Como Preparar Sua Organização para o GDPR: 6 Dicas Práticas que Funcionam

25 de maio de 2018 — o dia em que o GDPR entra oficialmente em vigor — está se aproximando rapidamente. Uma das regulamentações mais rigorosas até o momento, o GDPR visa garantir a coleta, processamento e armazenamento seguros e legais dos dados pessoais dos cidadãos da UE. Portanto, não é de se admirar que o FUD (medo, incerteza e dúvida) esteja crescendo rapidamente.

Para ajudá-lo a se preparar para o GDPR e evitar pânico durante a auditoria de conformidade com o GDPR, entramos em contato com várias empresas e fizemos a seguinte pergunta: Quais medidas sua organização adotou para cumprir com o GDPR e que conselhos você pode dar para aqueles que estão apenas começando? Recebemos muitas respostas úteis e até surpreendentes, e estamos ansiosos para compartilhar as seis principais respostas.

Jose Romero, Estrategista Digital Sênior

Overit, uma agência de marketing digital full-service (Albany, Nova York, EUA)

O GDPR tem algumas implicações importantes para a nossa empresa, bem como para os nossos clientes, muitos dos quais possuem negócios internacionais que dependem de comunicação frequente com potenciais clientes, consumidores e outros stakeholders chave na UE. O consentimento é importante, por isso começamos a falar com nossos clientes e a educá-los sobre como obter o consentimento apropriado dos usuários dos quais mantêm registros ou planejam contatar num futuro próximo.

Internamente, nossa equipe começou a se preparar vasculhando nossas listas de contatos para eliminar quaisquer registros de indivíduos com os quais não mantemos mais relacionamento e atualizar registros daqueles que assumiram novas posições e ainda estão interessados em receber notícias de nós. Isso inclui, mas não se limita a, leads frios, leads perdidos, contatos devolvidos, endereços desengajados e listas de mídia.

Também iniciamos o processo de reformulação da nossa política de privacidade em nosso site e estamos revendo como coletamos endereços, e continuamos trabalhando para melhorar nossa comunicação geral com as partes interessadas, tanto para contatos nacionais quanto internacionais.

Esta não é a primeira vez que tivemos que reforçar nossas práticas de conformidade internacional. No passado, tivemos que lidar com CASL (Canadian Anti-Spam Law) e tomar precauções ali, e tenho certeza de que esta não será a última vez. Como regra geral, mudanças na legislação no exterior tendem a definir o tom para a indústria, então nossa intenção não é apenas cumprir com CASL ou GDPR, mas garantir que nossa marca esteja de forma responsável e proativa verificando possíveis mudanças na legislação de marketing e privacidade internacionalmente.

Karolina Rut, Especialista em Comunicação

Sparkbit, uma empresa que oferece serviços de terceirização de desenvolvimento de software e consultoria de TI (Varsóvia, Polônia)

A entrada em vigor do GDRP traz grandes mudanças para PMEs como a nossa. Em primeiro lugar, consultamos um advogado especializado em proteção de dados pessoais para entender melhor o que a lei do GDPR implica e como nossa empresa deve proceder para cumprir. Depois, começamos a analisar quais dados temos, quem tem acesso a eles, como estão protegidos e quais são os potenciais riscos de comprometimento dos dados.

Preparamos uma lista muito detalhada de cada documento contendo dados sensíveis e especificamos como ele é armazenado (cópia impressa, em um disco de computador, na nuvem, etc.). Agora nosso foco é criar regras para o manuseio de cada tipo de dado sensível, como quem pode acessar que tipo de dado, onde ele deve ser armazenado e por quanto tempo, quais documentos têm que ser impressos e trancados, quais documentos podem ter uma versão digital, etc. Também estamos preparando um acordo de confidencialidade específico para nossos funcionários.

Neste momento, sentimo-nos meio preparados para a entrada em vigor do GDPR. A última coisa que resta é criar uma lista de potenciais riscos para a nossa organização e dados, juntamente com o seu impacto e recomendações de controle, para que possamos evitá-los.

Ruth Carter, Proprietária/Advogada

Carter Law Firm, a empresa-mãe para as atividades de palestras e escrita profissional de Ruth Carter, uma advogada licenciada no Arizona e uma autoridade em propriedade intelectual, contratos empresariais e direito da internet (Phoenix, Arizona, EUA)

Sou um advogado da internet que aconselha clientes sobre conformidade com o GDPR, e estou me preparando para o GDPR na minha própria empresa. Além de atualizar a política de privacidade da empresa, adicionei a confirmação dupla à nossa lista de e-mails e estou pedindo à minha lista de e-mails atual para reconfirmar a inscrição. Qualquer um que não confirmar a inscrição e que eu não conheça e não possa verificar a residência será removido da lista de e-mails.

Estes são os meus principais conselhos para empresas que trabalham com conformidade:

• Ou leia a lei com atenção por conta própria, ou consulte um advogado ou um fornecedor de confiança.
• Utilize a confirmação dupla para a sua lista de e-mails.
• Não adicione ninguém à lista de e-mails sem o seu consentimento explícito.
• Seja transparente sobre quais dados você coleta e como eles são utilizados.
• Colete apenas os dados de que precisa.
• Permita apenas que funcionários e contratados acessem isso com base na necessidade de saber.
• É melhor pecar pelo excesso de cautela; a multa por violar esta lei é de milhões de dólares.

