O objetivo desta página é ajudar você a ter uma visão clara das implicações legais ao licenciar uma ou mais soluções de nosso produto Footprints for Retail.
Conformidade com GDPR
Clique em qualquer um dos links abaixo para ir direto para uma das seguintes seções:
O QUE É GDPR?
PRIVACIDADE POR DESIGN E PRIVACIDADE POR PADRÃO
PROCESSAMENTO DE DADOS PARA FINS DE MARKETING
O QUE SÃO DADOS PESSOAIS?
BASE LEGAL PARA O PROCESSAMENTO
COMPARTILHAR OS DADOS COM APLICATIVOS DE TERCEIROS
O que é o GDPR?
O Regulamento Geral de Proteção de Dados (GDPR) é uma estrutura legal que define diretrizes para a coleta e o processamento de informações pessoais de indivíduos na União Europeia (UE). O artigo 5 do GDPR estabelece os seis princípios de proteção de dados. Esses princípios são a base do GDPR e exigem que os dados pessoais sejam:
— processado de forma legal, justa e transparente;
— usado para a finalidade para a qual foi coletado (e esse propósito é expressamente especificado e legítimo);
— relevantes e limitados ao que é necessário em relação às finalidades para as quais são processados;
— exatos e, quando necessário, atualizados;
— armazenados por não mais do que o necessário para a finalidade para a qual os dados pessoais são processados;
— e processados de forma a proteger a segurança e a confidencialidade dos dados pessoais.
Operamos dentro dessa estrutura, em que o controlador dos dados pessoais é responsável por cumprir os seis princípios acima. Além disso, o controlador dos dados pessoais deverá demonstrar conformidade com esses princípios, por isso é importante que as políticas apropriadas estejam em vigor.
— processado de forma legal, justa e transparente;
— usado para a finalidade para a qual foi coletado (e esse propósito é expressamente especificado e legítimo);
— relevantes e limitados ao que é necessário em relação às finalidades para as quais são processados;
— exatos e, quando necessário, atualizados;
— armazenados por não mais do que o necessário para a finalidade para a qual os dados pessoais são processados;
— e processados de forma a proteger a segurança e a confidencialidade dos dados pessoais.
Operamos dentro dessa estrutura, em que o controlador dos dados pessoais é responsável por cumprir os seis princípios acima. Além disso, o controlador dos dados pessoais deverá demonstrar conformidade com esses princípios, por isso é importante que as políticas apropriadas estejam em vigor.
Privacidade por design e privacidade por padrão
Implementamos medidas técnicas e organizacionais nos estágios iniciais do projeto das operações de processamento, de forma a proteger os princípios de privacidade e proteção de dados desde o início (“proteção de dados desde o design”). Garantimos que os dados pessoais sejam processados com a mais alta proteção de privacidade (por exemplo, apenas os dados necessários são processados, curto período de armazenamento, acessibilidade limitada) para que, por padrão, os dados pessoais não sejam acessíveis a um número indefinido de pessoas (“proteção de dados por padrão”).
Privacidade desde o design afirma que qualquer ação que uma empresa realize que envolva o processamento de dados pessoais deve ser feita com a proteção de dados e a privacidade em todas as etapas. Isso inclui projetos internos, desenvolvimento de produtos, desenvolvimento de software, sistemas de TI e muito mais. Na prática, isso significa que o departamento de TI, ou qualquer departamento que processa dados pessoais, deve garantir que a privacidade seja incorporada a um sistema durante todo o ciclo de vida do sistema ou processo.
Privacidade por padrão significa que, depois que um produto ou serviço for lançado ao público, as configurações de privacidade mais rígidas devem ser aplicadas por padrão, sem qualquer entrada manual do usuário final. Além disso, quaisquer dados pessoais fornecidos pelo usuário para permitir o uso ideal de um produto devem ser mantidos apenas pelo tempo necessário para fornecer o produto ou serviço. Se mais informações do que as necessárias para fornecer o serviço forem processadas, a “privacidade por padrão” será violada.
