Cumprir com o GDPR pode ser terrivelmente frustrante, uma vez que tem uma quantidade incrível de informação a flutuar por toda a parte na web.
Algumas das peças de conteúdo encontradas online são difusas e não trazem os detalhes de que realmente precisa para se tornar conforme. Uma lista de verificação do GDPR é ouro puro, porque lhe oferece um guarda-chuva contra as multas anunciadas.
Embora o cumprimento da GDPR pareça ser muito trabalho, organizar e estruturar essa carga de trabalho, pode facilitar consideravelmente as coisas.
Uma lista de verificação é o primeiro passo na sua viagem para cumprir com o novo conjunto de regulamentos. Afinal de contas, é preciso começar por algum lado.
A pedra angular do GDPR é o consentimento. Era necessário o consentimento antes da GDPR, mas era muito mais simples obtê-lo. Agora, no contexto dos novos regulamentos, a obtenção do consentimento já não é uma coisa certa. A GDPR afirma claramente que, a menos que esteja envolvido um interesse legítimo, fazer com que os clientes digam sim tem de ser feito de forma explícita, utilizando linguagem clara, e esclarecendo as razões pelas quais o consentimento é solicitado. O utilizador precisa de saber exactamente para que vão ser utilizados os seus dados pessoais e por quem.
Ter interesse legítimo não é igual a ter consentimento, uma vez que os dados obtidos não podem ser utilizados para outros fins que não os implícitos.
Uma vez obtido o consentimento de forma heróica, é necessário registá-lo e salvaguardá-lo, estando também preparado para o entregar quando solicitado como tal. Até agora, tudo bem, mas em termos de cumprimento da GDPR, o que significa isso exactamente?
Bem, em conversa simples, terá de injectar algum dinheiro ou tempo para desenvolver um novo desenho de pedido de consentimento, esquecendo tudo sobre essas caixas pré-colocadas, fornecendo aos utilizadores informação extensiva sobre as suas acções, actualizando os seus termos e condições, e não os escondendo mais em letras miúdas. Está de acordo?
O seu parceiro profissional de comércio electrónico
Sem integrações de terceiros. Sem custos ocultos. Sem desperdício de tempo.
Apenas uma solução tão única como as necessidades do seu negócio.
Com esta lei de protecção de dados recentemente melhorada, o sujeito dos dados, ou seja, qualquer pessoa identificável, ganhou alguns direitos interessantes, daí o DSR, que é realmente curto para os Direitos do Sujeito dos Dados. Todos eles são simples e compreensíveis, mas de alguma forma, durante a última década, nunca lhes demos qualquer reflexão real.
Se o fizéssemos, entraríamos certamente em modo de pânico e sentiríamos a necessidade explícita de apresentar estratégias de marketing alternativas. No entanto, estes direitos são os que o farão deixar de ser um negócio rebelde para se tornar um negócio em conformidade com o GDPR. Por isso, vamos levá-los um de cada vez e ver o que fazer a seguir.
Precisa de armazenar e organizar toda a informação que tem sobre os seus clientes. O simples facto de lhes dar um e-mail com números e letras rabiscados no interior não serve. Tem de fornecer aos clientes informação estruturada e fácil de compreender, num formato comum.
Em termos de cumprimento, pode imaginar que isto implica vários investimentos em novas ferramentas que proporcionariam aos utilizadores um acesso fácil ou que estruturariam a informação que tem sobre eles e simplificariam o processo, optimizando-o o melhor possível.
Sem entrar em discussões filosóficas sobre a condição humana, os indivíduos têm esse direito e são obrigados a fornecer-lhes o enquadramento.
Se receber um pedido de apagamento, tem de o pôr em prática. A parte complicada aqui é o prazo, pois é mencionado que o controlador de dados precisa de agir "sem demora injustificada". Em linguagem simples, isto significa rapidez, mas em linguagem jurídica, as coisas são um pouco confusas. Só se pode assumir que a ideia é de facto agir rapidamente.
Agora, pensando na implementação, é vital compreender que quando o indivíduo pede para ser esquecido, é necessário apagar todos os dados existentes sobre ele e isto inclui cópias, armazenadas na nuvem ou recolhidas por terceiros.
Assim, será necessário ter sistemas que identifiquem rapidamente os dados, os locais em que são armazenados e garantam um apagamento rápido.
