GDPR está chegando: o impacto na coleta de feedback digital 21 de março de 2018

Você está perdendo o sono à noite pensando na chegada do GDPR ? Se sim, você não está sozinho. Ainda existem muitas organizações (pequenas e grandes) que não sabem ao certo como se preparar para as próximas mudanças na regulamentação de coleta de dados, especialmente no que se refere ao feedback digital. Mas não se preocupe, não é tarde demais para começar!

Este artigo orienta você pelos fundamentos do GDPR (por exemplo, o que é e quem será afetado), as alterações mais importantes a serem observadas em termos de coleta de feedback digital , por que é importante cumprir esses regulamentos, as consequências se você escolher não e o que estamos fazendo aqui na Mopinion para nos prepararmos e aos nossos clientes para a nova legislação.

Vamos começar com o básico.

O que é GDPR?

O Regulamento Geral de Proteção de Dados (comumente referido como GDPR ), é um novo regulamento de privacidade europeu que entrará em vigor em 25 de maio de 2018. Este regulamento será implementado em todas as leis de privacidade locais na região da UE e do EEE e se aplicará a todos empresas que vendem ou armazenam dados pessoais sobre cidadãos da UE e do EEE. Em outras palavras, mudará permanentemente a maneira como as empresas coletam, armazenam e usam os dados dos clientes. Em troca, os cidadãos da UE e do EEE terão mais controle sobre seus dados pessoais e o que é feito com eles.

O que é considerado 'dados pessoais'?

Conforme definido na diretiva GDPR,

“Dados pessoais são quaisquer informações relacionadas a uma pessoa, como nome, foto, endereço de e-mail, dados bancários, atualizações em sites de redes sociais, detalhes de localização, informações médicas ou endereço IP de um computador.”

Quem o GDPR afetará?

Para simplificar um pouco, são principalmente 'controladores' e 'processadores' (de dados) que serão diretamente afetados pelo GDPR.

Os controladores (por exemplo, clientes da Mopinion) são qualquer empresa ou entidade governamental que determina como os dados são processados ​​e por quê.

Processadores (por exemplo, Mopinion) são empresas que realizam o processamento de dados (lado técnico) em nome do controlador.

O que é importante reconhecer é que, de acordo com a nova regulamentação, não importa onde os controladores/processadores estejam localizados ou operando no mundo. Se eles fazem negócios com empresas da UE ou coletam dados de cidadãos da UE, eles são tão obrigados a cumprir o GDPR quanto aqueles que operam nas regiões da UE / EEE.

White Paper Gratuito: O futuro do feedback online do cliente

Saiba como você pode aproveitar o poder do feedback dos clientes on-line para otimizar sites e aplicativos.

Baixe o papel

Nota: embora este artigo se concentre apenas na coleta de feedback digital, é importante reconhecer que também há discussão sobre o que isso significará para as ferramentas de reprodução e gravação de sessão, especialmente porque esses tipos de ferramentas - ultimamente - têm frequentado as notícias como resultado de 'coleta de senha não intencional'. Para saber mais sobre essas ferramentas e onde elas podem ficar aquém em termos de privacidade quando o GDPR estiver em vigor, não deixe de conferir este artigo.

O que o GDPR significa para a coleta de dados de feedback?

A pergunta de um milhão de dólares para as empresas que priorizam o digital… Como essa nova regulamentação afetará a maneira como atualmente coletamos dados de feedback on-line? A maneira mais fácil de expor isso é abordando os assuntos/questões mais críticos e falados.

1. Consentimento de Dados / Processamento Legal. Esta é talvez uma das maiores mudanças que estão por vir. O GDPR afirma que o consentimento para a coleta de dados pessoais (juntamente com a finalidade do processamento de dados) deve ser fornecido em um formulário facilmente acessível para seus clientes. Nota: o consentimento deve ser tão fácil de retirar quanto de dar.

É bom saber: como o GDPR está chegando, as assinaturas eletrônicas em PDFs são essenciais se não houver nenhuma cópia eletrônica. Você pode aprender como adicionar uma assinatura a um arquivo PDF e muitas outras dicas e truques de PDF neste guia Como editar um PDF.

Como o feedback do cliente se enquadra no processamento de dados, ele também deve ser processado legalmente. Isso significa (como dito acima) que você só pode coletar feedback de um visitante se ele der consentimento. No entanto, você pode argumentar que coletar feedback é de seu interesse legítimo , e nesse caso o consentimento não é necessário.

