Dados pessoais e RGPD: está pronto?

No mês de maio de 2018, o RGDP (Regulamento Geral de Proteção dos Dados) começará a ser aplicado nos países da União Europeia. Um documento elaborado, já de longa data, que altera muitas coisas para as empresas, relativamente à manipulação de dados pessoais… por outras palavras, todas as empresas estão virtualmente envolvidas! Protetor e mais legível ao mesmo tempo, este novo regulamento vai impor novas obrigações às empresas, e nomeadamente às empresas cujo big data faz parte do coração do negócio. Alterações que vão ter impacto tanto sobre os anunciantes como sobre as agências. Explicações.

Os três grandes princípios do RGPD

Privacy by design, accountability e responsabilidade conjunta entre responsáveis de tratamento e subcontratantes. Três princípios que podem parecer um pouco obscuros à primeira vista, mas que fazem, no entanto, parte das novas obrigações, transformando a forma de gerir os dados.

Privacy by design

O termo design não tem, neste contexto, nada a ver com a arte ou a ilustração. Significa “desde a conceção”. Privacy by design poderia ser traduzido por “proteção pensada por defeito e desde a criação de qualquer projeto que implique um tratamento de dados?. Para além do campo semântico, o que conta é adaptar o quadro em que os dados são recolhidos e utilizados. De facto, a proteção de dados pessoais não é uma filosofia ou um simples valor. É um princípio arvorado em regra. Cada empresa deve provar que integra a questão da proteção e da segurança dos dados desde a implementação do tratamento. É, por conseguinte, uma restrição que permite regular melhor o fluxo. Possui uma nova aplicação móvel? Uma nova estratégia de emailing? Conteúdos para partilhar com a sua comunidade? A questão da gestão dos dados deve ser considerada da mesma forma que o webdesign, a experiência do utilizador ou os seus objetivos comerciais.

Accountability

Este princípio é o da responsabilização das pessoas encarregadas de um tratamento de dados pessoais. Cada empresa deve avaliar a sua política e a gestão dos riscos envolvidos para preparar as respostas adequadas. O que fazer em caso de ataques cibernéticos, de roubos de dados ou de hacking? Como é que os seus dados passam pelos seus serviços e quem pode ter acesso a eles? O que faz para os proteger, respeitando a confidencialidade e certificando-se de que os pedidos de supressão ou de alteração estão bem implementados? Este trabalho de responsabilização comum e global exige o envolvimento de todas as partes interessadas da empresa, que devem ser coordenadas por um piloto, responsável pela missão ou representante na pessoa de um Encarregado de Proteção de Dados (geralmente chamado “DPO” para Data Privacy Officer). É impossível abdicar das políticas internas ou dos antigos processos. A partir do momento em que implementa tratamentos de dados pessoais para prosseguir um objetivo específico (exemplo: recolha de dados para uma campanha de emailing), torna-se responsável e deve ser capaz de responder perante a CNIL acerca das medidas implementadas, no âmbito da proteção e segurança dos dados tratados.

Responsabilidade conjunta entre responsáveis de tratamento e subcontratantes

Ao passo que numerosas empresas recorrem a subscontratantes, filiais ou parceiros para tratar informações ou trabalhar com os seus dados, a diluição da responsabilidade impedia qualquer consciencialização e boas práticas responsáveis. A implementação do RGPD obriga as empresas, que delegam tarefas a subcontratantes, a certificar-se de que estes últimos respeitem bem as novas regras. Os subcontratantes devem, por conseguinte, dar cumprimento às novas exigências do RGPD e demonstrar que tratam todos os dados externos dos seus clientes da mesma forma. Se uma empresa falhar relativamente ao seu cumprimento, não poderá responsabilizar o seu parceiro.

Formar bem os seus colaboradores segundo o RGPD

Considerando que se aplica a todos os setores e todos os serviços da empresa (marketing, comunicação, comercial, apoio a cliente, recursos humanos, etc.), o RGPD implica uma implementação estruturada no seio da empresa. Todos devem estar sensibilizados para tal: desde o comercial que utiliza uma ferramenta CRM para efeitos de prospeção, ao marketing manager que faz inbound marketing, passando pelo assistente de RH que procura novos talentos no Linkedin.

Esta sensibilização passa nomeadamente por sessões de formações adaptadas. Nem todos necessitam conhecer todos os detalhes acerca do RGPD. No entanto, todos devem estar cientes dos impactos sobre determinadas funções realizadas no seio da empresa. A construção e a divulgação de formações, à distância ou presenciais, são fundamentais sobre este assunto. As formações devem ser regularmente atualizadas e os conhecimentos devem ser regularmente verificados. Neste caso, é a da responsabilidade da empresa em questão assegurar-se de que os seus empregados conhecem os direitos, deveres e obrigações previstos no RGPD.

Conformidade com o RGPD: uma marca de confiança

Para as empresas, tais como a Kwanko, que gerem milhões de dados e que desempenham o papel de intermediários e de facilitadores com os anunciantes, a conformidade com o RGPD é uma garantia de confiança. É um trabalho que foi, em larga medida, antecipado, e que permitiu transformar uma restrição legal em oportunidade organizacional, para otimizar e repensar o modo como gerimos os dados pertinentes, úteis e de elevado valor acrescentado para os nossos clientes. Repensar numa política interna neste sentido é indispensável para se adaptar ao setor do big data que evolui muito rapidamente. Um setor que traz novas garantias de qualidade e de confiança para trabalhar sempre de forma mais eficaz.

Preparar-se para o RGPD é um trabalho aprofundado que pode levar tempo. No entanto, no outono passado, muitos estudos revelaram que grande parte das empresas não estava pronta, nem ciente destes desafios. Daí a importância crescente em sensibilizar as pessoas a estas alterações, que permitirão à União Europeia adaptar-se melhor às novas realidades do digital.

E você, está pronto?