Protegendo Confianças: Segurança e Conformidade no CRM em 2024

Tempo de leitura: 8 minutos

Protegendo Confianças: Segurança e Conformidade no CRM em 2024

No atual cenário empresarial, a gestão de relacionamento com o cliente (CRM) desempenha um papel crucial na construção e manutenção de relações sólidas entre empresas e seus clientes.

No entanto, com a crescente ênfase em privacidade e segurança de dados, as empresas de CRM enfrentam desafios significativos ao lidar com regulamentações como o Regulamento Geral de Proteção de Dados (RGPD) na União Europeia e a Lei Geral de Proteção de Dados (LGPD) no Brasil.

Neste artigo, exploramos desafios específicos da área e como eles podem ser superados.

A Crescente Importância da Segurança de Dados

Uma das pedras angulares da conformidade com a LGPD e o RGPD é obter o consentimento transparente e informado dos clientes para o processamento de seus dados pessoais.

As empresas de CRM enfrentam o desafio de comunicar claramente a finalidade da coleta de dados e garantir que os clientes estejam cientes de como suas informações serão utilizadas. Isso exige uma revisão detalhada das práticas de coleta e processamento de dados, bem como a implementação de políticas claras de privacidade.

A segurança e a privacidade de dados ocupam cada vez mais espaço no mercado de tecnologia. Essa preocupação crescente teve como estopim o escândalo do Facebook e da Cambridge Analytica, em 2016, quando dados da rede social foram usados para manipulação de conteúdo a fim de influenciar o resultado das eleições presidenciais dos EUA.

Dentre as legislações mais pioneiras, destaca-se o Regulamento Geral sobre a Proteção de Dados (RGPD; em inglês, General Data Protection Regulation, GDPR). O Regulamento foi escrito para proteger os dados de indivíduos dentro da União Europeia. Dentre suas exigências, obriga que os dados coletados na Europa sejam mantidos em servidores no continente.

Assim, é boa prática determinar a finalidade legal do tratamento de dados pessoais antes de realizá-lo. O Artigo 6 do RGPD determina como razões legais:

• garantir o consentimento do indivíduo cujos dados pessoais sejam processados;

• cumprir requisitos especificados em um contrato legal;

• cumprir mandatos legais do controlador de dados;

• proteger interesses vitais do indivíduo cujos dados pessoais sejam processados;

• realizar uma atividade de interesse público;

• concretizar os desejos de um controlador de dados, a menos que seja anulado pelos interesses e direitos do titular. Por exemplo, se houver crianças envolvidas.

De tal modo, algumas práticas básicas de segurançasão recomendadas:

• Protege os dados. Garante que os dados pessoais sejam ocultados, usando criptografia para mascarar ou encobrir dados de indivíduos não aprovados.

• Move os dados com segurança. Garante que os dados pessoais sejam movidos com segurança de um dispositivo de processamento para outro, sem restrições do proprietário dos dados.

• Permite que os usuários apaguem dados. Garante que os proprietários dos dados possam solicitar o apagamento dos seus dados pessoais, a menos que existam determinadas circunstâncias atenuantes, por exemplo, segurança nacional.

• Permite que os usuários bloqueiem dados. Garante que os usuários possam bloquear o processamento de seus dados pessoais para fins de marketing ou não relacionados a serviços.

• Criptografa os dados. Criptografa os dados pessoais localmente, em vez de usar um serviço de criptografia remoto, para que o acesso e as chaves de criptografia sejam protegidos e estejam disponíveis para o proprietário dos dados.

DIFERENÇAS ENTRE RGPD E LGPD

No Brasil, a resposta do governo a essas novas preocupações de privacidade foi a Lei Geral de Proteção de Dados (LGPD), que foi sancionada em 2020 e passou a penalizar pessoas jurídicas em 2021.

Para regularizar a coleta de dados, a legislação diferencia entre dados pessoais (tais como documentos, contato e endereço) e dados sensíveis (como etnia, religião e estado de saúde).

Daí, tem-se a necessidade de regulamentar o tratamento de dados e certificar-se que os dados são armazenados em segurança.

A LGPD estabelece a necessidade de criação de regras para coleta, armazenamento e análise de dados de terceiros. Assim, a lei indica diretrizes gerais para o manuseio de dados, como mecanismos de proteção e práticas operacionais anti-vazamentos de dados.

As penalidades para as empresas que não cumprirem com as regras da LGPD incluem multas de até 2% do lucro líquido do negócio. Tais multas podem chegar ao valor de R$ 50 milhões, além de incluírem a divulgação do nome das empresas infratoras na lista negra da Autoridade Nacional de Proteção de Dados (ANPD).

