RGPD – O mais importante a fazer e a deixar de fazer
Efetivamente, o dia 25 de maio já passou, pelo que todas as dicas que seguem em baixo, são coisas que já deveria ter feito para a sua empresa e loja online estarem em conformidade com o RGPD (Regulamento Geral da Proteção de Dados) neste preciso momento. Todavia, se ainda não se conseguiu preparar, por algum motivo, deixamos-lhe as principais medidas a tomar com maior urgência, para que não tenha nenhuma surpresa desagradável no futuro. Este artigo dirige-se aos leitores que já sabem os princípios fundamentais e conceitos gerais do Regulamento, pelo que se ainda não está confortável com estes, convidamos-lhe a ler os nossos artigos anteriores:
A fazer
1. Organizar o fluxo de dados pessoais na sua empresa
O passo maior, e talvez o principal, é parar para pensar quais são os dados pessoais que, efetivamente, circulam na sua empresa. É importante ter em mente que, quando nos referimos a dados pessoais, estaremos sempre a referir-nos a dados quer de clientes, quer de colaboradores. Se ainda não fez um esboço do fluxo de dados dentro da empresa, ou seja, que dados recolhe, de quem, porquê, onde armazena, etc. este é o primeiro passo para se organizar. É a partir desta inventariação que deverá fazer a “limpeza” e aplicar os princípios do RGPD.
2. Perceber as bases legais que tem para fazer o processamento de dados
Depois de perceber o fluxo de dados pessoais dentro da sua empresa deverá fazer uma análise às justificações, isto é, as bases legais que tem para processar esses dados. Ao contrário da perceção comum, o consentimento não é a única base legal que tem para fazer o processamento de dados, mas apenas uma de seis. Existem outras bases legais como: cumprimento de obrigações legais ( por exemplo: se por lei tem de guardar as faturas por 12 anos, tem base legal para fazer esse processamento e armazenamento durante esse período); cumprimento de contratos ( por exemplo: deve pedir o NIB do seu colaborador, de modo a cumprir com o pagamento salarial previsto no seu contrato de trabalho ); interesse legítimo, entre outros. Aconselhamos a ler atentamente o artigo 6, nº1 do RGPD, onde estas bases legais estão explicadas.
3. Definir um tempo de retenção e processamento
O Regulamento diz-nos que deve haver um prazo definido para a retenção dos dados pessoais. Isto significa que, um consentimento ou outra base legal para o processamento, deva ter um prazo de validade, ao fim do qual deverá ser reavaliado e renovado. A definição do tempo de retenção é algo que deve partir da empresa, da sua realidade, dos produtos que vende, e que possa ser devidamente justificado.
4. Organizar as suas bases de dados
Tendo em conta as bases legais e prazo de retenção definidos, deverá organizar as suas bases de dados, dividindo-as pelas diferentes bases legais e pelo prazo de retenção. Segue um exemplo, para que isto se torne mais claro: Imaginemos que definiu 2 anos contados desde a última compra como o prazo de retenção e como bases legais para comunicações via eletrónica percebeu que contaria com consentimento e interesse legítimo. Deve então pegar na sua base de dados e dividir logo entre clientes que não fizeram nenhuma compra nos últimos dois anos e os restantes. Depois, deverá dividir ainda, por aqueles que caem no consentimento e aqueles que caem no interesse legítimo, sejam quais forem as razões. Através desta divisão, perceberá quais são os clientes que deve pedir consentimento e aqueles que não será necessário.
5. Organizar e definir níveis de acesso dentro da empresa
Existe a tendência de nos debruçarmos sempre sobre os clientes, mas, mais uma vez, o RGPD aplica-se quer a clientes quer aos seus colaboradores. Um passo muito importante que tem a tomar para estar em conformidade é analisar quais são os níveis de acessos existentes neste momento, por função. Quando falamos de níveis de acesso, falamos nos acessos a ferramentas como: o Backoffice do site, os dados de clientes, a ferramenta de email marketing, o ERP, entre outras. Depois de inventariar os níveis de acessos existentes, deverá analisar um a um, percebendo se todos são proporcionais e essenciais ao desempenho da função em causa. Por exemplo, um web designer ou um fotógrafo, muito provavelmente não necessitam de acesso aos dados do cliente no Backoffice ou no ERP para exercer as suas funções, pelo que lhes deve ser retirado.
