“Os consumidores têm direitos mais fortes de serem informados sobre como as organizações utilizam os seus dados pessoais” – Elizabeth Denham, comissária de informação, ICO
Para empresas orientadas por dados, a questão não é “o GDPR impactará as operações comerciais diárias”, mas “de que forma?”
O que muitos CMOs temem é como o GDPR afetará sua capacidade de usar as informações dos clientes nas atividades analíticas que são essenciais para as atividades de marketing e experiência do cliente. Essas apreensões não são completamente equivocadas, pois o termo “perfil” do GDPR e o termo da indústria “análise de clientes” são bastante semelhantes.
Artigo 4 do RGPD define perfil da seguinte forma: “Qualquer forma de tratamento automatizado de dados pessoais que consiste na utilização de dados pessoais para avaliar certos aspectos pessoais relativos a uma pessoa singular, em particular para analisar ou prever aspectos relativos ao desempenho dessa pessoa singular no trabalho, situação económica, saúde, preferências pessoais, interesses, confiabilidade, comportamento, localização ou movimentos.”
Se isso soa muito como análise de clientesisso porque é: “A análise do cliente, também chamada de análise de dados do cliente, é o exame sistemático das informações e do comportamento do cliente de uma empresa para identificar, atrair e reter os clientes mais lucrativos.”
O que o GDPR diz sobre criação de perfil
Como o GDPR destaca especificamente os aspectos de análise ou previsão da criação de perfil, a conclusão razoável é que, para o GDPR, a maioria das formas de análise e criação de perfil do cliente são a mesma coisa. O Grupo de Trabalho, um órgão consultivo europeu independente encarregado de fornecer orientação sobre o GDPR, faz esta distinção esclarecedora: simplesmente classificar os clientes de acordo com informações pessoais, como idade ou sexo, para fins estatísticos ou para desenvolver uma visão geral agregada da base de clientes, não é criação de perfil. No entanto, quando o propósito passa a avaliar características individuais ou a fazer previsões e tirar conclusões sobre qualquer indivíduo (por exemplo, análise de clientes), ele cai diretamente na área de criação de perfis.
Vários artigos do GDPR referem-se especificamente ao processamento e criação de perfis de informações pessoais e estabelecem as regras básicas:
Artigo 13.º: Informações a fornecer quando são recolhidos dados pessoais do titular dos dados
O Artigo 13 estipula que quando as informações pessoais são coletadas, a empresa deve informar aos consumidores para que elas serão usadas, por quanto tempo serão mantidas e se serão usadas para criação de perfil – qual é a base legal sob o GDPR para fazer essa criação de perfil ( por exemplo, qual dos motivos permitidos a empresa está utilizando). Se os dados forem usados em qualquer tipo de tomada de decisão automatizada, informações significativas sobre a lógica usada nos algoritmos também deverão ser especificadas se o cliente solicitar.
Conclusão? Isto significa essencialmente que os profissionais de marketing devem saber como utilizarão as informações pessoais à medida que as recolhem e que devem notificar o consumidor e pedir consentimento se forem pretendidos determinados tipos de perfis.
Artigo 6: Legalidade do Processamento
Artigo 6 especifica as condições sob as quais o processamento de informações (incluindo a criação de perfis) pode ser realizado, inclusive quando um consumidor deu consentimento e quando os dados são necessários para a execução de um contrato. Há, no entanto, uma terceira condição que introduz alguma confusão e tem sido objecto de diversas interpretações sobre o que é legal:
O tratamento é necessário para efeitos dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiro, exceto quando tais interesses sejam anulados pelos interesses ou direitos e liberdades fundamentais do titular dos dados que exijam a proteção dos dados pessoais.
O GDPR afirma que os interesses legítimos incluem o processamento para fins de marketing direto, o que sugere que o marketing direto é aceitável (sem permissão do consumidor). No entanto, o Grupo de Trabalho qualificou esta orientação dizendo também que as empresas devem avaliar se os seus interesses legítimos são sobrepostos aos interesses do consumidor ou aos direitos e liberdades fundamentais. Eles sugerem que se as práticas de criação de perfis forem intrusivas ou se o rastreamento para marketing envolver a pesquisa em vários sites, locais, dispositivos ou serviços de corretagem de dados, então o interesse legítimo não se aplicaria.
O DMA também contribuiu com a interpretação de que a maior parte da criação de perfis para fins de marketing direto não é considerada, no âmbito do GDPR, como tendo um impacto legal ou significativo. No entanto, eles também se protegeram, concentrando-se nos aspectos de justiça. Por exemplo, o DMA sugere que se for oferecido a um consumidor que se debate com dívidas um produto de empréstimo com juros elevados e de alto risco, como um empréstimo consignado, que pode piorar a sua situação a longo prazo, os potenciais impactos negativos sobre o consumidor prevaleceriam. o interesse legítimo da empresa em conduzir a atividade de marketing direto.
Resultado final? Embora a criação de perfis para prevenção de fraudes, a conclusão de um contrato e com o consentimento do consumidor sejam aceitáveis, o júri está decidido sobre outros tipos de criação de perfis sem obter consentimento, especialmente para marketing direto. Quanto mais detalhado o perfil, mais próximo da linha (exigindo consentimento) ele se torna. Se o consumidor perceber que o resultado da definição de perfil é negativo e não positivo para ele pessoalmente, isso poderá ser visto como fora do interesse legítimo da empresa e, portanto, ser considerado uma violação. Esteja preparado para pedir consentimento.
Artigo 22: Tomada de decisão individual automatizada, incluindo criação de perfil
Este artigo estipula que os consumidores têm o direito de solicitar intervenção humana quando são tomadas decisões automatizadas utilizando informações pessoais e perfis. Para que o Artigo 22 entre em vigor, a decisão deve infringir os direitos legais da pessoa, conduzir a algum tipo de discriminação ou ter um impacto significativo sobre a pessoa.
Em termos de publicidade em linha (por exemplo, a decisão automatizada sobre o que oferecer a alguém com base no perfil), o Grupo de Trabalho oferece praticamente as mesmas orientações (confusas) que ofereceu para o artigo 6. Muitas atividades de marketing direto online não resultarão em impactos suficientemente significativos para justificar que um consumidor pergunte por que recebeu a oferta ou solicita intervenção humana. No entanto, as advertências relativas à justiça, à possível exclusão de uma pessoa ou grupo de uma oferta e à intrusividade do processo de criação de perfis (rastreamento em vários dispositivos ou websites) também são sugeridas aqui.
Resultado final? Os consumidores têm o direito de solicitar a intervenção humana em decisões automatizadas – com a ressalva de que a decisão deve ter um impacto significativo ou pode ser considerada injusta pelo consumidor. Contudo, apesar de algumas orientações gerais, não existe uma linha clara sobre a qual o direito se torne absoluto. Se você usa automação envolvendo informações pessoais para tomar decisões, você deve estar preparado para falar sobre os métodos automatizados (dados usados, parâmetros gerais, etc.) usados na decisão, bem como fornecer um ser humano para revisar todos os fatores importantes, se solicitado por o consumidor.