de confirmação dos termos e condições
Link: www.mundodeopinioes.com.pt
43

O que vai mudar...
Organizações americanas que fazem o tratamento de dados europeus também serão reguladas.
Até agora, empresas com sede nos EUA que tinham dados e que queriam comunicar com cidadãos
do Reino Unido, não tinham nada com que se preocupar.
Esta lei muda as regras, com processos para a UE, como para o Reino Unido que também (até à
data) estará associado a esta legislação.
Muitas das empresas afetadas pelo RGPD que operam internacionalmente podem estar sujeitas a outras diretivas além daquelas que
constam neste novo Regulamento. De acordo com o Artigo 56 do RGPD, a localização da sede da organização na União Europeia determina
qual é a autoridade supervisora que, perante uma queixa, assume a responsabilidade de investigação na empresa.
44

Os novos Regulamentos impõem restrições para garantir que os direitos de proteção de dados sejam adequadamente protegidos pela
organização que recebe os dados.
Os dados podem ser transferidos além da UE onde o indivíduo dá o consentimento informado ou a transferência é necessária para
executar uma obrigação contratual no interesse do indivíduo.
Uma dor de cabeça particular do RGPD é que para todos os negócios que têm acumulado grandes quantidades de informações, há a
intenção de aplicar retrospectivamente a todos os dados captados antes de Maio de 2018, bem como a todos os dados dessa data.
O que vai mudar...
45

Consentimento
-
IMPOSSIBILIDADE DE CONSENTIMENTOS IMPLÍCITOS e TÁCITOS
• As caixas de consentimento nos formulário online não devem estar
automaticamente preenchidas. O utilizador deve ter a ação de clicar na
aceitação dos termos e condições , sem que estas caixas sejam
automaticamente preenchidas;
• É importante que atividades diferentes de marketing tenham caixas separadas,
consistindo em consentimento separados.
• BOAS VINDAS DE UM SUBSCRITOR
• ENVIO DE UM LEAD-MAGNET
• ENVIO DE UMA INFO-NEWSLETTER
• CONFIRMAÇÃO DE UM WEBINAR
• QUESTIONÁRIOS OU REVIEWS
• ANÚNCIOS DE PASSATEMPOS
• CONTEÚDO PROMOCIONAL
• ANÚNCIO DE VENDA
• NOVO LANÇAMENTO DE PRODUTO
• ANÚNCIO DE UM EVENTO
• OFERTAS TRIAL (SOFTWARE)
• OFERTAS UPGRADE
• UP-SELL / CROSS-SELL
EXEMPLO DE COMUNICAÇÕES DIGITAIS QUE DEVEM TER O CONSENTIMENTO
ANTECIPADO: (e-mails que incluam processamento de dados pessoais do utilizador)
46

Consentimento
-
Embora as multas e os requisitos de dados tenham agarrado a maior parte da
atenção da imprensa sobre o RGPD, o double opt-in não recebeu tanta publicidade.
Double opt-in é o processo no qual o utilizador precisa confirmar explicitamente que
deseja receber mensagens no e-mail (newsletters e ofertas de serviços ou
produtos). A segunda etapa é a confirmação do registo. A partir do momento que o
utilizador confirme o seu e-mail, temos a permissão para enviar mensagens.
As recomendações do RGPD/GDPR exigem que as empresas, os clientes atuais e
potenciais devem concordar especificamente em receber comunicações contínuas,
e algumas empresas já estão a tomar medidas para, obter o consentimento e
compreender os interesses dos utilizadores. Existe alguma perspectiva melhor do
que alguém que diz: "Sim, envie-me mais informações"?
As empresas não devem interagir com pessoas que expressaram interesse "suave"
no passado, através de troca de cartões de visita ou consentimento para receber
comunicações periódicas.
47

Consentimento
-
• Deve ser dado voluntariamente por meio de uma ação ativa.
• O destinatário deve estar informado qual o efeito no qual os seus dados serão utilizados
• Os dados devem ser legais, adequados e transparentes.
• Para cada finalidade, deve ser dada uma permissão separada. Por exemplo, uma marca
de seleção para o seu opt-in e uma marca de seleção que divide dados pessoais com
terceiros.
• Quando alguém não tem 16 anos, alguém com autoridade parental deve dar permissão.
• O opt-ins devem ficar registados. Deve sempre ser capaz de demonstrar como captou o
opt-in para que sua legalidade possa ser comprovada.
• Cada formulário de inscrição deve ter a declaração de privacidade no site.
• É bom saber se as regras para opt-in se aplicam ao envio de envios comerciais. Os emails
transacionais relacionados a um pedido (confirmação do pedido, fatura, etc.) são
excluídos e sempre podem ser enviados, desde que não publique nenhum conteúdo
comercial aqui.
• CONFIRMAÇÕES DA ORDEM DE COMPRA
• RECIBOS DE COBRA
• NOTIFICAÇÕES DE ENTREGA/SHIPPING
• CRIAÇÃO DE CONTA
• TICKETS DE SUPORTE
• LEMBRETE DA PASSWORD
• UNSUBSCRIBE
48

