RGPD: SAIBA COMO TRATAR DADOS PESSOAIS
17/04/2018
Na última publicação, vimos o significado do termo "dados pessoais", especialmente no contexto da venda de veículos. Também introduzimos o elemento central da privacidade dos dados: protegermos os dados pessoais que nos foram confiados e certificarmos-nos de que apenas pessoas autorizadas podem usá-los por motivos válidos.
Agora, o que significa "usar dados pessoais", exatamente?
Na contexto da privacidade de dados, usar dados pessoais corresponde ao "tratamento". Aqui está a definição segundo o Artigo 4 do RGPD:
“(...) uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.”
Simplificando, o tratamento de dados vai desde a mera observação dos dados à execução de procedimentos complexos de análise de dados.
Para tratar dados pessoais, precisamos de ter uma base legal. O Artigo 6 do RGPD define seis razões legais para tratar dados. Apresentamos as mesmas de seguida, acompanhadas de exemplos de operações típicas num concessionário:
- Para proteger os interesses vitais da pessoa em causa – ao contatar os proprietários do veículo para realizar uma campanha de serviço de segurança
- Obrigações legais - manter os dados individuais das faturas enviadas ou informar compras suspeitas às autoridades
- Execução de um contrato - recolher e transferir dados para verificar a classificação de crédito de um cliente que quer comprar um veículo
- Interesses legítimos - enviar lembretes de pagamento ou aconselhar um cliente a fazer uma reparação adicional para manter o seu veículo em condições e em funcionamento
- Interesse público - pouco provável no negócio dos concessionários
- Consentimento - esta é a base legal para tudo o resto – e é muito importante.
O consentimento é fundamental para a maioria das atividades de marketing e CRM.
A exigência de consentimento já existia há algum tempo, mas com o RGPD existem alguns aspetos importantes a reter:
- O consentimento deve ser dado de forma livre e explícita, com uma ação positiva, como por exemplo assinalar uma caixa de seleção ou assinar um formulário. Isso significa que não pode haver caixas de seleção pré-marcadas e consentimentos implícitos.
- O cliente tem que ter a perfeita consciência que está a dar um consentimento. A explicação deve ser facilmente acessível, concisa e explicar de forma simples o que o cliente pode esperar.
- O cliente precisa de consentir separadamente para fins diferentes de processamento de dados. Por exemplo, se quiser que o cliente aceite os termos e condições e se inscreva para receber a newsletter, precisa de ter duas caixas de seleção.
- Deve ser fácil retirar o consentimento. Deve registar o que o cliente consentiu, como o fizeram e implementar mecanismos para o cliente atualizar as suas preferências.
Então, o que deve fazer para se preparar? Comece com o seguinte:
- Pense nos dados pessoais que recolhe e no seu propósito. Verifique a lista de razões legítimas acima - precisa de pelo menos uma delas para poder processar os dados.
- Verifique se precisa e tem um consentimento explícito para qualquer uma das suas atividades de processamento.
- Planeie onde e de que forma vai reunir o consentimento dos seus clientes existentes e futuros.
- Implemente mecanismos para armazenar e atualizar informações de consentimento.
Para que possa iniciar com a parte das TI, damos algumas dicas no nosso próximo artigo. Fique atento!