RGPD – Guia Completo

O Regulamento Geral de Protecção de Dados (RGPD) passas a ser obrigatóprio para todos a partir de 25 de Maio de 2018. A sua empresa já está preparada? Tudo o que precisa de fazer na prática para ficar em conformidade neste Guia Completo do RGPD.

  • Qualquer cidadão tem o direito à proteção das suas informações pessoais e de as aceder e/ou corrigir sempre que o solicitar;
  • Qualquer um dos seus dados pessoais deve ser processado de forma justa para fins específicos e apenas com o seu consentimento ou em alternativa, com base jurídica estabelecida por lei.
  • O cumprimento destas regras deve estar sujeito a controle para garantir que os fornecedores de Serviços, Softwares e Sistemas asseguram a proteção de dados.

Com certeza que já receberam muitos emails de empresas como a EDP, PT, Zon, Sonae e afins a dar conhecimento das novas condições de serviços. E práticamente nada mudou, apenas se limitam a detalhar de que modo estão em acordo com o RGPD.

Mas uma pequena ou média empresa, nem sequer ouviu falar da CNPD (Comissão Nacional de Proteção de Dados), nem sequer tem uma estrutura legal complexa que acautele todos os parâmetros do RGPD.

O que são dados pessoais

De uma forma simplista são todos os dados que permitem a identificação de uma pessoa, seja o seu nome, idade, email.
Algo muito importante de referir é que um email que contenha o nome de uma pessoa é um dado pessoal, assim amalia@globaltraders.pt é considerado um dado pessoal, mesmo que o email seja de um dominio empresarial. No que se refere ao email comercial@globaltrader.pt não é considerado email pessoal, no entanto se o registar na sua base de dados associado a um nome, Amália, terá de ter em conta que esses dados têm que ser protegidos.
Em termos de email marketing, desde que não identifique o receptor (Amália) e o email seja empresarial, não existe limitação (não crie SPAM!).

Existem 3 categorias de dados segundo o RGPD.

  1. Dados pessoais – toda a informação pessoal que o identifique, direta ou indiretamente, como obviamente o nome, morada, email, o número de telefone e telemóvel, bem como quaisquer dados genéticos, físicos, fisiológicos, económicos ou culturais, que aponte para uma única pessoa. Ou seja, a data de nascimento do cliente mas também pode ser tão subjetivo como “alguém que come vidro ao pequeno-almoço”, se tal permitir que os outros, o identifiquem como sendo essa pessoa específica, então isso é considerado um dado pessoal também!
  2. Dados Anonimizados  – A anonimização de dados (tratados de forma a serem anónimos) é a conversão irreversível de dados privados em dados não identificáveis. É conseguido quer através da substituição dos dados, quer pela redução da granularidade e por isso usa critérios para classificar os sujeitos num grande grupo de pessoas, em vez de um indivíduo específico, por exemplo, o uso do Código Postal mais amplo em vez de usar o completo com a indicação da freguesia (removendo parte da granularidade).
  3. Dados Pseudo-Anonimizados – é um processo semelhante ao de anonimização, mas difere, permitindo que seja reversível: tornar a re-identificação do sujeito de dados possível. O pseudo anonimato é incentivado pelo próprio regulamento como forma de reduzir os riscos para os sujeitos a dados e ajudar os controladores como o Incomaker a alcançarem a protecção de dados necessária. Um exemplo de dados passíveis de inversão são as Cookies.

Como o Incomaker o pode ajudar caso os clientes queiram exercer os seus direitos

O Incomaker disponibiliza todos os recursos e ferramentas necessárias para que os seus clientes e utilizadores possam exercer os seus direitos sobre os dados dos quais é responsável.

Direito à retificação: os seus clientes podem solicitar que as suas informações sejam atualizadas ou corrigidas. O Incomaker pode inserir automaticamente botões no cabeçalho e no rodapé do seu email, através dos quais os contatos que recebem o email podem facilmente editar a subscrição (ao clicar no botão para anular a subscrição, unsubscribe, o destinatário da comunicação poderá editar os segmentos ou listas às quais está adicionado, permitindo assim que o seu cliente não desista de todas as suas comunicações e o ajude a segmentar de forma mais precisa).

