Trei greșeli majore pe care le puteți face grăbind implementarea GDPR pentru 25 mai 2018

Data de 25 mai 2018 este privită cu neliniște de către majoritatea societăților care prelucrează date personale ale persoanelor fizice. Sub presiune pentru a fi "conformi" cu Directiva Generală de Protecțiea Datelor ("GDPR") până la data limită, unii manageri implementează "soluții" cu adevărat bizare dacă nu de-a dreptul greșite.

GDPR a speriat afacerile cu amenzile colosale pe care le prevede, de până la 20 de milioane de euro sau 4% din cifra de afaceri globală. Însă la miezul nopții din seara dinspre 24 mai nu o să se declanșeze un val de amenzi. Nici lucrurile nu vor fi radical diferite pentru majoritatea firmelor.

O implementare atentă, conformă dar mai ales rezonabilă poate preveni trei dintre cele mai întâlnite greșeli.

1. Blocarea activității firmei prin prudență excesivă

Având în vedere lipsa unei experiențe practice și a unei jurisprudențe calibrate pe noua legislație, alegerea unei căi prudente de a trata datele cu caracter personal pare logică pentru majoritatea business-urilor.

Însă mai multe firme de pe piață riscă să își blocheze activitatea din cauza faptului că nu au studiat temeiurile legale pentru procesare.

Astfel, unele firme încă mai consideră consimțământul persoanei vizate ca fiind sfânt, blocând orice tranzacție până când partenerul contractual își dă acordul pentru procesarea unor date de identificare, chiar și în scopul facturării. Respectivele firme nu au petrecut suficient timp încercând să înțeleagă interesul legitim și executarea contractului ca temeiuri pentru procesare.

Mai mult, anumite societăți "dau vina pe software" fiindcă nu pot emite facturi decât introducând CNP sau pentru că nu au o segregare conformă a datelor. Lăsând la o parte că orice revizuire a software-ului trebuie temeinic implementată, respectivele firme par să fi uitat de facturile redactate în Excel și de faptul că securizarea datelor față de angajați nu o să funcționeze niciodată la fel de bine ca un contract de confidențialitate bine redactat, dublat cu selectarea unor echipe de angajați de încredere.

2. Campaniile de (re)obținere a consimțământului

Puși în fața deadline-ului strâns, mulți manageri de marketing joacă listele de e-mailuri pe o singură carte, trimițând tuturor contactelor un update de (re)obținere a consimțământului pentru comunicările comerciale. Ținta sunt mii sau sute de mii de adrese de e-mail colectate fără nicio formă de consimțământ sau cu dovezile privind consimțământul pierdute.

Totuși, legi anti-spam există în România de peste 14 ani - Legea 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice sancționează societățile cu cifra de faceri de peste 5 milioane de lei anual cu amenzi de până la 2% din cifra de afaceri pentru e-mailuri nesolicitate.

Ideea de a transmite un e-mail de re-confirmare nu numai că tinde să confirme că s-au trimis mailuri în mod ilegal ani la rând pe o lege deja existentă, dar riscul este că rata de răspuns va fi extrem de mică, mai ales având în vedere puhoiul de e-mailuri similare din inbox. Orice răspuns negativ sau orice lipsă de răspuns înseamnă că respectivul lead nu va mai putea fi contactat niciodată. Drept consecință, unele companii și-au redus baza de date de e-mail marketing la numai 10%.

Ca alternativă, unele companii renunță la leaduri vechi pe care le contactau ilegal și dezvoltă prilejuri noi pentru a obține un consimțământ conform de la clienți și parteneri existenți, inclusiv prin regândirea procesului de vânzare, de reînnoire a contractelor și de actualizare a soldurilor și a stadiului comenzilor.

3. Ștergerea intempestivă a datelor

Unele societăți văd în păstrarea datelor cu caracter personal un risc inerent și se grăbesc să șteargă cât mai repede datele de care nu au nevoie în mod operativ.

Pe lângă faptul că legislația din România prevede termene obligatorii pentru păstrarea datelor în temeiul Legii Contabilității (5 sau 10 ani pentru unele documente contabile, 50 de ani pentru documentele legate de angajare) și în temeiul Legii Arhivelor Naționale (30 de ani pentru păstrarea unor arhive în lipsa unui plan aprobat de arhivare), GDPR în sine conține anumite prevederi care permit păstrarea datelor pentru situații neprevăzute precum litigii, nevoia de a reface unele acte contabile, etc.

Lista datelor ce pot fi șterse și termenele de ștergere ar trebui să fie un proiect meticulos al oricărei firme, redactat în vederea obținerii unor aprobări de la Arhivele Naționale și pentru conformarea cu prevederile GDPR.

Graba de a fi conform cu GDPR pleacă de la top management și se materializează, de cele mai multe ori, în decizii proaste la nivel operațional. Firmele care au în vizor transparența și conformitatea pe termen lung au mult mai mult de câștigat față de cei care vor să facă "ceva" până la 25 mai 2018.



Nu ezitaţi să luaţi legătura cu noi!