Este artigo oferece uma visão geral do processo de usuários e personas, bem como informações gerais sobre o Gerenciamento de privacidade.

Este artigo foca principalmente no RGPD. A configuração e o uso de solicitações de Acesso e Exclusão são iguais tanto para o RGPD quanto para a CCPA. 

O quê é o GDPR?

Embora o GDPR apresente muitos requisitos novos ou aprimorados, os principais princípios subjacentes aos atuais requisitos de proteção de dados da UE permanecem os mesmos. Muitas das responsabilidades referentes ao processador de dados contidas no GDPR e exigidas ao Adobe Campaign já estão sendo atendidas pela funcionalidade do produto disponível no Adobe Campaign hoje. Aproveitamos a oportunidade do RGPD para adicionar funcionalidades para ajudar a atender ao RGPD sempre que possível. Em última análise, estamos aqui para trabalhar com nossos clientes e fazer nossa parte para ajudá-los, os Data Controllers, a garantir que o GDPR seja atendido.

  • Titular de dados - No contexto da Adobe Experience Cloud, os Titulares de dados são clientes ou usuários finais da Adobe.

  • Controlador de dados - No contexto da Adobe Experience Cloud, os Controlador de dados são clientes da Adobe. Eles possuem e controlam os dados que hospedam em seus consumidores (Data Subjects). O Data Controller geralmente indicará o administrador de privacidade ou outro ponto de contato voltado ao cliente para solicitações do GDPR. Essa pessoa seria responsável, entre outras coisas, por fornecer os avisos e obter os consentimentos necessários para coletar informações do usuário final. Eles também são responsáveis por validar quem é o Data Subject e obter as informações corretas do Data Subject para transmiti-las a vários fornecedores diferentes, incluindo o Adobe Campaign. Importante: é de responsabilidade do Controlador de dados confirmar a identidade do Titular de dados que faz a solicitação e confirma que os dados retornados ao solicitante são sobre o Titular de dados.

  • Processador de dados - a Adobe é considerada um Processador de dados. Nós processamos dados com base nas instruções e acordos que temos com nossos clientes corporativos (Data Controllers).

  • Consentimento - Significa um acordo para o processamento de dados pessoais relativos a um Titular de dados. O consentimento é de responsabilidade do Data Controller.

  • Acesso (Direito de acesso) - Também conhecido como Direito de acesso do titular, o Acesso autoriza o Titular de dados a ter acesso e informações sobre os dados pessoais que um Controlador de dados possui a seu respeito.

  • Excluir (Direito de ser esquecido) - Também conhecido como Exclusão de dados, autoriza o Titular de dados a fazer com que o Controlador de dados exclua seus dados pessoais, interrompa a disseminação dos dados e, potencialmente, que terceiros interrompam o processamento dos dados.

Observação: a Adobe não fornece aconselhamento jurídico. Todos os clientes devem trabalhar com seus próprios advogados para garantir que estão tomando todas as medidas necessárias em relação ao cumprimento do GDPR.

Preparar para acessar dados e excluir solicitações

  • Identifique um processo para receber/responder os pedidos do Data Subject, incluindo a nomeação de um ponto de contato de privacidade.

  • Revise os vários dados do cliente armazenados no Adobe Campaign e determine os identificadores exclusivos (provavelmente haverá mais de um).

  • Determine uma política e um processo de validação/autenticação para confirmação da identidade do Data Subject.

  • Certifique-se de que a resposta do Data Subject seja fácil de entender.

Considere o consentimento

  • Inventário e atualização, conforme necessário, de todos os pontos de contato para captura de dados para GDPR (por exemplo: considere o idioma, o mecanismo de consentimento e os registros de consentimento).

  • Certifique-se de que todos os e-mails de marketing incluam os links de cancelamento de inscrição.

  • Avalie a estratégia global de e-mail marketing para determinar implementações geo-específicas.

Entenda seus dados

  • Revise todas as fontes de importação e captura de dados em que os dados estão fluindo para o Adobe Campaign e documente quais campos estão sendo usados para seus esforços de marketing.

  • Remova todos os atributos de dados não usados do banco de dados do Adobe Campaign.

  • Use os dados disponíveis no Adobe Campaign para a intenção de captura e dê aos seus recipients melhores experiências personalizadas.

  • Revise e atualize as permissões de acesso a dados para ajudar a garantir que os usuários do Adobe Campaign possam aproveitar totalmente apenas os dados necessários para executar suas campanhas, mas não acessar dados além disso.

