Ir para o conteúdo
Home » GDPR e CRM (Parte 1): O que é o GDPR e como ele afeta o CRM?

GDPR e CRM (Parte 1): O que é o GDPR e como ele afeta o CRM?

Se você não se escondeu embaixo de uma rocha nos últimos meses, provavelmente já ouviu falar muito sobre o GDPR. Sobre como se o GDPR fosse a lei do país nos Estados Unidos, seus padrões poderiam ter evitado a violação de dados da Equifax (agora uma das maiores da história). Sobre como o GDPR não poupa ninguém - com gigantes como o Google revisando seus produtos para ficar em conformidade. E até mesmo sobre como o Congresso dos EUA, estimulado pelo escândalo Cambridge Analytica, interrogou Mark Zuckerberg sobre se o Facebook expandiria suas ferramentas de privacidade compatíveis com GDPR para usuários em todo o mundo, durante seu Audiência do Congresso sobre privacidade

Independentemente de você estar se escondendo embaixo de uma rocha ou de acelerar o GDPR, é legalmente imperativo que sua empresa também cumpra a lei histórica até maio 25th. Com tanta coisa para mudar em tão pouco tempo, começar a sentir pode ser esmagadora. Para ajudá-lo a navegar nessa jornada, criamos esta série 3-part em GDPR. Nele, abordaremos tudo o que você precisa saber para se tornar compatível com a parte principal da lei:

  1. O que é o GDPR e como isso afeta o CRM? (Parte 1)
  2. Como o Vtiger ajuda você a cumprir o GDPR, incluindo o poderoso gerenciamento de consentimento (Parte 2)
  3. Como configurar os novos recursos de privacidade do Vtiger para conformidade com o GDPR (Parte 3)

Divulgação

Esta série abrange a conformidade geral com os principais princípios e direitos do GDPR (artigos (5 - 23)). Existem outros processos, responsabilidades e padrões que você deve cumprir (artigos (24 - 43)) e não são abordados nesta série.

Esta série e as alterações do produto por vir são derivadas de algumas fontes diferentes. Dos textos legais e suas interpretações geralmente aceitas. De discussões com clientes e seus advogados, e de outras pesquisas terciárias sobre soluções cobrindo os problemas de consentimento legal que estávamos abordando. A orientação geral para a qual ele foi direcionado deve ajudar a empresa média a iniciar a jornada até a conformidade, mas não deve ser considerada uma consultoria jurídica, o que ainda recomendamos que você busque ao interpretar o GDPR para seu cenário específico.

Se você já entende a importância do GDPR e não precisa de uma cartilha, fique à vontade para pular para a seção intitulada “Veja como o GDPR muda seus negócios”.

O que é o GDPR?

O GDPR é uma nova lei europeia, que entrará em vigor em maio 25th, 2018, que regula como as empresas podem coletar, armazenar e usar os dados dos cidadãos europeus. Mais sobre isso em um segundo.

Por que o GDPR foi promulgado?

Para simplificar - para impedir que as empresas coletem e usem indiscriminadamente os dados das pessoas de maneiras que possam prejudicá-las. Hoje, as empresas tratam os dados da mesma forma que as nações imperialistas econômicas tratam os países estrangeiros. Eles capturam o máximo possível e exploram com pouco respeito pelos desejos dos proprietários, ou preocupação com o efeito prejudicial que tem sobre eles.

Essa comparação pode parecer dura, porque ninguém morre quando uma empresa compra uma lista de leads e a comercializa sem consentimento. Mas, quando a Equifax perdeu de maneira crítica os dados confidenciais de mais de 140 milhões de pessoas e, em seguida, essencialmente os deixou para lidar com as consequências, a dor foi muito mais palpável. Suas identidades privadas e futuros financeiros estavam condenados a um futuro incerto que circulava no mercado negro. Isso poderia ser facilmente o seu histórico de pesquisa do Google, ou mensagens privadas, e ainda assim você teria poucos recursos legais se isso acontecesse.

A reação lógica a isso, então, é

Se apenas alguém me der o direito de escolher quem pode ter meus dados, o que eles podem ou não podem usar para garantir que eles mantenham a segurança, e os castigue por violar esses direitos!

E é exatamente isso que o GDPR faz pelos cidadãos da UE.

Eu tenho que cumprir com o GDPR?