Neste ebook partilhamos a nossa experiência sobre o tema RGPD – o novo Regulamento Geral da Proteção de Dados da UE, que entrou em vigor em maio de 2018. Este documento tem como base a nossa experiência de implementação de projetos de conformidade ao RGPD em vários negócios online de sucesso, com a parceria de um advogado especialista na área.
6. Dados pessoais e terceiros
Os dados pessoais dos seus clientes e dos seus colaboradores, muito provavelmente, são partilhados com entidades externas à sua empresa, tais como transportadores, fornecedores de tecnologia, agências ou consultores, empresa de medicina no trabalho, entre outras. É importante que faça uma avaliação da preparação destas empresas para o RGPD, entrando em contacto com elas, pedindo as Políticas de Privacidade, e sempre que possível, assinando um Acordo de Confidencialidade com elas.
7. Atualizar a política de privacidade
Apesar de extremamente óbvio, pela inundação que todos nós temos experienciado na caixa de entrada de email, deve atualizar a sua Política de Privacidade e comunicar aos seus clientes que o fez, convidando-os a ler. As principais alterações a ter em mente são:
- Transparência e clareza na linguagem: Ao contrário do que estávamos habituados a ver até hoje, a Política de Privacidade do seu site deve ser escrita com uma linguagem clara, sem termos técnicos, que qualquer utilizador possa compreender. Além disto, deve ser completamente transparente, sem cairmos no errro de termos “medo” de dizer ao utilizador o que fazemos com os seus dados.
- Os direitos do cliente: Deve incluir todos os direitos que o cliente tem e que estão previstos no RGPD, nomeadamente, o direito de acesso, de retificação, de apagamento, etc.
- O que faz exatamente com os dados: Com a finalidade de sermos transparentes, deve dizer na sua Política, de forma discriminada, exatamente o que faz com os dados do seu cliente.
- Com quem partilha os dados: No mesmo sentido, deve explicar ao cliente que pode partilhar alguns dos seus dados com terceiros, de forma a fornecer-lhe o serviço prometido, como por exemplo as transportadoras.
- O prazo de retenção e processamento: Assim que tenha este prazo bem definido e justificado, deve comunicar ao cliente na sua Política de Privacidade.
- Medidas de segurança: Partilhe com o cliente as principais medidas de segurança que tem implementadas.
- Explicação das bases legais: Partilhe com o cliente a explicação de cada base legal para os diferentes fins que recolhe os dados e os processa.
8. Pedir consentimento
Caso o consentimento seja uma das bases legais apuradas, deve obviamente pedir consentimento aos seus clientes , via email, para continuar a processar os seus dados. Note que, não existe nenhuma obrigatoriedade legal na forma como este email deva ser estruturado, por isso, não caia no erro de ser extremamente aborrecido e usar linguagem legal, os clientes não querem saber disso. Crie um email leve, de proximidade, amigável e até divertido, pois o seu objetivo é que o cliente clique e lhe dê consentimento.
No entanto, deve ter em atenção que, o consentimento (seja via email ou no website), para ser válido, deve obedecer a algumas regras:
- Tem que ser livre: Se vai pedir consentimento, o cliente tem que ter opção de escolha, e poder recusar sem ficar privado de comprar na sua loja online. “Aceite para avançar” não é um consentimento livre;
- Tem que ser específico: O cliente deve perceber exatamente o que está a consentir, por isso não o torne confuso;
- Tem de ser na positiva: Segundo o RGPD, o consentimento tem que ser feito na positiva, isto é, o cliente deve clicar para autorizar e nunca clicar para não autorizar.
- Não pode ter um benefício: Não pode, de maneira alguma, oferecer um desconto, um vale, ou outra vantagem económica ao cliente, para este lhe dar o consentimento.
Importante: Se tinha recolhido consentimento prévio ao RGPD, mas este não cumpre com as regras acima, o seu consentimento é inválido, e deve tornar a pedir, respeitando estes princípios.
