Conformidade GDPR: a integração de sistemas é uma boa maneira de começar

A proteção e privacidade de dados tornaram-se um tema de significância global após identificação de incidentes de grande porte envolvendo empresas e governos. Como resultado, surgiu uma necessidade crescente de uma política de proteção de dados unificada e da entrada em vigor em maio deste ano da General Data Protection Regulation (GDPR), que afeta qualquer empresa que possua dados de cidadãos da comunidade europeia. No Brasil, a nova lei de proteção de dados - que aguarda sanção presidencial - tem a mesma finalidade.

Representando uma mudança importante na regulamentação de privacidade de dados em 20 anos, a GDPR é uma estrutura legal que estabelece diretrizes para a coleta e processamento de informações pessoais de indivíduos na União Europeia. Com a GPDR passam a valer requisitos específicos para a transparência de como as empresas gerenciam os dados pessoais de seus clientes. Além das empresas europeias, as empresas brasileiras e de outros países, que possuam uma base de clientes na Europa devem cumprir a GPDR. Por exemplo, o voto de Brexit não implica que as empresas do Reino Unido estejam isentas de seguir a nova regra, e devem se preparar adequadamente.

As empresas que não atendem à GPDR podem sofrer consequências significativas, resultando em até 20 milhões de euros, ou 4% do volume de negócios anual da empresa (o que for maior) - que, quando calculado a nível de grupo para multinacionais, poderia somar valores altíssimos em penalidades.

Os novos regulamentos GDPR exigem que todos os dados do cliente devem ser classificados, levar um registro de data e hora, documentando como os contatos concordaram com o registro de suas informações pessoais. Além disso, as organizações devem ser capazes de atender aos pedidos de seus clientes para apagar ou transferir os dados pessoais de um sistema para outro, incluindo atender a uma trilha de auditoria completa e confirmando que as transações foram concluídas.

Recomenda-se também que as empresas nomeiem um controller de dados que é responsável por realizar rotineiramente avaliações de impacto de proteção de dados e notificar o Information Commissioner sobre qualquer violação de dados dentro de 72 horas após sua detecção.

Desta forma, as empresas precisam garantir que uma estrutura seja estabelecida para monitorar, analisar e avaliar os procedimentos de processamento de dados com todas as salvaguardas necessárias.

Encontrando e identificando os dados do cliente — O primeiro passo para a conformidade é fazer um inventário completo dos locais onde dados de clientes possam estar dentro da organização. Mas isso nem sempre é fácil, porque localização dos dados do cliente apresenta vários desafios. Além do banco de dados do CRM, que é o primeiro lugar mais óbvio a procurar, os dados também podem estar em sistemas de automação de marketing, gerenciamento de leads, suporte ao cliente, financeiro e de campo. Além disso, as informações pessoais podem ser armazenadas como dados não estruturados em postagens de mídias sociais, e-mails, calendários, gravações de voz e planilhas, entre outras fontes.

Considere também que os dados podem estar localizados em diferentes regiões e escritórios, que podem ou não usar os mesmos sistemas de CRM. As transferências internacionais de dados também precisam ser monitoradas para organizações onde os dados do cliente são processados fora da UE. Além disso, com a força de trabalho cada vez mais móvel e a adoção de infraestruturas em nuvem, os dados podem ser encontrados em locais onde não deveriam estar, como em serviços de nuvem de terceiros, dispositivos de laptop ou até mesmo compartilhamentos de arquivos em partes publicamente disponíveis de uma rede.

Ao fazer uma auditoria completa dos dados de clientes deve-se identificar os dados que não são úteis e não necessitam (ou não devem) mais ser armazenados. Não faz sentido guardar estes dados pessoais, que podem ser potencialmente prejudiciais, se estes não forem mais utilizados. Ou seja, não é uma tarefa pequena tentar encontrar cada instância de dados de clientes que precisa ser protegida em sua rede.

Aplicando a GDPR — Existem várias ferramentas diferentes que podem ajudar a criar uma trilha de auditoria em todo o ecossistema de dados do cliente. As plataformas de integração, por exemplo, podem fornecer a liga necessária para encontrar e, em seguida, integrar dados de diferentes fornecedores, locais e dispositivos. Os ambientes de desenvolvimento low-code - que envolve a criação de softwares como o mínimo possível de códigos envolvidos - permitem que funcionários que não são programadores treinados se envolvam com este processo de integração, o que é ainda mais essencial à medida que cada vez mais departamentos e funções comerciais dentro da organização são responsáveis por coletar, consumir e analisar os dados de negócios.

Além de integrar sistemas para identificar cada instância de dados do cliente, os processos de negócios adicionais envolvidos com a documentação da cumplicidade de um cliente com o armazenamento de seus dados precisam ser implantados. Todos os formulários que capturam dados de clientes devem ser integrados totalmente com os sistemas de back-end para garantir a conformidade seguindo cada instância de onde os dados são compartilhados e armazenados.

Também, todo o processo de geração de leads também precisa ser rastreado. Por exemplo, a criação de contatos em seu sistema de CRM precisará passar por um processo de "opt-in" ao invés de apenas ser incluído automaticamente em bases de dados de contatos de marketing. O mesmo se aplica às informações de contato coletadas em eventos do setor e quando você recebe contatos de terceiros.

Esses requisitos também precisam ser aplicados aos parceiros do canal. Um parceiro tem autoridade para compartilhar informações de contato com um fabricante? Se sim, os procedimentos adequados e apropriados para o opt-in devem ser seguidos e documentados. Essas regras também se aplicam a clientes antigos e atuais. Todos os detalhes pessoais devem ser excluídos. Você não pode simplesmente marcar "não entrar em contato" no banco de dados do CRM. Os dados precisam ser apagados em todos os sistemas em que aparecem. É importante coletar o mínimo de dados do cliente para que você não precise gerenciá-los mais tarde.

Você é legalmente responsável por garantir que todos os dados armazenados sejam precisos e atualizados. Também é importante certificar-se de que você não está perdendo tempo e dinheiro usando dados incorretos. Para manter seus dados atualizados, pergunte regularmente aos clientes se os dados foram alterados. Você também deve incentivar os funcionários a fazer atualizações e treiná-los para garantir que elas sejam feitas com precisão.

A economia digital baseia-se na coleta e troca de dados, incluindo grandes quantidades que consistem em dados pessoais confidenciais. Avançar com a inovação requer confiança do público na proteção dessas informações. A conformidade com a GPDR exigirá uma abordagem direcionada ao exame de todo o modelo de negócios e como esses requisitos entram em ação. Se ainda não o fez, é tempo de encontrar todas as fontes de dados de clientes, onde quer que seja, e iniciar sua jornada de conformidade com a GDPR.

. Por: Stephan Romeder, Vice- presidente Global de Desenvolvimento de Negócios da Magic Software Enterprises.

Enviar Imprimir