Observação: o GDPR é muito explícito sobre proibir as organizações de usar a cláusula de “interesses legítimos” como desculpa para atividades de marketing, por isso é importante mantê-las separadas! Quando você planeja usar dados para fins como campanhas de marketing, deve informar seus clientes. Além disso, se você deseja compartilhar dados de clientes, os clientes devem primeiro indicar se desejam participar.

Em suma:

Você lida com dados sensíveis?
Então você precisará de consentimento explícito para coletar feedback.

Caso contrário, o processamento é do seu 'interesse legítimo'.

Fonte: CustomerSure

2. Direito de Acesso. O indivíduo cujos dados você está coletando tem todo o direito de confirmar o que está sendo feito com seus dados pessoais. Nota: esta informação deve ser fornecida gratuitamente ao indivíduo.

3. Direito de ser esquecido. Os indivíduos podem solicitar aos controladores que removam seus dados pessoais do sistema, bem como interromper o processamento por terceiros. O responsável pelo tratamento só pode protestar se a disponibilização dos dados for de interesse público.

4. Privacidade por Design. Isso engloba a necessidade de promover a privacidade e a conformidade com a proteção de dados desde o início. Isso inclui os controladores de dados que tomam medidas técnicas e organizacionais para cumprir os regulamentos. Por exemplo, apenas processando dados necessários para operações.



5. DPOs. Também chamados de Responsáveis ​​pela Proteção de Dados, os DPOs devem ser nomeados. Nota: existem algumas exceções para este caso. O papel do DPO é 'acompanhar as leis e práticas relacionadas à proteção de dados, conduzir avaliações de privacidade internamente e garantir que todos os outros assuntos de conformidade relativos aos dados estejam atualizados'.

Nota: Isso se aplica a qualquer organização que processe ou armazene grandes quantidades de dados pessoais, ou seja, processadores e controladores - A MENOS que o controlador 'cumpre os critérios para designação obrigatória', caso em que não é necessário que o processador nomeie um DPO.


Fonte: Computing.co.uk

6. Portabilidade de dados. Isso se refere ao direito que os indivíduos têm de mudar seus dados de controlador para controlador, o que significa que as empresas devem ser capazes de fornecer dados de clientes em um formato adequado e legível por máquina (por exemplo, arquivos CSV). O controlador deve responder a esta solicitação no prazo de um mês.

7. Violação de dados. Se você sofrer uma violação de dados, uma notificação DEVE ser enviada ao ICO (Information Commissioner's Office) dentro de 72 horas (uma vez ciente da violação) e os indivíduos afetados pela violação devem ser notificados. Na notificação à ICO, é importante descrever o seguinte: a natureza dos dados que foram violados, quantas pessoas serão afetadas, que tipos de consequências a violação terá sobre os afetados e quais ações você está tomando. tomar em resposta à violação.

Uma boa maneira de se preparar para isso é por meio de um mapeamento de dados completo. Isso significa que os controladores e processadores de dados de feedback sabem quais dados estão coletando, onde estão sendo armazenados, de onde se originaram, quem pode acessá-los e quais riscos estão envolvidos.

Para rever o procedimento da Mopinion para uma violação de dados, clique aqui.

Dica : evite coletar dados pessoais em respostas de feedback
É muito possível que seus usuários enviem dados pessoais na seção de comentários abertos do seu formulário de feedback. Felizmente, existem algumas maneiras de evitar que isso aconteça. Uma delas é desviar os usuários para sua página de suporte ao cliente por meio de um link direto no formulário. Como alternativa, você pode incorporar uma dica de ferramenta em seus formulários de feedback que lembre o usuário de não incluir dados pessoais. Por exemplo, “Por favor, não inclua seus detalhes de contato neste campo de texto”.

Por que cumprir esses regulamentos rigorosos?

Existem várias razões pelas quais a conformidade com o GDPR em relação à coleta de dados de feedback é tão importante. Para começar, existem várias multas a que se pode estar sujeito por não cumprir. Fontes dizem:

Sua autoridade de proteção de dados pode emitir uma multa de até € 20 milhões ou 4% do seu faturamento anual global, o que for maior.

Além disso, pode ser muito prejudicial para a reputação da sua marca. Se, por exemplo, sua empresa for multada por não cumprir os regulamentos, seus clientes pensarão que você não tem seus interesses em mente ou valoriza sua privacidade.

