Você está pronto para os novos regulamentos de proteção de dados da UE?

Quais são os novos regulamentos de proteção de dados?

Em breve, a União Europeia promulgará novos regulamentos que regem quais dados você pode coletar sobre seus clientes e como você pode usá-los. Essa legislação é chamada de Regulamento Geral de Proteção de Dados ou GDPR . Obviamente, como o nome indica, o GDPR é geral e, portanto, cobre qualquer organização que esteja coletando dados sobre pessoas. Para os nossos propósitos aqui, iremos simplesmente focar na relação entre a sua empresa e os seus (potenciais) clientes online.

O PIBR entrará em vigor no ^dia 25 de maio de 2018 que deixa você um ano para se preparar para cumprir. Junto com o GDPR, provavelmente haverá uma nova atualização do Regulamento de privacidade eletrônica da UE . Este regulamento entra em detalhes mais específicos para a coleta, armazenamento e uso de dados online. O regulamento da privacidade eletrônica ainda está em fase de proposta e pode ser alterado, mas os legisladores estão planejando a mesma data de aplicação do RGPD.

Por que é importante para sua empresa cumprir

Para as empresas europeias, a necessidade de cumprir pode ser óbvia, mas na verdade é algo a que as empresas de todo o mundo deveriam prestar atenção. Este é especialmente o caso de sites e empresas on-line, já que o GDPR se aplica a qualquer empresa global que coleta dados sobre cidadãos da UE. Se você estiver coletando dados em seu site e ele for visitado por cidadãos da UE, o GDPR responsabilizará sua empresa pelo que você fizer com esses dados, independentemente de onde esteja localizada. As penalidades para empresas que violarem o RGPD podem ser severas, sendo a maior uma multa de 20 milhões de euros ou 4% do faturamento anual global - o que for maior.

Os aspectos mais importantes para o seu marketing digital

Para os profissionais de marketing digital, há uma série de peças-chave da legislação que você precisa conhecer. Os quatro pontos a seguir são os mais importantes para acertar e garantir que seu programa de dados online seja compatível.

1. Dados pessoais

A primeira é entender o que é coberto pelo GDPR e pela regulamentação de privacidade eletrônica. Já mencionei que a lei se aplica aos dados de todos os cidadãos da UE, mas é um pouco mais específica; aplica-se aos seus dados pessoais.

Dados pessoais são quaisquer dados específicos de um usuário que podem permitir que sejam identificados ou selecionados. Isso cobre informações como nome, endereço, localização geográfica, número de telefone, endereço de e-mail ou número de identidade. No entanto, também cobre identificadores online que podem ser um nome de usuário ou endereços IP.

2. Consentimento

Talvez a maior mudança que o GDPR fará no cenário atual seja sua ideia de consentimento. O consentimento deve ser explícito, informado e dado livremente.

Isso significa que, de acordo com o GDPR, os avisos de cookies padrão vistos na maioria dos sites não serão mais suficientes. A lei exige que os usuários dêem consentimento por meio de uma 'ação afirmativa'. O usuário precisa dar um passo ativo para consentir. O silêncio e o consentimento implícito não serão suficientes. Os dados do usuário não podem ser coletados até que o consentimento seja dado.

Além disso, como a lei insiste em que o consentimento seja informado, as empresas precisarão dizer ao usuário exatamente quais dados estão sendo coletados, como são armazenados e para que a empresa os está usando.

A legislação também insiste em um método sempre disponível para optar por não rastrear. Isso significa que a qualquer momento o usuário do site poderá revogar o consentimento.

3. Segurança de dados

A segurança dos dados pessoais das pessoas passa a ser da responsabilidade do controlador de dados. O controlador de dados é definido como a entidade que decide sobre a finalidade e o método de coleta de dados. Assim, por exemplo, como proprietário do site, você é o controlador de dados. Você deve garantir que as ferramentas e fornecedores que usa para coletar, armazenar e visualizar seus dados tenham segurança adequada para proteger seus clientes.

4. Localização dos dados

Parte dos esforços do GDPR para proteger os dados dos cidadãos da UE se estende até o local onde esses dados são processados ​​e armazenados. O GDPR insiste em que os dados sejam mantidos e processados ​​na UE ou, pelo menos, em um país que tenha proteções de dados semelhantes às da UE. Você pode encontrar uma lista desses países aqui .

Isso representa um problema ao usar ferramentas com servidores e centros de dados localizados em países, como os Estados Unidos, que não têm as proteções de dados equivalentes. O Privacy Shield EUA-UE permite que as empresas nos EUA assinem uma declaração de que manterão os mesmos padrões com os dados que armazenam, conforme exigido pelo GDPR.

