O prazo para estar de acordo com o GDPR está chegando, e a HubSpot vai estar preparada para isso. Estamos desenvolvendo novos recursos para facilitar a vida da sua equipe para se adequar às novas regras. Nesta página, você vai ver o que fazer para configurar os novos recursos. A funcionalidade detalhada neste manual será disponibilizada até o dia 22 de maio de 2018, e atualizaremos a página assim que isso acontecer.
Veja um resumo das melhorias:
Cookies
Segundo o GDPR, quem visita o seu site precisa ser informado (em um idioma que o visitante consiga entender) de que você está usando cookies e precisa aceitar ser rastreado por cookies.
Recomendamos que você atualize suas configurações de cookies.
Base jurídica
Segundo o GDPR, você precisa ter uma razão jurídica (algo que o regulamento chama de “base jurídica”) para usar os dados de alguém. A HubSpot dividiu a base jurídica em duas categorias abrangentes: para tratamento de dados (por exemplo, armazenar dados em seu CRM ou enviar um e-book que o visitante solicitar) e para comunicação (por exemplo, para enviar um e-mail de marketing ou para que um representante de vendas faça uma ligação).
Recomendamos que você atualize esta propriedade para os seus contatos.
Você pode precisar de uma base jurídica para se comunicar com seus contatos. Caso não a tenha, recomendamos que você crie tipos de assinaturas, atualize seus bancos de dados com esses tipos de assinaturas (com uma campanha de permissão ou outro método) e configure seus formulários para definir uma base jurídica de agora em diante.
Observação: as atualizações à página de preferências de assinatura serão implementadas antes de 25 de maio, mas ainda não estão disponíveis (em 14 de maio). Com isso em mente, você não conseguirá enviar campanhas de permissão vinculadas às suas novas preferências de assinatura de adesão (opt-in). Por enquanto, desenvolvemos um novo recurso para ajudar você a obter o consentimento dos contatos existentes por e-mail: a possibilidade de inserir um link de assinatura em um e-mail. O link pode ser adicionado a qualquer e-mail usando Inserir > Insira o link de confirmação de assinatura. Ao clicar nesse link, o contato optará por aderir automaticamente a todos os tipos de assinaturas dali para frente.
Exclusão
Segundo o GDPR, cada um dos seus contatos pode solicitar uma cópia de todos os dados pessoais que você tem dele, ou pode solicitar que você exclua/modifique esses dados.
Para cumprir o GDPR, você vai precisar ter um processo para atender a esses requisitos. Caso esse processo não exista, recomendamos que você o crie.
Não importa se você trabalha com B2B ou B2C, se sua empresa é grande ou pequena, você provavelmente já ouviu falar do novo regulamento da União Europeia, o Regulamento Geral sobre Proteção de Dados (General Data Protection Regulation, GDPR). Trata-se de uma nova lei cujo objetivo é intensificar a proteção dos dados pessoais de cidadãos da União Europeia exigindo que as organizações lidem com tais dados com transparência e segurança. O GDPR aplica-se não só a empresas da União Europeia, mas também a qualquer empresa que controle ou trate dados de cidadãos da União Europeia, independentemente de onde essas empresas estiverem.
Nos últimos meses, a prioridade máxima da HubSpot tem sido auxiliar nossos parceiros e clientes a entenderem quais são os efeitos do GDPR nos negócios e para conseguirem criar seus próprios processos conforme os requisitos do novo regulamento.
Com isso em mente, implementamos diversas melhorias na nossa plataforma a fim de ajudar você a cumprir o GDPR. Dizemos “ajudar” porque nenhuma plataforma de software pode fazer sua empresa alcançar a conformidade com o GDPR sozinha. Sua empresa terá seus próprios métodos e detalhes. Portanto, para garantir a sua conformidade, recomendamos que você busque o auxílio do seu próprio especialista, consultor ou advogado de proteção de dados.
Neste manual, veremos em detalhes como um dos seus contatos pode interagir com a sua empresa sob a óptica das novidades do GDPR.
