Certifique-se de que sua empresa esteja em conformidade com o RGPD

Perguntas frequentes

• O que é o RGPD?

  Suspeitamos que você já tenha ouvido falar do RGPD. A Regulamentação Geral de Proteção de Dados (ou “RGPD”, abreviadamente) é uma lei de privacidade europeia que entrou em vigor em 25 de maio de 2018 e teve como objetivo fortalecer, harmonizar e modernizar a lei de proteção de dados da UE e melhorar os direitos e liberdades individuais, de acordo com a compreensão europeia de privacidade como um direito humano fundamental. O RGPD regula como indivíduos e organizações podem obter, usar, armazenar e compartilhar dados pessoais. Como regulamento, ele deve ser seguido em sua totalidade em toda a UE.

• O RGPD se aplica a mim?

  O escopo do RGPD é muito amplo. Ela se aplica a (1) todas as organizações estabelecidas na UE e (2) todas as organizações que segmentam ou monitoram indivíduos na UE. Essencialmente, isso significa que o RGPD se aplica à maioria das organizações que processam dados pessoais de indivíduos da UE, independentemente de onde a empresa esteja estabelecida e de onde ocorram suas atividades de processamento. Isso significa que o RGPD pode se aplicar a qualquer organização em qualquer lugar do mundo, em todos os setores e indústrias. Você deve realizar sua própria análise para determinar até que ponto (se houver) sua organização pode estar sujeita ao RGPD.

• O que é considerado “dados pessoais”?

  Dados pessoais são quaisquer informações relacionadas a um indivíduo identificado ou identificável; ou seja, informações que poderiam ser usadas, sozinhas ou em conjunto com outros dados, para identificar um indivíduo. Considere o alcance extremamente amplo dessa definição, que inclui não apenas informações que são comumente consideradas de natureza pessoal (por exemplo, números de previdência social, nomes, endereços físicos, endereços de e-mail), mas também dados como endereços IP, dados comportamentais, dados de localização, dados biométricos, informações financeiras e muito mais. Isso significa que, para os clientes do Mailchimp, pelo menos a maioria das informações que você coleta sobre seus contatos será considerada dados pessoais de acordo com o RGPD.

  A definição ampla abrange endereços de e-mail de trabalho contendo o nome de um indivíduo ou qualquer informação de contato comercial vinculada ou relacionada a um indivíduo, como nome, cargo, empresa, endereço comercial, número de telefone comercial etc. do indivíduo. Por outro lado, os dados pessoais não incluem nomes comerciais genéricos, endereços comerciais, endereços de e-mail genéricos ou qualquer outra informação comercial geral, desde que essas informações não tenham sido vinculadas a um indivíduo. Então, por exemplo, “John.Smith@mailchimp.com” provavelmente seria considerado “dados pessoais” regidos pelo RGPD, enquanto “contact@mailchimp.com” não.

  Também é importante observar que mesmo informações que não possam identificar um indivíduo específico por conta própria, mas que possam ser combinadas com outras informações para identificar um indivíduo (conhecidos como “dados pseudônimos”) são consideradas dados pessoais. Portanto, por exemplo, um endereço de e-mail com hash ainda será considerado dados pessoais, embora pseudonimizado.

  Dados pessoais confidenciais, como informações de saúde ou informações que revelam a origem racial ou étnica de uma pessoa, exigem ainda mais proteção. Você não deve armazenar dados dessa natureza na sua conta do Mailchimp.

• O que significa “processar” dados?

  Processamento é qualquer operação realizada em dados pessoais, seja por meios automatizados ou não. Isso inclui coletar, gravar, organizar, estruturar, armazenar, adaptar, recuperar, usar, combinar, apagar, destruir, divulgar, disseminar ou disponibilizar dados pessoais.

  Basicamente, se você estiver coletando e gerenciando quaisquer dados pessoais de indivíduos que residem fisicamente na Europa (mesmo que não sejam cidadãos), você está processando dados pessoais dentro do significado prescrito pelo RGPD. Isso significa, por exemplo, que se algum dos seus públicos do Mailchimp contiver o endereço de e-mail, nome ou outros dados pessoais de um indivíduo localizado na Europa, você estará processando dados pessoais de acordo com o RGPD.

• Qual é a diferença entre um controlador de dados e um processador de dados?

  Se processar dados pessoais, você o faz como controlador ou processador, e há diferentes requisitos e obrigações que se aplicarão a você, dependendo da função que desempenhar. É importante entender se você está agindo como controlador ou processador e se familiarizar com as responsabilidades que se aplicam a você.

