Quem é impactado pelo GDPR?
O EU GDPR se aplica não apenas a organizações na Europa, mas a qualquer organização que processe e armazene dados pessoais de indivíduos na União Europeia, bem como cidadãos da UE que vivem no exterior. Em outras palavras, se você planeja ter clientes da Europa, precisará prestar atenção.
O que acontece se você não cumprir?
O GDPR será aplicado a partir de 25 de maio de 2018. As penalidades por não conformidade são significativas.
- Multas podem ser aplicadas de até 4% da receita global anual ou 20 milhões de euros, o que for maior.
- Os indivíduos terão o direito de buscar compensação por danos, incluindo perda de controle sobre dados pessoais ou limitação de direitos, discriminação, perda financeira, danos à reputação ou perda de confidencialidade de dados pessoais protegidos por sigilo profissional.
- Os indivíduos podem optar por buscar ação contra o controlador de dados, o processador ou ambos, e possivelmente qualquer pessoa na cadeia de suprimentos.
Quais são suas opções?
Se você possui ou opera um negócio de ecommerce, suas opções são insuficientes. Na verdade, existem apenas duas opções.
Opção 1 - Abrace isso (Boa Ideia!)
Um amigo me disse uma vez: “se você não sabe para onde está indo, já está perdido.” Acho que isso é especialmente verdadeiro com o EU GDPR. Há muito a aprender e ainda mais que precisa ser esclarecido. Mas alcançar a prontidão para o EU GDPR começa com uma decisão de conformidade. Avalie sua situação e identifique áreas onde você não está em conformidade. Você pode então estabelecer uma estratégia para minimizar sua responsabilidade.
Opção 2 - Não venda para a Europa ou seus cidadãos (Má Ideia!)
Se você não deseja cumprir o EU GDPR, recomendamos fortemente que não planeje fazer negócios com ninguém da Europa. Lembre-se, esses indivíduos europeus podem viver no exterior. Limitar seu negócio de ecommerce às fronteiras dos EUA não garante sua conformidade. O risco de não conformidade é significativo e pode ser descrito como “sob pena de penalidade.” A não conformidade é uma opção, mas não é recomendada.
5 áreas-chave da regulamentação
A prontidão para o EU GDPR envolve familiarizar-se com cinco áreas-chave da regulamentação - consentimento, direitos individuais, políticas e responsabilidade.
1. Interesse Legítimo
O Artigo 6 do regulamento GDPR afirma que um coletor de dados só pode processar dados legalmente se, entre outras coisas, tiver interesse legítimo ou consentimento. Determinar se você tem um interesse legítimo requer uma “avaliação cuidadosa” das expectativas e do contexto dos dados que você está coletando.
É tentador usar uma interpretação ampla de interesse legítimo para superar a necessidade de consentimento. Desencorajamos o uso de uma visão aberta de interesse legítimo como uma forma de justificar a coleta de dados. O GDPR fornece alguns exemplos, como processar dados pessoais para prevenir fraudes, fins administrativos internos relacionados a funcionários e clientes, garantir a segurança da rede e relatar possíveis atos criminosos ou ameaças à segurança pública.
Ainda há uma área cinza em torno do interesse legítimo e a definição se tornará mais evidente ao longo do tempo. A recomendação de curto prazo é adquirir o hábito de perguntar: “o mesmo objetivo pode ser alcançado sem processar dados pessoais?” Se a resposta for sim, então a melhor prática é afastar-se do interesse legítimo como base para o processamento de dados; você deve obter consentimento.
2. Consentimento
Não há mais consentimento passivo. Você precisa declarar para que usará os dados. Aqui estão dois exemplos de como solicitar consentimento.
3. Direitos Individuais
Sob o GDPR, o indivíduo tem o direito de ser esquecido. Por exemplo, se ele consentiu com o uso dos dados para fins de marketing, ele tem o direito de pedir que você o “esqueça”. Novos direitos foram introduzidos em torno do acesso ao sujeito, objeção ao processamento, portabilidade de dados e objeção à profilagem, entre outros.
4. Políticas
O Artigo 13 da regulamentação fornece 12 áreas-chave que você precisa informar seu consumidor em clear linguagem, não em legalês. Desenvolva uma política de privacidade padrão que informe seus clientes como você gerencia seus dados.
É necessário ter uma pessoa de contato designada, bem como informações de contato para sua organização na política de privacidade.
5. Responsabilidade
Eduque seus funcionários e forneça as ferramentas para ajudar a promover a responsabilidade em toda a sua empresa, não apenas para esta regulamentação, mas para todos os dados pessoais que você recebe. A proteção de dados é responsabilidade de toda a organização. Qualquer pessoa que entrar em contato com dados precisa estar ciente das implicações e das penalidades por não conformidade.
Zonos, o líder em tecnologia de ecommerce transfronteiriço, continuará a liderar e guiar os comerciantes através do desafio de vender seus produtos para o mundo. Continuaremos a fornecer FAQs e exemplos de documentos exibindo políticas e processos internos de privacidade que você pode adotar. Compartilharemos documentos de treinamento interno para você usar com sua equipe. Zonos leva a privacidade dos dados a sério e está comprometido com a prontidão para o EU GDPR. Mais detalhes estarão disponíveis regularmente.
Por que você deve se importar com o GDPR?
Em todos os lugares que você olha no ecommerce, verá alguém discutindo EU GDPR ou o Regulamento Geral de Proteção de Dados da União Europeia. Há uma variedade de informações, desde artigos técnicos até especulações nas redes sociais. Todos nós queremos saber como isso nos afetará. Quais mudanças, se houver, eu precisarei fazer? O que isso realmente significa?
Neste artigo, faremos uma rápida análise do EU GDPR - o que é, como podemos nos preparar e como isso pode impactar um negócio online.