RGPD: a nova colher de pau?

Recomendamos a que leia este artigo do Miguel Gonçalves da plataforma e-Goi.

Em mais de 15 anos de trabalho, poucas vezes terei visto tanta confusão, desconhecimento e tiros nos pés como na abordagem das empresas ao novo Regulamento Geral de Protecção de Dados.
Porém, esta atitude não é nova. Na década passada, com o surgimento da ASAE, geraram-se alguns mitos igualmente danosos que foram das bolas de berlim até às colheres de pau.
Após o rumor de que a ASAE podia “eventualmente” autuar os restaurantes que tivessem colheres de pau, todos os restaurantes livraram-se do malfadado instrumento.
Só que nada disto era verdade.
A verdade é que ler os regulamentos dá muito trabalho e a generalidade das pessoas prefere basear-se no que os outros dizem e fazem.
Com a entrada em vigor do RGPD, as empresas têm muito mais a perder do que meras colheres de pau. E não me refiro às multas!
Tenho sérias dúvidas que alguma empresa portuguesa venha a ter de pagar coimas por não estar em conformidade com o regulamento ou, pelo menos, coimas de elevado valor.
O verdadeiro risco está noutro lado: nas medidas que estão a ser executadas para, supostamente, se cumprir as normas, para estar 100% compliant, conceito teórico impossível de garantir.

O Sintoma

Muitas empresas perderam ou irão destruir as listas de contacto dos seus clientes e subscritores. E podem crer que, ao contrário das colheres de pau, estas listas, uma vez estando no “lixo”, já não poderão ser recuperadas.
Nas últimas semanas, muitos de nós terão recebido emails de várias empresas relacionados com o RGPD. O habitual é ser enviado um email que costuma dizer o seguinte: “Para continuar a receber mensagens nossas, clique neste botão”. Em muitos casos, é também necessário preencher um formulário… que por vezes nem cumpre o RGPD, o que invalida todo este esforço!
Nestes casos, o que está a ser feito é enviar uma mensagem a todos os subscritores de uma lista A a convidar para se inscreverem na lista B. Os registos de todos os que não se inscreveram na lista B vão para a fogueira… Ainda bem que já não falta muito para o São João.

A Doença

O principal logro é que muitas vezes estas “re-confirmações” estão a ser enviadas a clientes, actuais ou passados, e a pessoas que já aceitaram receber mensagens no passado.

A mensagem mais importante que toda a gente precisa de memorizar: em nenhuma parte do RGPD é exigida uma re-confirmação para o envio de comunicações.
Caso exista uma confirmação (habitualmente feita através de um double opt-in), independentemente de quando foi fornecida, e/ou uma relação comercial com a pessoa em causa, então não é preciso fazer absolutamente nada.

Para perceber o quão absurda é a situação, posso dar um exemplo prático.
Imaginem que têm um empréstimo bancário. Após 25 de Maio de 2018, o dia em que o RGPD entra em vigor, comunicam ao banco que não querem receber mais comunicações e que devem eliminar todos os vossos dados pessoais. O banco deixa de ter forma de vos contactar e nem sabem quem é o devedor. Que forma incrível de dar um calote!
Como é óbvio, isto não funciona assim. Mas a forma como muitas empresas estão a reagir faz parecer que é possível.

O Cenário Optimista

O problema não se esgota aqui. Além de vermos empresas em busca de confirmação desnecessárias, aborrecendo os seus clientes no processo, também podemos ponderar se estas iniciativas são eficazes.
Após 15 anos a trabalhar em Email Marketing, consigo ter uma ideia do tipo de resultados que estas campanhas conseguem alcançar.
Tomemos como ponto de partida uma empresa que tenha uma base de dados de 100.000 contactos.
Agora, sendo generosos, vamos assumir que são enviados emails para todas as pessoas e que, coisa rara, todos os emails caem na caixa de entrada dos destinatários.
Daí podemos fazer algumas estimativas muito optimistas:
100.000 emails enviados
30.000 abrem o email (30% taxa de abertura)
9.000 clicam no link (30% taxa de clique)
6.300 preenchem o formulário (30% taxa de abandono o que é muito optimista!)
A estimativa apresenta dois casos: com e sem formulário para preencher, chegando aos valores finais de 6.300 e 9.000, respectivamente.
No final, em ambos os casos, perdeu mais de 90% da sua lista de contactos.
Depois disto, pode crer que as multas do RGPD serão a menor das suas preocupações.

