GDPR completa um ano e o balanço é positivo

Muito foi falado sobre o Regulamento Geral de Proteção de Dados (o GDPR) antes de sua entrada em vigor, em 25 de maio do ano passado. Porém, passados os primeiros 12 meses de vigência do regulamento europeu, o ceticismo e a preocupação das empresas com penalidades severas por violações dos princípios estabelecidos por ele começam a ser substituídos pela convicção de que a adoção de boas práticas de gerenciamento de dados é boa,  tanto do ponto de vista da segurança das operações, quanto da confiança dos clientes nas marcas. O que não significa que o trabalho esteja concluído. Ao contrário. O GDPR exige eterna vigilância, mesmo não sendo o monstro que muitos pensavam.

Pesquisa recente da Data and Marketing Association (DMA) atesta os benefícios do GDPR para o marketing. Os profissionais entrevistados observaram um aumento significativo nos retornos de cada libra gasta em email marketing, de £ 32.28 em 2017 para £ 42.24 hoje. A maioria dos profissionais também observou um aumento nas taxas de abertura de e-mail (74%) e taxas de cliques (75%) nos últimos 12 meses, enquanto uma grande parcela relatou uma redução nas taxas de desistência (41%) e reclamações de spam (55%) no mesmo período.

Ainda há muito o que aprender quando se trata das implicações de longo prazo do GDPR, mas está claro que as regulamentações de privacidade estão levando os profissionais, ao menos de marketing, a repensar suas estratégias de dados e explorar novas maneiras de atingir e engajar o público.

"O marketing pode ser uma ferramenta útil para reconstruir a confiança que foi perdida, operando de maneira transparente", diz o diretor de digital da Mojo Mortgages, Andrew Gorry, em entrevista para a Marketing Week. "Solicitar explicitamente o consentimento do cliente, declarando claramente por que e quais informações são necessárias, bem como como elas serão usadas, é a única maneira pela qual a confiança do consumidor será restaurada", completa.

O dados são do Reino Unido, mas servem como forte indicador para toda a Europa, já que o GDPR unificou países europeus nesta questão, e a Inglaterra é a locomotiva da economia digital na região. Portanto, podemos dizer, sem medo de errar, que o balanço do primeiro de vigência do regulamento é positivo. Principalmente se considerarmos que um dos principais objetivos do GDPR sempre foi o de conscientizar sobre "direitos civis digitais" . O outro? Impor boas práticas para empresas que lidam com dados. E é aí que as multas entram, como um poderoso instrumento de pressão.

De acordo com o European Data Protection Board, nos primeiros nove meses do GDPR foram cobrados quase 56 milhões de euros em multas. Mas grande parte deste montante diz respeito à multa recorde de 50 milhões de euros aplicada ao Google em janeiro deste ano.  As autoridades têm sido comedidas em responsabilizar as empresas por meio de multas.

"A aplicação não tem procurado dizimar empresas, mas em vez disso identificar violações, fornecer clareza e ajudar a indústria a avançar para a conformidade", disse Eric Berry, CEO da TripleLift.

Alguns argumentam que as poucas multas cobradas até agora por empresas maiores, como o Google, não têm sido suficientemente punitivas, dados os bilhões em lucros que as grandes empresas de tecnologia ostentam a cada ano, originados da compra e venda de dados.

Pesquisa da plataforma de segurança de dados pessoais Digi.me indica que, de um total de 11.468 casos de violação de dados divulgados pela Information Commissioner's Office (ICO), apenas 29 resultaram em penalidades monetárias.

Por outro lado, houve um enorme aumento nos relatórios de privacidade desde os 25 de maio 2018 a maio de 2019, com um total de 37,798 preocupações de protecção de dados levantados.

A expectativa é a de que o número de multas aumente em 2019,  visto que muitas empresas ainda lutam para estar em conformidade com o regulamento.

No início deste mês, foi anunciado que os reguladores da União Europeia estavam investigando a  Quantcast e o Google por possíveis infrações ao GDPR.

Conscientização
A maior conquista do GDPR nesse primeiro ano é, sem dúvida, a maior conscientização dos consumidores sobre questões de privacidade, em todo o mundo. Os usuários estão se tornando mais seletivos quanto ao compartilhamento de alguns dados, como os de localização.

Claro, o escândalo envolvendo o Facebook e a Cambridge Analytica também ajudou. A principal razão pela qual a opinião pública está se voltando contra a indústria de tecnologia é o uso indevido de dados pessoais, de acordo com uma pesquisa de usuários da Internet em todo o mundo pela  Dentsu Aegis Network e pela Oxford Economics.

Mas o GDPR transformou preocupações pessoais em preocupações profissionais.

"Violações de dados de alto nível tornaram os consumidores cada vez mais cautelosos sobre quais dados eles compartilham, onde estão sendo armazenados e como são acessados", diz Jasmit Sagoo, diretor sênior da Veritas no norte da Europa, para quem o GDPR melhorou a transparência.