Outra razão para cumprir é o fato de que as regulamentações simplificadas de proteção de dados diminuirão a quantidade de erros cometidos. Em outras palavras, o medo de manipular dados incorretamente resultará em armazenamento e processamento de dados mais estruturados e organizados.

Nota: O artigo 5.º do RGPD afirma: 'o responsável pelo tratamento será responsável e poderá demonstrar a conformidade com os princípios'. Isso significa que as empresas não apenas devem cumprir a regulamentação, mas também mostrar que estão em conformidade. Muitos aconselham que, para fazer isso, você deve manter registros de todas as decisões de processamento de dados.

Quais são as consequências?

Como mencionado anteriormente, as consequências da violação de quaisquer cláusulas do GDPR podem ser prejudiciais tanto para a reputação de uma empresa quanto financeiramente. As especificidades de quais serão as consequências variam com base em vários fatores, incluindo:

• Há quanto tempo a infração estava em andamento
• Quantas pessoas foram afetadas
• O nível geral de impacto que a infração teve

Nota: tanto os controladores como os processadores podem estar sujeitos a consequências.

O que a Mopinion está fazendo para se preparar para o GDPR?

A Mopinion vem tomando medidas ativamente para se preparar para o GDPR. Em estreita cooperação com nossa equipe jurídica, planejamos publicar um adendo à nossa declaração de privacidade informando os detalhes sobre como a Mopinion tratará os dados. Isso estará disponível no início de abril.

Como processador, garantiremos/forneceremos o seguinte:

• Nossa política e termos de privacidade existentes serão acompanhados por um novo adendo que fornecerá informações detalhadas sobre as alterações na política, de acordo com o GDPR.
• Em termos de retenção de dados , armazenamos dados enquanto nosso cliente estiver sob contrato. Para clientes corporativos, aderimos a acordos de processamento de dados (DPAs) sob medida com base em sua política de segurança, em que os dados podem ser removidos automaticamente com base em intervalos de tempo personalizados. Também forneceremos DPAs aos clientes. Isso é feito usando nosso próprio modelo, disponível mediante solicitação por meio de nossa equipe de sucesso do cliente.
• Todos os dados confidenciais de privacidade (por exemplo, detalhes de contato em formulários de feedback, incluindo números de telefone, endereços de e-mail e nomes) serão criptografados . Além disso, quaisquer dados capturados no campo de entrada usando nosso recurso de feedback visual serão automaticamente borrados (ou mascarados) assim que a captura de tela for renderizada.
• Para clientes europeus: mantemos todos os seus dados pessoais na Irlanda.
• Organizaremos uma avaliação de segurança adicional e profissional para garantir que todos os dados pessoais estejam 100% seguros.
• Um mapeamento interno de todos os dados processados, no qual documentamos o cumprimento dos princípios acima e fazemos alterações quando necessário.

Aqui na Mopinion levamos a privacidade muito a sério. Temos trabalhado lado a lado com um escritório de advocacia para garantir que tudo esteja em ordem antes que o GDPR bata à nossa porta. Agora, a menos de dois meses para a entrada em vigor deste novo regulamento, a equipa da Mopinion continua muito confiante nas medidas de privacidade e segurança que implementámos para proteger os dados dos nossos clientes. Certamente foi um desafio, mas que estávamos dispostos a enfrentar em prol da privacidade na Internet.

Kees Wolters, cofundador/chefe de marketing da Mopinion

Principais conclusões para empresas que usam o feedback do cliente

Você está coletando feedback dos clientes em seu site ou aplicativo para dispositivos móveis? Estas são as conclusões mais importantes deste artigo:

• O cenário de privacidade está mudando rapidamente, portanto, não demore a tomar medidas para proteger a privacidade do usuário e atender aos requisitos do GDPR.
• Nomeie um DPO para lidar com todas as questões de conformidade.
• Certifique-se de que seus documentos de Política de Privacidade e Termos e Condições indiquem claramente como você está usando sua ferramenta de feedback em seu(s) site(s) ou aplicativo(s) móvel(is).
• Processe dados que são apenas do seu 'interesse legítimo'. Em outras palavras, tente não coletar dados de que você não precisa e não use os dados coletados para fins de marketing (a menos que você tenha consentimento)
• Certifique-se de que você (o Processador) E seu fornecedor de software de feedback (o Controlador) estejam em conformidade com o GDPR.

Ainda se sentindo pedante com o novo regulamento?

Certifique-se de verificar o Regulamento Geral de Proteção de Dados oficial.