Vejamos esta situação:
Digamos que Ana seja um contato seu e mora na Alemanha. Ela é a “titular dos dados”, e sua empresa (vamos chamá-la de XPTO S.A.), é a “responsável” pelos dados de Ana. Se sua empresa for cliente da HubSpot, a HubSpot atuará como a “operadora” dos dados de Ana em nome da XPTO.
Ana pode interagir com sua empresa das seguintes maneiras:
Agora, vamos mostrar a você como lidar com cada etapa da jornada de Ana no contexto do software da HubSpot, tendo o GDPR em mente.
Antes de nos aprofundarmos nas especificidades da funcionalidade, uma breve observação: alguns recursos relacionados ao GDPR serão ativados com um simples botão nas suas configurações. Em alguns casos, a ativação desses botões fará um recurso do GDPR aparecer em seu portal. Em outros, apenas o comportamento padrão de algum recurso vai mudar.
Veja o que vai acontecer na sua conta da HubSpot quando a opção do GDPR for ativada (observação: se isso ainda não fizer sentido para você, continue lendo):
Lembre-se: a simples ativação do botão não fará com que o seu processo esteja em conformidade com o GDPR (por sermos os maiores usuários da nossa própria plataforma, gostaríamos muito que fosse tão fácil assim). Essa ativação apenas habilita os recursos que ajudarão a sua empresa a alcançar a conformidade.
Além do botão geral, também haverá um botão para controle dos e-mails: ao ativá-lo, a base jurídica (ou a falta dela) passará a valer para a ferramenta de e-mail. Em outras palavras, você ficará impedido de enviar e-mails a contatos com os quais você não tem uma base jurídica para se comunicar. Além disso, seus contatos não verão os novos “tipos de assinatura” na tela de preferências de assinatura, mas continuarão vendo os “tipos de e-mails”. Se você não tiver certeza do que estamos falando, continue lendo.
Isto posto, vamos esmiuçar a jornada de Ana.
A jornada de Ana pode começar no site da XPTO. O GDPR contém algumas regras sobre como a XPTO pode rastrear as atividades de Ana no site. Especificamente, se a XPTO estiver usando um software que rastreia Ana por cookies (como a HubSpot ou o Google Analytics), segundo o GDPR, ela precisará ser informada de que a empresa faz isso (em um idioma que ela consiga entender) e precisará dar seu consentimento para ser rastreada por cookies. Além disso, ela precisará ter a opção de não aderir ao rastreamento de cookies com a mesma facilidade que teve para aderi-lo.
Na HubSpot, as configurações de cookies ficam no seu avatar > Configurações > Rastreamento de relatórios e análises > Política de cookies.
Lá você vai encontrar algumas opções:
Se você pretende usar os cookies da HubSpot, segundo o GDPR, você provavelmente vai precisar marcar as três caixas (veja o que fazer com seu próprio consultor jurídico).
Como dissemos acima, a XPTO não precisa apenas informar a Ana que está usando cookies. A empresa precisa fazer isso em um idioma que ela consiga entender. Com isso em mente, na parte inferior da “Política de Cookies”, você vai ver a opção para criar uma nova tradução:
Ao clicar em “Adicionar outra tradução”, você verá duas perguntas:
Cabe a você e à sua equipe jurídica definir quais visitantes devem ver a versão A ou B da notificação de cookies.
Antes de nos aprofundarmos na próxima etapa, em que Ana preenche um formulário, é importante entender duas coisas: primeiro, o conceito de “base jurídica”, e depois o modo como o consentimento é obtido e rastreado na HubSpot.
Segundo o GDPR, você precisa ter uma razão jurídica, chamada de base jurídica pelo regulamento, para usar os dados de Ana. Essa razão poderia ser o consentimento dela (Ana opta por aderir a algo) a uma notificação sua (você informou a ela ao que ela estava aderindo).