  Um controlador é a organização que determina as finalidades e os meios de processamento. Eles tomam decisões importantes, como quais dados pessoais são coletados, para que os dados são usados, por quanto tempo são retidos e com quem são compartilhados. Um processador é uma organização que processa os dados em nome do controlador e somente sob as instruções do controlador. Isso normalmente significa que um processador não pode usar dados pessoais para qualquer outra finalidade que não seja fornecer um serviço ao controlador relevante.

  Os controladores mantêm a responsabilidade primária pela conformidade com o RGPD (incluindo, por exemplo, a obrigação de notificar as pessoas sobre o processamento, responder às pessoas que exercem seus direitos de privacidade e relatar violações de segurança às autoridades de proteção de dados); no entanto, o RGPD também coloca algumas responsabilidades diretas nos processadores.

  No contexto do Mailchimp, na maioria das circunstâncias, nosso cliente atua como o controlador. Nossos clientes, por exemplo, decidem quais informações de seus contatos são carregadas ou transferidas para sua conta do Mailchimp; direcionam o Mailchimp, por meio do nosso aplicativo, para enviar e-mails para determinados contatos em suas listas de distribuição de e-mails; e instruem o Mailchimp a colocar anúncios em seu nome em plataformas de terceiros, como Facebook ou Instagram.

  O Mailchimp atua como processador ao executar esses e outros serviços para nossos clientes. Há certos casos em que agimos como controladores, como quando processamos informações de clientes para nossos próprios fins comerciais (como gerenciamento de contas e cobrança) e para nosso projeto de análise de dados. Você pode encontrar mais informações sobre nossos projetos de análise de dados, incluindo como você pode optar por não participar da análise de dados, aqui .

• Quais são os princípios-chave do RGPD?

  O RGPD contém vários princípios-chave que devem ser seguidos ao processar dados pessoais para garantir a conformidade. É responsabilidade do controlador garantir a conformidade com esses princípios-chave.

  • Os dados pessoais devem ser processados de forma justa, legal e transparente: Os indivíduos devem ser informados sobre como seus dados pessoais serão usados e você nunca deve usar os dados de nenhuma forma que o indivíduo não esperaria razoavelmente. Você também deve ter uma base legal para processar dados pessoais, como com o consentimento do indivíduo, para satisfazer um contrato ou com base em seus interesses legítimos.
  • Os dados pessoais devem ser coletados para fins específicos, explícitos e legítimos: Você só deve coletar dados pessoais para cumprir objetivos específicos e não usar dados de uma forma incompatível com esses objetivos.
  • Os dados pessoais devem ser relevantes e limitados ao que é necessário: Você deve coletar apenas as informações necessárias e não coletar ou usar dados desnecessários ou redundantes.
  • Os dados pessoais devem ser precisos e mantidos atualizados: Você deve garantir que os dados que mantém sejam precisos e tomar medidas para analisar e atualizar as informações quando necessário.
  • Os dados pessoais só devem ser mantidos pelo tempo necessário: Você só deve armazenar dados pessoais pelo tempo que precisar e não deve manter dados pessoais indefinidamente ou “por precaução”.
  • Os dados pessoais devem ser mantidos seguros e protegidos: Você deve implementar medidas técnicas e organizacionais para proteger os dados pessoais de acordo com o tipo de dados que processa e os recursos e tecnologia disponíveis.

  Mais importante ainda, você deve ser capaz de demonstrar como está em conformidade com esses princípios e mostrar como é responsável.

• Que direitos as pessoas têm de acordo com o RGPD?

  O RGPD concede aos indivíduos vários direitos em relação aos seus dados pessoais. Você deve garantir que pode acomodar esses direitos se estiver processando dados pessoais de indivíduos da UE.

  • Direito de acesso: Os indivíduos têm o direito de receber certas informações sobre como seus dados foram coletados e usados e de obter uma cópia de seus dados.
  • Direito de retificação: Os indivíduos podem solicitar que seus dados sejam corrigidos ou atualizados a qualquer momento.
  • Direito de exclusão (o “direito de ser esquecido”): Em determinadas circunstâncias, os indivíduos podem solicitar que seus dados sejam totalmente excluídos.
  • Direito de retirar o consentimento: Se você obteve o consentimento de um indivíduo para processar seus dados pessoais, ele pode retirar o consentimento a qualquer momento.
  • Direito de se opor: Como alternativa, se você confiar em seus interesses legítimos para processar os dados de um indivíduo, o indivíduo pode se opor ao seu processamento e você deve parar de fazê-lo, a menos que você possa demonstrar que seus interesses substituem os interesses e direitos do indivíduo.
  • Direito de se opor ao marketing: Os indivíduos têm o direito absoluto de se opor a qualquer momento ao processamento de seus dados pessoais para fins de marketing.
  • Direito de portabilidade: Os indivíduos podem solicitar que você transfira seus dados para outra organização.

