O RGPD está aí e a chuva de emails das empresas, nos últimos dias, revela que a maioria deixou tudo para a última. Neste artigo, damos dicas às empresas que estão na situação mais grave: no início ou a meio do processo de adaptação.
![8 dicas de emergência para empresas em falta com o RGPD](/assets/blog/010618/dicas-rgpd.png)
# Neste momento, há 2 tipos de empresas: as empresas que conseguiram implementar as normas do Regulamento Geral de Protecção de Dados até à data limite e as empresas que procuram o botão de emergência.
Em Portugal, já era de prever que, a 25 de Maio de 2018, a maioria das empresas se encontrasse na segunda posição. O estudo do IAPMEI (Agência para a Competitividade e Inovação) suporta precisamente este cenário: entre Março e Abril, somente 8% das empresas estavam preparadas para o RGPD.
# “A minha empresa ainda não está preparada. Onde está o botão de emergência?”
Antes de saltarmos para as dicas, frisamos que as medidas que sugerimos dirigem-se a serviços semelhantes ao InvoiceXpress, ou seja, modelos de negócio com forte/exclusiva presença online, como os casos de Software as a Service (SaaS).
Comecemos, então, por contextualizá-lo para que não lhe escape nenhum detalhe.
O RGPD é um regulamento da União Europeia, em vigor desde Maio de 2016. É verdade, já estava em vigor e, desde aí, houve um período de preparação de 2 anos.
A finalidade do RGPD é garantir a protecção das pessoas singulares no que respeita ao tratamento de dados pessoais e à livre circulação dos mesmos. Espreite o nosso artigo sobre a Preparação para a Aplicação do RGPD para saber mais acerca de quem é afectado e dos dados considerados.
Por cá, em Janeiro de 2017, a Comissão Nacional de Protecção de Dados lançou um documento com 10 medidas de preparação para o RGPD que são um bom complemento às dicas que lhe mostramos de seguida.
8 dicas para a sua empresa ficar em conformidade com o RGPD
# 1. Definição da natureza da função: Data Controller ou Data Processor
A definição da função é fulcral, na medida em que, dependendo da função do seu serviço, irá influenciar os Termos e Condições e a Política de Privacidade. Consoante a utilização dos dados, o seu serviço poderá ser definido como Data Controller (Controlador) ou Data Processor (Processador), e para cada um deles há exigências diferentes por parte do RGPD.
Data Controller – organizações que determinam os propósitos e meios de processamento dos dados pessoais.
Data Processor – organizações, softwares ou pessoas que processam os dados pessoais em nome do Data Controller.
Consulte o artigo 26º e o artigo 28º do RGPD para saber quais são as responsabilidades do Data Controller e do Data Processor, respectivamente.
# 2. Revisão dos Termos e Condições e Política de Privacidade com um perito
A base para a conformidade com o RGPD é a documentação dos procedimentos da sua empresa que garantem o exercício dos direitos dos titulares dos dados. Esses procedimentos devem estar contemplados nos Termos e Condições e Política de Privacidade e, uma vez que assentam nos direitos fundamentais dos cidadãos, entram em detalhes muito sensíveis. Por isso, aconselhamos vivamente que solicite apoio jurídico e que se reúna com o seu advogado para uma cuidada revisão destes documentos.
# 3. Criação do documento DPA – Data Processing Addendum
De forma muito simplificada: digamos que a sua empresa (enquanto Data Controller) recorre a outros serviços (Data Processors) – bases de dados ou software CRM, por exemplo – e, perante uma auditoria, necessita de provar que os dados que gere estão assegurados, tanto na sua empresa, como na rede de serviços subcontratados. É aqui que entra o DPA! Trata-se de um acordo, entre a sua empresa e um serviço externo por onde transitam os dados dos seus clientes, que comprova a conformidade desses serviços com o RGPD. Ou seja, compete à sua empresa verificar se os serviços externos cumprem as regras através do DPA.
De acordo com o procedimento, o InvoiceXpress disponibiliza o documento aos seus clientes: visualize aqui o template do nosso DPA .
Se pretende solicitar o documento de subcontratação, por favor, envie o pedido para a nossa equipa de suporte.
# 4. Nomeação de um Data Protection Officer
Por esta altura, já deu para perceber que o RGPD, além de uma carga de trabalhos, é um assunto sério. É por isso mesmo que, em algumas organizações, o regulamento exige que seja designado um colaborador para a posição de encarregado de protecção de dados. Este requisito aplica-se a organizações muito específicas, como por exemplo, entidades públicas, empresas cuja actividade principal seja o tratamento de dados em grande escala ou, ainda, empresas que tratam dados sensíveis.
No fundo, terá de haver alguém na empresa com as competências e responsabilidade para a aplicação do RGPD e gestão de assuntos relacionados.
