Esta nova abordagem da proteção dos dados mantem as empresas grandes e pequenas com foco na autorresponsabilidade pelos seus atos. Na UE acredita-se que as empresas exploram dados pessoais de um modo excessivo e principalmente para seu próprio benefício com défice de transparência sobre o modo e a finalidade do tratamento. O RGPD pretende atenuar o poder das empresas – leia-se “Responsáveis pelo Tratamento” – redistribuindo-o também pelo consumidor – leia-se “Titular dos Dados”. E, para que este objetivo seja uma realidade, o legislador europeu exige, em muitos casos, a nomeação de um Encarregado de Proteção de Dados (DPO).
Um dos motivos principais da “construção” do regulamento consistiu na necessidade de atualizar e uniformizar o regime da proteção de dados e conceber um regime que passa a considerar as redes sociais, smartphones ou até mesmo tecnologia avançada da web (Inteligência Artificial).
O RGPD também traz alguns desafios a todas as equipas em geral e em especial às equipas de marketing – especialmente as que se comunicam com os clientes que estão no território da União Europeia.
O RGPD pode, à primeira vista, parecer absolutamente exigente, especialmente para pequenas empresas, no entanto, existem principalmente 3 áreas-chave que os marketers devem relevar: (i) permissão de dados (ii) acesso aos dados e (iii) dados necessários.
Permissão de dados
A permissão de dados consiste no modo como é feita a gestão dos chamados “opt-ins” por parte dos interessados em receber informação comercial geral ou especificamente promocional. O responsável pelo tratamento não pode presumir que os titulares dos dados querem ser contactados. E se o responsável pelo tratamento pretende partir de algum pressuposto, então terá que partir do pressuposto exatamente oposto, ou seja, de que o titular dos dados não dá o seu consentimento para ser contactado (Privacy by Default). Acresce que o regulamento estatui que os titulares dos dados têm que expressar o seu consentimento de forma “livre, específica, informada e expressa” ao que acrescentaríamos: assertiva, positiva e clara. Para assegurar que assim seja o Encarregado de Proteção de Dados (DPO) intervirá informando e aconselhando os vários intervenientes no tratamento para a necessidade de respeitar os requisitos do Artigo 25.º do RGPD.
O responsável terá que ter a certeza que tem o consentimento dos seus clientes potenciais ou efetivos, confirmando que eles querem ser contatados e somente após essa certeza os contactará. Portanto, uma “caixa pré-definida” com o consentimento (opt-in) deixa de ser um modo válido de obter esse mesmo consentimento. Os “opt-ins” passam a ser uma escolha voluntária dos titulares dos dados.
Acesso a dados
O direito a ser esquecido permite ao titular dos dados remover dados que estejam desatualizados ou incorretos. O RGPD permite ao titular dos dados um maior controlo sobre o modo como os seus dados são recolhidos e usados - incluindo o direito de acesso ou remoção – de acordo com o direito ao esquecimento. Será responsabilidade do marketer certificar-se de que os titulares dos dados podem facilmente aceder aos seus dados ou retirar o consentimento para o seu tratamento. Em termos práticos será conveniente a inclusão de um link de opt-out ou a permissão aos utilizadores de gerirem as suas preferências identificando de forma precisa o que pretendem ou não receber, especificando assim quais os seus interesses. Caso os titulares dos dados não estejam a conseguir exercer os seus direitos de um modo eficaz poderão contactar o Encarregado de Proteção de Dados (DPO) que tomará as medidas necessárias para que aqueles direitos seja assegurados (Art.º 38.º, n.º 4 e 39.º do RGPD).
A inclusão de um link de opt-out demonstra tratamento ético para com os utilizadores criando um relacionamento de confiança e respeito. Porém, para assegurar que assim seja o link deve funcionar de forma perfeita, de modo a que, ao clicar no link, o utilizador deixa de fazer parte das listas ativas o mais rápido possível.
Dados necessários
Acreditamos que os marketers responsáveis pelo tratamento de dados, por vezes, recolhem mais dados de um titular do que os necessários para a finalidade do tratamento em questão. A solução passa por consciencializar de modo preciso se é exatamente necessário recolher aquele dado específico para a finalidade identificada e por consequência, recolher apenas os dados necessários (minimização). Caso os responsáveis pelo tratamento façam uma recolha de dados excessiva, o Encarregado de Proteção de Dados (DPO) deverá intervir no sentido de desaconselhar que o tratamento seja feito naqueles termos (Art.º 39.º RGPD).
Conclusão
O RGPD não foi concebido para impedir inter-relações entre responsáveis e titulares dos dados, impossibilitando a comunicação entre ambos. O RGPD poderá promover a melhoria da qualidade do tratamento dos dados, uma vez que é uma oportunidade de aprofundar as necessidades dos clientes, segmentando-os de modo muito mais preciso em detrimento da abordagem tradicional “one-size”, contactando os titulares dos dados apenas se eles especificamente pedirem para ser contactados e não partindo do pressuposto que o consentem.
O Encarregado de Proteção de Dados funcionará como elemento equidistante entre o responsável, o titular dos dados e a autoridade de Ccontrolo, promovendo as condições essenciais à efetivação do Princípio da Proporcionalidade equilibrando assim os principais interesses e direitos em jogo: direito à privacidade (titular dos dados), interesses legítimos no tratamento e princípio da livre iniciativa económica (responsável pelo tratamento) e princípio da legalidade (autoridade de controlo).
