Certifique-se de que sua empresa esteja em conformidade com o GDPR

Perguntas frequentes

• O que é o RGPD?

  Suspeitamos que você já ouviu falar do GDPR. O Regulamento Geral de Proteção de Dados (ou “GDPR”, abreviadamente) é uma lei europeia de privacidade que entrou em vigor em 25 de maio de 2018 e tinha como objetivo fortalecer, harmonizar e modernizar a lei de proteção de dados da UE e melhorar os direitos e liberdades individuais, consistente com a compreensão europeia da privacidade como um direito humano fundamental. O GDPR regula como indivíduos e organizações podem obter, usar, armazenar e compartilhar dados pessoais. Como regulamento, deve ser seguido na íntegra em toda a UE.

• O GDPR se aplica a mim?

  O escopo do GDPR é muito amplo. Aplica-se a (1) todas as organizações estabelecidas na UE e (2) todas as organizações que visam ou monitorizam indivíduos na UE. Essencialmente, isto significa que o GDPR se aplicará à maioria das organizações que processam dados pessoais de indivíduos da UE, independentemente de onde a organização esteja estabelecida e independentemente de onde as suas atividades de processamento ocorram. Isto significa que o GDPR pode ser aplicado a qualquer organização em qualquer lugar do mundo, em todos os setores e indústrias. Você deve realizar sua própria análise para determinar até que ponto (se houver) sua organização pode estar sujeita ao GDPR.

• O que são considerados “dados pessoais”?

  Dados pessoais são quaisquer informações relativas a uma pessoa singular identificada ou identificável; significando informações que podem ser usadas, isoladamente ou em conjunto com outros dados, para identificar um indivíduo. Considere o alcance extremamente amplo dessa definição – ela inclui não apenas informações que são comumente consideradas de natureza pessoal (por exemplo, números de segurança social, nomes, endereços físicos, endereços de e-mail), mas também dados como endereços IP, dados comportamentais, localização dados, dados biométricos, informações financeiras e muito mais. Isso significa que, para clientes do Mailchimp, pelo menos a maioria das informações que você coleta sobre seus contatos serão consideradas dados pessoais de acordo com o GDPR.

  A definição ampla abrange endereços de e-mail comerciais contendo o nome de um indivíduo ou qualquer informação de contato comercial vinculada ou relacionada a um indivíduo, como o nome do indivíduo, cargo, empresa, endereço comercial, número de telefone comercial, etc. Por outro lado, os dados pessoais não incluem nomes comerciais genéricos, endereços comerciais, endereços de e-mail genéricos ou qualquer outra informação comercial geral, desde que essas informações não tenham sido vinculadas a um indivíduo. Então, por exemplo, “John.Smith@mailchimp.com” provavelmente seriam considerados “dados pessoais” regidos pelo GDPR, enquanto “contact@mailchimp.com” não faria.

  Também é importante observar que mesmo as informações que não conseguem identificar um determinado indivíduo por si só, mas que podem ser combinadas com outras informações para identificar um indivíduo (conhecidas como “dados pseudônimos”) são consideradas dados pessoais. Assim, por exemplo, um endereço de e-mail com hash ainda será considerado dado pessoal, embora pseudonimizado.

  Dados pessoais sensíveis, como informações de saúde ou informações que revelem a origem racial ou étnica de uma pessoa, requerem proteção ainda maior. Você não deve armazenar dados desta natureza em sua conta do Mailchimp.

• O que significa “processar” dados?

  Tratamento é qualquer operação realizada sobre dados pessoais, por meios automatizados ou não. Isto inclui coletar, registrar, organizar, estruturar, armazenar, adaptar, recuperar, usar, combinar, apagar, destruir, divulgar, disseminar ou de outra forma disponibilizar dados pessoais.

  Basicamente, se você coleta e gerencia quaisquer dados pessoais de indivíduos que residem fisicamente na Europa (mesmo que não sejam cidadãos), você está processando dados pessoais dentro do significado prescrito pelo GDPR. Isso significa, por exemplo, que se algum dos seus públicos do Mailchimp contiver o endereço de e-mail, o nome ou outros dados pessoais de um indivíduo localizado na Europa, você estará processando dados pessoais de acordo com o GDPR.

• Qual é a diferença entre um controlador de dados e um processador de dados?

  Se você processa dados pessoais, você o faz como controlador ou processador, e existem diferentes requisitos e obrigações que se aplicam a você dependendo da função que você desempenha. É importante compreender se você está atuando como controlador ou processador e se familiarizar com as responsabilidades que se aplicam a você.

