Não se deixe enganar por esses 6 mitos do GDPR

Estamos a poucos meses aterrorizantes do dia da implementação do GDPR e a internet está cheia de maus conselhos.

A quantidade de postagens de blog e respostas do Quora que vi cheias de luzes verdes, que deveriam ser VERMELHAS - é surpreendente.

E como nós da Convert, passamos cada vez mais tempo aprendendo, lendo e arrancando os cabelos sobre essa nova, grande e importante legislação - quanto mais meu cérebro começou a soar o alarme.

“Esse comportamento padrão da indústria agora é ruim ”, diz. “VOCÊ TEM QUE AVISÁ-LOS.”

Então aqui.

Estas são as 6 grandes mentiras que as pessoas acreditam sobre o GDPR que as pessoas erram e que todos nós precisamos acertar até 25 de maio.

Mito 1: Isso afeta apenas a UE.

Se apenas.

Uma das coisas mais ambiciosas do GDPR é como ele expande o escopo legislativo das políticas de privacidade de dados. Agora, há uma legislação abrangente que define as regras em toda a UE.

Mas, além disso, o GDPR é importante para qualquer pessoa que lide com os dados dos cidadãos da UE.

Mesmo que sua empresa esteja sediada em outro lugar - se você tiver visitantes da Web que sejam cidadãos da UE e os rastreie com cookies - espera-se que você se inscreva com o GDPR. Se você coletar os e-mails de titulares de dados europeus, se armazenar o endereço IP deles, se interagir com os dados deles, estará sujeito às mesmas novas regras que qualquer pessoa com um servidor baseado na UE.

E, honestamente, mesmo que você tenha 100% de certeza de que não lida com dados da UE, cumprir o GDPR é um bom passo na direção certa. As leis de privacidade em todos os lugares estão mudando. O Canadá está trabalhando em uma nova legislação com a Lei de Privacidade.

Os dados são, cada vez mais, uma valiosa forma de moeda. O que torna a legislação de dados mais importante do que nunca.

Mito 2: Posso justificar meus cookies/e-mails frios/etc. por “interesse legítimo”.

A condição de interesse legítimo é….complicada.

Embora possa (momentaneamente) deixar um pouco de espaço para alguns tipos de e-mails frios, não é tão útil quanto os profissionais de marketing podem esperar.

Para fazer backup um pouco — o GDPR descreve 6 condições legais diferentes para o processamento de dados. Os dois relevantes para os profissionais de marketing parecem ser: consentimento do titular dos dados e “interesses legítimos”.

A solicitação de consentimento exige que você atenda a todos os tipos de condições – deve ser ativo, inequívoco, afirmativo etc.

Comparativamente, “interesses legítimos” parecem um passeio no parque. Mas a intenção desta cláusula não era "Eu legitimamente pensei que eles estavam interessados ​​... então, posso enviar a eles o que eu quiser, certo?"

Aqui está o que o ICO (órgão regulador de dados do Reino Unido) recomenda que você confirme antes de decidir processar os dados….

• Verificamos que interesses legítimos são a base mais adequada.
• Entendemos nossa responsabilidade de proteger os interesses do indivíduo.
• Conduzimos uma avaliação de interesses legítimos (LIA) e mantemos um registro dela, para garantir que possamos justificar nossa decisão.
• Identificamos os interesses legítimos relevantes.
• Verificámos que o tratamento é necessário e não existe forma menos intrusiva de obter o mesmo resultado.
• Fizemos um teste de equilíbrio e estamos confiantes de que os interesses do indivíduo não se sobrepõem a esses interesses legítimos.
• Só usamos os dados dos indivíduos da maneira que eles razoavelmente esperariam, a menos que tenhamos um motivo muito bom.
• Não estamos usando os dados das pessoas de maneira que elas considerem intrusivas ou que possam prejudicá-las, a menos que tenhamos um motivo muito bom.
• Se processarmos dados de crianças, tomamos cuidado extra para garantir que protegemos seus interesses.
• Consideramos salvaguardas para reduzir o impacto sempre que possível.
• Consideramos se podemos oferecer um opt-out.
• Se nossa LIA identificar um impacto significativo na privacidade, consideramos se também precisamos realizar uma DPIA.
• Mantemos nossa LIA sob revisão e a repetimos se as circunstâncias mudarem.
• Incluímos informações sobre nossos interesses legítimos em nosso aviso de privacidade.