"Uma pesquisa recente que fizemos descobriu que a proteção deficiente de dados pode ter um impacto comercial terrível sobre as empresas – 56% dos consumidores abandonariam uma empresa que não protege seus dados e 47% abandonariam sua lealdade e se voltariam para um concorrente. No último ano quando as organizações tiveram uma violação, tomaram as medidas corretas para alcançar seus clientes", completou.

Muito ainda por  fazer
Ainda há problemas consideráveis ​​para muitas organizações que tentam  se tornar  compatíveis com GDPR e, não raro, falham  Em alguns casos, a não-conformidade não se manifesta apenas no gerenciamento de dados em um ou dois sistemas de difícil alcance ou na interpretação das letras miúdas de uma política de privacidade, mas em completo desconhecimento da lei. O próprio conceito de GDPR tem sido incompreensível para muitas organizações, que realmente se esforçaram para entender o que – especificamente – é exigido delas.

Em entrevista ao IDG Connect, Jean Michel Franco, diretor sênior de governança de dados da Talend, afirma que é "preocupante" ver tantas empresas ainda não-compatíveis com o GDPR, especialmente quando se trata de responder a solicitações de clientes e funcionários direitos. Grande parte disso, diz Franco, se resume à maneira pela qual as organizações utilizam seus agentes de proteção de dados (DPOs), em termos de atribuição de suas responsabilidades.

Aliás, um dos grandes problemas exposto pelo GDPR é justamente a falta de pessoal qualificado para tratar da proteção de dados. E não estou falando só de DPOs (Data Protection Officers), mas de profissionais de privacidade experientes.

Pesquisa do IAPP estima que 500 mil organizações tenham registrado DPOs em toda a Europa. O número é baseado em dados de registro de DPOs recebidos por autoridades de proteção de dados da Áustria, Bulgária, Dinamarca, Finlândia, França, Alemanha, Irlanda, Itália, Holanda, Espanha, Suécia e Reino Unido.

"Em muitos casos, apenas a contratação de um DPO não é suficiente, existem massas de dados e muitas vezes milhares de solicitações que, para uma pessoa, são uma tarefa extremamente grande", diz Franco. "O DPO é muitas vezes sobrecarregado e bombardeado com pedidos, tal é a escala da tarefa em mãos. As empresas estão indo na direção certa, mas ainda não têm a organização e os recursos para atender às solicitações e garantir a conformidade", completa.

"O DPO é responsável por projetar, implementar, gerenciar e auditar o sistema de proteção de dados e todas as atividades subjacentes, incluindo treinamento de pessoal e comunicação externa com órgãos reguladores e de dados", explica o CEO da HeleCloud, Dob Todorov.

"Esse é um conjunto de responsabilidades exigentes, esmagador para qualquer indivíduo. Em organizações de médio a grande porte, seria mais apropriado ter uma equipe de DPO ou um comitê multidisciplinar que pudesse desempenhar essas funções. Muitas organizações consideram benéfico dividir o responsabilidades de forma que as funções de governança, auditoria, implementação e operação se complementem como parte de um escritório mais amplo de DPO", diz ele, alertando que a contratação de um DPO, especialmente para organizações maiores, deve ser uma questão de delinear as responsabilidades e atribuí-las adequadamente a uma equipe.

Pesquisa recente da DataGrail levantou os principais desafios e custos para estar em conformidade com o regulamento.  A empresa entrevistou mais de 300 profissionais da área.  Vale dar uma boa olhada.

Inspiração
De todo modo, o regulamento europeu ainda é o conjunto mais robusto de leis que regem o uso de dados pessoais por organizações públicas e privadas no mundo.  E ninguém pode lhe tirar o mérito de ter ajudado a mudar fundamentalmente a forma como as organizações de todo o mundo coletam, armazenam e processam dados pessoais.

Estimulados pelo GDPR, países em todo o mundo estão elaborando leis de dados próprias, incluindo China, Índia, Coréia do Sul  e muitos outros na Ásia, África e América do Sul. A lei geral de proteção de dados do Brasil entra em vigor em 2020.

Nos EUA, estados individuais também estão adotando a bandeira. O estado da Califórnia ofereceu o seu próprio Consumer Privacy Act à mistura, que se torna lei em 2020. Não é idêntico ao GDPR, mas a semelhança familiar é óbvia. A inciativa abriu o debate sobre a necessidade de uma legislação federal americana sobre proteção de dados.

A regulamentação federal é o principal obstáculo para os projetos de marketing este ano, de acordo com uma pesquisa de marketing publicada em março pelo Winterberry Group e pelo Interactive Advertising Bureau (IAB).

No Brasil, se a MP 869 for aprovada pelo Congresso até o dia 3 junho, a Lei Geral de Proteção de Dados, inspirada no GDPR, começará a vigorar a partir de agosto do próximo ano. Caso a MP caduque, a data volta a ser fevereiro. Portanto, seis meses antes. Os desafios serão muito parecidos com os já enfrentados nesse último ano. É  bom já começar a tratar de fazer o dever de casa.