A partir do dia 25 de Maio, todos os utilizadores podem solicitar a correcção das suas informações.
É preciso descobrir uma forma de o poderem fazer. Mais uma vez, cumprir com a GDPR significa investir em ferramentas.
Isto implica que é obrigado a enviar todos os dados que possui sobre um indivíduo a uma organização diferente, num formato estruturado e comummente utilizado, caso lhe seja pedido pelo sujeito dos dados.
Como era de esperar, isto exigiria, naturalmente, a montagem de um sistema robusto, através do qual a portabilidade pudesse ser facilmente feita.
Isto implica que é obrigado a enviar todos os dados que possui sobre um indivíduo a uma organização diferente, num formato estruturado e comummente utilizado, caso lhe seja pedido pelo titular dos dados. Como esperado, isto exigiria, naturalmente, que criasse um sistema robusto, através do qual a portabilidade pudesse ser facilmente feita.
Embora tenha obtido o consentimento, o utilizador pode mudar de ideias e decidir contra si, opondo-se ao facto de estar a processar dados pessoais. Nesta situação, não tem outra alternativa a não ser cumprir e cessar o tratamento de dados pessoais.
Assim, notou uma brecha no sistema. É tempo de se interrogar: O que é que a GDPR esperava que eu fizesse?
Se este dia chegar, assim que se aperceber da violação, terá de identificar a ameaça. Comece a agir como se estivesse a ser atacado.
Em primeiro lugar, tem a ameaça em consideração. Se a violação de dados for considerada uma ameaça para os utilizadores, o controlador de dados tem de anunciar a Autoridade de Supervisão da GDPR no prazo de 72 horas após a identificação da violação. Depois disso, os utilizadores também precisam de ser informados.
É-lhe concedida autorização. O seu cliente disse que eu faço a pergunta de consentimento. Não alimente as suas esperanças, embora hoje em dia pedir o consentimento pareça realmente mais difícil do que qualquer outra coisa. Agora, tem de assegurar todos esses dados pessoais. Certifique-se de que os dados pessoais do utilizador são bem tratados, salvaguardando-os através de vários meios, tais como a encriptação ou a anonimização. Vai utilizar os dados pessoais, relaxe! Vai ter de o fazer de forma diferente. A melhor forma de utilizar dados pessoais sem pôr em risco a segurança é através da Pseudonimização. Os dados ainda são guardados em segurança, mas pode analisá-los, fazendo deste método a combinação final.
Não se deve confundir as coisas aqui, pois a anonimização e a pseudonimização são dois conceitos completamente diferentes. A GDPR reuniu-os, sob o guarda-chuva da segurança, por uma razão muito boa.
Enquanto a anonimização destrói completamente qualquer hipótese de identificação do utilizador, a pseudonimização, este assassino do Zodiac do mundo informático, substitui a identidade do sujeito dos dados por informações adicionais, criando uma linguagem codificada. Os dados ainda estão protegidos mas podem ser utilizados para fins de investigação.
O seu parceiro profissional de comércio electrónico
Sem integrações de terceiros. Sem custos ocultos. Sem desperdício de tempo.
Apenas uma solução tão única como as necessidades do seu negócio.
O GDPR vem com muitas mudanças. Pedir consentimento é uma obrigação, tal como armazenar e salvaguardar os dados recebidos. O utilizador tem o poder e, por muito que tente, não há como recuperá-lo. É tudo uma questão de conformidade com a nova ordem.
Desenterre novas estratégias de marketing, comece a investir em ferramentas para melhorar os seus sistemas já existentes, e organize os dados de que já dispõe para optimizar e racionalizar ainda mais o seu processamento futuro. Tempos de grande tensão à frente, mas com um plano forte, uma mente organizada, esta lista de verificação e uma equipa de feiticeiros informáticos trabalhadores, o cumprimento da GDPR é tão bom como feito.
Declaração de exoneração de responsabilidade: Tenha em conta que este artigo não deve ser tratado como aconselhamento jurídico no cumprimento do GDPR. O único objectivo deste artigo é facilitar uma melhor compreensão da lei aprovada da UE sobre privacidade de dados.
Se necessitar de aconselhamento jurídico sobre o assunto, pedimos-lhe que procure a assistência de um advogado, que possa aplicar o GDPR às necessidades específicas da sua empresa.