Relação entre controlador de dados/processador de dados
Privacidade desde o design afirma que qualquer ação que uma empresa realize que envolva o processamento de dados pessoais deve ser feita com a proteção de dados e a privacidade em todas as etapas. Isso inclui projetos internos, desenvolvimento de produtos, desenvolvimento de software, sistemas de TI e muito mais. Na prática, isso significa que o departamento de TI, ou qualquer departamento que processa dados pessoais, deve garantir que a privacidade seja incorporada a um sistema durante todo o ciclo de vida do sistema ou processo.
Privacidade por padrão significa que, depois que um produto ou serviço for lançado ao público, as configurações de privacidade mais rígidas devem ser aplicadas por padrão, sem qualquer entrada manual do usuário final. Além disso, quaisquer dados pessoais fornecidos pelo usuário para permitir o uso ideal de um produto devem ser mantidos apenas pelo tempo necessário para fornecer o produto ou serviço. Se mais informações do que as necessárias para fornecer o serviço forem processadas, a “privacidade por padrão” será violada.
Relação entre controlador de dados/processador de dados
O controlador de dados determina as finalidades e os meios pelos quais os dados pessoais são processados. Portanto, se sua empresa decidir “por que” e “como” os dados pessoais devem ser processados, ela é a controladora de dados.
Sua empresa é controladora conjunta quando, junto com uma ou mais organizações, determina conjuntamente “por que” e “como” os dados pessoais devem ser processados. Os controladores conjuntos devem entrar em um acordo estabelecendo suas respectivas responsabilidades pelo cumprimento das regras do GDPR. Os principais aspectos do acordo devem ser comunicados aos indivíduos cujos dados estão sendo processados.
O processador de dados processa dados pessoais somente em nome do controlador.
Específicas de nossas soluções, as atividades que realizamos são legalmente enquadradas como processamento de dados para CRM omnicanal, marketing baseado em localização e aplicativo de fidelidade e como controladora conjunta de análise de ecossistemas. Os deveres do processador em relação ao controlador e a função de controlador conjunto devem ser especificados em um contrato ou outro ato legal. Propomos acordos específicos de processamento de dados que esclarecem o papel de cada empresa envolvida.
O processador de dados processa dados pessoais somente em nome do controlador.
Específicas de nossas soluções, as atividades que realizamos são legalmente enquadradas como processamento de dados para CRM omnicanal, marketing baseado em localização e aplicativo de fidelidade e como controladora conjunta de análise de ecossistemas. Os deveres do processador em relação ao controlador e a função de controlador conjunto devem ser especificados em um contrato ou outro ato legal. Propomos acordos específicos de processamento de dados que esclarecem o papel de cada empresa envolvida.
Processamento de dados para fins de marketing
Para fins de marketing direto, os dados pessoais geralmente são coletados do titular dos dados (cliente). Por exemplo, ao comprar alguns itens, um indivíduo deixa seus dados de contato e deseja ser notificado sobre novos produtos.
Os dados pessoais devem ser processados de forma legal e justa, na quantidade necessária para atingir o objetivo do marketing direto. O GDPR afirma que os dados processados devem ser adequados à finalidade e devem ser proporcionais. A autenticidade e a precisão dos dados devem ser garantidas. Os dados devem ser mantidos por um período necessário para atingir fins de marketing direto.
O provedor de marketing direto (o controlador) é obrigado a:
— Fornecer informações completas ao cliente sobre as fontes de dados;
— Fornecer ao cliente suas informações de contato;
— Oferecer ao cliente a oportunidade de solicitar o término do uso de dados em um formulário usado para marketing direto e/ou definir os meios disponíveis e adequados para tal solicitação (por exemplo, ao enviar uma notificação comercial, indique o número de telefone ou um site, onde se possa recusar a receber tais notificações);
— Tomar medidas organizacionais ou técnicas que permitam proteger os dados contra destruição acidental ou ilegal, alteração, divulgação, obtenção, qualquer outra forma de uso ilegal ou perda acidental ou ilegal.
— Interromper o processamento dos dados pessoais do cliente para fins de marketing direto, mediante solicitação (interrompa o processamento de dados mesmo no caso de o marketing direto ser realizado por meio de agências de publicidade), o que inclui a exclusão de dados do banco de dados e o encerramento das notificações.
