Perguntas frequentes sobre o GDPR

O que você vai aprender

Aprenda sobre perguntas frequentes sobre o GDPR para entrar em conformidade.

GDPR significa General Data Protection Regulation (Regulamento geral de proteção de dados). Trata-se de uma lei promulgada pela Comissão Europeia em 2016 que entrou em vigor em 25 de maio de 2018. Ela foi desenvolvida para proteger a privacidade de todos os cidadãos da União Europeia (UE) ao impor regulamentações sobre dados pessoais, inclusive quando esses cidadãos interagem com empresas localizadas fora da UE. Para obter mais informações sobre o GDPR, confira a série em nosso blog.

É permitido por lei transferir dados de meus clientes europeus para a plataforma Klaviyo?

Sim. O GDPR reconhece uma série de mecanismos legais para a transferência de dados para fora da UE. Após a invalidação da Estrutura de proteção da privacidade UE–EUA, a Klaviyo incorporou as Cláusulas contratuais padrão da Comissão Europeia em nosso Adendo de Proteção de Dados, que está incorporado em nossos Termos de Serviço. Recomendamos consultar sua equipe jurídica para determinar o mecanismo de transferência apropriado para qualquer transferência de dados que sua empresa possa fazer.

Se não conseguirmos comprovar a inscrição explícita para perfis antigos, há uma maneira de confirmar o consentimento por e-mail?

Antes de o GDPR entrar em vigor em 25 de maio de 2018, sugeríamos o envio de uma campanha de renovação de permissões para todos os seus assinantes na UE. No entanto, agora que o GDPR foi implementado, não recomendamos mais essa prática. Consulte sua equipe jurídica antes de entrar em contato com clientes ou assinantes atuais para os quais você não tem comprovação de consentimento explícito.

Como comprovar o consentimento, incluindo a data da inscrição do assinante?

Além de usar a inscrição em duas etapas, é obrigatório registrar o idioma em que o consentimento foi obtido, seja por formulário, e-mail ou página da web. Portanto, é necessário que você consiga apresentar a data e hora em que o consentimento ocorreu e o que foi especificamente consentido.

Para os campos de e-mail em nossos sites, é necessário adicionar outras caixas de seleção para os clientes marcarem antes do envio dos dados?

A plataforma Klaviyo disponibiliza formulários em conformidade com o GDPR com várias caixas de seleção, permitindo o consentimento detalhado (ou seja, consentimento separado para envio de publicidade por e-mail e publicidade no Facebook).

É necessário selecionar formulários compatíveis com o GDPR e personalizá-los de acordo com as necessidades do seu programa de marketing. Se você coleta informações pessoais sobre consumidores da UE por outras plataformas, também é preciso fazer alterações nessas plataformas.

Que tipos de dados pessoais a Klaviyo processa, onde estão hospedados, com quem são compartilhados e por quanto tempo são mantidos?

Veja mais informações sobre os dados que processamos e as medidas que tomamos para protegê-los em nosso Adendo de Processamento de Dados (APD). As medidas de segurança estão descritas especificamente no Anexo 2 do Adendo. Leia também nossos Termos de Serviço.

Devemos atualizar as disposições complementares ao capturar e-mails, adicionando informações sobre o armazenamento de dados na plataforma Klaviyo?

Sim, as disposições complementares devem ser atualizadas para refletir as seguintes orientações para clientes e clientes potenciais na UE:

• Use uma linguagem clara e simples, que seja fácil de entender.
• Especifique por que você quer coletar os dados e o que fará com eles.
• Indique a sua empresa e os processadores terceirizados que serão usados.
• Informe às pessoas que elas podem retirar seu consentimento.

Para atender aos requisitos do GDPR, é preciso disponibilizar um e-mail para inscrição no idioma local?

Não necessariamente. Os requisitos específicos podem variar de acordo com o país, portanto, recomendamos consultar sua equipe jurídica sobre os requisitos locais específicos. Entretanto, a plataforma Klaviyo disponibiliza um texto de inscrição padrão em vários idiomas.

Preciso obter consentimento para todos os dados pessoais dos consumidores?

A única base legal para a coleta ou processamento de dados confidenciais é o consentimento explícito. Para outros dados pessoais, pode haver várias opções quando se trata de estabelecer uma base legal, mas o consentimento é uma escolha frequentemente adotada pelas empresas.

Outras bases legais incluem:

• O processamento é necessário para a execução de um contrato ou para adotar medidas solicitadas pelo titular dos dados antes da celebração do contrato.
• O processamento é necessário para o cumprimento de uma obrigação legal.
• O processamento é necessário para a proteção dos interesses vitais do titular dos dados ou de outra pessoa.
• O processamento é necessário para atender aos interesses legítimos da empresa, sem que esses interesses prevaleçam sobre os direitos ou interesses fundamentais do titular dos dados.
• O processamento é necessário para a execução de uma tarefa no interesse público ou para que um funcionário público cumpra com suas responsabilidades.

Recomendamos consultar sua equipe jurídica para determinar a base legal adequada para o processamento de dados pela empresa.

A Klaviyo pode anonimizar meus dados para que eu veja um perfil sem acessar as informações de identificação pessoal?

No momento, não permitimos que os clientes tornem um perfil anônimo, mas os dados anônimos associados a esse perfil permanecerão na conta (por exemplo, eventos Placed Order) para preservar a precisão das métricas de desempenho. Os dados podem ser anonimizados quando extraídos do sistema, mas, na plataforma Klaviyo, você tem total visibilidade dos dados incorporados a qualquer perfil.

Da mesma forma, é possível excluir contatos com um registro de exclusão para comprovar a conformidade, bem como exportar todos os dados de um determinado perfil, se solicitado por qualquer um dos seus contatos.

E-mails de carrinho abandonado estão em conformidade com o GDPR?

A resposta a essa pergunta não é totalmente clara. No entanto, muitas empresas consideram que você ainda pode enviar e-mails de carrinho abandonado sem consentimento explícito para comunicações de marketing com base em interesse legítimo. Talvez um e-mail de carrinho abandonado possa ser considerado uma comunicação relevante, dado o interesse explícito do cliente em finalizar uma compra com sua empresa. Por outro lado, outros e-mails disparados, como de abandono de navegação e recuperação, podem não ser permitidos, a menos que os clientes tenham consentido previamente em receber e-mails de marketing seus em conformidade com o GDPR.

Dito isso, a aplicabilidade dos interesses legítimos ou de outras bases legais dependerá de fatores específicos, como a quantidade e a frequência dos e-mails, além do tempo decorrido desde o carrinho ter sido abandonado. Recomendamos que você consulte sua equipe jurídica sobre campanhas de e-mail para confirmar se elas estão em conformidade com a legislação aplicável.

O uso do Google Fonts está em conformidade com o GDPR?

O uso do Google Fonts pode causar problemas de conformidade com o GDPR, pois o servidor do Google precisa do endereço IP do destinatário para disponibilizar as fontes. De acordo com o GDPR, um endereço IP se qualifica como uma informação pessoal que pode ser usada para identificar o usuário. Ao incluir uma fonte do Google Fonts em sua biblioteca, você concorda com o uso do serviço.

Como alternativa ao Google Fonts, a Klaviyo disponibiliza uma seleção de fontes hospedadas na plataforma Klaviyo para uso em formulários de inscrição, páginas de consentimento e e-mails. Esse recurso não exige o IP do destinatário.

Recursos adicionais

• Coletar consentimento em conformidade com o GDPR
• Práticas recomendadas para cumprir as leis de privacidade de dados
• Upload e segmentação com consentimento
• Consentimento em perfis