O GDPR se aplica a você se você atender a uma das seguintes condições:

  1. Você tem clientes na UE
  2. Você presta serviços (pagos ou gratuitos) para cidadãos da UE
  3. Você comercializa para cidadãos da UE
  4. Você monitora as atividades dos cidadãos da UE

Se sua empresa for exclusivamente local e externa à UE, provavelmente você não precisa se preocupar com o GDPR. É improvável que uma floricultura na zona rural de Ohio que apenas comercializa e envia para a cidade local tenha que cumprir, mesmo que alguém da UE pare em seu site e acabe em sua solução de análise.

Mas só porque sua empresa é pequena, isso não significa que o GDPR não se aplica. Uma pequena empresa de SEO que comercializa seus serviços online e já tem alguns clientes de alguns outros países, mesmo que não tenha como alvo clientes especificamente na UE, provavelmente terá que obedecer ao GDPR porque pode-se imaginar que a empresa de SEO acolheria negócios de clientes europeus se surgissem.

Quais direitos eu tenho que cumprir?

Os cidadãos da UE agora possuem legalmente até mesmo os dados sobre eles que estão em sua posse. E eles têm alguns direitos fundamentais para acompanhar essa propriedade. Estamos usando a regra 80/20 para resumir os textos abaixo em uma linha. Como acontece com qualquer resumo, sempre há advertências, então, se você estiver curioso, clique nos links incluídos para ler o texto legal completo e as exceções (eles não são longos!):

  1. Ao coletar dados de alguém, você deve divulgar o que planeja fazer com ele e por quanto tempo pretende mantê-lo, entre outras informações, no momento da coleta (artigos 7, 12, 13, 14)
    1. Você geralmente não pode armazenar informações relacionadas à história criminal (artigo 10)
    2. Você só pode armazenar informações sobre crianças se um tutor consentir (artigo 8)
    3. Você é obrigado a obter o consentimento para armazenar e usar dados confidenciais (artigo 9, 10)
  2. Quando você estiver usando dados de alguém, todos os seus usos devem ser feitos com o consentimento para esse uso, em relação direta com um uso já acordado ou porque ele foi aprovado teste de equilíbrio de interesses, com algumas ressalvas (artigo 6)
  3. Você deve responder às seguintes solicitações de direitos de um contato no mês 1 da solicitação (artigo 12)
    1. Para saber quais informações você tem sobre elas e para quais as utiliza (artigo 15)
    2. Para corrigir qualquer informação que você tenha sobre eles (artigo 16)
    3. Para apagar os dados que você tem sobre eles (artigo 17)
    4. Para restringir sua capacidade de usar os dados sem precisar excluí-los (artigo 18)
    5. Para saber quando você apagou ou parou de usar os dados deles (artigo 19)
    6. Para portar seus dados sobre eles para um concorrente (artigo 20)
    7. Para se opor a qualquer processo (artigo 21)
    8. Objetar a tomada de decisão automatizada (algorítmica) 22)
  4. Você não deve usar ou armazenar dados por mais tempo que o necessário 39)
  5. Você deve usar dados seguros de maneira proporcional à segurança para os possíveis danos que poderiam ocorrer ao assunto dos dados se os dados fossem expostos (artigo 25, 32)

Como o GDPR afeta meus negócios?

Como você armazena e manipula dados de contato

Existem tipos de dados 2 a considerar em GDPR. Dados confidenciais e dados pessoais. Aqui estão exemplos específicos de dados, agrupados por tipo.

Não sensível Sensível
Não identificando pessoalmente Marca favorita de chips
CEP
Gênero
Religião
Etnia
Afiliação política
Identificando Pessoalmente Nome
E-mail
ID do Facebook
Número de Identificação Nacional
Número do Cartão de Crédito

Dados sensíveis

Estes são dados que não estão disponíveis publicamente e que podem ser usados ​​indevidamente para prejudicar as pessoas - como um número de passaporte ou a afiliação política de alguém. O GDPR recomenda obter consentimento para armazenar dados confidenciais e, posteriormente, protegê-los, conforme possível. Esses dados são mais bem protegidos fazendo o seguinte:

  • Criptografar esses campos em bancos de dados para evitar uso indevido se houver uma violação de dados
  • Obscurecer esses campos nas visualizações dos funcionários para evitar o uso indevido dos funcionários quando o acesso não for necessário (ex: mostrar apenas os últimos dígitos 4 de um CC #)
  • Registrar quando os funcionários desfiguram os valores para impedir o uso indevido quando o acesso é necessário

Dados pessoais de identificação

Os dados só podem ser prejudiciais se puderem ser vinculados a uma pessoa. O GDPR permite que seus contatos peçam para que você apague seus dados de identificação certas condições).