No entanto, sua validade ainda está sendo contestada, pois os legisladores da UE estão preocupados com o fato de que, sem uma lei que os regule, as forças de mercado farão com que as empresas usem os dados de maneiras que infringem a lei. Outra preocupação é que, mesmo que as empresas cumpram os termos do Privacy Shield, elas ainda operam sob uma lei que pode exigir que revelem dados pessoais de cidadãos da UE ao governo.

A última preocupação que precisa ser tratada quando se trata da localização dos dados é o consentimento informado. Se os dados forem transferidos para fora da UE, isso precisa ser explicitado ao usuário ao dar o consentimento para a coleta de seus dados.

O que você deve fazer para estar pronto para o GDPR?

1. Tornar endereços IP anônimos

Se você usa uma ferramenta, como o Google Analytics , para ver os padrões de comportamento em dados anônimos em seu site sem identificar usuários individuais, você está usando o acompanhamento agregado de sites. Para esse tipo de rastreamento, existem apenas dois pontos de dados com os quais todos os sites devem se preocupar. Esses dois pontos principais são o endereço IP do usuário e o cookie de rastreamento da ferramenta.

Para o endereço IP, há uma maneira relativamente simples de garantir que você esteja em conformidade e não exija o consentimento do usuário. A maioria das ferramentas usadas para o rastreamento agregado de sites permite que você anonima o endereço IP dos usuários. Ao garantir que essa configuração esteja ativada, não haverá como identificar o usuário individualmente.

2. Determine se você exige o consentimento do usuário

Com o endereço IP anônimo, agora podemos ver os cookies de rastreamento. Os regulamentos de privacidade eletrônicos propostos fornecem uma isenção ao consentimento do usuário para cookies para ferramentas agregadas do site. No entanto, neste momento não está claro se essa isenção será apenas para ferramentas operadas pelo site ou se cobrirá ferramentas de terceiros como o Google Analytics. Isso ficará mais claro à medida que os novos regulamentos de privacidade eletrônica forem finalizados e ratificados.

3. Use uma ferramenta de análise auto-hospedada

Com a incerteza sobre se as ferramentas de terceiros exigirão consentimento, a opção mais segura seria implementar uma ferramenta de análise da web auto-hospedada. Essas ferramentas permitem hospedar uma instância inteira da ferramenta em sua própria infraestrutura. Isso significa que apenas sua empresa tem acesso aos dados e você pode ter certeza de que não precisará de consentimento para o rastreamento agregado de seu site.

4. Obtenha a adesão

Se você não puder usar uma ferramenta auto-hospedada, terá que fazer com que os usuários aceitem. Existem duas soluções possíveis para isso.

A primeira é a abordagem Soft Opt-In. Com essa abordagem, você deve informar ao visitante, quando ele chegar ao seu site pela primeira vez, que qualquer ação posterior realizada no site será rastreada. Você deve fornecer a eles a opção de cancelar o rastreamento neste momento. Este método é comumente usado em países europeus com leis rígidas de privacidade de dados, como a Alemanha. Não está claro neste momento se ainda será aceitável com o novo regulamento de privacidade eletrônica.

A segunda abordagem é um opt-in difícil. Esta é a abordagem mais segura, pois definitivamente estará em conformidade quando as leis forem publicadas, mas é mais invasiva para o usuário. Com essa abordagem, você solicitará o consentimento do usuário antes de começar a navegar no site. Isso pode ser feito com uma caixa pop-up na primeira página da primeira visita.

5. Fornece uma possibilidade de opt-out

Se for necessário obter o consentimento dos usuários para capturar seus dados de acordo com as novas regulamentações, você precisará fornecer a eles uma maneira de mudar de ideia e cancelar a qualquer momento. A lei diz que este deve estar sempre à disposição do usuário. A melhor maneira de fazer isso seria ter uma página dedicada detalhando seu acompanhamento, permitindo que os usuários desistam. Esta página pode ser vinculada em seu rodapé para que esteja sempre presente em seu site.

6. Tenha cuidado com perfis de usuário e automação de marketing

Se o programa de dados de sua empresa vai além da agregação e você configura perfis de usuário, precisa pensar mais para se preparar para o GDPR. Isso é particularmente verdadeiro se você estiver executando um programa de automação de marketing, retargeting ou até mesmo marketing direcionado manualmente. Todas as atividades de criação de perfis de usuários e todos os tipos de comunicação de marketing que você envia com base nesses perfis requerem o consentimento dos usuários. Todos os dados pessoais ou dados de perfil que você irá capturar e todo o marketing direto que você enviará a eles precisam ser especificados no momento em que você solicitar o consentimento dos usuários. Além disso, deve ser fornecido um método para revogar seu consentimento - opt-out.

Informe-nos se tiver dúvidas sobre o próximo GDPR e o regulamento proposto de privacidade eletrônica. Confira nossas auditorias de conformidade e GDPR se quiser ter certeza de que seu marketing digital está em conformidade.