O consentimento é uma dessas bases jurídicas, mas não é a única. O regulamento lista seis tipos, mas os dois outros que são cruciais para vendas e marketing são:
A plataforma da HubSpot dividiu a base jurídica em duas categorias abrangentes: a base jurídica para tratamento de dados (por exemplo, armazenar dados de Ana em seu CRM ou enviar um e-book que ela tenha solicitado) e para comunicação (por exemplo, para enviar a Ana um e-mail de marketing ou para que um representante de vendas ligue para ela). Embora pareça óbvio, é bom lembrar que existe a possibilidade de se ter a base jurídica para tratamento de dados, mas não a de comunicação. Se for o caso, segundo o GDPR, você não pode se comunicar com Ana.
Na HubSpot, você tem uma nova propriedade de contato padrão para controlar a base jurídica para tratamento de dados que se chama “Base jurídica para processar os dados do contato”. Você pode configurar esta propriedade manual ou automaticamente. Ela também pode ser configurada por envio de formulário ou importação. Detalhamos isso mais à frente.
Observe que, além do consentimento, interesse legítimo e cumprimento contratual, também há uma opção “Não aplicável” no campo de base jurídica. Use-a para indicar contatos para os quais você decidiu que a base jurídica não é necessária (por exemplo, o contato não reside na União Europeia).
Para controlar a base jurídica para comunicação, você vai usar os novos “tipos de assinaturas”, detalhadas na próxima seção.
Uma observação sobre interesses legítimos
Para usar os interesses legítimos, você precisará ter certeza de que é capaz de assumir a responsabilidade por proteger os interesses das pessoas. É necessário tomar ainda mais cuidados para garantir a proteção dos interesses de menores de idade.
Você não deve usar os interesses legítimos só porque acha ser mais fácil de aplicar do que qualquer outra base jurídica. Na verdade, o interesse legítimo exige mais esforço da sua parte para justificar o tratamento de dados que você faz e os eventuais impactos na vida das pessoas a que atende. Se outra base jurídica cobrir mais claramente a sua finalidade, os interesses legítimos provavelmente não serão apropriados.
A base de interesses legítimos tem três elementos. Pense neles como se fosse uma prova com três partes:
Após obter o consentimento do usuário, é necessário respeitar a escolha dele e se abster de usar os interesses legítimos como uma desculpa.
Recomendamos consultar as diretrizes regulatórias pertinentes para definir se você deve ou não usar os interesses legítimos. Por exemplo, o Gabinete do Comissário de Informações (ICO, Information Commissioner’s Office) do Reino Unido lançou estas diretrizes sobre interesses legítimos (em inglês).
Com a introdução do GDPR, a forma de controlar as preferências de comunicação dos seus contatos dentro da HubSpot melhorou muito. Nos próximos parágrafos, veremos as diferentes entre o “velho mundo” dos tipos de e-mails e o “novo mundo” dos tipos de assinaturas. Esses conceitos são essenciais para configurar seus formulários para ficarem de acordo com o GDPR. Você vai entender por que logo, logo.
Velho mundo: tipos de e-mails
Nos últimos anos, os tipos de e-mails foram o jeito de atrelar um contato a uma categoria específica de e-mails na HubSpot. Os tipos de e-mails possibilitaram duas coisas importante na plataforma.
Primeiro, permitiram que um contato da HubSpot cancelasse a assinatura de um tipo específico de e-mail enviado por você (por exemplo, notícias sobre produtos).
Depois, eles permitiram que você, como usuário da ferramenta de e-mail da HubSpot, alinhasse melhor a temática ou o objetivo dos seus e-mails a um público. Ao enviar um e-mail pelo HubSpot Marketing Hub, você selecionava o tipo de e-mail, e os contatos que optaram por não receber aquele tipo de e-mail eram removidos automaticamente do envio.
Os tipos de e-mails funcionaram bem por bastante tempo, mas um ponto precisava melhorar: os tipos de e-mails não eram capazes de atrelar um contato a uma concessão voluntária de permissão. Em outras palavras, quando um contato era adicionado ao seu sistema da HubSpot, ele não optava por não aderir aos tipos de e-mail por padrão. Ele não fazia nada para dizer “Sim, XPTO, eu quero receber este tipo específico de mensagem”. Neste sentido, ele também não optava por aderir; ele simplesmente não optou por não aderir. Nos tipos de e-mails, os contatos tinham dois status: “não optou por não aderir” ou “cancelou a adesão”. A única forma de “cancelar a adesão” de qualquer tipo de e-mail era se você (ou o próprio contato) tomasse alguma providência para fazer essa alteração (por exemplo, o contato clicou nas preferências de assinatura em um e-mail que você enviou e desmarcou uma opção).
