Conformidade GDPR – A integração de sistemas é uma boa maneira de começar

As empresas precisam garantir que uma estrutura seja estabelecida para monitorar, analisar e avaliar os procedimentos de processamento de dados com todas as garantias necessárias.

Proteção e privacidade de dados tornaram-se um tema de significância global, com incidentes de grande porte envolvendo empresas e governos. Como resultado, surgiu uma necessidade crescente de uma política de proteção de dados unificada.

Recentemente, em 25 de maio de 2018, entraram em vigor novas regras e legislação relativas à cobrança, armazenamento e processamento de informações pessoais relativas a indivíduos na União Européia (UE), também conhecido como Regulamento Geral de Proteção de Dados (GDPR).

Mudança mais importante na regulamentação de privacidade de dados em 20 anos, o GDPR é uma estrutura legal que estabelece diretrizes para a coleta e processamento de informações pessoais de indivíduos na União Européia. Com o GPDR existem requisitos específicos para a transparência de como as empresas gerenciam os dados pessoais de seus clientes. Além das empresas europeias, as empresas americanas e internacionais com  base de clientes na UE devem cumprir o GPDR. Por exemplo, o voto de Brexit não implica que as empresas do Reino Unido estejam isentas do GDPR, e elas devem se preparar adequadamente.

As empresas que não atendem ao GPDR  podem sofrer consequências significativas, resultando em até 20 milhões de euros, ou 4% do volume de negócios anual da empresa (o que for maior) – que, quando calculado a nível de grupo para multinacionais, poderia somar valores altíssimos em penalidades.

Os novos regulamentos GDPR exigem que todos os dados do cliente devem levar um registro de data e hora, documentando como os contatos concordaram com o registro de suas informações pessoais. Além disso, as organizações devem ser capazes de atender aos pedidos de seus clientes para apagar seus dados pessoais ou transferir seus dados de um sistema para outro, incluindo uma trilha de auditoria completa confirmando que as transações foram concluídas.

Recomenda-se também que as empresas nomeiem um controller de dados que é responsável por realizar rotineiramente avaliações de impacto de proteção de dados e notificar o Information Commissioner sobre qualquer violação de dados dentro de 72 horas após sua detecção.

Em resumo, as empresas precisam garantir que uma estrutura seja estabelecida para monitorar, analisar e avaliar os procedimentos de processamento de dados com todas as salvaguardas necessárias.

Encontrando e identificando os dados do cliente

O primeiro passo para a conformidade é fazer um inventário completo dos locais onde dados de clientes aparecem em sua organização. Mas isso nem sempre é fácil.

A localização dos dados do cliente apresenta vários desafios.

Além do banco de dados do CRM, que é o primeiro lugar mais óbvio a procurar, os dados também podem estar em sistemas de automação de marketing, gerenciamento de leads, suporte ao cliente, financeiro e de campo. Além disso, as informações pessoais podem ser armazenadas como dados não estruturados em postagens de mídias sociais, e-mails, calendários, gravações de voz e planilhas, e outras fontes.

Considere também que os dados podem estar localizados em diferentes regiões e escritórios, que podem ou não usar os mesmos sistemas de CRM. As transferências internacionais de dados também precisam ser monitoradas para organizações onde os dados do cliente são processados ​​fora da UE.

Além disso, com a força de trabalho cada vez mais móvel e a adoção de infraestruturas em nuvem, os dados podem ser encontrados em locais onde não deveriam estar, como em serviços de nuvem de terceiros, dispositivos de laptop ou até mesmo compartilhamentos de arquivos em partes publicamente disponíveis de um rede.

Uma consideração ao fazer uma auditoria completa dos dados de clientes é identificar os dados que não são úteis e não devem mais ser armazenados. Não faz sentido guardar dados pessoais potencialmente prejudiciais se estes não forem usados.

Ou seja, não é uma tarefa pequena tentar encontrar cada instância de dados de clientes que precisa ser protegida em sua rede.

Aplicando a GDPR

Existem várias ferramentas diferentes que podem ajudar a criar uma trilha de auditoria em todo o ecossistema de dados do cliente.

As plataformas de integração podem fornecer a liga que é necessária para encontrar e, em seguida, integrar dados de diferentes fornecedores, locais e dispositivos. Os ambientes de desenvolvimento de baixo código permitem que funcionários que não são programadores treinados se envolvam com este processo de integração, o que é ainda mais essencial à medida que cada vez mais departamentos e funções comerciais dentro da organização são os responsáveis ​​por coletar, consumir e analisar seus dados.

Além de integrar sistemas para identificar cada instância de dados do cliente, processos de negócios adicionais envolvidos com a documentação da cumplicidade de um cliente com o armazenamento de seus dados precisam ser implantados.

Todos os formulários que capturam dados de clientes devem ser integrados totalmente com os sistemas de back-end para garantir a conformidade seguindo cada instância de onde os dados são compartilhados e armazenados.

Todo o processo de geração de leads também precisa ser rastreado. Por exemplo, a criação de contatos em seu sistema de CRM precisará passar por um processo de “opt-in” ao invés de apenas ser incluído automaticamente em bases de dados de contatos de marketing. O mesmo se aplica às informações de contato coletadas em eventos do setor e quando você recebe contatos de terceiros.

Esses requisitos também precisam ser aplicados aos parceiros do canal. Um parceiro tem autoridade para compartilhar informações de contato com um fabricante? Se sim, os procedimentos adequados e apropriados para o opt-in devem ser seguidos e documentados.

Essas regras também se aplicam a clientes anteriores e aos atuais. Todos os detalhes pessoais devem ser excluídos. Você não pode simplesmente marcar “não entrar em contato” no banco de dados do CRM. Os dados precisam ser apagados em todos os sistemas em que aparecem.

É importante coletar o mínimo de dados do cliente para que você não precise gerenciá-los mais tarde.

Você é legalmente responsável por garantir que todos os dados armazenados sejam precisos e atualizados. Também é importante certificar-se de que você não está perdendo tempo e dinheiro usando dados incorretos. Para manter seus dados atualizados, pergunte regularmente aos clientes se os dados foram alterados. Você também deve incentivar os funcionários a fazer atualizações e treiná-los para garantir que elas sejam feitas com precisão.

A economia digital baseia-se na coleta e troca de dados, incluindo grandes quantidades que consistem em dados pessoais confidenciais. Avançar com a inovação requer confiança do público na proteção dessas informações. A conformidade com o GPDR exigirá uma abordagem voltada para os negócios que examine todo o modelo de negócios e como esses requisitos entram em ação. Se ainda não o fez, é tempo de encontrar todas as fontes de dados de clientes, onde quer que seja, e iniciar sua jornada de conformidade com o GDPR.

 

Stephan Romeder – Managing Director – Magic Software Europe

Novo Comentário