A LGPD determina ainda as bases legais (ou seja, as condições) que justificam o tratamento de dados. Confira-as:

• Consentimento: o consentimento do titular dos dados garante às empresas justificativa para tratar os dados;
• Legítimo interesse: as empresas controladoras dos dados estão justificadas a tratar os dados se necessário for para atender aos interesses do controlador ou terceiros. Isto, claro, se o tratamento não ferir os direitos básicos do titular dos dados.
• Tutela da saúde: funcionários da área de saúde têm o respaldo legal para tratamento de dados caso sejam necessários para a realização de suas atividades.
• Proteção do crédito: órgãos de proteção do crédito, o Serasa, por exemplo, têm a liberdade de adicionar dados de consumidores a suas bases de dados.
• Proteção da vida: aqui, a legislação garante que, se os dados alheios forem usados para a proteção da vida ou a garantia da integridade física do titular dos dados, não haverá consequências legais para quem acessar os dados.

• Exercício regular de direitos: esta base legal garante o tratamento de dados para o exercício de direitos em processos legais. Assim, os dados podem ser usados para gerar provas em ações judiciais.
• Execução ou criação de contrato: dados pessoais podem ser utilizados em contratos, desde que o titular dos dados autorize tal uso e seja uma parte do contrato.
• Realização de estudos por órgãos de pesquisa: órgãos de pesquisa, como o IBGE, podem acessar e tratar dados, prezando prioritariamente pela anonimização das informações.
• Execução de políticas públicas: a administração pública tem respaldo legal para tratar dados privados caso sejam necessários para aplicar políticas públicas.
• Cumprimento de obrigação legal ou regulatória: neste caso, a LGPD garante que dados privados podem ser coletados em caso de serem necessários para obrigações legais.

Regulamentações e Conformidade em Destaque

A conformidade regulatória, do inglês, regulatory compliance, descreve o objetivo de organizações de alcançar sistemas que estejam cientes e ajam de acordo com as leis, políticas e regulações relevantes à área de atuação da organização.

Dado o crescente número de regulações e a necessidade de transparência operacional, as empresas estão cada vez mais adotando o uso de métodos e ferramentas de conformidade.

Na área de tecnologia, a conformidade regulatória tem se apresentado por meio de processos que monitoram os sistemas para detectar violações de políticas de privacidade e regras de coleta de dados.

No CRM, a conformidade regulatória é um ponto de especial interesse, uma vez que a gestão de relacionamento de clientes envolve o manuseio de dados pessoais, ou seja, informações que identificam consumidores, funcionários, parceiros e outras entidades físicas e legais.

Um ponto importante das novas leis de privacidade de dados é a exigência de que as corporações reportem a conformidade regulatória aos órgãos relevantes e informem sobre violações de dados ocorridas.

Outras determinações envolvem que empresas tenham um DPO (Data Protection Officer; em português, Responsável pela Proteção de Dados) e, tal como a legislação brasileira, reportem violações de dados às autoridades competentes.

Tanto a LGPD quanto o RGPD definem categorias específicas de dados pessoais sensíveis que requerem tratamento especial. Empresas de CRM lidam com informações delicadas, e garantir a proteção adequada desses dados é crucial.

A implementação de medidas de segurança robustas, como a criptografia e o acesso restrito, torna-se essencial para cumprir as diretrizes dessas regulamentações.

Melhores Práticas de Proteção de Dados

Outro desafio significativo é garantir a retenção adequada e o descarte seguro de dados. Tanto a LGPD quanto o RGPD enfatizam a limitação do período de retenção de dados apenas pelo tempo necessário para a finalidade para a qual foram coletados.

As empresas de CRM devem desenvolver políticas claras de retenção e implementar procedimentos eficientes para a eliminação de dados quando não forem mais necessários.

Para melhor proteger os dados, deve-se priorizar a transparência no acesso das informações dentro do sistema. Na organização de um CRM, as seguintes considerações são essenciais para alcançar a compliance necessária:

• consulta da equipe jurídica antes de quaisquer alterações no uso de dados;
• armazenar apenas os dados relevantes para a atividade da empresa;
• a ferramenta de e-mail marketing deve ser autorizada pelo recipiente;
• o uso de qualquer dado dos clientes deve ser justificado;
• os titulares dos dados devem ter acesso a seus dados e o poder de alterá-los;
• leads e clientes devem autorizar o manuseio de seus dados de acordo com a política de privacidade da empresa.

Como princípios gerais, as empresas na nova época de privacidade dos dados têm de saber a qualquer instante quais são os dados coletados e como aplicar a conformidade nas operações cotidianas.

Para tanto, uma governança de dados internos deve existir, o que inclui um balanço dos banco de dados da empresa e as interações desses bancos com o sistema.

Assim, a auditoria e o registro dos dados é fundamental. Com a Inteligência Artificial (IA), pode-se automatizar o registro dos acessos e modificações dos dados, abandonando a velha planilha do Excel.

A fim de melhor gerir as informações, as empresas investem cada vez mais na Inteligência de Dados, que envolve a automatização e a otimização da coleta, organização e análise dos dados da empresa.

A conformidade regulatória, então, envolve a modernização dos bancos de dados e das técnicas de tratamento de informações. Além disso, os sistemas devem permitir fácil exclusão de dados, caso solicitado pelos titulares.