O Contágio

Uma das minhas maiores preocupações é que, apesar de muitos profissionais se mostrarem reticentes em seguir este caminho, ao verem inúmeras empresas a enviar emails relacionados com o RGPD, acabam por se sentir pressionados e apanhar o mesmo comboio.
Os ingleses costumam chamar a isto “peer pressure”. Nós preferimos um termo popular português: efeito “Maria vai com as outras”.

O Contexto

Porque é que isto acontece?
Como é óbvio, as empresas não fazem isto por masoquismo. E ainda que não tenha acesso aos factos, posso lançar hipóteses com base naquilo que tenho observado.

1. Falta de preparação

As preocupações com privacidade online e proteção de dados pessoais já têm mais de uma década. Na empresa que dirijo, a E-goi, já respondemos aos requisitos gerais impostos pelo RGPD há mais de 15 anos. Para nós, foi uma escolha estratégica.
Porém, com todas as pressões resultantes da globalização e da crise recente, é normal que que a maioria das empresas tenha deixado estas questões para segundo ou terceiro plano. Nada mais natural.

2. Falta de informação

Com o aproximar do prazo, começaram a surgir os habituais rumores e gerou-se um clima de medo. Como acontece regularmente, os artigos na imprensa não ajudaram nada a neutralizar estes boatos.
Aliás, muitas das entrevistas e artigos foram escritos recorrendo a fontes de informação com parte interessada na matéria: advogados e consultoras, etc..

3. Péssimos conselhos

As empresas, sentindo-se pressionadas a cumprir o prazo e vendo o aparato mediático que foi montado, viraram-se para especialistas que os pudessem ajudar a evitar problemas.
E é aqui que o caldo é entornado.

Atirar dinheiro bom atrás de dinheiro mau

Em muitos casos, as equipas de consultores terão sido recebidas por clientes assustados e ávidos de compensar a sua falta de planeamento com medidas drásticas.
Tornou-se necessário gastar milhares ou dezenas de milhares de euros para prevenir as multas de “milhões” que poderiam aparecer a qualquer momento.
Coloquemo-nos, então, no papel dos consultores e comecemos por imaginar o pior cenário: após o cliente seguir escrupulosamente as nossas medidas para cumprir o RGPD, e de pagar uma quantia avultada pelos nossos serviços, eis que surge uma multa resultante de uma pequeníssima falha. Obviamente, o cliente irá pensar que fizemos um péssimo trabalho.
Para evitar este cenário, os consultores têm uma missão muito simples: reduzir o risco de multa a menos de zero!

A melhor forma de o conseguir é utilizando aquilo que chamamos “opção nuclear”, que consiste em destruir literalmente todos os dados pessoais dos clientes e voltar a recolhê-los, desta vez seguindo todas as recomendações à letra da lei, que é excessiva e desnecessária… mas por vezes sem cumprir as normas.
O que vão fazer a seguir? Pedir que se mande uma assinatura digital para receber uma newsletter de uma loja de bordados? Uma jura de sangue para autorizar uma factura electrónica?
Como seria demasiado escandaloso sugerir tal enormidade, ao invés disso é recomendado que se envie um pedido de re-confirmação. É uma sugestão que parece muito mais benigna, mas que, tal como vimos na simulação acima, tem 90% da eficácia (ou letalidade, dependendo do ponto de vista) da “opção nuclear”.

Consequências “Inesperadas”

Depois de pagar bom dinheiro pelos consultores, investir em sistemas informáticos, processos burocráticos e de deitar mais de 90% da lista de contactos ao lixo, muitos CEOs vão perguntar-se, já no fim do trimestre, porque é que os resultados das suas empresas caíram a pique.
Actualmente, criar e fazer crescer uma lista de contactos requer muito investimento. Com a maioria da publicidade online concentrada nas grandes plataformas como o Facebook e a Google, o custo da publicidade online tem vindo a aumentar de forma desproporcionada.
Por esta razão, é de uma importância estratégica fundamental que as marcas conservem canais de comunicação directos com os seus clientes e fãs.

Ao “deitarem fora” as suas listas de contactos, muitas empresas estão a destruir património no valor de muitos milhares ou até milhões de euros. E tudo isto após investido pequenas fortunas!
Não ficaria nada admirado se nos próximos meses houvesse muitas “cabeças a rolar” dentro de inúmeras empresas.