Depois que os dados pessoais são apagados, informações relacionadas importantes para a tomada de decisões comerciais, como históricos de compras e engajamento com seus serviços digitais, podem ser armazenadas com segurança porque não estão mais associadas a uma pessoa identificável.

Tenha cuidado com grupos de informações de identificação não pessoal, pois grupos delas podem se tornar identificadores se esse grupo for exclusivo para uma única pessoa. Por exemplo, quando você sabe o código postal, sexo, etnia e data de nascimento de alguém - juntos, essas propriedades podem ser exclusivas para um único indivíduo e relacionáveis ​​a ele por meio de alguma outra fonte de informação - então é importante ter certeza de que isso não acontecerá com o que resta do seu conjunto de dados apagado.

Limites de armazenamento

Ninguém deveria ter que ficar em seu banco de dados para sempre, só porque eles preencheram o seu webform uma vez. Agora você deve parar automaticamente de usar e, eventualmente, excluir dados de identificação pessoal quando não forem mais necessários. O limite de tempo apropriado para uso varia de caso para caso. Em nosso caso, excluiremos nossos dados de contato um ano após o término de um contato direto com a gente.

Como você apresenta formulários do site

Divulgações

As pessoas devem apenas enviar informações on-line se souberem o que o destinatário fará com elas. Portanto, seus formulários da Web agora devem indicar diretamente como as informações serão usadas ou vincular-se a informações sobre como você usará os dados. Isso pode ser feito por meio de dicas de ferramentas ou vinculando-se diretamente a uma política de uso de dados.

Opt-ins de e-mail

Se você deseja inscrever alguém em seu email marketing após o envio de um formulário, ele também deve concordar explicitamente com ele. Isso significa mostrar uma caixa de seleção desmarcada com linguagem clara como "Gostaria de receber e-mails de marketing da [empresa]". Simplesmente não pedir, ou fornecer uma caixa de seleção pré-marcada não conta mais.

Como você escreve sua política de privacidade

Sempre que você coleta informações de alguém ou planeja usá-las para um novo propósito, você precisa informá-los sobre alguns princípios básicos que geralmente são transmitidos por meio de uma política de privacidade. Deve ser escrito em uma linguagem clara, fácil de entender e dividido de forma que cada uso de seus dados e propósito seja escrito separadamente. Os itens mais importantes a serem incluídos nesta política são:

  • O que sua empresa faz e como contatá-lo
  • Como você usa os dados deles e com quais propósitos você não vai buscar o consentimento
  • Com quem você compartilhará os dados deles
  • Se você transferirá os dados para fora do país do contato
  • Por quanto tempo você planeja usar os dados para
  • Todos os direitos do sujeito (acessar, corrigir, apagar, restringir ou portar dados ou apresentar uma reclamação)
  • O que acontece se o contato não fornecer os dados
  • Se você tomar decisões automáticas com seus dados

Como você conduz o marketing por e-mail

Double opt-ins

Para enviar um e-mail de marketing para alguém, você deve ter uma prova não falsificável de que deseja recebê-lo de você. Como qualquer pessoa pode preencher um formulário em seu site, alegando ser outra pessoa, a melhor maneira de obter essa prova é com um e-mail de opt-in duplo.

E-mails de aceitação dupla funcionam assim - quando alguém indica que deseja receber seu e-mail (verbalmente ou marcando uma caixa em um formulário da web), você envia um e-mail contendo um link especial. Se ele clicar nele, o clique será registrado e adicionado à sua lista de e-mail.

Gerenciando preferências e desativando

Sempre que você envia um e-mail para um contato, deve ser tão fácil excluí-lo quanto foi para ele. Isso geralmente significa incluir um link de cancelamento de inscrição na parte inferior do e-mail. Uma solução mais robusta permitiria que os contatos gerenciassem seus opt and outs de listas de e-mail específicas de uma página acessível a partir do rodapé de e-mail.

Como você acompanha clientes em sites, e-mails e documentos

Muitos serviços digitais que você fornece aos clientes acompanharão suas ações e fornecerão análises, para que você possa aprender como melhorar sua experiência. Pode ser um site, uma campanha de e-mail ou um documento que você compartilhou com eles. Independentemente de como o acompanhamento é realizado, na maioria das circunstâncias, você deve informar aos usuários que eles estão sendo rastreados e fornecer a eles a capacidade de desativar o acompanhamento.

