Saiba como processar dados sob o GDPR? Então passe este teste rápido.

Publicados: 2018-03-10

Alguns questionários dizem se sua personalidade é mais uma “primavera” ou um “outono”.

Alguns dizem se a Autoridade de Proteção de Dados tem ou não o direito legal de multar sua empresa em milhões de dólares.

Adivinha qual é este.

É hora de jogar, isso é compatível com GDPR?

1.

Isso é compatível.
Isso não é compatível.
Hmm... precisamos de mais informações.

2.

Isso é compatível.
Isso não é compatível.
Hmm... precisamos de mais informações.

3.

Isso é compatível.
Isso não é compatível.
Hmm... precisamos de mais informações.

4.

Isso é compatível.
Isso não é compatível.
Hmm... precisamos de mais informações.

5.

Isso é compatível.
Isso não é compatível.
Hmm... precisamos de mais informações.

6.

Isso é compatível.
Isso não é compatível.
Hmm... precisamos de mais informações.

7.

Isso é compatível.
Isso não é compatível.
Hmm... precisamos de mais informações.

8.

Isso é compatível.
Isso não é compatível.
Hum... precisamos de mais informações

9.

Isso é compatível.
Isso não é compatível.
Hmm... precisamos de mais informações.

10.

Isso é compatível.
Isso não é compatível.
Hmm... precisamos de mais informações.

11.

Isso é compatível.
Isso não é compatível.
Hmm... precisamos de mais informações.

Palavra chave

Se você obteve… 11 de 11

Parabéns! Você é um superstar do GDPR... ou algo assim.

Títulos, elogios e distintivos não são importantes. Mas a conformidade com o GDPR é muito.

E com certeza parece que você sabe como processar dados pessoais (a menos que tenha adivinhado) – seja para cookies, e-mails ou dados confidenciais.

Então dê um tapinha nas costas. Compartilhe sua sabedoria. Prepare seus colegas de trabalho. E releia as explicações abaixo, se houver algo que você não tenha certeza.

Se você conseguiu... nada menos que 11 de 11.

Bem-vindo. Nós entendemos. Esse material é difícil.

Você pode querer continuar lendo….

Perde um? Adivinha algumas vezes? Precisa de um lembrete? Aqui está um resumo rápido.

1. B

Ei olha é aquele exemplo que você já deve ter visto pela internet!

É isso mesmo amigos - não marque suas caixas de consentimento. As pessoas têm que dar consentimento ativamente agora.

“Eu só quis clicar no botão “próximo”. Eu nem vi essa caixa de seleção. Agora estou na sua lista de e-mail?” — nunca é algo que seus usuários deveriam pensar.

Aqui está o que o GDPR diz sobre o consentimento de processamento, para torná-lo oficial:

"Consentimento" do titular dos dados significa qualquer indicação dada livremente, específica, informada e inequívoca da vontade do titular dos dados, pela qual ele, por uma declaração ou por uma ação afirmativa clara, significa concordância com o processamento de dados pessoais relacionados a ele ou ela – artigo 4º

Ação clara, afirmativa. Mantenha essas caixas em branco.

2. B

Não, não compatível.

A chave aqui é algo chamado “agregação” – que não é permitido pelo GDPR. Aqui estão algumas citações diferentes que dão a isso um “não”.

“Se o consentimento do titular dos dados for dado no âmbito de declaração escrita que diga igualmente respeito a outras matérias, o pedido de consentimento deve ser apresentado de forma claramente distinguível das restantes matérias (…) ” – n.º 2 do artigo 7.º

“O consentimento deve abranger todas as atividades de processamento realizadas para o mesmo propósito ou propósitos. Quando o tratamento tiver múltiplas finalidades, deve ser dado o consentimento para todas elas ” – Considerando 32

Então, participar de um evento? Esse é um claro “propósito diferente” do que um boletim mensal. O consentimento deve ser solicitado separadamente.

3. B

Isso se parece com o nosso formulário padrão e persuasivo de aceitação. E isso é todos os tipos de não-conformidade.

Em primeiro lugar, está pedindo para coletar muitas informações que não são necessárias para levar o titular dos dados ao seu objetivo (também conhecido como enviar o PDF que eles estão se inscrevendo para receber). Isso vai contra o requisito GDPR de minimização de dados, ou “privacidade por design”. A melhor prática aqui é: se você estiver coletando informações e não estiver claro por que está coletando, você deve divulgar isso para seus usuários.

O Facebook oferece um ótimo exemplo de como fazer isso direito:

Além disso, este exemplo, novamente, é empacotamento.