  Um controlador é a organização que determina as finalidades e os meios de processamento – eles tomam decisões importantes, como quais dados pessoais são coletados, para que servem os dados, por quanto tempo são retidos e com quem são compartilhados. Um processador é uma organização que processa os dados em nome do controlador e somente sob as instruções do controlador. Isso normalmente significa que um processador não pode usar dados pessoais para qualquer outra finalidade que não seja fornecer um serviço ao controlador relevante.

  Os responsáveis pelo tratamento mantêm a responsabilidade primária pelo cumprimento do RGPD (incluindo, por exemplo, a obrigação de notificar os indivíduos sobre o processamento, responder aos indivíduos que exercem os seus direitos de privacidade e reportar violações de segurança às autoridades de proteção de dados); no entanto, o GDPR também atribui algumas responsabilidades diretas aos processadores.

  No contexto do Mailchimp, na maioria das circunstâncias, nosso cliente atua como controlador. Nossos clientes, por exemplo, decidem quais informações de seus contatos serão carregadas ou transferidas para sua conta Mailchimp; direcionar o Mailchimp, por meio de nosso aplicativo, para enviar e-mails para determinados contatos em suas listas de distribuição de e-mail; e instruir o Mailchimp a colocar anúncios em seu nome em plataformas de terceiros, como Facebook ou Instagram.

  Mailchimp atua como processador, realizando esses e outros serviços para nossos clientes. Há certos casos em que atuamos como controladores, como quando processamos informações de clientes para nossos próprios fins comerciais (como gerenciamento de contas e cobrança) e para nosso projeto de análise de dados. Você pode encontrar mais informações sobre nossos projetos de análise de dados, incluindo como cancelar a análise de dados, aqui.

• Quais são os princípios-chave do GDPR?

  O GDPR contém uma série de princípios fundamentais que devem ser seguidos ao processar dados pessoais para garantir a conformidade. É responsabilidade do controlador garantir a conformidade com esses princípios fundamentais.

  • Os dados pessoais devem ser processados de forma justa, legal e transparente : Os indivíduos devem ser informados sobre como seus dados pessoais serão usados e você nunca deve usar os dados de uma forma que o indivíduo não esperaria razoavelmente. Você também deve ter uma base legal para processar dados pessoais, como com o consentimento do indivíduo, para cumprir um contrato ou com base em seus interesses legítimos.
  • Os dados pessoais devem ser recolhidos para fins específicos, explícitos e legítimos : Só deve recolher dados pessoais para cumprir fins específicos e não utilizar os dados de uma forma incompatível com esses fins.
  • Os dados pessoais devem ser relevantes e limitados ao necessário : Você deve coletar apenas as informações necessárias e não coletar ou usar dados desnecessários ou redundantes.
  • Os dados pessoais devem ser precisos e mantidos atualizados : Você deve garantir que os dados que possui são precisos e tomar medidas para revisar e atualizar as informações quando necessário.
  • Os dados pessoais só devem ser mantidos pelo tempo necessário : Você só deve armazenar dados pessoais pelo tempo que for necessário e não deve manter os dados pessoais indefinidamente ou “por precaução”.
  • Os dados pessoais devem ser mantidos seguros : Você deve implementar medidas técnicas e organizacionais para proteger os dados pessoais de acordo com o tipo de dados que você processa e os recursos e tecnologia disponíveis.

  Mais importante ainda, você deve ser capaz de demonstrar como cumpre esses princípios e mostrar como é responsável.

• Que direitos os indivíduos têm ao abrigo do RGPD?

  O GDPR confere aos indivíduos uma série de direitos em relação aos seus dados pessoais. Você deve garantir que pode acomodar esses direitos se estiver processando dados pessoais de indivíduos da UE.

  • Direito de acesso : Os indivíduos têm o direito de receber determinadas informações sobre como seus dados foram coletados e usados e de obter de você uma cópia de seus dados.
  • Direito à retificação : Os indivíduos podem solicitar a correção ou atualização dos seus dados a qualquer momento.
  • Direito de apagamento (o “direito a ser esquecido”) : Em determinadas circunstâncias, os indivíduos podem solicitar que os seus dados sejam totalmente apagados.
  • Direito de retirar o consentimento : Se você obteve o consentimento de um indivíduo para processar seus dados pessoais, ele poderá retirar esse consentimento a qualquer momento.
  • Direito de oposição : Alternativamente, se você confiar em seus interesses legítimos para processar os dados de um indivíduo, o indivíduo poderá se opor ao seu processamento e você deverá parar de fazê-lo, a menos que possa demonstrar que seus interesses se sobrepõem aos interesses e direitos do indivíduo.
  • Direito de oposição ao marketing : Os indivíduos têm o direito absoluto de se opor, a qualquer momento, ao processamento dos seus dados pessoais para fins de marketing.
  • Direito de portabilidade : os indivíduos podem solicitar que você transfira seus dados para outra organização.