Abaixo o Legalês: as boas práticas

Para desanuviar este clima de medo e incerteza, achei importante partilhar convosco 3 regras informais que a nossa equipa segue e que permitem estar “imunizado” contra as armadilhas do RGPD.

Regra Nº1 – Não ser Manhoso

Comprou uma lista de contactos? Deite-a fora!!
Comprar e vender listas de contactos já era ilegal e punido por lei há muitos anos.
Nenhum desses contactos lhe deu autorização para receber as suas comunicações e também não tem nenhuma relação, comercial ou não, consigo.
Enviar mensagens para estas pessoas é uma actividade de alto risco, pois tem enormes hipóteses de gerar queixas, multas e ser marcado como SPAM no caso dos emails.
Por tudo isto, elimine estes contactos. Faça antes uma revisão aos seus formulários de inscrição, para estarem em conformidade com o RGPD, e use apenas este tipo de contactos.

Regra Nº2 – Ter Bom-senso

Se pensar “Estarei a ser chato?” é porque provavelmente está a ser.
No que diz respeito à comunicação, é fácil resolver isto:
Dê aos seus subscritores uma forma fácil de deixarem de receber as suas comunicações;
Faça uma verificação de email ou SMS em dois passos (double opt-in);
Se os utilizadores não estiverem a abrir ou a clicar nas mensagens, reduza a frequência ou mude de abordagem;
Mesmo assim quer que os subscritores validem novamente a subscrição? Faça uma campanha opt-out em vez de opt-in, ou seja, pergunte-lhes se querem ser removidos em vez de se querem continuar. Isto vai trazer resultados muitíssimo superiores;
Está a ver aqueles tipos que ligam 10 vezes a perguntar se quer mudar de tarifário ou de cartão de crédito, ainda que você não tenha dado o seu número de telefone a ninguém? É horrível, não é?
Não seja esses tipos. O RGPD também é para acabar com isso.

Regra Nº3 – Facilitar o Acesso

Esta é a parte mais técnica e trabalhosa do RGPD. Todos os seus subscritores/clientes têm o direito à privacidade dos seus dados pessoais e isso faz com que você se veja obrigado a eliminar permanentemente esses dados caso lhe façam esse pedido.
O melhor cenário é que este processo seja automatizado, ou seja, o cliente pode ir ao seu site, introduz o nome/email, indica que quer apagar tudo e o sistema faz isso, além de emitir um comprovativo da realização da tarefa. Assim poupa bastante trabalho.
Se não conseguir ter este cenário ideal, este serviço pode ser feito de forma manual, desde que não seja excessivamente moroso. Quanto maior for a sua empresa e o número de clientes/subscritores, mais trabalhoso será o processo realizado manualmente.
Isto se não precisar desses dados para prestar o serviço, claro! Caso contrário, voltamos ao cenário do calote ao banco.

Resumindo e com mais cor

Seguindo o seguinte infográfico, vai ficar a perceber facilmente o que deve fazer (na minha opinião) às listas de contactos de marketing que tem actualmente:

Os Verdadeiros Alvos do RGPD

O RGPD não foi feito para infernizar as empresas. Ele existe com o propósito claro de proteger os dados pessoais dos cidadãos. E protegê-los num contexto muito específico.
Esta legislação visa mudar a atitude das grandes plataformas digitais que vivem dos dados dos seus utilizadores.
Até agora, a política oficial foi rentabilizar primeiro, e proteger os dados depois.
A título de exemplo, até à relativamente pouco tempo, o mote do Facebook era “andar rápido e partir coisas”. Muitas outras plataformas seguiram estratégias similares e o resultado está à vista: basta introduzir o seu email no site “Have I been Pwned?” e ver a quantidade de vezes que os seus dados foram expostos em fugas de dados.
Estas brechas de segurança, que existem aos milhares, já expuseram os dados de milhões de pessoas e, na maioria das vezes, tem como único resultado um mero pedido de desculpas.
O RGPD serve para acabar com este clima de impunidade. A partir de agora, a segurança dos dados terá de ser a prioridade, caso contrário, as multas astronómicas tratarão de punir os prevaricadores.

Como é óbvio, é disto que o RGPD se trata… e não de perseguir a Mercearia do Tio Manel porque mandou à sua lista de contactos do Gmail um folheto com os descontos da semana.
Como diria Voltaire, o problema do senso comum é não ser assim tão comum.