As chaves para a conformidade com o RGPD para diferentes modelos de negócio: B2B, B2C e B2B2C

O RGPD é um regulamento complexo em termos de conformidade: abrange muitos sectores, afecta um grande número de empresas e está presente ao longo de todo o ciclo de vida de um cliente ou utilizador. Mas, além disso, para garantir que o tratamento de dados é efectuado em conformidade com o regulamento, é necessário ter em conta outras caraterísticas, como o tipo de modelo de negócio em que cada empresa pode ser classificada: B2B, B2C ou B2B2C (mais complexo).

Nesta publicação da nossa série de conteúdos sobre o RGPD, analisamos a conformidade com o Regulamento Geral sobre a Proteção de Dados aplicado a estes modelos.

O negócio B2B refere-se a modelos de negócio em que “as transacções de bens ou serviços têm lugar entre duas empresas”.

Neste caso, as organizações estabelecem ligações com outras empresas e, como consequência, são geradas, partilhadas e armazenadas grandes quantidades de dados, por vezes de natureza pessoal. Os exemplos incluem os nomes das empresas, dos seus diretores ou empregados, capital, outros dados financeiros e informações confidenciais, como números de conta, nomes próprios e apelidos, e-mails, endereços IP, etc. Um caso típico em que alguns destes dados são partilhados é a troca de informações contratuais entre qualquer empresa e qualquer sector, como os fornecedores de bens e/ou serviços entre empresas (créditos, produtos de investimento, meios de pagamento…).

As empresas do modelo B2C são aquelas que vendem ou servem os seus produtos e serviços diretamente aos clientes finais, sem a presença de intermediários. Estas organizações fabricam elas próprias os seus produtos e comercializam-nos sem passar por sistemas de distribuição externos.

Neste caso, tal como no caso anterior, os dados pessoais também são tratados de forma massiva, tanto os dados de identificação (nome, endereço postal, documento de identidade, número de telefone, etc.) como os dados financeiros (número de cartão bancário ou de conta, entre outros). Em algumas ocasiões, podem mesmo ser enviadas comunicações comerciais que, dependendo do produto em questão, podem ou não requerer o consentimento do destinatário.

Um exemplo claro disso é o caso das empresas de fornecimento de energia ou de seguros, em que pedes o consentimento do cliente antes de lhe enviares uma oferta de um produto diferente daquele que contratou.

Neste tipo de modelo de negócio, as empresas chegam a um consumidor final através de outras empresas. Mas, ao mesmo tempo, tem a capacidade de interagir com o cliente final através da sua própria marca. Por outras palavras, temos uma empresa com um modelo de negócio B2B(Business-to-Business) que se associa a outra empresa B2C(Business-to-Consumer). Esta sinergia envolve uma combinação de esforços em que o fornecedor (B2B) estabelece uma aliança comercial com os seus distribuidores, grossistas ou retalhistas (B2C), com o objetivo de alcançar mais clientes finais.

Um exemplo são as empresas de serviços financeiros que oferecem os seus produtos através de bancos ou corretores de seguros.

Em qualquer um dos modelos de negócio acima referidos, as empresas têm de processar dados pessoais e, por conseguinte, têm de cumprir as disposições do atual Regulamento Geral de Proteção de Dados, nos países e casos aplicáveis.

Quer isto dizer que uma empresa não pode enviar e-mails e trocar comunicações com o pessoal de outra empresa?

Neste caso, a empresa de envio tem de verificar previamente se pode comunicar com essa pessoa em conformidade com as disposições do RGPD. Existem seis bases legais para o tratamento de dados pessoais: consentimento, contrato, obrigação legal, interesses vitais, missão pública e interesse legítimo.

Ao abrigo do interesse legítimo, os dados devem ser utilizados de uma forma que as pessoas esperam razoavelmente, mas que também tenha um impacto mínimo na privacidade (no caso de os direitos de um indivíduo serem violados, os seus direitos prevalecerão sobre o interesse legítimo). Assim, a empresa terá de garantir que envia e-mails para as pessoas certas com uma mensagem que possa ser do seu interesse.

Se, por outro lado, a empresa que pretende enviar a comunicação tiver obtido um consentimento verificável através de um formulário de registo, por exemplo, pode proceder sem problemas. Enquanto responsável pelo tratamento de dados, é importante recolher o consentimento de uma forma válida, e este deve também ser armazenado. Por isso, o consentimento deve ser obtido através de qualquer canal que comprove o recebimento, como e-mail, telefonema e/ou WhatsApp, entre outros.

No entanto, decidir qual a base jurídica a aplicar pode ser complicado e, por isso, a nossa recomendação a qualquer responsável pelo tratamento de dados é que consulte o responsável pela proteção de dados da sua organização.

Por último, se o endereço de correio eletrónico para o qual a informação é enviada não estiver ligado a nenhuma pessoa (por exemplo, info@company.com), pode mesmo não ser abrangido pela definição de “dados pessoais”.

Que mais temos de ter em conta? Se o interesse legítimo for utilizado como base para o envio de comunicações comerciais, o utilizador e/ou cliente deve poder opor-se facilmente.

Se a base for o consentimento, a pessoa que recebe a comunicação tem o direito de o retirar em qualquer altura. E a empresa é obrigada a interromper o tratamento logo que isso aconteça.

Existem algumas chaves para garantir a conformidade com o RGPD e, portanto, evitar sanções (no caso de Espanha, pela Agência Espanhola de Proteção de Dados, uma das mais activas na Europa). Estas recomendações são:

• Deve ser aplicado o princípio da minimização dos dados: quanto maior for o número de tipos de dados tratados, maior é o risco de incumprimento.
• É fundamental identificar e analisar a base jurídica para o tratamento de dados pessoais. É preferível que o faças em conjunto com um profissional da área jurídica.
• As políticas de privacidade devem ser fáceis de ler e compreender e de aceder. Além disso, devem conter informações corretas e permanentemente actualizadas.
• Os sistemas têm de ser revistos regularmente para verificar se estão a funcionar em conformidade com o RGPD.
• Deve ser mantido um registo válido dos consentimentos.

Desde 2018, o Regulamento Geral sobre a Proteção de Dados (RGPD) regula o tratamento dos dados pessoais das pessoas, o que implica uma gestão complexa que o Grupo MailComms, através da nossa consultoria RGPD e da nossa tecnologia proprietária, pode fornecer-lhe. A nossa solução para a gestão dos consentimentos RGPD permitir-te-á gerir de forma abrangente os consentimentos ao longo do ciclo de vida do cliente.