  As organizações devem responder a estes pedidos no prazo de 1 mês ou, em casos excepcionais, no prazo de 3 meses. Exceto o direito de oposição à comercialização (que é absoluto e deve, portanto, ser sempre respeitado), podem aplicar-se certas isenções aos direitos acima mencionados. Todas as solicitações devem, portanto, ser cuidadosamente analisadas.

• Como o GDPR se aplica ao marketing por email?

  Quando se trata de regulamentação do marketing por email na Europa, o GDPR é apenas metade da história. A Europa também tem uma lei separada, a Diretiva de Privacidade e Comunicações Eletrônicas (ou Diretiva de Privacidade Eletrônica), que contém regras complementares que regem os requisitos de consentimento para marketing eletrônico – ou seja, marketing enviado por canais de comunicação eletrônica (como telefone, fax, e-mail). correio e SMS). Ao enviar marketing eletrónico, estas regras de consentimento suplementares aplicam-se além da necessidade de as empresas identificarem motivos de processamento legais ao abrigo do RGPD.

  Simplificando, essas regras exigem consentimento para marketing por e-mail e SMS, a menos que os dados de contato de um indivíduo tenham sido coletados no contexto de uma venda e o indivíduo tenha tido a capacidade de cancelar naquele momento. Nesse caso, o marketing por e-mail e SMS primário é possível com opção de exclusão (embora o marketing por e-mail e SMS de terceiros ainda exija a aceitação).

  Como a Diretiva de Privacidade Eletrônica é uma diretiva, o que significa que deve ser implementada na legislação local de cada estado membro, você deve verificar a legislação local do estado membro para verificar novamente os requisitos locais. Por exemplo, alguns países (como o Reino Unido) são mais relaxados em relação ao marketing por e-mail B2B (que pode ser feito em regime de opt-out), enquanto outros países (como a Alemanha) têm um requisito de dupla opt-in mais rigoroso (veja mais sobre isto). abaixo).

  No entanto, o RGPD ainda é relevante porque a maioria dos endereços de e-mail serão considerados dados pessoais e, portanto, também sujeitos aos requisitos do RGPD. Em particular, quando for necessário obter o consentimento de um indivíduo, você deverá fazê-lo de acordo com o GDPR.

• O que o GDPR diz sobre consentimento?

  Estamos felizes por você ter perguntado. O consentimento nem sempre é necessário para processar os dados pessoais de um indivíduo. No entanto, quando for necessário obter o consentimento do indivíduo (o que pode ser aplicado se você estiver realizando determinado marketing por email), você deve garantir que obteve o consentimento de acordo com os requisitos estritos do GDPR:

  • O consentimento deve ser opcional : os indivíduos devem aceitar explicitamente a coleta e o uso de seus dados pessoais. Isso significa que o silêncio, as caixas pré-marcadas e as opções implícitas (ou seja, inatividade) não são válidas.
  • O consentimento deve ser informado : isso significa que você deve fornecer informações significativas aos indivíduos sobre o motivo pelo qual está coletando as informações e explicar claramente como planeja usá-las. Esta informação deve ser fornecida no momento em que os indivíduos dão o seu consentimento.
  • O consentimento deve ser específico : isso significa que o consentimento separado deve ser obtido para diferentes atividades de processamento e você não deve tentar agrupar finalidades diferentes em um único consentimento.
  • O consentimento deve ser dado livremente : Isto significa que os indivíduos devem ter uma escolha genuína ao consentir e o seu consentimento não deve estar condicionado à recepção de um produto ou serviço.
  • O consentimento deve ser demonstrável : não se esqueça de que você deve ser capaz de demonstrar que obteve o consentimento, incluindo quem consentiu, quando e quais informações foram fornecidas ao indivíduo naquele momento.

  Por último, tenha em mente que certos países exigem consentimento de “dupla adesão” para realizar marketing por email. A aceitação dupla envolve uma etapa extra de confirmação que verifica cada endereço de e-mail. Embora isso não seja exigido pelo GDPR ou por todos os estados membros da UE, recomendamos que você habilite a dupla aceitação ao enviar comunicações de marketing eletrônico para indivíduos da UE.

• O GDPR diz alguma coisa sobre transferências transfronteiriças de dados?