Os dados pessoais devem ser processados de forma legal e justa, na quantidade necessária para atingir o objetivo do marketing direto. O GDPR afirma que os dados processados devem ser adequados à finalidade e devem ser proporcionais. A autenticidade e a precisão dos dados devem ser garantidas. Os dados devem ser mantidos por um período necessário para atingir fins de marketing direto.
O provedor de marketing direto (o controlador) é obrigado a:
— Fornecer informações completas ao cliente sobre as fontes de dados;
— Fornecer ao cliente suas informações de contato;
— Oferecer ao cliente a oportunidade de solicitar o término do uso de dados em um formulário usado para marketing direto e/ou definir os meios disponíveis e adequados para tal solicitação (por exemplo, ao enviar uma notificação comercial, indique o número de telefone ou um site, onde se possa recusar a receber tais notificações);
— Tomar medidas organizacionais ou técnicas que permitam proteger os dados contra destruição acidental ou ilegal, alteração, divulgação, obtenção, qualquer outra forma de uso ilegal ou perda acidental ou ilegal.
— Interromper o processamento dos dados pessoais do cliente para fins de marketing direto, mediante solicitação (interrompa o processamento de dados mesmo no caso de o marketing direto ser realizado por meio de agências de publicidade), o que inclui a exclusão de dados do banco de dados e o encerramento das notificações.
O que são dados pessoais?
Os dados pessoais são definidos no GDPR como: “'dados pessoais' significam qualquer informação relacionada a uma pessoa física identificada ou identificável ('titular dos dados'); uma pessoa física identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador como nome, número de identificação, dados de localização, identificador on-line ou a um ou mais fatores específicos do físico, fisiológico, genético, mental, econômico, identidade cultural ou social dessa pessoa natural”.
O GDPR abrange o processamento de dados pessoais de duas maneiras:
— dados pessoais processados total ou parcialmente por meios automatizados (informações em formato eletrônico) — esse é o nosso caso
— dados pessoais processados de forma não automatizada que fazem parte ou se destinam a fazer parte de um “sistema de arquivamento” (informações manuais em um sistema de arquivamento).
Exemplos de tipos de dados pessoais coletados em formato eletrônico por nossas ferramentas:
— Dados clássicos: nome, sobrenome, data/local de nascimento, endereço, telefone, profissão, etc.
— Dados digitais: e-mail, perfis de mídia social, etc.
— Dados sensíveis: dados biométricos (fotos do usuário)
O GDPR abrange o processamento de dados pessoais de duas maneiras:
— dados pessoais processados total ou parcialmente por meios automatizados (informações em formato eletrônico) — esse é o nosso caso
— dados pessoais processados de forma não automatizada que fazem parte ou se destinam a fazer parte de um “sistema de arquivamento” (informações manuais em um sistema de arquivamento).
Exemplos de tipos de dados pessoais coletados em formato eletrônico por nossas ferramentas:
— Dados clássicos: nome, sobrenome, data/local de nascimento, endereço, telefone, profissão, etc.
— Dados digitais: e-mail, perfis de mídia social, etc.
— Dados sensíveis: dados biométricos (fotos do usuário)
Base legal para o processamento
Há seis bases legais disponíveis para o processamento. Nenhuma base única é “melhor” ou mais importante do que as outras — qual base é mais apropriada para uso dependerá de seu propósito e relacionamento com o indivíduo. Você deve determinar sua base legal antes de começar o processamento e deve documentá-la. Tome cuidado para acertar na primeira vez - você não deve trocar por uma base legal diferente em uma data posterior sem um bom motivo. Se você estiver processando dados de categorias especiais, precisará identificar uma base legal para o processamento geral e uma condição adicional para processar esse tipo de dados.
