O impacto do RGPD nos diversos setores de uma empresa
O RGPD entrou em vigor em maio do ano passado e trouxe muitas alterações para as empresas. Quase um ano depois da sua chegada, ainda existem muitas dúvidas sobre o impacto que este regulamento terá nos diversos setores de uma empresa. Por esse motivo, preparamos um artigo que fala sobre as principais alterações que acontecem em cada setor da empresa devido ao RGPD!
Área do Marketing
O marketing é uma das áreas que mais lida com dados pessoais, pelo que será uma das mais afetadas pela chegada do RGPD. Uma das principais alterações relaciona-se com os cartões-de-visita. Antes do RGPD esta questão era muito fácil de resolver: recolhiam-se os cartões de visita e depois colocavam-se num ficheiro de Excel, possivelmente, e depois estes contactos passavam a fazer parte da sua base de dados para envio de newsletters e informações do género. No entanto, devido à obrigatoriedade de existir um consentimento explícito para o tratamento dos dados, este método passa a não ser possível. Assim, se quiser utilizar os e-mails para envio de campanhas, deve recolher o consentimento explícito junto dos titulares dos dados pessoais. Este ponto pode parecer pouco simpático para o Marketing, mas a verdade é que vai contribuir para que tenha uma base de dados muito mais qualificada e adequada ao seu negócio. Outra alteração está relacionada com o envio de campanhas. Se envia mensagens com promoções para os seus clientes, é obrigado a enviar um link de remoção da base de dados. O RGPD não permite que se enviem mensagens sem que se cumpra o direito à oposição. E não basta que coloque uma mensagem a dizer que se a pessoa não quer receber mais comunicações por essa via pode enviar um SMS a dizê-lo: é obrigatório que haja um link de remoção automática, de modo a facilitar o mais possível o direito à oposição.
Área de Recursos Humanos
Se até agora o consentimento tácito dos candidatos era suficiente para que a empresa pudesse tratar os seus dados pessoais, com o novo Regulamento as empresas precisam de obter o consentimento explícito dos candidatos para o tratamento dos seus dados. Os candidatos que não forem recrutados deverão ainda dar o seu consentimento para o tratamento dos seus dados pessoais em processos de recrutamento futuros. A área de gestão de recursos humanos deverá ainda criar um procedimento para obter consentimento dos candidatos que enviam candidaturas espontâneas, onde aceitem o tratamento e a conservação dos seus currículos. Aqui deverá ainda ser indicada a finalidade do tratamento dos dados e o prazo em que o currículo se manterá na base de dados da empresa. Outra alteração será o recrutamento ativo, que apenas poderá ser feito junto dos indivíduos que disponibilizarem os seus contactos em plataformas dedicadas ao mundo do trabalho, como é o caso do Linkedin. Neste caso, existe vontade do candidato em ser contactado por empresas. Contudo, após o primeiro contacto deverá haver consentimento explícito por parte do candidato para a continuação do tratamento dos seus dados pessoais.
Sobre o autor
Marketing administrator
Área de TI
Não devia ser necessária uma lei de proteção de dados para que as empresas olhassem para a segurança como uma prioridade, mas a verdade é que muitas empresas não olhavam com seriedade para a área da proteção de dados. Após a chegada da nova legislação, e muito por culpa das avultadas multas por incumprimento da lei, as empresas passaram a encarar a segurança como um fator estratégico para a atuação da empresa. O gestor de TI tem agora uma responsabilidade acrescida (caso não exista DPO na empresa) que é a de garantir a segurança total de todos os sistemas de informação, para que nenhum dado se perca. Os processos devem ser criados ou adaptados, para que os dados sejam protegidos. A metodologia a utilizar deve ser privacy by design, para facilitar a monitorização de comunicação dos eventos relacionados com os dados pessoais. A empresa deve garantir que os dados altamente sensíveis estão encriptados ou mascarados, para que não haja o risco de serem perdidos e a empresa ser vítima das pesadas multas que constam no novo regulamento. O Datapeeers oferece uma variedade de técnicas scrambling sofisticadas para proteger dados sensíveis, substituindo-os de forma irreversível por dados fictícios mas realistas.
A empresa deve criar um programa interno de comunicação, para que envolva todas as áreas nesta mudança. O responsável pelo cumprimento do RGPD deve informar e sensibilizar os colaboradores sobre a privacidade dos dados e os riscos que o não cumprimento da lei traz para a empresa.