  Sim, o GDPR contém disposições que tratam da transferência de dados pessoais de estados membros da UE para países terceiros, como os Estados Unidos. O GDPR não contém nenhum requisito específico de que os dados pessoais de indivíduos da UE sejam armazenados apenas nos estados membros da UE. Em vez disso, o GDPR exige que certas condições sejam atendidas antes que os dados pessoais sejam transferidos para fora da UE, identificando uma série de mecanismos diferentes que as organizações podem usar para realizar transferências transfronteiriças de dados: decisões de adequação, cláusulas contratuais padrão, regras corporativas vinculativas, mecanismos de certificação e códigos de conduta. O objetivo principal destes mecanismos é garantir que, quando os dados pessoais dos europeus são transferidos para o estrangeiro, a proteção acompanha os dados.

  A decisão de adequação é a decisão da Comissão Europeia que indica que o país ou território onde os dados pessoais estão sendo transferidos proporciona um nível adequado de proteção. Antes da decisão que invalida as Estruturas de Privacidade de Dados da UE-EUA e Suíça-EUA de 2020, a Estrutura de Privacidade de Dados UE-EUA era um exemplo de decisão de adequação.

  A partir de 10 de julho de 2023, a Comissão Europeia adotou um novo Quadro de Privacidade de Dados (DPF) UE-EUA, garantindo adequação aos Estados Unidos. As partes anteriormente certificadas ao abrigo do Quadro do Escudo de Privacidade UE-EUA e comprometidas com a defesa dos Princípios DPF podem agora contar com esta decisão de adequação para transferir dados da UE para os EUA. Mailchimp é uma dessas empresas e continuará a proteger os dados do EEE, do Reino Unido e da Suíça em conformidade com suas obrigações de certificação.

  Além disso, o Mailchimp compromete-se contratualmente a transferir e processar todos os dados de seus usuários da UE, da Suíça e do Reino Unido em conformidade com as cláusulas contratuais padrão da UE, que permanecem um mecanismo válido de exportação de dados e que se aplicam automaticamente de acordo com o Adendo de Processamento de Dados do Mailchimp. Saiba mais sobre nossa certificação de DPF aqui.

  Se você estiver transferindo dados pessoais para outras organizações localizadas fora da UE, deverá garantir que possui um fundamento apropriado para realizar a transferência transfronteiriça de dados, como uma decisão de adequação ou cláusulas contratuais padrão aprovadas pela Comissão Europeia.

• O GDPR ainda se aplica ao Reino Unido após o Brexit?

  O GDPR da UE é um regulamento da UE e não se aplica mais ao Reino Unido. No entanto, qualquer empresa que opere no Reino Unido deve cumprir a lei de proteção de dados do Reino Unido. O GDPR foi incorporado à lei de proteção de dados do Reino Unido como GDPR do Reino Unido – portanto, na prática, há poucas mudanças nos princípios, direitos e obrigações fundamentais de proteção de dados encontrados no GDPR do Reino Unido.

  Além disso, lembre-se de que se você estiver no Reino Unido, mas tiver como alvo ou monitorar indivíduos da UE, ainda estará sujeito ao GDPR mesmo após o término do período de transição.

• O que acontece se você não cumprir o GDPR?

  O não cumprimento do GDPR pode resultar em grandes penalidades financeiras. As sanções por incumprimento podem chegar a 20 milhões de euros ou 4% do volume de negócios anual global, o que for maior.

• Por que a proteção de dados é importante?

  Além do fato de que você pode ser obrigado a seguir certas leis de proteção de dados com base nas suas operações comerciais, a proteção de dados oferece vários benefícios. Seguir as melhores práticas de proteção de dados é especialmente importante se sua empresa lida com dados pessoais de clientes.

  O compromisso de proteger os dados dos clientes ajuda a construir a confiança de seus clientes, o que ajuda a mantê-los por perto por um longo tempo e reduz os custos de aquisição de clientes.

  A proteção de dados também é excelente porque pode ajudá-lo a mudar a forma como você gerencia seus dados e garantir que eles estejam seguros, mas sempre disponíveis. A coleta e o gerenciamento adequados de dados são pilares da proteção de dados, portanto, proteger seus dados e implementar coisas como o consentimento do GDPR pode ajudá-lo a melhorar o gerenciamento de seus dados como um todo. Isso significa que os dados estarão sempre disponíveis quando você ou seus clientes precisarem deles, para que as operações comerciais não sejam interrompidas.

• Quais são os benefícios do consentimento do GDPR?

  Em primeiro lugar, é essencial que você siga o GDPR, se necessário, com base nos dados coletados. Se a sua empresa coleta dados pessoais de qualquer pessoa na UE, o consentimento do GDPR pode ser uma parte importante para garantir que você está coletando esses dados legalmente.