O processamento de dados pessoais é legal se for baseado em um dos seguintes fundamentos legais:
— necessário para fins de interesse legítimo perseguido pelo controlador;
— consentimento do titular dos dados;
— o processamento é necessário para a execução de um contrato com o titular dos dados ou para tomar medidas preparatórias para tal contrato;
— necessário para o cumprimento de uma obrigação legal
— necessário para proteger os interesses vitais de um titular de dados ou de outra pessoa;
— necessário para o desempenho de uma tarefa realizada no interesse público ou no exercício da autoridade oficial investida no controlador;
Para atividades de processamento relacionadas a categorias especiais de dados, motivos diferentes são aplicáveis. O processamento de categorias especiais de dados pessoais deve ser baseado em um conjunto limitado de fundamentos legais:
— consentimento explícito do titular dos dados;
— necessário para cumprir obrigações decorrentes da legislação trabalhista, previdenciária ou de proteção social, ou de um acordo coletivo;
— necessário para proteger os interesses vitais de um titular de dados ou de outro indivíduo, quando o titular dos dados é física ou legalmente incapaz de dar consentimento;
— processamento realizado por um órgão sem fins lucrativos com um objetivo político, filosófico, religioso ou sindical, desde que o processamento se refira apenas a membros ou ex-membros;
— dados pessoais manifestamente tornados públicos pelo titular dos dados;
— necessário para o estabelecimento, exercício ou defesa de ações judiciais ou quando os tribunais estão agindo em sua capacidade judicial;
— necessário por razões de interesse público substancial;
— necessário para fins de medicina preventiva ou ocupacional, para avaliar a capacidade de trabalho do funcionário, diagnóstico médico, prestação de assistência médica ou social ou tratamento ou gestão de sistemas e serviços de saúde ou assistência social ou contrato com um profissional de saúde;
— necessário por razões de interesse público na área da saúde pública;
— necessário para fins de arquivamento de interesse público, para fins de pesquisa científica e histórica ou para fins estatísticos.
O processamento de dados pessoais é legal se for baseado em um dos seguintes fundamentos legais:
— necessário para fins de interesse legítimo perseguido pelo controlador;
— consentimento do titular dos dados;
— o processamento é necessário para a execução de um contrato com o titular dos dados ou para tomar medidas preparatórias para tal contrato;
— necessário para o cumprimento de uma obrigação legal
— necessário para proteger os interesses vitais de um titular de dados ou de outra pessoa;
— necessário para o desempenho de uma tarefa realizada no interesse público ou no exercício da autoridade oficial investida no controlador;
Para atividades de processamento relacionadas a categorias especiais de dados, motivos diferentes são aplicáveis. O processamento de categorias especiais de dados pessoais deve ser baseado em um conjunto limitado de fundamentos legais:
— consentimento explícito do titular dos dados;
— necessário para cumprir obrigações decorrentes da legislação trabalhista, previdenciária ou de proteção social, ou de um acordo coletivo;
— necessário para proteger os interesses vitais de um titular de dados ou de outro indivíduo, quando o titular dos dados é física ou legalmente incapaz de dar consentimento;
— processamento realizado por um órgão sem fins lucrativos com um objetivo político, filosófico, religioso ou sindical, desde que o processamento se refira apenas a membros ou ex-membros;
— dados pessoais manifestamente tornados públicos pelo titular dos dados;
— necessário para o estabelecimento, exercício ou defesa de ações judiciais ou quando os tribunais estão agindo em sua capacidade judicial;
— necessário por razões de interesse público substancial;
— necessário para fins de medicina preventiva ou ocupacional, para avaliar a capacidade de trabalho do funcionário, diagnóstico médico, prestação de assistência médica ou social ou tratamento ou gestão de sistemas e serviços de saúde ou assistência social ou contrato com um profissional de saúde;
— necessário por razões de interesse público na área da saúde pública;
— necessário para fins de arquivamento de interesse público, para fins de pesquisa científica e histórica ou para fins estatísticos.
Compartilhando os dados com aplicativos de terceiros
No momento, usamos três tipos de integrações:
— Integração com propriedades digitais de propriedade do cliente (sites, aplicativos de fidelidade, outros coletores de dados)
— Integração com aplicativos de marketing direto que estão entregando e-mails e mensagens SMS aos clientes (Telcor e Campaign Monitor)
— Integração para fins de remarketing e geração de relatórios com os serviços do Facebook, Google e LinkedIn (por meio do aplicativo ou API Footprints for Retail).
— Integração com propriedades digitais de propriedade do cliente (sites, aplicativos de fidelidade, outros coletores de dados)
— Integração com aplicativos de marketing direto que estão entregando e-mails e mensagens SMS aos clientes (Telcor e Campaign Monitor)
— Integração para fins de remarketing e geração de relatórios com os serviços do Facebook, Google e LinkedIn (por meio do aplicativo ou API Footprints for Retail).