  As organizações devem responder a essas solicitações dentro de um mês ou, em casos excepcionais, dentro de três meses. Exceto o direito de se opor ao marketing (que é absoluto e, portanto, deve sempre ser cumprido), certas isenções aos direitos acima podem ser aplicadas. Portanto, todas as solicitações devem ser cuidadosamente analisadas.

• Como o RGPD se aplica ao marketing por e-mail?

  Quando se trata de regulamentação de marketing por e-mail na Europa, o GDPR é apenas metade da história. A Europa também tem uma lei separada, a Diretiva de Privacidade e Comunicações Eletrônicas (ou Diretiva de Privacidade Eletrônica), que contém regras suplementares que regem os requisitos de consentimento para marketing eletrônico, ou seja, marketing enviado por canais de comunicação eletrônica (como telefone, fax, e-mail e SMS). Ao enviar e-marketing, essas regras de consentimento suplementar se aplicam além da necessidade de as empresas identificarem motivos de processamento legais de acordo com o RGPD.

  Simplificando, essas regras exigem o consentimento de confirmação para marketing por e-mail e SMS, a menos que os detalhes de contato de um indivíduo tenham sido coletados no contexto de uma venda e o indivíduo tenha a capacidade de optar por não participar naquele momento. Em caso afirmativo, o marketing por e-mail e SMS é possível com base na recusa (embora o marketing por e-mail e SMS de terceiros ainda exija a confirmação).

  Como a Diretiva de Privacidade Eletrônica é uma Diretiva, o que significa que ela precisa ser implementada na lei local de cada estado membro, você deve verificar a lei local do estado membro para verificar novamente os requisitos locais. Por exemplo, alguns países (como o Reino Unido) estão mais relaxados em relação ao marketing por e-mail B2B (que pode ser feito com base na recusa), enquanto outros países (como a Alemanha) têm uma exigência de confirmação dupla mais rigorosa (veja mais sobre isso abaixo).

  No entanto, o RGPD ainda é relevante porque a maioria dos endereços de e-mail será considerada dados pessoais e, portanto, também estará sujeita aos requisitos do RGPD. Em particular, quando você for obrigado a obter o consentimento de um indivíduo, deve fazê-lo de acordo com o RGPD.

• O que o RGPD diz sobre consentimento?

  Estamos felizes por você ter perguntado. O consentimento nem sempre é necessário para processar os dados pessoais de um indivíduo. No entanto, quando você for obrigado a obter o consentimento do indivíduo (que pode ser aplicável se você estiver realizando certo marketing por e-mail), você deve garantir a obtenção do consentimento de acordo com os requisitos rigorosos do GDPR:

  • O consentimento deve ser confirmado: Os indivíduos devem confirmar explicitamente a coleta e uso de seus dados pessoais. Isso significa que silêncio, caixas pré-marcadas e opções implícitas (ou seja, inatividade) não são válidos.
  • O consentimento deve ser informado: Isso significa que você deve fornecer informações significativas aos indivíduos sobre por que está coletando as informações e explicar claramente como planeja usá-las. Essas informações devem ser fornecidas no momento em que os indivíduos derem seu consentimento.
  • O consentimento deve ser específico: Isso significa que um consentimento separado deve ser obtido para diferentes atividades de processamento e você não deve tentar agrupar diferentes objetivos dentro de um consentimento.
  • O consentimento deve ser dado livremente: Isso significa que os indivíduos devem ter uma escolha genuína ao consentir, e seu consentimento não deve ser condicionado ao recebimento de um produto ou serviço.
  • O consentimento deve ser demonstrável: Não se esqueça de que você deve ser capaz de demonstrar que obteve o consentimento, incluindo quem consentiu, quando e quais informações foram fornecidas à pessoa no momento.

  Por fim, tenha em mente que certos países exigem consentimento de "confirmação dupla" para realizar marketing por e-mail. A confirmação dupla envolve uma etapa extra de confirmação que verifica cada endereço de e-mail. Embora isso não seja exigido pelo RGPD ou por todos os estados-membros da UE, recomendamos que você habilite a confirmação dupla ao enviar comunicações de marketing eletrônico para indivíduos da UE.

• O RGPD diz alguma coisa sobre transferências de dados transfronteiriças?