  O gerenciamento aprimorado de dados é um benefício da conformidade com o GDPR. Ao usar o consentimento do GDPR e coletar dados de acordo com o GDPR, você também terá a oportunidade de adotar práticas recomendadas de gerenciamento de dados que talvez não tenha usado antes. E como a conformidade com o GDPR exige que você colete, armazene e gerencie dados de uma maneira específica, ela ajuda a melhorar o gerenciamento de dados por padrão. Se você já está reformulando seus processos de coleta e gerenciamento de dados, aproveite a oportunidade para garantir que também esteja em conformidade com o GDPR.

• Eu, como indivíduo, tenho que cumprir o GDPR?

  Como indivíduo, você é obrigado a manter a conformidade com o GDPR, desde que atenda aos critérios. Contanto que você colete dados pessoais de pessoas residentes na UE, será obrigado a seguir o GDPR no que diz respeito à coleta, armazenamento e gerenciamento desses dados pessoais. Dito isto, há certos casos em que um indivíduo não é obrigado a manter a conformidade com o GDPR, mesmo que esteja coletando dados de pessoas na UE.

  Uma das coisas mais importantes a ter em mente é que certos tipos de recolha de dados estão isentos do GDPR. Essencialmente, você só precisa seguir as diretrizes do GDPR se estiver coletando informações pessoais de pessoas localizadas na UE para fins comerciais. Outros tipos de coleta de dados não estão sujeitos às diretrizes do GDPR. Isso inclui a coleta de dados pessoais, como listas de números de telefone, endereços e outras informações destinadas ao uso pessoal ou doméstico. Dito isto, ainda é uma boa ideia manter a conformidade com o GDPR se você estiver coletando qualquer tipo de dados de residentes da UE. No mínimo, manter a conformidade com o GDPR ajudará você a garantir que seus sistemas de proteção e gerenciamento de dados estejam atualizados.

  Se você é um indivíduo, mas não coleta dados de pessoas na UE, não precisa se preocupar com a conformidade com o GDPR. No entanto, seguir as diretrizes de marketing e proteção de dados do GDPR pode ajudá-lo a garantir a proteção dos dados privados dos clientes, o que ajuda muito a aumentar a fidelidade do cliente e a reputação da sua marca.

  Mesmo como indivíduo, é importante compreender se você é ou não obrigado a manter a conformidade com o GDPR. Você pode pensar que está coletando uma pequena quantidade de dados que não são particularmente valiosos, mas a proteção de dados é crucial quando você lida com qualquer tipo de dados pessoais.

• Existem regulamentos de proteção de dados além do GDPR que preciso seguir?

  O GDPR pode ser apenas uma das leis que você precisa entender para o seu negócio, especialmente se estiver processando dados pessoais de indivíduos fora da UE. Diferentes estados, províncias e países têm leis diferentes, portanto, os regulamentos que você deve seguir variam dependendo de suas operações comerciais e do tipo e tipo de dados que você processa.

  Por exemplo, a Califórnia tem o que pode ser a lei de proteção de dados mais conhecida nos Estados Unidos, chamada Lei de Privacidade do Consumidor da Califórnia (CCPA). Vários estados além da Califórnia também possuem leis de proteção de dados que são modeladas de forma semelhante à CCPA ou ao GDPR. É claro que você ainda poderá ser obrigado a manter a conformidade com o GDPR e seguir outras regulamentações se estiver operando fora dos Estados Unidos, mas a coleta de dados de clientes em determinados estados imporá requisitos adicionais àqueles abrangidos pelo GDPR.

  Há também uma lei canadense relativa à proteção de dados chamada Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA). Esta lei é frequentemente referida como o equivalente canadense do GDPR, portanto, manter a conformidade com o PIPEDA também é importante para muitas empresas. Assim como a conformidade com o GDPR, você é obrigado a manter a conformidade com o PIPEDA se coletar, usar ou divulgar informações pessoais de cidadãos canadenses para fins comerciais. E, tal como acontece com os Estados Unidos, também existem leis provinciais de proteção de dados no Canadá que podem afetar a sua atividade empresarial

  Por último, existem inúmeras regulamentações quando se trata de administrar uma empresa, esteja você administrando um negócio online ou não. Por exemplo, se você tiver uma campanha de marketing por e-mail nos EUA, deverá seguir a Lei CAN-SPAM de 2003, e existem leis equivalentes em muitos outros países. . Se você faz muitos negócios internacionalmente, vale a pena conversar com um especialista sobre quais leis você deve seguir para manter os dados de seus clientes protegidos.