Como operacionalizar a conformidade com o RGPD

Se nos sistemas transaccionais os dados pessoais podem estar enquadrados por outras peças legislativas, em matéria de marketing e prospecção de negócio os cuidados devem ser redobrados.

Jorge Xavier, myPartner

Jorge Xavier, gestor de negócio e produto CRM na myPartner

Perceber com rigor que dados pessoais uma empresa detém é um dos principais passos para enfrentar a combinação do novo Regulamento Geral para a Protecção de Dados (RGPD) e a reformulação da Directiva europeia de privacidade de dados (de Janeiro 2017). Questionar se não será melhor ter menos dados, com melhores taxas de conversão, poderá ajudar a afinar os processos de conformidade com, sugere Jorge Xavier, responsável pela área de CRM da myPartner.

A referida Directiva (que ainda precisa ser transposta para o ordenamento jurídico de cada país) é mais especifica em matéria de comunicação digital e vai ao encontro da forma como os utilizadores hoje comunicam, actualizando a legislação anterior de 1995.

“Recorde-se que em 1995 nem toda a gente tinha PC em casa. Hoje, todos nós utilizamos regularmente uma multiplicidade de dispositivos e formas de comunicação”, desde os chats, ao correio electrónico, passando pelas redes sociais, além da utilização tradicional de um PC, entre outros), contextualizou o executivo.

Tanto o RGPD como a directiva ePrivacy estarão totalmente em vigor em Maio de 2018.

Em termos práticos, as empresas devem ter em conta que a definição de dados pessoais é agora muito mais extensa abrangendo tudo aquilo que possa identificar directa ou indirectamente o clientes. É o caso dos tradicionais nome, morada, número de cartão de contribuinte ou de carta de condução, endereço de correio electrónico, informação bancária ou informação fiscal, mas também “cookies”, endereços IP, dados de localização, perfis em redes sociais, entre outros.

“O principal desafio que sinto no contacto que tenho com as empresas é que há uma ideia do que é preciso ser feito, mas depois há uma grande dificuldade em operacionalizar com as soluções, com as equipas, a transposição do domínio jurídico, para o domínio das operações”, refere Jorge Xavier, responsável.

Para este executivo, um dos principais desafios colocados às empresas em matéria de tratamento dos dados será, inicialmente, “o trabalho de encontrar os dados que já se tem na empresa”. Segundo o RGPD, a empresa “será responsável pelo tratamento dos dados desde a concepção e por defeito”.

“Quando falamos em potenciais clientes, ex-clientes, prospecção, bases de dados que compramos fora para fazer divulgação, não temos outros direitos a proteger-nos, estamos mais expostos”, observa Jorge Xavier (myPartner).

Jorge Xavier assinala que, quando se fala de sistemas transaccionais, as empresas estão protegidas, ao abrigo de outros enquadramentos legais. “Quando precisamos de emitir uma factura ou prestar um serviço ao abrigo de um contrato activo ou uma activar uma garantia vamos precisar dos dados para a finalidade que vamos tratar em termos desse sistema transaccional”, concretiza.

Mas nas actividades que habitualmente as organizações associam ao marketing ou à prospecção de mercado, a situação é diferente: “quando falamos em potenciais clientes, ex-clientes, prospecção, bases de dados que compramos fora para fazer divulgação”, sistemas de marketing, de comunicação, de eCommerce, “não temos outros direitos a proteger-nos, estamos mais expostos”, frisa.

“O ónus vai passar a ser das empresas”, até porque deixa de haver a obrigatoriedade de fazer um pedido anterior a uma entidade como a comissão de protecção de dados.

“Vamos ter de estar em conformidade”, caso contrário “vamos ter um problema quando alguém se queixar”, sublinhou o responsável durante uma sessão de esclarecimento sobre CRM e o novo RGPD.

“Quanto mais intrometidos formos (e somos intrometidos quando fazemos uma campanha de telemarking, quando enviamos emails ou SMS não solicitadas). Quanto mais actividades destas tivermos, mais expostos estaremos”, alerta o especialista.

operacionalizacao_2Para o efeito, as empresas devem ter um sistema que, na perspectiva do relacionamento com o cliente, permita cadastrar dados pessoais, centralizá-los e garantir que nesta gestão da interacção com os clientes estão registados os consentimentos necessários”.

A sugestão de Xavier é, naturalmente, a utilização de um sistema de CRM, que “tem de ser utilizado numa perspectiva global da empresa ou grupo de empresas e não de uma perspectiva departamental”.

Ao consultar o artigo 25º do RGPD (na versão original em inglês “CRM by design”, mas em português “protecção de dados desde a concepção e por defeito”, constata-se que está previsto que o “responsável pelo tratamento de dados tem de aplicar, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas (…) destinadas a aplicar com eficácia os princípios da protecção de dados (…) e incluir as garantias necessárias no tratamento”.

Para estar em conformidade, as empresas vão ter de ser capazes de responder a questões como “que dados recolhem, como o fazem, onde estão, quem lhes pode aceder? Quem é o responsável? Como os usamos e controlamos e como os protegemos?”.

Além disso, o responsável pelo tratamento “terá ainda de aplicar medidas técnicas e organizativas para assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento”. Essa obrigação, aprofunda, aplica-se à quantidade de dados pessoais recolhidos, à extensão do seu tratamento, ao seu prazo de conservação e à sua acessibilidade.

Se as empresas não se colocarem em conformidade com o novo enquadramento legislativo, até Maio de 2018, correm o risco de “ser menos ágeis”, de “pecar pela inércia” e vão “ter medo”, Jorge Xavier.

Se as empresas nada fizerem para estarem em conformidade com o novo enquadramento legislativo, até Maio de 2018, correm o risco de “ser menos ágeis”, de “pecar pela inércia” e vão “ter medo”. Irá pensar “pelo sim, pelo não, não vamos comunicar, não vamos fazer campanhas, não vamos expor-nos com medo de queixas”.

O caminho a seguir é fazer algo “desde já para nos preparamos, para nos diferenciarmos da concorrência, para podermos usar os desafios que a nova regulamentação nos coloca de uma forma diferenciadora e mais ágil que a nossa concorrência”.

E porque fazer mais, não é necessariamente melhor, Xavier desafia as empresas a procurarem encontrar valor nos dados que têm. “Isto é um desafio”, frisou. “Se os dados pessoais de terceiros estão desactualizados, pertencem a pessoas que pediram para ser removidas, não têm oportunidades associadas nos últimos anos ou meses, não será melhor eliminá-los? Não será melhor ter menos dados duplicados, geridos pelo próprio cliente, com melhores taxas de conversão?”, questiona.

O novo regulamento (UE 2016/679, de 27 de Abril) será aplicado a partir de 25 de Maio de 2018, recordou o advogado José Varanda, durante uma sessão de esclarecimento promovida pela myPartner.

No mesmo local, Sandra Ferreira, CTO da Microsoft Portugal, confirmou que a plataforma de CRM da Microsoft, Dynamics, estará em conformidade com o novo RGPD em Outubro de 2017.




Deixe um comentário

O seu email não será publicado