GDPR – o que você precisa saber para trabalhar no novo milênio

Já ouvimos a expressão “Data is the new oil” (Dados são o novo petróleo) descrever a importância e o valor de dados na Era da Informação. 

Se isso é verdade – e penso que a maioria de nós tende a acreditar que sim – então todos nós somos verdadeiros campos de petróleo. E estamos sendo explorados sem termos certeza quem, onde, como e para quê estes dados estão sendo “refinados”. É possível que do outro lado alguém tenha armado um posto de gasolina e está ganhando dinheiro as nossas custas. E até que ponto você deve se importar com isso?

Os escândalos recentes do uso de dados para manipulação de resultado de eleições nos Estados Unidos, suposta influência russa e a conivência do Facebook trouxeram luz e atenção ao que estão fazendo com os dados que compartilhamos livremente, diariamente e indiscriminadamente no mundo digital.

A Europa passou uma lei que entrará em vigor dia 25 de maio deste ano estabelecendo novas regras e guias para o uso de informações pessoais. Esta lei está verdadeiramente revolucionando o mundo digital e talvez você tenha reparado a quantidade de emails que temos recebido de aplicativos, sites, ferramentas informando que os termos de uso mudaram. Eles estão se adequando e preparando para atuar sob as condições do GDPR – General Data Protection Regulation. Mal comparando, seria como um “Procon” dos dados.

Indiretamente estas mudanças afetam o seu trabalho a partir de hoje e para sempre. Há mais de um ano nas minhas aulas tenho alertado os alunos para os riscos e as oportunidades de se trabalhar numa sociedade baseada e dependente de dados. Eu destacava que quem quisesse trabalhar no mundo digital precisaria – além de entender de números, dados, programação básica – entender também da parte jurídica do uso de dados. Este dia chegou.

Já que consumidores são um conjunto de dados e nos relacionamos digitalmente com estas informações através de email marketing, retargeting, “clusterização”, segmentação, por exemplo, então, além de sabermos tratar dos Clientes, temos que saber tratar dos Dados. E tratar bem, muito bem.

Quem trabalha com clientes no exterior ou com parceiros que tem um pé na Europa já devem estar a par do assunto, mas destaco abaixo os principais pontos desta nova regulamentação. O que muda de fato?

Primeiro, vamos relembrar quais dados que, sensíveis ou não, dependem de consentimento (ou outra forma de legitimação) para tratamento por parte de terceiros:

  • Nome, endereço, telefone
  • Endereço de IP, cookies
  • Raça, religião
  • Informação de saúde e de genética
  • Dados biométricos
  • Orientação sexual e gênero

O GDPR cita os seguintes direitos aos donos dos dados (nossos campos de petróleo):

Acesso

O cliente tem direito de saber – num intervalo de tempo razoável – quais dados foram coletados e como estão sendo processados;

Acurácia

O cliente tem o direito de restringir o processamento quando os dados estiverem incorretos

Consentimento

Este é provavelmente o mais importante item da regulação. Precisa estar explícita, clara e em linguagem direta a autorização para a captura dos dados. Além disso, este texto deve estar separado de outras informações. Ou seja, não pode colocar em um textão várias informações sobre o serviço e no meio do parágrafo citar a coleta e uso dos dados pessoais – precisa estar separado e identificado.

Portabilidade

Assim como operadoras de celular ou previdência privada, o cliente tem o direito de solicitar a transferência integral dos dados coletas de um provedor para outro.

Direito de ser esquecido

O cliente por sua vez tem o direito de mudar de ideia e não permitir mais a coleta de seus dados. Além disso, o famoso “Right to be forgotten” onde pode solicitar que a empresa (ou quem estiver de posse dos dados coletados) sejam apagados e não mais usados quando estes dados não são para uso direto do serviço prestado.

Vazamento de dados

Pelas leis, a empresa que sofreu o ataque ou vazamento de dados tem a obrigação de informar os clientes até 72 horas após do fato ter ocorrido.

Como alternativas para a necessidade de consentimento para tratar os dados, há a possibilidade de fazê-los incapazes de identificar uma pessoa e, portanto, livres da tutela legal.  Tratam-se dos conceitos de anonimização (permanente) e pseudoanimização (reversível).

É tão importante o cuidado que se exige com os dados pessoais, que o GDPR criou a obrigação de contratação, pela organização, de um profissional que terá a responsabilidade única de fazer a gestão da lei e das obrigações da organização. É o CDO – Chief Data Officer.

A organização deve possuir em última instância uma autoridade que é responsável pela gestão dos dados. Ele atuará como “guardião” dos dados prezando pela conformidade das regras em vigor e também será o principal ponto de contato das autoridades reguladoras no caso de um incidente envolvendo dados dos clientes.

Há ainda o peso das sanções.  A empresa que infringir estas regras pode levar uma pena que vai de uma notificação até uma multa de $20 milhões de Euros ou até 4% da receita anual global da empresa em questão. Ou seja, as punições afetam onde mais dói – o caixa.

Talvez alguns dos itens acima pareçam estranhos ou distantes da nossa realidade aqui no Brasil, mas é possível que em breve adotemos medidas similares uma vez que este assunto está sendo discutido por advogados, interessados e autoridades do governo em Brasilia há mais de um ano.

O fato é que com todos os acontecimentos recentes no exterior e no Brasil com Uber, Netshoes tragam mais luz sobre este assunto e faça com que os clientes fiquem mais conscientes do valor e da importância de seus dados para os negócios digitais (ou não).

Uma vez em sala de aula eu fiz uma experiência e disse que havia feito um perfil de um dos alunos baseado somente nos dados que eu havia coletado nas redes sociais e internet. Ali estariam seus gostos, preferências, fotos, informações gerais, enfim. Iria apresentar o estudo sob uma condição: que fosse uma decisão unânime da turma. Como não sabiam de quem se tratava, a decisão foi de fato unânime após um momento de reflexão: “Não professor, melhor não.” Naquele momento percebi que a maioria não tem noção de tudo que compartilha online livremente e gratuitamente nem do tamanho da exposição que vivemos. Qual é o limite de nossa privacidade digital?

E você já parou para pensar nisso? Não há mais tempo para deixar para depois estas questões. O preço pode ser alto demais para nós indivíduos, e nós empresas. O petróleo está jorrando por todos os lados.

Eduardo Muniz é CEO da agência digital de performance Simplie e Professor de Pós-graduação das disciplinas Comportamento do Consumidor Digital, Ecommerce e Marketing Digital na ESPM, FGV e FIA.