Como no “velho mundo” dos tipos de e-mails não havia o conceito de optar por aderir a um tipo de e-mail, não tinha como atrelar diretamente um formulário (ou uma importação) a um tipo de e-mail. Ana, por exemplo, não poderia acessar o seu site e preencher um formulário para optar por aderir a um tipo específico de e-mails enviados por você. Ao preencher o formulário, ela estava não optando por não aderir nenhum tipo de e-mail; para refinar suas preferências, ela precisava acessar suas preferências de e-mails e desmarcar várias opções.
Este sistema é problemático no mundo do GDPR se você estiver usando o consentimento como sua base jurídica para tratamento de dados ou para comunicação. Nos casos de interesse legítimo, as regras são diferentes. Levando isso em consideração, revimos o nosso sistema de preferências de e-mail para ajudar você a brilhar no mundo do GDPR.
Mundo novo: tipos de assinaturas
Os tipos de assinaturas substituem os tipos de e-mails em todos os produtos do HubSpot Marketing. Embora os nomes e as funções sejam parecidos, as diferenças entre esses recursos são bem grandes.
A melhoria que mais chama a atenção nos tipos de assinaturas é que um contato pode ter três status de assinatura. Enquanto os tipos de e-mails tinham dois status (o padrão “não optou por não aderir” e “optou por não aderir”), os tipos de assinaturas têm três: “optou por aderir”, “não fez nenhuma opção” (padrão) e “optou por não aderir”. Resumindo: um “sim”, um “neutro” e um “não”.
Neste mundo novo, a XPTO pode adicionar campos a um formulário para que Ana possa optar por aderir a tipos específicos de assinaturas. Ela não vai aderir a tudo, mas, sim, às opções que marcar. Se Ana entrar para o banco de dados da XPTO por importação de dados ou API, a XPTO poderá atribuí-la a um tipo de assinatura por qualquer de seus canais.
Em poucas palavras, os tipos de assinaturas captam quando um contato realmente optou por aderir a alguma coisa. Muito bom, né? E, se me permite dizer, isso é ótimo para o inbound.
Observação: em vez de ter apenas um nome e uma descrição, haverá mais dois atributos que serão importantes para os clientes pensarem sobre o GDPR: um processo e uma operação. Ao criar um tipo de e-mail, você vai definir as duas coisas. Cabe a você definir como aplicar esses dois conceitos. Por exemplo, você pode ver os “e-mails de marketing” como um tipo de assinatura, sendo “marketing” o processo, e “e-mail” a operação.
No mundo novo, os tipos de assinatura têm sua própria seção no lado esquerdo do registro do contato:
Nesta nova seção, você pode adicionar, visualizar e remover assinaturas clicando em “Adicionar assinaturas”.
Como dissemos na seção anterior, os tipos de assinaturas serão a base jurídica para determinadas categorias de comunicações. Como acontece com a base jurídica para tratamento de dados, a base jurídica para comunicação poderia ser o consentimento, mas não precisa ser só isso (por exemplo, pode ser o cumprimento de um contrato, se o contato for um cliente). Então, se estiver aplicando manualmente uma base jurídica ao contato de Ana, você não vai escolher apenas o tipo de assinatura. Você escolherá também a base jurídica para comunicação.
É importante mencionar que você poderá ver o consentimento de Ana, junto com a notificação que foi exibida para ela, junto com a data/hora desses acontecimentos, na linha do tempo do contato dela.
Ao criar formulários nos termos do GDPR, o mais importante a se lembrar é a necessidade de obter a base jurídica pelo envio de um formulário. A típica base jurídica obtida por formulário seria o consentimento (com a devida notificação) ou o interesse legítimo. A forma exata para estabelecer essa base jurídica e de que tipo ela é são definições feitas por você junto com a sua equipe (como seu consultor jurídico ou de privacidade de dados). A HubSpot agora oferece formulários que atendem ao GDPR e que permitirão que você obtenha as bases jurídicas de tratamento de dados e de comunicação.