Dados Atuais | Consentimento
Confira os detalhes técnicos com os seus profissionais de TI ou em formação especializada
Até 25 de Maio de 2018, todos os dados do seu cliente devem cumprir a nova legislação.
Também se aplica aos seus dados atuais do cliente.
Se não conseguir mostrar como obteve o opt-in no passado, pode ser multado.
• Os dados que precisa são: O status de ativação (registrado ou unsubscribe)
• Como obteve o registo e quando é que a permissão foi concedida (inscreveram-se para a
newsletter? Ou apenas para uma pesquisa de mercado?
Não é possível mostrar o double opt-in?
Uma opção passa por enviar a uma lista de emails (grupo) a perguntar se querem
permanecer registados na sua newsletter.
No e-mail enviado coloque um botão “SIM” e um botão “NÃO”.
Se pressionarem "SIM", podem entrar na base de dados, se pressionar "NÃO", deve cancelar o
registo da pessoa na sua newsletter. É importante ter essa informação guardada no provedor
de serviço e exportar os dados para manter essa informação (caso mude de fornecedor).
49

Consentimento
No Marketing Digital é fundamental compreender as métricas da jornada do
cliente do início ao fim, com destaque para o tracking/rastreio de utilizadores.
De acordo com a interpretação literal (supostamente) isso não é mais possível
sem permissão.
Iniciativas como analisar os pontos frios e os pontos quentes do site (heatmap)
ou gravar em vídeo o comportamento dos utilizadores no site (mouseflow),
sempre que armazena informação sessões individuais, estas ferramentas
entram na área cinzenta.
Outro item importante são os certificados de SSL/HTTPS.
Solicitar o preenchimento de um formulário como uma inscrição na newsletter
sem HTTPS é explicitamente proibido. Adicionalmente o armazenamento e o
processamento também devem ser suficientemente encriptados e seguros.
Exemplo para trabalhar com o cumprindo o RGPD e
usar gravações de utilizadores.
Imagine que está a ser feito um registo de visualizações de
página, movimentos do comportamento do utilizador quando utiliza o
“rato”/mouse, cliques ou inserção de dados.
Essas gravações podem ser anónimas, utilizando o Hotjar seguindo uma
série de etapas e garantindo que a pessoa não é identificável.
O Hotjar oferece 2 possibilidades:
1. Ocultando informações inseridas em campos de entrada. As
informações que o utilizador conclui, como informações pessoais,
como informações de morada ou email, não serão salvas. Essa
configuração aplica-se ao sitebreed.
2. Ocultando elementos específicos. Elementos específicos como
campos de entrada e texto simples podem ser excluídos de
gravações e heatmaps.
50

Alvos comportamentais
Durante anos, a segmentação comportamental foi um dos elementos-chave de
qualquer estratégia de marketing digital. Monitorizar/Rastrear os utilizadores assim
que eles chegam ao site ou abram a sua app mobile com o objectivo de captar o
maior número de dados e mais tarde apresentar ofertas personalizadas. Muitas
vezes há mais de 100 cookies, pixels ou fragmentos de código para captação de
dados que funcionam imediatamente para apresentar anúncios.
Os anunciantes que executam campanhas publicitárias precisam saber tudo sobre
a criatividade, as tags de anúncios e as páginas de destino. Ao iniciar uma
campanha, é fundamental estar atento não apenas aos dados usados na
segmentação, mas também à perspectiva de pirataria de dados e / ou roubo
durante a campanha.
A chegada iminente da RGPD significa que não é viável que as equipes de
operações de TI, risco, segurança e sites / sites tenham uma imagem incompleta de
seu ecossistema digital
51

Alvos comportamentais
O RGPD tem como objetivo dar aos consumidores algum controle sobre os seus dados
pessoais.
O RGPD, tal como está, não faz distinção entre cookies de rastreio e cookies de não
acompanhamento. A verdade é que o Regulamento ainda pode sofrer ajuste e apenas um
exemplo de alterações que pode ajudar os profissionais de marketing é convencer a distinguir
entre cookies de rastreio e não acompanhamento porque estes são usados em atividades não-
invasivas, como testes A/B.
Isso exigirá o consentimento de todos os utilizadores para usar o teste A/B, enviar diferentes
projetos de sites para diferentes visitantes, localizar moedas, reports e muito mais.
52

O que fazer
• Em primeiro lugar, educar - ou facilitar a educação - das várias equipes de clientes para garantir que eles estão
conscientes das implicações do RGPD.
• Faça um balanço de cada site, e-mail, aplicativo, base de dados, política de privacidade que está sob uma
missão conjunta para entender o que precisa ser feito entre agora e no próximo ano.
• Faça um balanço dos seus contratos de fornecedores e compreenda toda a sua cadeia de acesso a dados.
• Conheça todos os dados que está atualmente a captar (newsletters, landing pages, documentos onde dados
de utilizadores são solicitados).
• Certifique-se de que todos os centros de dados estão em conformidade com o RGPD.
• Crie um roteiro de dados e nomeie um encarregado de proteção de dados para gerir a conformidade do RGPD.
53