Direito a ser esquecido: os seus clientes podem solicitar que as suas informações sejam esquecidas e eliminadas da sua plataforma (salvo os casos em que legalmente tal não é possivel, como dados de faturação). Ou seja, que qualquer informação tratada e recolhida até esse momento, seja eliminada. Envie um email para info@incomaker.com indicando um dado que o identifique (ex: email) e que deseja que seja eliminado.

Direito à portabilidade: os clientes podem solicitar que as suas informações sejam transmitidas para outra organização ou para um concorrente. Pode exportar as bases de dados dos seus clientes para p formato CSV.

Direito à oposição: as pessoas envolvidas podem solicitar que as suas informações não sejam objeto de certos processamentos ou usos. Pode ser realizada através de opt-out.

Direito de acesso: os seus clientes têm o direito de conhecer todos os dados coletados sobre elas e qual o seu tipo de utilização. Neste caso solicite-nos um modelo de termos e serviços para os seus cookies (portugal@incomaker.com) ou utilize os nossos (Cookies).

Qual o papel da sua empresa?

O novo regulamento (RGPD) será aplicado diretamente em cada país da União Europeia (EU) e a países não pertencentes à UE que armazenem dados pessoais dos cidadãos de países UE, permitindo assim consistência das regras entre os países sobre os direitos da privacidade dos cidadãos.

De acordo com o 4º artigo do RGPD são identificadas os seguintes papéis/funções:

Data controller: Controlador – Qualquer organização que recolhe e processa dados pessoais. Se é um cliente do Incomaker (ou qualquer plataforma de CRM, email marketing, então é um controlador das bases de dados.
Data Processor: Processador – Qualquer organização que, tal como o Incomaker, trate e processe os dados pessoais em nome do controlador.

Multas e como as evitar

Dispostas no nº 5 do artigo 83ª este determina que as multas em casos menos graves podem atingir 10 milhões de euros ou 2% do volume total de negócios, como por exemplo:
-Ausência de comunicação de violações de dados à autoridade nacional que rege esses dados, no caso, a CNPD (aqui deve ser você a informar a entidade);
-Não cooperação com as autoridades.

Em casos mais graves podem atingir 20 milhões de euros ou 4% da faturação, como por exemplo:
– Incumprimento das regras de consentimento;
– Transferências internacionais de dados (se os dados dos clientes são transferidos para fora da União Europeia, sem qualquer conhecimento e/ou consentimento).

No entanto, o Governo português decidiu ainda definir valores mínimos das coimas na proposta de lei aprovada em Conselho de Ministros, com valores específicos para pequenas e médias empresas (PME). No caso de uma contra-ordenação grave, as coimas mínimas previstas são 1000€ para PME e 2500€ para grandes empresas. No caso de uma contra-ordenação muito grave, as coimas mínimas previstas são 2000€ para PME e 5000€ para grandes empresas.

A proposta de lei determina também que as coimas não se apliquem às administrações públicas durante 3 anos.

O que pode acontecer no pior dos cenários?

1- Alguém recebe uma mensagem de Email ou SMS (ou por outro canal);
2- Apesar de ter opção na mensagem para se opor ou remover a subscrição, esta pessoa prefere procurar informação para realizar uma queixa, e entra no site CNPD onde realiza a queixa;
3- O CNPD demora um “certo” tempo até dar seguimento à mesma, e possivelmente irá abrir um inquérito;
4- A empresa visada, defende-se durante o inquérito, com informações de opt-in, opt-out, ePrivacy, Artigo 16.ª (Comunicações não solicitados), interesses legítimos, não interferência grave com os direitos e as liberdades fundamentais da pessoa, etc;
5- Se existir irregularidades a CNPD aplica a normal recomendação para melhoria de processos;
6- Mesmo que, existisse uma multa, a proposta de lei que assegura a implementação do RGPD em Portugal as coimas mínimas passam de 500€ a 5000€.
7- As multas serão aplicadas em caso de problemas muito graves que coloquem em causa os direitos fundamentais da privacidade dos consumidores.
8- A empresa pode levar o caso para tribunal e mesmo que a coima não passe a ser zero, a decisão ainda é passível de recurso.