9. Funcionalidades da plataforma
“Recolher consentimento” é uma expressão que estamos já cheios de ouvir e ler, mas de nada importa recolher consentimento, se depois não está preparado para armazenar esse consentimento com a data de recolha e datas de alteração para que possa fazer prova do mesmo, caso necessário. Ao recolher consentimentos, deve mantê-los organizados, separados dos clientes que não lhe deram consentimento, de forma a inseri-los no email marketing corretamente. Além disto, é importante que a sua plataforma de ecommerce permita:
- Gestão e aceitação de cookies granular: Além do pop-up inicial, o ideal seria o cliente, a todo o momento, alterar as suas preferências na sua área de cliente;
- Gestão de consentimentos: O cliente tem que poder alterar as suas preferências e exercer os seus direitos (como por exemplo, apagar a conta) a qualquer momento e de forma gratuita. Mais uma vez, o ideal seria poder fazê-lo na sua área de cliente;
- Ligação entre a plataforma de ecommerce e a plataforma de email marketing: Se, além da plataforma de ecommerce, usa uma plataforma de email marketing diferente, como o MailChimp ou Egoi, deverá haver integração entre ambas. Se o cliente tira o consentimento numa das plataformas, essa informação deverá ser espelhada na outra.
A deixar de fazer
1. Recolher mais dados do que os que precisa
Um dos princípios fundamentais do RGPD é o princípio da minimização e da proporcionalidade. Isto é, deve apenas recolher os dados mínimos que precisa para determinada finalidade e estes devem ser proporcionais. Novamente, deve aplicar este raciocínio aos seus clientes e aos seus colaboradores. Se existem dados que lhes está a pedir que, efetivamente, não precisa para a finalidade que os recolhe, então retire-os.
Exemplo: Um cliente dirige-se a uma esteticista para fazer manicura. É-lhe pedido para preencher uma ficha de cliente, cheia de dados (morada, código postal, tipo de pele, idade, entre muitos outros), os quais a esteticista não precisa, de forma alguma, para fazer a manicura. Estes pedidos são desproporcionais e não obedecem ao princípio da minimização.
2. Processar dados sem base legal
Se para determinada finalidade, como por exemplo, enviar emails de marketing aos seus clientes, não apurou uma base legal, não pode comunicar com eles. Se nenhuma das outras cinco bases legais forem aplicáveis, então deve pedir consentimento explícito ao utilizador ou cliente, para continuar a comunicar com ele.
3. Enviar emails sem unsubscribe
Os emails de marketing que envia aos seus clientes devem ser ter um link para fazer unsubscribe de todos esses emails, ou então, para aceder às preferências do cliente, podendo este alterar os seus consentimentos ou mesmo apagar a conta. A vantagem do cliente puder aceder à sua conta e gerir as suas preferências, é que aqui, pode partir a finalidade “email marketing” em pelo menos dois tipos de emails: aqueles que possuem uma vantagem económica para o cliente (promoções, vales, descontos, saldos, etc) e os que não possuem vantagem económica (Novidades, newsletter, etc). Pela nossa experiência, um cliente que tenha a possibilidade de escolher, mesmo que inicialmente tenha entrado com o intuito de tirar todos os consentimentos, irá apenas tirar aqueles que não possuem vantagem económica, deixando o outro consentimento. Assim, ainda terá possibilidade de comunicar com o seu cliente. Veja, em baixo, o exemplo da Asos, do footer dos seus emails e da gestão de consentimentos na área de cliente do site, respetivamente:
4. Obrigar o utilizador a aceitar as cookies por omissão
Não deve obrigar o cliente a aceitar as cookies por omissão para poder navegar no seu site. A aceitação das cookies deve ser granular, e apenas as cookies funcionais deverão ser obrigatórias. Deve dar opção de escolha ao utilizador de aceitar, ou não, as outras cookies.
5. Comprar ou partilhar bases de dados
Este é, sem dúvida, um dos pontos mais sensíveis e, muito possivelmente, mais graves em caso de infração. Se tem bases de dados compradas ou partilhadas consigo a título gratuito, de outra entidade externa, deve apagar esses contactos de imediato ou inutiliza-los. Não deve, de forma alguma, vender/comprar ou partilhar bases de dados dos seus clientes com terceiros.
Se ainda tiver dúvidas acerca do GDPR e o impacto que terá no seu negócio de ecommerce, teremos todo o gosto em esclarecê-lo através do info@tsecommerce.com.
Quer aprender mais sobre ecommerce? Conheça o nosso curso de lançamento de projetos de ecommerce:
Não perca nenhum conteúdo sobre como criar ou otimizar a sua loja online.
Subscreva a nossa newsletter:
http://eepurl.com/c0z2xb
Siga-nos nas redes sociais:
https://www.facebook.com/tudosecommerce
https://www.instagram.com/tudosobreecommerce
https://www.linkedin.com/company/tudo-sobre-ecommerce