Como aplicar as regras de GDPR no Mautic
A GDPR é uma lei européia que entra em vigor em 25 de maio de 2018 e que promete mexer com quem trabalha com processamento de dados de leads.
Basicamente aplica uma série de Leis para proteção da privacidade do cidadão e também estabelece regras para a segurança das informações armazenadas dessas pessoas.
A mudança afeta todo mundo!
Segundo pesquisa da União Européia, apenas 12% das empresas estão prontas para a nova lei e isso afeta diretamente empresas de todo porte que fazem negócios no antigo continente.
Com o Mautic não é diferente pois armazenamos histórico de diversas atividades de nossos leads, além de informações pessoais e comportamentais.
GDPR aplica Transparência e Responsabilidade
A GDPR obriga que você informe o que está fazendo com os dados dos seus contatos e como você está armazenando (e até mesmo eliminando) informações sensíveis destas pessoas.
Aqui no Brasil o Marco Civil da Internet até tentou algo parecido mas a GDPR é sólida e serve de exemplo para nosso governo e também para países vizinhos.
Entendendo a GDPR
GDPR é a sigla para Regulmento Geral de Proteção de Dados (General Data Protection Regulation) que é uma norma recente criada para fortalecer a proteção aos dados que começpu na União Européia e agora em 2020 chega também ao Brasil. E ela afeta você que usa o Mautic.
Todas as empresas que fazem negócios com qualquer país da União Européia ou no Brasil, mesmo que de forma gratuita, deve ser adequar à GDPR.
É importante ressaltar que se sua empresa brasileira mantém conexão com empresas e consumidores finais europeus, você deve se adaptar ao GDPR também.
Outro ponto importante é que se você usa nuvem do Google, Amazon, Azure, etc estes não serão responsabilizados por quaisquer atos que sua empresa faz. A responsabilidade é sua!
Como se preparar para a GDPR
Dê uma olhada na sua lista de contatos do Mautic e veja se encontra Leads europeus. é muito comum pessoas de Portugal ou outros países vizinhos estarem acompanhando nossas atividades.
Portanto, a GDPR também afeta você.
O primeiro passo é verificar suas políticas de segurança com dados, seja no seu banco de dados mas também no que diz respeito ao acesso ao servidor, políticas se troca de senha e quem são as pessoas envolvidas nos processos de manutenção de dados.
Aqui na Powertic estamos nos adaptando para estas Leis pois atendemos clientes em outros países também.
Temos que ficar de olho e como prestadores de serviço de hospedagem nossas políticas ficarão cada vez mais rigorosas.
Coletando Dados segundo a GDPR
Com a nova lei européia você deve colher somente as informações necessárias sobre seus leads e deverá também informar claramente quais serão as ações tomadas com estas informações.
A transparência é um ponto importante na GDPR. Você deve também oferecer meios fáceis das pessoas voltarem atrás e saírem completamente das suas listas.
Armazenando dados de acordo com a GDPR
Sua empresa deve seguir rigorosos padrões de segurança para ficar de acordo com a GDPR. Guardar os dados de maneira segura é uma obrigação de qualquer empresa que trabalhe com meios digitais mas as punições serão severas com a nova lei.
Retenção de Dados com a GDPR
O Mautic permite armazenar uma infinidade de informações valiosas sobre nossos contatos, mas a GDPR estabelece algumas regras para a devida retenção e também para a eliminação de informações sobre pessoas.
Se um lead pedir para sair da sua base de contatos, você deverá eliminar todas as informações deste contato e não somente um unsubscribe.
Numa visão mais ampla a GDPR aumenta a responsabilidade de quem armazena dados valiosos.
Principais aspectos da GDPR que você deve abordar com o Mautic
Toda a regulamentação conta com 11 capítulos e está disponível no site do GDPR.
Confira abaixo os principais pontos da GDPR e como você pode aplicá-los ao Mautic:
- Disponibilizar a identidade e o contato da empresa que fará uso dos dados (Utilize uma página de contato);
- Disponibilizar os contatos da empresa responsável pela proteção de dados, se houver;
- Detalhar ao usuário quais dados serão coletados, como serão usados e os motivos para o processamento de dados e as bases legais para isso (Tente colocar isso na página de política de privacidade);
- Listar os destinatários dos dados (ou suas categorias), se houver (Geralmente usamos a mensagem “Não compartilhamos ou vendemos seus dados”);
- Citar o período que o dado ficará armazenado ou – se não for possível – o critério usado para determinar tal período (Coloque na página de política de privacidade);
- Explicitar as possíveis consequências da falta de fornecimento dos dados;
- Detalhar a fonte dos dados, se veio de uma fonte pública e não foi coletado diretamente do usuário (Você pode colocar isso num rodapé dos e-mails);
- Conceder o direito do usuário retificar seus dados (Use o progressive profiling);
- Conferir o direito de retirar o consentimento de processamento dos seus dados a qualquer momento (Você deve oferecer um unsubscribe no rodapé do e-mail);
- A coleta de dados sensíveis (que revelam origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos, dados relativos à saúde ou dados relativos à orientação sexual) merecem proteção específica.
- O tratamento dos dados de uma criança é legal quando a criança tiver pelo menos 16 anos. Nos casos em que a criança tenha menos de 16 anos de idade, tal tratamento só será lícito se e na medida em que o consentimento seja dado ou autorizado pelo titular da responsabilidade parental sobre a criança.
Outra dica legal é montar um template de texto com esses pontos e inserir no rodapé de landing pages e também na página de agradecimento.
Removendo Contatos do Mautic de acordo com a GDPR
Você pode montar um segmento bem simples para filtrar todos os contatos que estão sem atividade nos últimos X anos e também aqueles que solicitaram para remoção da base de contatos através de uma tag.
Você pode montar um formulário no rodapé do seu site ou até mesmo na página de política de privacidade para que as pessoas solicitem remoção imediata da sua base de contatos.
Esse processo pode ser feito através de uma simples tag em um contato. Veja um exemplo do nosso segmento
Você pode então montar uma campanha que simplesmente exclui estes contatos automaticamente:
Comando para remover contatos da GDPR
Desde o Mautic 2.15.0, você pode usar um comando para que você possa remover todos os contatos que estão há mais de 2 anos sem interação e também os contatos anônimos que possuem histórico de IP e páginas visitadas:
No Mautic 2:
php app/console mautic:maintenance:cleanup --gdpr
No Mautic 3:
php bin/console mautic:maintenance:cleanup --gdpr
GDPR e o Brasil
Há muita confusão a respeito da real abrangência do GDPR. Antes de mais nada, é preciso lembrar que, embora a legislação tenha sido criada pela União Europeia, ela engloba toda e qualquer empresa que colete, armazene e processe dados de cidadãos europeus, independentemente de onde ela esteja sediada.
Isso, na teoria, significa que se você tem uma loja virtual que envia produtos para o mundo inteiro e possui um único consumidor europeu, a regulação já pode ser aplicada em seu empreendimento.
Pode parecer um tanto injusto, mas as regras do jogo são bem claras: se guardou informações de um europeu, estará sujeito às leis europeias.
Obviamente, na prática, as autoridades estrangeiras não serão tão estritas assim e possivelmente vão ignorar casos de coletas não-intencionais ou situações nas quais os dados pessoais obtidos não são tão sensíveis assim (por exemplo, um internauta gringo visita seu site estático e passa a ser rastreado por um ad tracker).
Sua empresa deve se aproximar dessas normas de segurança para expandir mercados e conquistar novos horizontes. Fique de olho!
Poderiam fazer uma atualização a respeito da LGPD neste documento, muito bom por sinal