Esta resenha só foi possível por conta do trabalho da Susan Etlinger, consultora da Altimeter, que resumiu as implicações do GDPR e seus efeitos no mercado com o report “GDPR Beyond May 25, 2018: Implications for Strategists and Marketers”, disponível gratuitamente (em inglês).
Afinal, o que é GDPR e o que está sendo proposto?
O European General Data Protection Regulation está prestes a ser colocado em prática na União Europeia e tem como objetivo principal a regulamentação do acesso e controle dos dados digitais dos cidadãos europeus na mão dos próprios. Dados estes que hoje estão sob a responsabilidade de governos e empresas ao redor do mundo.
Embora ainda esteja relacionada ao contexto europeu, o GDPR chama a atenção do mundo inteiro por apresentar desafios que todos os produtos e serviços que de alguma forma lidam com informações digitais e sigilosas irão enfrentar para se adaptar às nova regras, alterando processos, tecnologias, design de produtos/serviços, comunicação, estruturas organizacionais, entregas de valor, entre outras coisas. E embora ainda soe em tom de alerta preocupante para os olhares menos familiarizados com questões de proteção e responsabilidades sobre os dados das pessoas, é importante olhar a médio e longo prazo para identificar, entender e agir quanto às oportunidades geradas a partir deste marco com o intuito de deixar a relação das pessoas com empresas e governos mais transparentes e confiáveis.
GDPR: os principais pontos
Para contextualizar mais uma vez a relevância da regulamentação é preciso ter a noção de que 90% dos dados do mundo foram criados nos últimos dois anos; e mais, considerando a crescente disponibilidade de dados pessoais (coletados por sensores, posts em mídias sociais, imagens, smartphones, sites, circuitos internos de TV, vídeos, registros de transações entre outras formas), temos o grande desafio de estabelecer noções mais claras com relação ao direito à privacidade. É nesse sentido que o GDPR se propõe em achar uma forma de retomar o controle dos dados individuais, aumentar a transparência e, fundamentalmente, mudar a forma como as organizações lidam com a coleta e uso destes dados.
As novas regras entram em vigor no próximo dia 25 de maio e está respondendo a uma série que questionamentos e medos que os próprios cidadãos demonstram. Por exemplo, segundo uma pesquisa feita pela União Europeia, 90% das pessoas falam que querem uma política de proteção de dados comum à toda a Europa. Já nos Estados Unidos, um dos países mais importantes nessa discussão, as pesquisas revelam que a forma como o governo e as organizações usam os dados pessoais está entre as 10 maiores preocupações do americanos; e que temem bastante crimes cibernéticos envolvendo roubo de informações e até mesmo de dinheiro ao usar produtos e serviços digitais.
A questão-chave agora é como as organizações irão agir para dar conta deste alinhamento entre os seus interesses e os interesses e privacidade dos cidadãos.
Quais são as novidades e mudanças propostas pelo GDPR?
O GDPR concentra as suas diretrizes em 4 áreas principais: Territorial Scope, Penalties, Consent e Rights of the Data Subject.
Territorial Scope: O GDPR se aplica a qualquer organização que processe informações pessoais no Reino Unido e União Europeia. Ou seja, não importa se a empresa tem sede física ou funciona via rede, se atender e lidar com dados pessoais de cidadãos dessas regiões precisa estar de acordo e estará sujeita às penalidades no caso de infrações.
Penalties: As organizações que não se adequarem ao GDPR poderão ser multadas em até 4% do volume global dos negócios (receita bruta, por exemplo) ou €20 milhões – o que for maior.
Consent: As disposições do GDPR para consentimento focam em uma série de questões relacionadas a dados pessoais, incluindo:
- Como as empresas solicitam os dados aos usuários;
- Como, com qual língua e contexto os dados são concedidos;
- A facilidade de retirar o consentimento sobre o uso de seus dados — o direito de ser esquecido.
Em todos os casos, a linguagem utilizada deve ser clara e simples (não denso e legalista), a finalidade para solicitar os dados devem ser claros e o consentimento para usar os dados deve ser explicado de forma separada dos outros tópicos.
Rights of the Data Subject: A partir destes direcionamentos “guarda-chuva” para nivelar as organizações e pessoas para com o uso de dados pessoais, se tornou necessário formular guias de entendimento sobre as interações de acesso e consentimento nas relações entre pessoas, organizações e governos. O “The US Guide to Getting Consent”, publicado pela International Association of Privacy Professionals é um bom recurso para entender estas nuances.
Já na Europa as pessoas estão protegidas pelos seguinte direitos:
- Breach Notification: regulação de processos e tempo para as organizações notificarem os usuários sobre assuntos relevantes referentes a violação de dados.