Tenho consentimentos, mas anteriores ao RGPD. Devo pedir novos consentimentos?

Na maioria dos casos, não há nenhuma necessidade, mas existe uma exceção: se pediu o consentimento para processar os dados a fim de enviar um tipo de conteúdo diferente do que está a enviar agora, por exemplo: na inscrição comprometeu-se a enviar apenas dicas ou informações relevantes para a utilização dos produtos adquiridos, no entanto está a enviar campanhas de marketing, promoções, etc.

O RGPD prevê mais motivos legais para o processamento de dados?

Mesmo sem o opt-in tradicional, a lei permite que os dados sejam tratados quando, por exemplo, existe um legítimo interesse por parte do consumidor. Um contrato onde esteja já espelhado o âmbito e tratamento dos dados é também suficiente à luz do RGPD.

Mesmo sem opt-in está legal quando existe:
Contrato com o titular dos dados/obrigação legal: um bom exemplo é a relação entre qualquer empresa e cada um de seus funcionários. Existe um contrato entre ambos, bem como uma exigência legal para processar dados.
Legítimos interesses: exemplo de um interesse legítimo é o de uma cadeia de lojas no retalho pedir códigos postais dos seus cliente (a ToysRus, por exemplo já o fez), com o objectivo de analisar o interesse de abrir nova filial numa outra localização geográfica; outro exemplo é a personalização do e-mail marketing mensagens, porque desta forma irá melhorar a experiência do destinatário.

Boas Práticas

Temos que voltar a reforçar, o consentimento deve ser muito claro quanto ao âmbito, tema, tempo e deve incluir tudo o que faça sentido informar. Vamos sugerir alguns aspectos que deve ter em conta quando solicita o consentimento.

Recomendações:
– Se tem a intenção de ceder os seus dados a terceiros, seja claro sobre quais as entidades ou empresas com as quais estará a partilhar os dados pessoais;
– Se o na bases dos seus clientes incluir menores de idade, não se esqueça de perguntar a idade ou solicitar autorização aos responsáveis legais antes de pedir o consentimento;
– Certifique-se que guarda toda a informação relativa ao momento em que o consentimento é dado (data/hora, IP, dados fornecidos, etc). Se usa o Incomaker, não precisa de se preocupar, pois essas informações são registadas automaticamente;
– Atualize os seus termos e condições do serviço para esclarecer os seus clientes sobre a forma como os seus dados são tratados e qual a sua finalidade;
– É um bloggerafiliado ou produtor de conteúdos?
Assumindo que envia apenas conteúdo informativo (ex: os últimos posts do seu blog), assim sendo, não existe um contrato de prestação de serviços, por isso apenas deverá ser necessário pedir esse tipo de consentimento. No entanto, se usar a sua base de dados para promover serviços, o que é comum se é também um afiliado e trabalha com sistemas de afiliação então deve solicitar também esse tipo de consentimento.
– É uma agência?
Aqui assume o papel de processador ao lidar com as bases de dados dos seus clientes. Deve portanto educar os seus clientes sobre os consentimentos anteriores à entrada em vigor do RGPD e ajudar na sua implementação.

Em caso de dúvida, peça uma consultoria jurídica para aconselhamento legal.

Com o Incomaker poderá criar um modelo de formulário que pode personalizar à vontade para solicitar consentimento de acordo com o Novo Regulamento.

Exemplos de Comunicações

Dependendo do tipo de negócio e dos seus objetivos são utilizados vários tipos de comunicações diferentes. Reunimos algumas das mais comuns que podem ser transversais a vários tipos de negócio ou atividade e que devem ter um consentimento antecipado por parte do destinário/cliente.

Boas vindas de um subscritor
Confirmação de um webinar
Questionários ou Reviews
Anúncios de Passatempos
Conteúdo Promocional
Lançamento de Novos Produtos
Anúncios de Eventos
Up selling / Cross Selling


Esperamos que este guia seja esclarecedor o suficiente para entender que o RGPD não é algo extremamente complexo e que existe um dever de informar os seus clientes sobre que tipo de dados recolhe e a sua finalidade.