É fácil acrescentar uma seção para estabelecer a base jurídica em seus formulários da HubSpot. Ao editar um formulário, você verá uma seção de “consentimento de marketing” (a versão final pode ser diferente). Basta escolher a opção desejada neste menu suspenso e preencher as informações posteriores.
Na HubSpot, criamos três métodos para você estabelecer bases jurídicas por formulários.
Se Ana preencher esse tipo de formulário no seu site, o registro do contato dela no seu CRM receberá as seguintes atualizações:
Se Ana preencher esse tipo de formulário no seu site, o registro do contato dela no seu CRM receberá as seguintes atualizações:
Se Ana preencher esse tipo de formulário no seu site, o registro do contato dela no seu CRM receberá as seguintes atualizações:
Com a nova funcionalidade de consentimento:
Então, a Ana acessou o seu site, consentiu em ser rastreada por cookies e enviou um formulário (e, ao fazer isso, consentiu em receber um tipo específico de comunicação).
Agora você quer enviar um e-mail a Ana.
Com o novo sistema de tipos de assinaturas, é simples atrelar os e-mails que você envia ao consentimento dos seus contatos. Ao enviar um e-mail, escolha um tipo de assinatura na guia “Configurações” e uma lista de contatos para os quais você quer enviar e-mails (em “Destinatários”). Caso você ainda não tenha personalizado seus tipos de assinatura, você terá de usar o padrão: “informações de marketing”.
Quando você for enviar o e-mail:
Observação: as atualizações na página de preferências de assinaturas serão implementadas até 25 de maio, mas ainda não estão disponíveis em 14 de maio.
O GDPR exige que o processo para revogar um consentimento seja tão simples quanto para concedê-lo. Por isso, é fácil para Ana editar suas preferências de comunicação a partir dos e-mails que você envia pela HubSpot.
Na parte inferior de cada e-mail, a HubSpot inclui automaticamente um link para a página de preferências de e-mail de Ana.
Ao clicar nesse link, Ana será direcionada para a página. Com a transição dos tipos de e-mails para os tipos de assinaturas, a página de preferências agora tem três status para cada tipo de assinatura:
A caixa de um determinado tipo de assinatura estará marcada se ela aderiu àquele tipo de e-mail e desmarcada se ela tiver sido neutra (não optou por aderir nem por recusar nada) ou tiver optado por recusá-lo.
No momento, não é possível criar páginas de preferências em vários idiomas nem aplicar grandes personalizações ao layout da página de preferências. Estamos estudando formas de melhorar a experiência com relação às preferências de assinaturas. Em breve, teremos novidades.
Caso você esteja aplicando os princípios do GDPR, será necessário ter base jurídica para se comunicar com seus contatos, a fim de poder enviar e-mails a eles.
Para isso, há algumas opções disponíveis para os contatos do seu banco de dados.
Caso você tenha lançado uma campanha de reengajamento (antes de os tipos de assinaturas estarem disponíveis), veja com sua equipe como mapear as adesões e os cancelamentos de assinaturas que vocês coletaram (por exemplo, pelas propriedades personalizadas) em relação aos novos tipos de assinaturas. Também é possível fazer isso manualmente, por fluxos de trabalho ou importações.
A ideia de “revogar um consentimento com a mesma simplicidade de sua concessão” se estende a todos os e-mails, inclusive e-mails pessoais enviados a partir dos registros e sequências do CRM.
Você vai precisar de uma base jurídica para comunicação para poder enviar e-mails a seus contatos. Pode ser por consentimento, interesse legítimo ou cumprimento de um contrato.
O GDPR melhora os direitos individuais de várias maneiras.
Ana pode pedir para ter acesso aos dados pessoais que temos sobre ela. Dados pessoais são todas as informações que possibilitem identificá-la, como nome e endereço de e-mail. Se ela pedir esse acesso, você, na qualidade de responsável pelos dados, precisa fornecer uma cópia dos dados, em alguns casos em formato legível por máquina (por exemplo, arquivo CSV ou XLS).