É um pacote um pouco menos flagrante do que o exemplo anterior. Aqui, ao concordar em receber o PDF, você está pelo menos dando consentimento para receber o conteúdo. Uma assinatura de lista de e-mail e um download, a esse respeito, têm um “propósito” semelhante. Ainda assim – formulado como está, você teria dificuldade em enquadrá-los como “o mesmo”. Portanto, o consentimento deve ser dado separadamente.

4. A

Ei, não, este é muito bom!

Agora você poderia argumentar que eles não precisam coletar um nome de empresa ou número de telefone aqui. Portanto, adaptando-se à privacidade por design, esses campos devem ser omitidos.

Mas considerando que seu objetivo de usuário aqui é testar a execução de um CRM e, você sabe, gerenciar os relacionamentos com os clientes da empresa - faz sentido que o SuperOffice queira saber quem é essa empresa.

Então vamos dar-lhes um passe.

Além disso, confira como essas caixas são bonitas, segmentadas e desmarcadas. Eles estão pedindo uma opção explícita em sua política de privacidade. Eles pediram consentimento separado e ativo.

Quando o GDPR é instalado, isso deve voar.

5. B

Elas. eram tão. perto.

Até essa segunda caixa de seleção e a menção de terceiros.

De acordo com o GDPR, qualquer terceiro com quem você deseja compartilhar seus dados deve ser nomeado. “Terceiros confiáveis” não é claro o suficiente. As categorias não funcionam. Se alguém optar por ouvir de terceiros, eles precisam saber exatamente quem são essas partes.

6. B

Então, a boa notícia é... eles acertaram os terceiros.

Eles têm direito de consentimento desagregado.

Mas este é um opt-out, não um opt-in.

Você será contatado a menos que marque “não”.

Isso não soa como um consentimento afirmativo e ativo para mim.

7. A

10/10.

Opt-in granular Woolworth NAILS.

Se você está se perguntando por que eu fiquei irracionalmente empolgado com este exemplo – isso é algo que muitos formulários estragam.

Um erro comum é pedir consentimento para enviar materiais, mas esquecer de separar o “como”.

Portanto, um lembrete: se você deseja enviar textos, precisa de consentimento específico para enviar textos. Se você deseja enviar e-mails, precisa de um consentimento separado e específico para enviar e-mails.

Woolworth também informa exatamente que tipo de materiais você receberá deles. Essa é uma boa ideia, tanto para conformidade com o GDPR quanto para persuadir seu público a se inscrever.

8. B

Um momento de silêncio para o soft opt-in, pois o GDPR o matou.

Cookies, com identificadores exclusivos, são dados pessoais sob GDPR.

E, como você se lembra, os dados pessoais exigem consentimento ativo, inequívoco, específico, yada yada yada.

Isso significa que todo o absurdo “usando este site você concorda” não é mais legal. E você não pode começar a executar cookies até receber um sim afirmativo.

(Este é um assunto grande, complicado e confuso – que tem a ver com a interseção de GDPR e ePrivacy. Você pode ler mais sobre isso aqui).

9. A

Isso faz tudo o que o número 8 fez de forma errada, certo.

Ele informa exatamente para que esses cookies são usados. E então lhe dá uma opção clara para aceitá-los ou não aceitá-los.

E para um floreio final, ele permite que você expanda e selecione com quais cookies você está bem e com os quais não está bem.

É uma coisa linda, do ponto de vista legal.

(De um ponto de vista de marketing, no entanto, você não deu a seus usuários muitos motivos para optar por participar ou não. Talvez uma explicação melhor do benefício dos cookies do seu site possa ajudar nesse esforço).

10. C

Então, uma espécie de pergunta capciosa.

Como mencionamos, se estamos falando de consentimento aprovado pelo GDPR, isso falha. As caixas pré-marcadas são um “não”.

Mas se estamos nos perguntando “A Lancome tem o direito de enviar um e-mail para essa pessoa?”—temos mais algumas coisas para avaliar.

Porque, caso isso não seja complicado o suficiente, o consentimento não é a única maneira de processar dados pessoais legalmente .

Digite: a condição de interesses legítimos.

Mas não se empolgue. O processamento de dados devido a “interesses legítimos” percebidos é complicado.

Essa condição é mais para situações de “precisei processar o número da conta deles para realizar serviços de prevenção de fraudes”.

Não são casos do tipo “eu legitimamente achei que eles estavam interessados, então... eu mandei um monte de e-mails para eles sem consentimento”.

Mas uma coisa que parece dar às pessoas o aval tem a ver com os dados dos clientes existentes.

Aqui está a linha na legislação que eles estão falando:

“ Tal interesse legítimo pode existir, por exemplo, quando há uma relação relevante e adequada entre o titular dos dados e o controlador em situações como quando o titular dos dados é um cliente ou está a serviço do controlador. ” –Considerando 47

A chave aqui é perguntar a si mesmo: “A execução dessa ação me levaria (o titular dos dados) a esperar razoavelmente que meus dados serão usados dessa maneira?”

