Empresas que não querem ver manchada reputação ou serem multadas devem assegurar tratamento de dados igual entre sistemas.
Se um cliente solicita alteração nos dados cadastrais ou pede a sua exclusão da base de dados que a empresa possui, o que fazer para garantir que isso ocorra em todos os sistemas e banco de dados que possuem os dados deste cliente ao mesmo tempo e com total segurança?
A maioria das empresas não possui seus sistemas e aplicações integradas entre si, ou seja, a probabilidade desta solicitação não ser totalmente atendida é muito alta. Esta inconsistência pode gerar um problema grave no futuro, principalmente se a solicitação do cliente for de exclusão.
Não se pode esquecer que as informações pessoais podem ser armazenadas como dados não estruturados a partir de postagens de mídias sociais, e-mails, calendários, gravações de voz e vídeo, planilhas, entre outras fontes.
A privacidade, proteção e controle dos dados pessoais se tornou uma questão de vida e morte para os negócios. Sim, porque a empresa não quer ver manchada a sua reputação ou ser multada pela autoridade de dados porque deixou que terceiros – maliciosamente ou não – manuseassem informações de seus clientes sem a devida autorização do dono dos dados (o cliente) ou não respeitou devidamente a vontade do cliente em solicitar que seus dados fossem excluídos ou que não recebesse mais ligações ou emails.
Poucos dias depois que a Lei ter entrado em vigor, uma grande construtora brasileira se tornou a primeira empresa a sofrer o rigor da LGPD sendo punida por ter compartilhado dados de contato de um novo cliente, que passou a ser importunado por ligações de parceiros da construtora oferecendo outros produtos.
As novas regras de proteção de dados pessoais, impostas pela LGPD, estão levando as empresas a reverem seus processos de negócios que envolvem desde a coleta de informações de seus clientes ao seu armazenamento e atualização. No entanto, o caso desta construtora é um exemplo da real situação: as empresas ainda têm muito o que fazer para se adequarem.
Para avançarem rumo à conformidade, as organizações precisam, primeiramente, localizar, identificar, mapear e classificar os dados de clientes existentes em seus sistemas e banco de dados, tais como o CRM e ERP, além de aplicações especialistas, de automação de marketing e em outras áreas da empresa que possam ser classificadas como repositórios de dados. Feita esta identificação, é necessário saber se os dados estão sincronizados entre si em todos os sistemas.
Sincronizando os dados para a LGPD
A realização de um inventário de dados e a sua sincronização é fundamental para que o projeto de adequação à LGPD tenha sucesso, mas, sabemos, que o trabalho para organizar dados é grande, principalmente se as informações não estão integradas, ou seja, estejam em diversos locais de maneira desestruturada, difícil de serem acessadas.
Como os sistemas não conversam nativamente entre si, é neste momento que entra a integração de sistemas, que automatiza a troca de dados entre aplicações empresariais e elimina o tratamento manual dos dados, o que pode abrir uma oportunidade para desvios intencionais de arquivos ou perdas.
Plataformas de integração, por exemplo, podem fornecer o ferramental necessário para que os gestores de TI possam construir uma interface de comunicação de dados entre diversas aplicações, desde os legados e soluções em nuvem que possuem dados de clientes em diversos locais. Ao integrar os sistemas, cria-se um ambiente tecnológico que garante que os dados estão identificados. Os dados podem estar em diversos sistemas, o que não pode ocorrer é que eles estejam perdidos e não controlados.
A captação de dados de um cliente por meio de diversas fontes deve envolver, por exemplo, que os formulários de coleta de dados estejam integrados corretamente com os sistemas de back-end para garantir controlar cada instância onde os dados estão armazenados.
O processo de geração de leads também precisa ser rastreado. Por exemplo, a criação de contatos no sistema de CRM precisará passar por um processo de “opt-in” ao invés de apenas deste ser incluído automaticamente em bases de dados de contatos de marketing. O mesmo se aplica às informações de contato coletadas em eventos e quando você receber contatos de terceiros (com a devida autorização do titular dos dados, é claro).
Esses requisitos também precisam ser aplicados ao canal de parceiros, que também deve ter autorização do titular para compartilhar suas informações de contato com um fabricante. Os procedimentos adequados e apropriados para opt-in devem ser seguidos e documentados em toda a cadeia de negócios.
Essas regras também se aplicam a clientes antigos. Todos os detalhes pessoais desnecessários devem ser excluídos. Não se pode simplesmente marcar “não entrar em contato” no banco de dados do CRM. Os dados precisam ser apagados em todos os sistemas em que eles aparecem.
Coletar apenas o essencial para poder melhor gerenciar
De acordo com a LGPD, a empresa é legalmente responsável por garantir que todos os dados armazenados sejam precisos e atualizados. Por isso, é importante coletar apenas o que é essencial para evitar que um grande volume de dados venha dificultar o processo de gestão e guarda correta das informações. É importante também certificar-se de que a empresa não está perdendo tempo e dinheiro usando dados incorretos. Para manter dados dos clientes atualizados é necessário validar as informações com o titular dos dados, ou seja, esta é uma oportunidade para saber se você precisa mesmo manter a posse desses dados. Não tendo um motivo justificável, apague-os e evite dores de cabeça com a LGPD.
Em tempo: o que se aplica à adequação da LGPD, deve-se levar em conta para a GDPR, a lei de proteção de dados pessoais europeia e que é válida também no Brasil para empresas estabelecidas aqui e que possuem dados pessoais de cidadãos do velho continente.