Hannah Whitehouse, Gerente de Marketing de Conteúdo

Bouncezap, criador de uma ferramenta de marketing de geração de leads usada por empresas para aumentar sua taxa de conversão (Londres, Reino Unido)

Como provedor de SaaS que trabalha com diferentes empresas, sabemos que proteger as informações dos nossos clientes é vital. Recentemente, temos nos concentrado em reescrever nossa política de privacidade para que nossos usuários, e particularmente nossos clientes, saibam como suas informações são utilizadas e que seus dados estão seguros. Operamos uma ferramenta de geração de leads que fornece análises sobre as campanhas dos nossos usuários; portanto, o GDPR é ainda mais importante para nós: Nossos usuários saberão que suas informações estão seguras e não serão utilizadas em nossos materiais promocionais sem sua expressa permissão.

Nos próximos dois meses, estaremos entrando em contato pessoalmente com os usuários para informá-los sobre nossa política, além de exibir claramente a nova política de dados no site, para que estejamos protegidos independentemente da página em que os visitantes acessem.

Aconselho as empresas preocupadas com a conformidade com o GDPR a começarem agora. Pergunte a si mesmo, você tem uma política de privacidade? Ela está em destaque no seu site? É vaga? É importante lembrar que sua política de privacidade e termos de uso são tanto para proteger você quanto para proteger seus usuários. Por fim, utilize a infinidade de fontes relacionadas ao GDPR online para garantir que não está faltando nada. A última coisa que sua empresa precisa é estar correndo contra o tempo, pouco antes do prazo final, ainda desprotegida.

Ian McClarty, Presidente

PhoenixNAP, um provedor global de serviços de TI que oferece soluções progressivas de infraestrutura como serviço a partir de locais em todo o mundo (Phoenix, Arizona, EUA)

Se eu pudesse dar um único conselho àqueles que serão afetados, seria “Não entrem em pânico.” Vimos o regulamento como uma ameaça iminente que teríamos que nos apressar para implementar. No entanto, o GDPR tem como objetivo proteger os dados pessoais dos cidadãos da UE, o que é um empreendimento louvável. Organizações que demonstram que estão fazendo o seu melhor esforço para colocar medidas de proteção de dados pessoais em prática não precisam se preocupar com as regulamentações afetando suas operações diárias ou receita.

Muitos requisitos estão longe de ser claros, e as organizações têm que usar seu melhor julgamento ao decidir sobre um plano de implementação. Portanto, faça o seu melhor para cumprir com o GDPR e não seja excessivamente confiante na sua preparação para ele.

Qualquer organização que deseje estar preparada deve tomar as seguintes medidas mínimas:

• Passo 1: Garanta que a liderança esteja a bordo e conduzindo a mudança. Qualquer esforço para implementar as políticas e procedimentos necessários para a conformidade exige a adesão de todos os executivos de nível C e a expectativa de que essas mudanças afetarão todas as equipes em todos os níveis.
• Passo 2: Realize uma análise de dados minuciosa. Procure por todos os dados pessoais armazenados em todos os sistemas em qualquer lugar. Este não é um esforço pequeno e pode levar meses.
• Passo 3: Determine a base para o consentimento de todos os dados. Uma vez que você saiba quais dados possui, descubra por que os armazena em primeiro lugar. Isso não é apenas um exercício para justificar por que você “quer” armazenar dados. Em vez disso, este passo garante que você tenha um motivo legal e justificável para manter esses dados.
• Passo 4: Defina uma política de retenção. Você precisa determinar por quanto tempo reter os dados e o que fazer com eles (deletá-los, arquivá-los ou anonimizá-los) uma vez que não precisar mais deles ou não possa mais mantê-los legalmente.
• Passo 5: Treinar a equipe. Embora treinar toda a sua equipe seja benéfico, inicialmente, você vai querer focar no pessoal da linha de frente que atende solicitações dos clientes. Em seguida, treine a equipe de back-end que gerencia e mantém os sistemas e softwares onde os dados pessoais são armazenados, e a equipe técnica encarregada de projetar, arquitetar e construir novos sistemas e softwares que precisam seguir as políticas de dados.

Sophie Miles, CEO e Cofundadora

QuotesAdvisor.com, uma empresa que oferece comparação gratuita entre empréstimos pessoais, créditos hipotecários, créditos pignoratícios, cartões de crédito, cartões de débito e seguros de carro (Torino, Itália)

Decidimos não solicitar informações pessoais dos nossos usuários. Embora essa escolha signifique perder terreno em relação a ferramentas de marketing, como fidelização de clientes e CRM, fizemos alguns cálculos e concluímos que seria necessário 26% mais financiamento para alterar nossas unidades de armazenamento de dados e o site para alinhá-los com os requisitos do GDPR, em vez de apenas atualizar nosso site e não coletar mais dados pessoais.

Especificamente, decidimos remover os formulários de entrada para informações básicas de identidade, como nome, endereço e números de identificação. Assim, podemos concentrar nossos esforços no banco de dados de nossos clientes, que é muito menor e vital para o nosso negócio.

A nossa recomendação para quem acabou de começar é focar na base de dados mais importante. Antigamente, tínhamos informações sobre tudo, mas descobrimos que usávamos apenas uma fração delas.

Considerações finais

Não existe uma fórmula universal para alcançar a conformidade com o GDPR. No entanto, se você se preparar determinando quais dados possui e o que realmente precisa, e estabelecer políticas adequadas, pode parar de entrar em pânico — você não apenas sobreviverá na era do GDPR, mas também se beneficiará dela.