O que fazer
• Sincronize os dados que possui com os seus clientes / prospects.
Isso é possível hoje graças aos sistemas API e Webhook.
• Verifique a data de criação do contato, a fonte do contato (formulário, evento, ...), em particular no
contexto da comunicação B2C e prova do consentimento do contato. Da mesma forma, certifique-
se de automatizar a atualização desses dados (exportação, exclusão, ...).
• Seja transparente na sua notificação legal e no uso de cookies. Explique como irá tratar cada um
dos dados captados e como modificá-lo, transferi-lo ou excluí-lo.
• Altere os seus formulários para obter o consentimento ativo, sem caixas pré-marcadas, por
exemplo, diretamente relacionadas a sua base de dados de marketing.
• Finalmente, seja vigilante e pró-ativo na escolha dos fornecedores. Verifique como é que os seus
dados de alojamento estão protegidos e se tem acesso aos dados. Num nível mais operacional,
verifique se o seu fornecedor está em conformidade com todos os direitos e deveres do RGPD em
termos de transparência, práticas de marketing e sincronização de dados.
54

O que fazer
Reveja a informação que fornece aos titulares dos dados, no âmbito da recolha de dados.
• Prazo de conservação dos dados;
• Base legal para o tratamento de dados;
• Informações mais detalhadas sobre as transferências dos dados internacionais;
• Necessidade prestar informações de forma mais concisa, inteligível e de fácil acesso
utilizando linguagem clara e simples.
Necessidades:
• Reavaliar políticas de privacidade e textos que prestem informação aos titulares.
• Se já tem uma base de dados de contactos, verifique a forma e circunstâncias em que foi
obtido o consentimento dos titulares.
• É imprescindível obter novo consentimento dos títulos dos dados em conformidade com as
disposição do RGPD, sob pena de o tratamento de dados se tornar ilícito por falta de base
legal.
• Particular atenção ao consentimento dos menores ou dos seus representantes legais,
considerando as exigências específicas do Regulamento para este efeito.
Adaptado da Comissão Nacional de Proteção de Dados
55

Além do RGPD/GDPR, o Regulamento ePrivacy está a ser trabalhado. Esta legislação contém regras sobre o uso de
metadados, novas regras de cookies, bem como regras para proteger os cidadãos contra SPAM.
O Regulamento de Privacidade Eletrónica também entrará em 25 de Maio de 2018, mas será adiado, pois nenhum acordo
ainda foi alcançado.
É bom saber que, além do RGPD/GDPR , existe uma outra legislação a caminho, complementar e relevante para o E-mail
Marketing.
56

Mecanismo de Balcão Único
O Regulamento cria um sistema de balcão único (one-stop shop) entre as várias autoridades de proteção de dados
europeias e no caso de grupos multinacionais com vários estabelecimentos na Europa, a supervisão mais direta irá
passar para autoridades estrangeiras.
É, por isso, natural que a CNPD perca algum poder de supervisão mais direta sobre estas empresas. Mas, em
contrapartida estará mais liberta para atividades de prevenção e de fiscalização, o que não tem sucedido até hoje.
57

Em preparação para o RGPD/ GDPR, várias empresas já desenvolveram novas ferramentas ou fizeram ajustes no banco de dados para
conformidade.
A Rackspace Inc. lançou recentemente um novo Serviço de Privacidade e Proteção de Dados que é construído numa plataforma de
criptografia de dados oferecida pela Thales e-Security Inc.
O Google Inc. lançou um novo site que explica como os seus produtos, incluindo o Gmail, Plataforma Cloud e AdSense, já estão em
conformidade com os padrões da UE.
A Microsoft anunciou em Maio que os clientes do serviço da nuvem Azure serão compatíveis bem antes da próxima primavera e ofereceram
serviços adicionais, como Office 365 Advanced Data Governance para atender aos requisitos do RGPD/GDPR.
Referências 58

Fontes:
http://www.eugdpr.org/
http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf
https://ec.europa.eu/digital-single-market/en/proposal-eprivacy-regulation
https://encryption.eset.com/pt/
https://siliconangle.com/blog/2017/08/15/rackspace-rolls-new-data-protection-service-gdpr-compliance/
https://privacy.google.com/businesses/
https://en.wikipedia.org/wiki/General_Data_Protection_Regulation
Documentação Comissão Nacional de Proteção de Dados
Agradecimento:
Pedro Gomes e André Teixeira pela colaboração na estruturação do documento.
Documento produzido a 19 de Outubro, 2017
Obrigado!
59

O que muda com o RGPD para empresas e cidadãos

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Destaque

Destaque (8)

Semelhante a O que muda com o RGPD para empresas e cidadãos

Semelhante a O que muda com o RGPD para empresas e cidadãos (20)

Último

Último (20)

O que muda com o RGPD para empresas e cidadãos