  Sim, o RGPD contém disposições que abordam a transferência de dados pessoais de estados membros da UE para países terceiros, como os Estados Unidos. O RGPD não contém nenhuma exigência específica de que os dados pessoais de indivíduos da UE sejam armazenados apenas em estados-membros da UE. Em vez disso, o RGPD exige que certas condições sejam atendidas antes que os dados pessoais sejam transferidos para fora da UE, identificando vários mecanismos diferentes que as organizações podem usar para realizar transferências de dados internacionais: decisões de adequação, cláusulas contratuais padrão, regras corporativas vinculativas, mecanismos de certificação e códigos de conduta. O objetivo principal desses mecanismos é garantir que, quando os dados pessoais dos europeus forem transferidos para o exterior, a proteção viaje com os dados.

  Uma decisão de adequação é uma decisão da Comissão Europeia de que o país ou território onde os dados pessoais estão sendo transferidos fornece um nível adequado de proteção. Antes da decisão de invalidar as Estruturas do Escudo de Proteção da Privacidade UE-EUA e Suíça-EUA de 2020, a estrutura do Escudo de Proteção da Privacidade UE-EUA era um exemplo de decisão de adequação.

  A partir de 10 de julho de 2023, a Comissão Europeia adotou uma nova Estrutura de Privacidade de Dados (DPF) UE-EUA, concedendo adequação aos Estados Unidos. As partes previamente certificadas de acordo com a Estrutura do Escudo de Proteção da Privacidade UE-EUA e comprometidas em manter os Princípios do DPF agora podem contar com essa decisão de adequação para transferir dados da UE para os EUA. O Mailchimp é uma dessas empresas e continuará a proteger os dados do EEE, Reino Unido e Suíça em conformidade com suas obrigações de certificação.

  Além disso, o Mailchimp compromete-se contratualmente a transferir e processar todos os dados de seus usuários da Suíça, UE e Reino Unido em conformidade com as cláusulas contratuais padrão da UE, que permanecem um mecanismo válido de exportação de dados e que se aplicam automaticamente de acordo com o Adendo de Processamento de Dados do Mailchimp.

  Se você estiver transferindo dados pessoais para outras organizações localizadas fora da UE, deve garantir que tem um terreno apropriado para realizar a transferência de dados transfronteiriça, como uma decisão de adequação ou cláusulas contratuais padrão aprovadas pela Comissão Europeia.

• O RGPD ainda se aplica ao Reino Unido após o Brexit?

  O RGPD da UE é um regulamento da UE e não se aplica mais ao Reino Unido. No entanto, qualquer empresa que opere dentro do Reino Unido deve cumprir a lei de proteção de dados do Reino Unido. O RGPD foi incorporado à lei de proteção de dados do Reino Unido como o RGPD do Reino Unido, portanto, na prática, há pouca mudança nos princípios, direitos e obrigações essenciais de proteção de dados encontrados no RGPD do Reino Unido.

  Além disso, lembre-se de que se você estiver baseado no Reino Unido, mas tiver como segmentar ou monitorar indivíduos da UE, ainda estará sujeito ao RGPD mesmo após o final do período de transição.

• O que acontece se você não cumprir o RGPD?

  A não conformidade com o RGPD pode resultar em grandes penalidades financeiras. As sanções por não conformidade podem chegar a 20 milhões de euros ou 4% do faturamento anual global, o que for maior.

• Por que a proteção de dados é importante?

  Além do fato de que você pode ser obrigado a seguir certas leis de proteção de dados com base em suas operações comerciais, a proteção de dados oferece vários benefícios. Seguir as melhores práticas de proteção de dados é especialmente importante se sua empresa lida com dados pessoais de clientes.

  O compromisso de proteger os dados dos clientes ajuda a inspirar confiança em seus clientes, o que ajuda você a mantê-los por um longo tempo e a reduzir os custos de aquisição.

  A proteção de dados também é ótima porque pode ajudar você a mudar a forma como gerencia seus dados e garantir que eles fiquem seguros, mas sempre prontamente disponíveis. A coleta e o gerenciamento adequados de dados são os pilares da proteção de dados, portanto, proteger seus dados e implementar coisas como o consentimento do RGPD podem ajudar você a melhorar o gerenciamento de dados na totalidade. Isso significa que os dados estão sempre disponíveis quando você ou seus clientes precisarem, para que as operações comerciais não sejam interrompidas.

• Quais são os benefícios do consentimento do RGPD?

  Em primeiro lugar, é essencial que você siga o RGPD se for obrigado a fazê-lo com base nos dados coletados. Se a sua empresa coleta dados pessoais de qualquer pessoa na UE, o consentimento do RGPD pode ser importante para garantir que esteja coletando esses dados legalmente.