Então, se eu comprar uma camisa, eu esperaria que eu recebesse um e-mail confirmando minha compra? (Sem consentir explicitamente em receber e-mails?).

Sim, você tem um bom caso de interesse legítimo se aplica aqui.

Que tal um aviso de que há um grande desconto na próxima semana em um produto semelhante?

Seu caso está ficando um pouco mais fino.

E-mails semanais?

Papelrrr fino.

Para ser honesto, após suas confirmações de pedido padrão, não arriscaríamos. Pedir o consentimento (corretamente!), é a maneira mais segura de garantir que suas bases estejam cobertas.

Mas se você realmente quiser usar a condição de interesse legítimo para processar dados pessoais, pedimos que leia isso primeiro.

11. C

OUTRA TORÇÃO DIVERTIDA NESTE.

O GDPR descreve uma categoria separada de dados chamada “dados pessoais confidenciais”. E os requisitos de processamento são diferentes para esse tipo de informação.

Eu vou admitir para você agora, este não é o melhor exemplo. Então foi uma pergunta meio cruel, e é meio que um exagero. (Há uma discussão complicada acontecendo agora sobre até que ponto o peso de alguém conta como dados de saúde do ponto de vista da privacidade de dados, se você estiver interessado).

Aqui está a linguagem exata sobre quais dados contam como "sensíveis", do Artigo 9:

Dados pessoais sensíveis significam dados pessoais que consistem em informações sobre:
(a) a origem racial ou étnica do titular dos dados,
(b) suas opiniões políticas,
(c) suas crenças religiosas ou outras crenças de natureza similar,
(d) se ele é membro de um sindicato (na acepção da Lei Sindical e das Relações Trabalhistas (Consolidação) de 1992),
(e) sua saúde ou condição física ou mental,
(f) sua vida sexual,
(g) a comissão ou alegada comissão por ele de qualquer infração, ou
(h) qualquer processo por qualquer delito cometido ou alegadamente cometido por ele, a resolução de tal processo ou a sentença de qualquer tribunal em tal processo.

Então, digamos que este aplicativo colete o que, com certeza, conta como dados sobre um assunto “saúde ou condição física ou mental”. Ele pergunta sobre condições médicas anteriores, registra seu peso e pressão arterial, ou padrões de sono, ao longo do tempo.

Se ele coleta informações que contam como dados pessoais confidenciais, o que acontece?

Se os dados pessoais para este aplicativo não forem confidenciais, isso parece um formulário de admissão bastante compatível. Parece que deveria ser um caso claro de interesses legítimos.

Você está se inscrevendo para usar o aplicativo. Você deseja usar o aplicativo. Você concorda em usar o aplicativo.

E o aplicativo rastreia sua forma física.

Claro, parece legítimo para você, que eles solicitem dados sobre sua forma física. Além disso, há uma política de privacidade acessível e uma declaração de termos de condições, se você quiser saber como esses dados são usados.

Mas existem condições de processamento adicionais que devemos seguir, se forem “dados pessoais confidenciais”.

Interesses legítimos não contam mais como condição de processamento.
Se você optar por processar com base na condição de consentimento, ele não precisa mais ser “sem ambiguidade” – tem que ser “explícito”.

Isso significa que apenas clicar no botão “Sign Me Up” não é suficiente.

O GDPR diz que você precisa de uma declaração que “especifique a natureza dos dados que estão sendo coletados, os detalhes da decisão automatizada e seus efeitos, ou os detalhes dos dados a serem transferidos e os riscos da transferência” (Diretiva 95/46/ CE, artigo 29.º).

Ou, como a ICO divide:

Isso sugere que o consentimento do indivíduo deve ser absolutamente claro. Deve abranger os detalhes de processamento específicos; o tipo de informação (ou mesmo a informação específica); as finalidades do processamento; e quaisquer aspectos especiais que possam afetar o indivíduo, como quaisquer divulgações que possam ser feitas.

E ENTÃO, uma vez que as pessoas saibam tudo isso, você precisa solicitar uma ação explícita delas. Tipo, marcando uma caixa que diz “Concordo” ou “Concordo”.

Basicamente: eles devem saber tudo o que você está fazendo com esses dados. E eles devem dizer claramente que estão de acordo com isso – com uma ação afirmativa.

Portanto, se se trata de dados pessoais confidenciais, apenas colocar sua política de privacidade e termos de serviço em letras pequenas após o formulário não é suficiente. Você teria que garantir que as pessoas tivessem a chance de lê-lo e, em seguida, marcar uma caixa ou clicar em um botão que diz “Concordo”.