Ana também pode pedir para ver e confirmar a legalidade o tratamento dos dados (vide acima).
HubSpot permite que você atenda facilmente a qualquer solicitação de acesso/portabilidade exportando o registro do contato de Ana em um formato legível por máquina. Dados de envolvimento, como tarefas, anotações e chamadas, que não constam da exportação do registro do contato podem ser acessados pela API de envolvimentos do CRM (em inglês).
Você pode confirmar a legalidade do tratamento dos dados de Ana usando a propriedade do contato que mencionamos, a qual também pode ser exportada.
Da mesma forma como ela pode solicitar acesso aos dados dela, Ana pode pedir para sua empresa modificar seus dados pessoais se estes estiverem imprecisos ou incompletos. Neste caso, o GDPR exige que a sua empresa consiga atender a essa solicitação de modificação.
Na HubSpot, se Ana fizer esse tipo de solicitação, você (ou o administrador do seu portal) poderá fazer as alterações diretamente no registro do contato dela.
Segundo o GDPR, Ana tem o direito de solicitar que você exclua todos os dados pessoais que possui sobre ele. O GDPR exige a eliminação permanente do contato de Ana do seu banco de dados, incluindo o histórico de rastreamento de e-mail, registros de chamadas, envios de formulários e outros dados e atividades de envolvimento.
Na maioria dos casos, você precisa atender a solicitações como essa em até 30 dias. O direito de exclusão não é absoluto e pode depender do contexto da solicitação, por isso, nem sempre ele se aplica.
Para eliminar dados que estão na HubSpot de acordo com as exigências GDPR, faça o seguinte:
Se a opção do GDPR estiver ativada em sua conta, você verá duas alternativas: uma exclusão “suave” e uma “definitiva” e de acordo com o GDPR.Escolha a segunda opção para que todos os dados pessoais de Ana sejam excluídos da sua conta da HubSpot.
Observação: embora os dados pessoais de Ana sejam excluídos, seus dados analíticos anonimizados serão mantidos. Por exemplo, se ela acessou seu site várias vezes, essas sessões continuarão constando do seu relatório de Origens, mas de um jeito anônimo, ou seja, você não vai saber que foi Ana. Se você enviou e-mails para Ana, mas apagou o contato dela, os dados analíticos referentes a ela continuarão se referindo aos e-mails que você enviou (taxas de aberturas, cliques, etc.), mas os dados pessoais dela (nome) não aparecerão mais.
Mais um recurso de exclusão: caso você exclua definitivamente o registro do contato de Ana e alguém tentar adicioná-la novamente ao banco de dados, emitiremos um alerta informando que ela já solicitou a exclusão em algum momento.
Siga as etapas a seguir para definir seu processo de exclusão.
Caso você tenha dúvidas específicas sobre o cumprimento do GDPR por parte da sua empresa, procure o auxílio de um consultor de privacidade de dados ou de um advogado. Em caso de dúvidas sobre sua conta da HubSpot, fale com seu ponto de contato ou ligue para o suporte.
Quer mais informações sobre como a HubSpot está lidando com o GDPR? Veja mais alguns materiais:
ISENÇÃO DE RESPONSABILIDADE: este documento não é um comunicação oficial técnica sobre privacidade de dados na União Europeia nem um conselho jurídico para que sua empresa o use para cumprir a legislação sobre privacidade de dados na União Europeia, como o GDPR. Ele contém informações básicas para ajudá-lo a entender melhor como a HubSpot lida com alguns pontos jurídicos importantes. Essas informações jurídicas não equivalem a um aconselhamento jurídico, no qual um advogado aplica a lei ao seu caso específico, por isso, insistimos que você consulte um advogado se desejar aconselhamento sobre a sua interpretação destas informações ou a sua precisão. Resumindo: não recomendamos usar este documento como um aconselhamento jurídico ou uma sugestão para entendimentos jurídicos específicos. Os produtos, os serviços e os outros recursos aqui descritos não são adequados para todas as situações e podem ter disponibilidade restrita.