- Right to Access: expande o direito dos indivíduos a acessarem seus dados, entender onde e por qual motivo ele está sendo manipulado, além de poder receber uma cópia digital de seus dados via solicitação.
- Right to Explanation: as pessoas tem o direito de saber qual é a lógica envolvida em processos automatizados nas interações entre as pessoas e os provedores de serviços e produtos digitais. Ou seja, o processo de codificação e o próprio fim do dados precisa estar acessível e compreensível para todos.
Right to be Forgotten: garante às pessoas que os seus dados pessoais possam ser apagados e/ou interromper a disseminação ou acesso de outros atores aos seus registros. - Right to Object (to Data Profiling): garante às pessoas o direito de acessar os dados pessoais que compõem o seu perfil, levando em consideração aspectos como performance no trabalho, situação econômica, saúde,preferências pessoais, grau de confiança, localização e movimentos.
Data Portability: possibilita que as pessoas possam receber os seus dados de forma fácil, em um formato que possa ser acessado por computadores pessoais e que também possam ser cedidos a outras organizações. - Privacy by Design (and by Default): solicita que as organizações que controlam os dados sigam um guia de princípios de design que inclua o uso mínimo possível de dados e limita o acesso a dados pessoais.
- Data-Protection Officers: solicita que as organizações criem vagas de emprego para oficiais de proteção aos dados, assim como lançar processos e responsabilidades para o cargo.
Do ponto de vista do mercado e os valores em jogo diante de uma sociedade cada vez mais dependendo do uso de dados digitais, também cumpre o papel de guiar todos aqueles que já enxergam no tratamento de dados uma alternativa viável para criar calor e aumentar a sua competitividade frente aos concorrentes, o que significa que a excelência operacional ganha cada vez mais importância para demonstrar o potencial competitivo em determinados mercados. Como exemplo, quem lembra da multa de $13mi que o Linkedin teve que pagar após estimular os usuários a produzirem spam para as suas redes de contato? E as “novas” revelações envolvendo o Facebook em que traz a tona o uso de dados de até 50 milhões de usuários para interferir nas eleições americanas de 2016, favorecendo a vitória do presidente Trump?
A título de contextualização do tema na América Latina, vale muito a pena conhecer o trabalho do Coding Rights na plataforma “Chupadados”, que “reúne histórias latino americanas sobre a coleta e processamento massivos de dados por governos, empresas e por nós mesmos para monitorar cidades, casas, bolsos e corpos.”
Investigação a respeito dos dados que estão em jogo durante o uso dos principais aplicativos de relacionamento.
Fonte: Suruba de Dados
As oportunidade projetadas a partir da regulamentação
Uma vez compreendida a urgência da discussão e implementação do GDPR na Europa (que terá impacto no mundo todo), vale se atentar às oportunidades trazidas pela regulamentação ilustradas abaixo.
No sentido de prover o aumento da qualidade dos dados, a principal transformação no mindset é de tratar o direito a privacidade como uma característica default provadores de serviços e produto. Além disso, a seriedade necessária para acessar e trabalhar com dados pessoais tem o potencial de melhorar o trabalho de marketing relacionado a segmentação de target e oferecimento de ofertas que as pessoas realmente tem afinidades e desejos declarados. Uma outra oportunidade com muito potencial para alavancar o valor compartilhado é a disseminação da perspectiva de construção de negócios baseados em dados reais dos usuários, prática que vem sendo cada vez mais presente nas discussões acerca de construção de negócios, principalmente pelo mercado de startups tecnológicas e por praticantes do mindset popularmente chamado de design thinking ou user centered design.
A disseminação dessa perspectiva levará também a uma transformação mais ampla na forma como a gestão de produtos digitais é feita, principalmente no que diz respeito a obrigatoriedade da co-criação de soluções junto com os usuários, com suas necessidades e particularidade e com trocas em real time. Consequentemente, este aumento da demanda por transparência e privacidade é um ponto importante na criação de valor e posicionamento para marketing, como já havíamos mencionado em parágrafos anteriores. Por exemplo, se dois aplicativos oferecem a mesma experiência do usuário, mas um deles já segue as diretrizes do GDPR, qual deles terá maior vantagem competitiva e preferência por parte dos usuário a médio e longo prazo? As apostas são de que esta avaliação será imprescindível para a escolha em um futuro próximo.
Ainda não dá pra saber a velocidade da adequação dos negócios e governos ao GDPR, mas será no mínimo curioso perceber os solavancos (como no caso do Linkedin e Facebook relatados acima) e o aumento do entendimento, cobrança e participação dos usuários em questões que até pouco tempo passavam batidas – como aquele clique automático e aleatório que ainda damos para aceitar os termos de uso de todo e qualquer serviço digital.