Desafios e Soluções para o Futuro

Num mercado cada vez mais preocupado com a segurança de dados, já não é possível tratar o armazenamento de dados em sistemas ultrapassados e sem resiliência.

Para além das mudanças tecnológicas, no entanto, as novas regulamentações envolvem uma mudança nas operações de negócio. Agora mais do que nunca uma política de privacidade atualizada e informada é imprescindível.

Da mesma forma, equipes de conformidade são adições novas e permanentes para empresas tecnológicas sérias. Na área tecnológica, faz-se necessário treinar os funcionários que têm acesso a dados da empresa. Na área jurídica, o monitoramento dos regimes internacionais de privacidade é essencial para acompanhar mudanças e garantir a conformidade regulatória.

Desafios de conformidade

Sob o novo regime de privacidade de dados, empresas no mundo todo se esforçam para alcançar conformidade com as novas legislações que regem o uso de dados.

A mudança de paradigma é um desafio grande, pois mesmo empresas consolidadas, com bom gerenciamento, sentem dificuldade para gerenciar de forma transparente seus dados. Veja alguns casos emblemáticos:

TikTok

A gigante chinesa TikTok encara uma multa vultosa de €345 milhões por violações ao RGPD. Em especial, a multa tem o agravante de envolver dados de contas de menores.

A Comissão de Proteção de Dados (DPC) da Irlanda concluiu sua investigação em Setembro de 2023 e examinou a política de dados do TikTok durante seis meses de 2020.

O inquérito analisou as configurações da plataforma, a verificação etária e a comunicação com usuários. Segundo a DPC, a plataforma chinesa apresentou diversas violações ao RGPD quanto ao tratamento, a transparência e a discriminação de dados.

Como resultado, a comissão irlandesa deu três meses para a empresa corrigir suas práticas de processamento de dados e aplicou uma multa administrativa de 345 milhões de euros.

Google LLC

Em 2021, a  Comissão Nacional de Informática e Liberdade (CNIL) da França multou a Google LLC em €90 milhões por dificultar que usuários franceses recusassem cookies no YouTube.

A comissão concluiu que complexificar os mecanismos de recusa desencorajavam os usuários a negar os cookies e, portanto, beneficiava a empresa, que tem como maior fonte de renda publicidades baseadas em cookies.

Assim, a CNIL ordenou que a empresa tornasse, em três meses, a recusa de cookies tão simples quanto o aceite, sob pena de €100,000 por dia de atraso. Embora a regulação de cookies não esteja sob a alçada do RGPD, este determina como os controladores de dados podem obter consentimento.

TIM

A Autoridade Italiana de Proteção de Dados (Garante) emitiu em 2020 uma multa de €27,8 milhões endereçada à gigante de telecomunicações TIM. Segundo o órgão italiano, a TIM contactou sem consentimento ou base legal múltiplos indivíduos.

Mais de um milhão de pessoas foram afetadas pela estratégia de marketing agressiva da operadora. Dentre as violações, a empresa italiana sofreu vazamentos de dados, reteve dados em excesso, fez mau manuseio de listas de consentimento e violou direitos de privacidade.

O FUTURO DO CRM

Tendo em vista o impacto das novas regulamentações, a gestão de relacionamento com o cliente se encontra numa etapa crucial de transição.

Uma vez que trabalham com dados pessoais e sensíveis, é fundamental para as plataformas de CRM praticarem a conformidade regulatória, protegendo os dados dos seus clientes e fortalecendo a confiança entre os titulares e os controladores dos dados.

As empresas de CRM tendem a incorporar essa prática em suas operações, identificando e abordando proativamente os riscos à privacidade. Isso não apenas garante conformidade, mas também demonstra o comprometimento da empresa com a proteção dos dados do cliente.

A LGPD e o RGPD destacam a importância da responsabilidade e da prestação de contas no tratamento de dados pessoais.

As plataformas CRM devem adotar uma abordagem proativa para garantir que todos os funcionários estejam cientes das práticas de conformidade, fornecendo treinamentos regulares e estabelecendo processos de auditoria interna.

Enquanto as empresas de CRM buscarem aproveitar ao máximo as vantagens da gestão de relacionamento com o cliente, é imperativo que elas enfrentem os desafios impostos pelas regulamentações de privacidade de dados.

A conformidade com a LGPD e o RGPD não é apenas uma obrigação legal, mas também uma oportunidade para construir confiança com os clientes, demonstrando um compromisso inabalável com a proteção de suas informações pessoais.

Ao superar esses desafios, as empresas não apenas evitam penalidades, mas também estabelecem bases sólidas para relacionamentos duradouros e sustentáveis.

Para ter a certeza de que seus dados e os de seus clientes são manuseados com segurança, confira os padrões de qualidade do CRM da Meets. Se ainda não tens uma conta no Meets, experimenta criar uma gratuitamente nesta ligação.

---