Quando você usa dados do cliente

Você usa dados do cliente para várias finalidades. De simplesmente armazená-lo, enviá-lo e-mail de marketing, verificar seu histórico de crédito ou compartilhá-lo com terceiros para ajudá-lo a usar melhor seus produtos.

O que quer que você use dados do cliente geralmente deve ser feito por uma destas três razões:

  1. Você recebeu permissão prévia explícita para esse uso
  2. O uso está relacionado a outra finalidade para a qual você já recebeu o consentimento
  3. O objetivo é do seu interesse legítimo e não viola os direitos do contato (o teste de equilíbrio)

Recomendamos sempre obter consentimento para o maior número de finalidades possíveis, pois esta é a única forma indiscutível de utilizar os dados dos seus contactos. Qualquer que seja o consentimento que você obtenha para um propósito, a melhor maneira de obtê-lo é de alguma forma não falsificável. Eles variam de uma comunicação gravada, como um e-mail, a um portal de gerenciamento de preferências no qual os contatos podem se conectar para gerenciar seus consentimentos. Como acontece com as preferências de e-mail, é importante permitir que os contatos revoguem seu consentimento pelo menos com a mesma facilidade com que o forneceram.

Os novos direitos legais que você deve facilitar

Direito de saber quais dados você armazena e a capacidade de exportar esses dados

Se um contato lhe pedir as informações que você possui, você é legalmente obrigado a fazê-lo. Além disso, você deve divulgar para o que você o usa, com quem você o compartilha, por quanto tempo você pretende mantê-lo, e os outros direitos que eles têm. Eles também podem solicitar uma cópia de todas essas informações em um formato legível por máquina, como um arquivo CSV ou banco de dados, para que o sistema CRM que você usa para armazenar suas informações facilite a criação de tais arquivos.

Direito de atualizar suas informações

Se um contato solicitar que você atualize informações incorretas ou ausentes, quando você puder confirmar quem elas são, será necessário atualizar essas informações em seus sistemas. Isso é particularmente importante se você usar esses dados para tomar decisões sobre eles de maneira manual ou algorítmica.

Direito de ser esquecido

Um contato tem o direito de apagar seus dados neles. Embora a solução mais simples seja apagar todos os seus registros associados a eles, isso geralmente é indesejável, pois pode excluir informações importantes da empresa, como dados de compra, renderização de receita e outros relatórios incorretos. A maneira ideal de contornar isso é excluir informações de identificação pessoal do registro de um contato para que você não possa mais identificá-las. As melhores soluções CRM compatíveis com GDPR facilitarão esse tipo de apagamento.

Direito de se opor a um dos seus propósitos

Um contato pode solicitar que você não use seus dados para um propósito específico. Isso poderia significar a desativação do marketing, solicitando que ele não seja compartilhado com terceiros, ou qualquer outro propósito específico. Para facilitar isso sem exigir um gerenciamento árduo de registros, escolha uma solução de CRM que permita que seus contatos gerenciem automaticamente seus consentimentos para seus usos, para que as equipes responsáveis ​​por agir com base nessa permissão possam atuar somente nos contatos que consentiram.

Direito de interromper o uso de todo o registro deles

Os contatos finalmente têm o direito de pedir que você os tire de todas as formas de processamento que você faz. Qualquer sistema que você use para armazenar suas informações deve ser capaz de congelar seus registros para que eles não possam ser modificados por seus usuários ou enviados por e-mail para fins comerciais, seja manual ou automaticamente.

Há muito o que fazer! Como o Vtiger me ajudará a cumprir?

Pode haver muitas novas regulamentações a serem cumpridas, mas as alterações que chegam à Vtiger até maio 9th permitem que as empresas implantem sem esforço a conformidade com o GDPR. Independentemente de seus clientes estarem nos EUA, UE ou em qualquer outro lugar, essas alterações ajudarão você a apresentar divulgações, armazenar dados confidenciais de forma mais segura, enviar e-mails ao mercado legalmente e permitir que seus contatos forneçam e gerenciem seus próprios consentimentos com uma experiência não disponível com qualquer outro CRM no mercado hoje.

Você pode encontrar um passo a passo completo dessas mudanças Parte 2 desta série.

Esteja atento