Portanto, se você quiser confiar em interesses legítimos, precisará confirmar essas coisas. E você tem que documentar seu processo. E você tem que decidir que está processando com a condição de interesses legítimos com antecedência. Não pode ser apenas o seu recurso porque você pediu consentimento incorretamente.

Mito 3: Preciso nomear um Encarregado de Proteção de Dados.

O GDPR aconselha algumas empresas a nomear um Diretor de Proteção de Dados, para supervisionar a transição e a segurança de seus dados no futuro.

E os poderes têm bastante claro que as autoridades públicas devem nomear um. E empresas cuja função principal inclui o processamento de dados ou o monitoramento sistemático. E se você processa regularmente categorias especiais de dados – como dados de saúde ou afiliações religiosas e políticas – provavelmente deve ter um DPO em sua equipe.

Mas essas condições à parte, honestamente, não há uma regra rígida sobre quando sua empresa é grande o suficiente para exigir a contratação de um DPO. Ou quando os dados que você gerencia são complexos o suficiente para você precisar de um. 250 funcionários é uma regra prática muitas vezes lançada.

Em geral, parece que as PMEs que processam seus tipos e quantidades de dados padrão, para fins de marketing, podem se dar bem com uma consultoria jurídica sólida e uma dedicação completa à transparência de dados.

Mito 4: Esta é uma boa maneira de pedir consentimento.

Este ser…

Não! O consentimento precisa ser ativo. Você não pode deixar suas caixas pré-marcadas.

Não! Isso é empacotamento. Você tem que pedir consentimento para processos separados, separadamente. Você não pode simplesmente adicionar assinaturas de “boletim mensal” com inscrições de eventos.

Não! Nomeie seus terceiros ou não conta!

Não, cookies persistentes precisam de consentimento explícito e ativo agora. Por exemplo, alguém precisa clicar em uma coisa ou marcar uma caixa que diz “Eu concordo”. Eles não dão apenas por continuar a navegar.

E as nuances continuam.

O importante é: as regras de consentimento não são o que costumavam ser.

Para saber mais sobre o que eles são agora, temos um detalhamento mais substantivo aqui.

Mito 5: Não são dados pessoais.

O GDPR expandiu o escopo dos dados pessoais, do que era anteriormente reconhecido como “Informações de Identificação Pessoal”.

Apresentamos humildemente esta útil tabela:

Os grandes destaques aqui são os cookies – que são um pouco complicados. Exatamente quais tipos de cookies serão considerados dados pessoais, serão estabelecidos com os novos Regulamentos de ePrivacy.

No momento, existem algumas exceções para cookies no “setor de desempenho”. Esses são os tipos que coletam apenas informações sobre o uso do site, para benefício do operador do site. Eles não identificam os visitantes — em vez disso, eles contam com dados agregados.

Você pode encontrar um mergulho profundo sobre como o GDPR regulará os cookies aqui.

Mito 6: Desde que eu atualize meus processos até 25 de maio, estou livre.

Como profissional de marketing, essa é a condição do GDPR que me faz querer arrancar os cabelos.

Aplica-se retroativamente.

Aplica-se a todos os seus dados existentes.

Ou seja, se você estiver coletando e-mails, executando cookies ou mexendo com dados pessoais de uma maneira que não seja compatível com GDPR, todos esses dados armazenados se tornarão um problema em 25 de maio.

Nós recomendamos:

1. Se os cookies do seu site estão sendo executados em uma vida útil de 3, 6 ou 12 meses, é uma boa ideia iniciá-los e limpar todos os dados pessoais armazenados.
2. Execute uma campanha de repermissão para tentar salvar sua lista de e-mail existente.

É uma dor de cabeça. E é uma pena perder alguns desses contatos que você lutou muito para ganhar.

Mas, como dizem…

Às vezes, as coisas desmoronam para que coisas melhores possam se encaixar e também a privacidade dos dados é importante, então todos devemos seguir a lei.