# 5. Pedido de aceitação dos novos Termos e Condições e Política de Privacidade
A adaptação ao RGPD passa por uma revisão ou por uma aceitação em diferentes moldes dos Termos e Condições e Política de Privacidade por parte dos seus clientes. Posto isto, surgem 2 requisitos: tratando-se de utilizadores actuais, com a salvaguarda de ter os registos do seu consentimento anterior, precisa apenas de lhes comunicar os novos Termos e Condições e Política de Privacidade. Por sua vez, tratando-se de novos utilizadores, exige-se a aceitação ao pedido. E, desta vez, há um pormenor que merece especial atenção: o RGPD exige um passo de verificação através de uma acção positiva para aceitação. Por outras palavras, é obrigatório disponibilizar uma opção preenchível (opt-in positivo) para aceitar novos Termos e Condições e Políticas de Privacidade.
De seguida, apresentamos um “antes e depois” nas imagens de ecrã de login do InvoiceXpress para clarificar melhor a questão.
![8 dicas de emergência para empresas em falta com o RGPD](/assets/blog/010618/dicas-rgpd-logins-antes-depois.png)
Tal como pode verificar, na alteração para o RGPD, o InvoiceXpress disponibiliza agora o opt-in positivo, uma checkbox por preencher. Repetimos: por preencher. Isto porque muitos serviços apresentam checkboxes já preenchidas, violando o que é exigido no RGPD. Nota: desmarcar uma checkbox é uma acção negativa.
# 6. Registo da aceitação dos Termos e Condições e comunicações de Marketing: Logs
Os Logs serão cruciais sempre que receba uma auditoria. Pois, ao possuir os registos da aceitação de cada utilizador, terá a prova de que não está a infringir os procedimentos do RGPD.
# 7. Promova a transparência
Aproveite as alterações do RGPD para adubar os valores da transparência na sua empresa. Afinal de contas, cuidar dos interesses dos clientes, dá bons frutos.
Assim, sugerimos que liste todos os serviços a que a sua empresa recorre e que os comunique não só nos Termos e Condições e Política de Privacidade, mas igualmente noutro local do site dedicado a estes assuntos. Se já tinha pensado em elaborar uma página, no seu site, dedicada ao RGPD, excelente: implemente-a e comunique aí mesmo.
E que tal aproveitar a boleia e tornar o seu Marketing mais transparente também? Explique, nessa página e sem rodeios, o objectivo das suas comunicações de Marketing, os canais em que serão efectuados (ex: newsletters ou SMS), o que prevê enviar aos clientes, que plataformas utiliza e se são RGPD ready… Está a franzir a sobrancelha? Acha que é transparência a mais? Os bons valores nunca são de mais. Acredite que se mantiver a consistência e outras boas práticas customer-centric, isso será recompensado a longo prazo.
# 8. Pedido de consentimento para comunicações de Marketing
Finalmente, chegámos ao ponto responsável por muitas dores de cabeça. Sem o consentimento dos públicos a quem comunica, não poderá enviar emails promocionais, newsletters, SMS ou qualquer outro tipo de meio, que enquadre a categoria de comunicações de Marketing. E aqui, deparamo-nos com 2 cenários:
a. Consentimento de utilizadores actuais
Terá de pedir o consentimento aos seus utilizadores para cada canal que pretende utilizar. Porém, só será obrigado a fazê-lo se a forma do pedido do consentimento já obtido não obedecia às práticas no RGPD.
b. Consentimento de novos utilizadores
O pedido de consentimento para os novos utilizadores terá obrigatoriamente de corresponder às novas regras. À semelhança do que acontece na aceitação dos Termos e Condições e Política de Privacidade, deve disponibilizar uma acção positiva, como uma checkbox por preencher ou, mais usual, um botão para formalizar a aceitação.
Nos 2 cenários, deverá descrever explicitamente do que tratam as comunicações de Marketing assim como campos opcionais para cada canal.
Plataformas de email Marketing como o MailChimp ou o Drip possuem já funcionalidades e templates para facilitar esse envio do pedido, pelo que vale a pena testar.
Se há situações de negócio em que vale a pena arriscar, esta não é claramente uma delas. Assim, aconselhamos a não violar esta norma, já que, além de se expor a uma coima, é eticamente repreensível.
# Em alternativa, por que não arrisca na criatividade?
Experimente diferentes abordagens no envio do pedido de consentimento, tendo sempre em mente a transparência como ponto de partida. O objectivo é surpreender de tal maneira os utilizadores, que a única forma que terão de reconhecer e apreciar a sua originalidade é dando-lhe o consentimento.
E aqui vale tudo: reúna a sua equipa para ter ideias, rabisque assuntos de email, esboce estruturas de texto com imagem… tudo até conseguir o email ideal.
![8 dicas de emergência para empresas em falta com o RGPD](/assets/blog/010618/dicas-rgpd-gif-hurry.gif)
Esperamos que estas 8 dicas de emergência o ajudem a acelerar o processo de adaptação ao RGPD e a evitar aborrecimentos e coimas.
Porém, queremos advertir que ao segui-las e executá-las não significa que fique automaticamente em conformidade com as leis do RGPD. Por esta razão, alertamo-lo para a importância de apoio de peritos e aconselhamento de um advogado.
Nós, no InvoiceXpress, obviamente também passámos pela fase de adaptação ao RGPD e já estamos em conformidade com a nova lei europeia.
E o seu processo de adaptação, como vai?