  O gerenciamento aprimorado de dados é um benefício da conformidade com o RGPD. Ao usar o consentimento do RGPD e coletar dados conforme o RGPD, você também tem a oportunidade de adotar as melhores práticas de gerenciamento de dados que talvez não tenha usado antes. E, como a conformidade com o RGPD exige que você colete, armazene e gerencie dados de uma forma específica, isso ajuda a melhorar o gerenciamento de dados por padrão. Se você já está revisando seus processos de coleta e gerenciamento de dados, pode aproveitar a oportunidade para garantir também a conformidade com o RGPD.

• Eu, como indivíduo, tenho que cumprir o RGPD?

  Como indivíduo, você é obrigado a manter a conformidade com o RGPD, desde que atenda aos critérios. Caso colete dados de pessoas que são residentes da UE, você deve seguir o RGPD quando se trata da coleta, armazenamento e gerenciamento desses dados pessoais. Dito isso, há certos casos em que um indivíduo não é obrigado a manter a conformidade com o RGPD, mesmo se estiver coletando dados de pessoas na UE.

  Uma das coisas mais importantes a se ter em mente é que certos tipos de coletas de dados estão isentos do RGPD. Essencialmente, você só precisa seguir as diretrizes do RGPD se estiver coletando informações pessoais de residentes da UE para fins comerciais. Outros tipos de coleta de dados não estão sujeitos às diretrizes do RGPD. Isso inclui a coleta de dados pessoais, como listas de números de telefone, endereços e outras informações destinadas ao uso pessoal ou de âmbito nacional. Dito isso, ainda é uma boa ideia manter a conformidade com o RGPD se você estiver coletando qualquer tipo de dados de residentes da UE. No mínimo, manter a conformidade com o RGPD ajudará você a garantir que seus sistemas de gerenciamento e proteção de dados estejam atualizados.

  Se você for uma pessoa física, mas não estiver coletando dados de pessoas na UE, não precisa se preocupar com a conformidade com o RGPD. No entanto, seguir as diretrizes de marketing e proteção de dados do RGPD pode ajudar a garantir que você esteja protegendo os dados privados dos clientes, contribuindo muito para aumentar a fidelidade do cliente e impulsionar a reputação da sua marca.

  Mesmo como pessoa física, é importante entender se você precisa ou não manter a conformidade com o RGPD. Você pode pensar que está coletando uma pequena quantidade de dados que não são particularmente valiosos, mas a proteção de dados é crucial ao lidar com qualquer tipo de dados pessoais.

• Existem regulamentos sobre a proteção de dados além do RGPD que eu preciso seguir?

  O RGPD pode ser apenas uma das leis que você precisará entender para o seu negócio, especialmente se você estiver processando os dados pessoais de indivíduos fora da UE. Diferentes estados, províncias e países têm leis diferentes, portanto, os regulamentos que você deve seguir variam dependendo de suas operações comerciais e do tipo e espécie de dados que você processa.

  Por exemplo, a Califórnia tem provavelmente a lei de proteção de dados mais conhecida nos Estados Unidos, chamada Lei de Privacidade do Consumidor da Califórnia (California Consumer Privacy Act, CCPA). Diversos estados que não sejam a Califórnia também podem ter leis de proteção de dados cujo modelo se assemelha à CCPA ou ao RGPD. Obviamente, você ainda pode ser obrigado a manter a conformidade com o RGPD e seguir outros regulamentos se estiver operando fora dos Estados Unidos, mas a coleta de dados de clientes em determinados estados imporá requisitos adicionais aos do RGPD.

  Existe também uma lei do Canadá sobre proteção de dados chamada Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (Personal Information Protection and Electronic Documents Act, PIPEDA). Essa lei é considerada o equivalente canadense ao RGPD, portanto, manter a conformidade com a PIPEDA também é importante para muitas empresas. Assim como a conformidade com o RGPD, você deve manter a conformidade com a PIPEDA se coletar, usar ou divulgar as informações pessoais de cidadãos canadenses para fins comerciais. E, assim como nos Estados Unidos, também há leis provinciais de proteção de dados no Canadá que podem afetar sua atividade comercial

  Por fim, existem inúmeros regulamentos quando se trata de administrar uma empresa, quer você esteja administrando uma empresa on-line ou não. Por exemplo, se você tiver uma campanha de marketing por e-mail nos EUA, terá que seguir a Lei CAN-SPAM de 2003, e há leis equivalentes em muitos outros países. Se você faz muitos negócios internacionalmente, pode valer a pena conversar com um especialista sobre quais leis você deve seguir para manter os dados dos seus clientes protegidos.