  • Certifique-se de que cada usuário do Adobe Campaign tenha os direitos de acesso apropriados para executar suas tarefas exigidas, mas não tem nenhum outro direito para realizar tarefas adicionais.

Nos casos em que o consentimento for necessário para determinadas atividades de marketing, o consentimento do consumidor precisará estar ativo (por exemplo, sem silêncio como consentimento ou caixas pré-marcadas), separado e pode não estar condicionado à oferta dos serviços. Pode até haver casos em que determinados consentimentos precisam ser atualizados para poder continuar usando os dados daqui para frente. Em vez de pensar nesses requisitos de consentimento GDPR aprimorados como um risco para o universo comercializável, os profissionais de marketing poderiam adotar os novos requisitos de consentimento como um verdadeiro indicador do envolvimento e da lealdade da marca, bem como da satisfação e confiança do cliente.

O Adobe Campaign já fornece recursos para gerenciar o consentimento em mais níveis do que a maioria dos profissionais de marketing aproveita por meio de campos de dados personalizados ou por meio de um ou mais Serviços. Os profissionais de marketing devem consultar seu departamento jurídico para obter orientação sobre como proceder e aproveitar os recursos já incorporados ao Adobe Campaign. Por exemplo, estendendo o modelo de dados no Adobe Campaign para rastrear não apenas se as pessoas optaram por participar, mas também o timestamp do opt-in e algum tipo de indicador que captura o escopo exato do consentimento.

Todos os dados associados ao Data Subject serão excluídos, incluindo tabelas personalizadas e prontas para uso. Em termos técnicos, todos os dados vinculados ao Titular de dados com integrity="own" serão excluídos. Como o Controlador de Dados, você tem a opção de personalizar isso alterando a integridade dos links definidos nos esquemas de dados (por exemplo, caso você tenha uma justificativa comercial para não excluir determinados dados).

Os relatórios no Adobe Campaign são baseados em indicadores calculados a partir de dados agregados dos registros de entrega e rastreamento. Como resultado, a remoção dos logs individuais não deve afetar as métricas exibidas nos relatórios.

Como o Controlador de Dados, você precisará garantir que, ao receber uma solicitação de exclusão, você exclua todos os dados necessários sobre o Sujeito de Dados de todos os seus sistemas.

É possível que um Sujeito de Dados opte por aderir novamente ou seja adicionado como um novo recipient depois que os dados dele tiverem sido excluídos do Adobe Campaign. Você pode usar a trilha de auditoria que detalha quando a exclusão anterior foi realizada e quando o novo destinatário foi criado.

Personas e fluxo

O Adobe Campaign inclui as seguintes funcionalidades, para ajudar na preparação do RGPD: Direito de acessoDireito de exclusãoGerenciamento de consentimentoRetenção de dados e Gerenciamento de direitos.

Nesta seção, apresentaremos esses recursos e um exemplo de cenário de caso de uso de RGPD para ajudar na compreensão do fluxo geral, bem como as diferentes personas envolvidas: Titular de DadosControlador de dados e Processador de dados.

Recursos principais

Aqui estão os cinco principais recursos oferecidos pelo Adobe Campaign para o RGPD:

Casos de uso do RGPD
  • Direito de acesso: permite que o Titular de dados receba uma cópia dos seus dados pessoais capturados pelos Controladores de dados, incluindo potencialmente dados armazenados no Adobe Campaign.

  • Direito de exclusão: possibilita que o Titular de dados apague seus dados pessoais capturados pelos Controladores de dados, possivelmente incluindo os dados armazenados no Adobe Campaign.

  • Gerenciamento de consentimento: permite que o Titular de dados concorde (ou não) com o processamento de seus dados pessoais.

  • Retenção de dados: cada tabela no Adobe Campaign é definida com um período de retenção específico, limitando assim o armazenamento de dados.

  • Gerenciamento de direitos: o Adobe Campaign fornece direitos de acesso para permitir gerenciar quais usuários podem acessar diferentes tipos de dados.

Exemplo de um cenário de caso de uso

Aqui está um exemplo de um caso de uso de experiência do cliente RGPD de alto nível.

Fluxo do RGPD

Neste exemplo, estamos considerando uma companhia aérea como cliente do Adobe Campaign. Esta empresa é o Controlador de Dados e todos os consumidores da companhia aérea são Titulares de Dados. Laura, neste caso particular, é uma consumidora da companhia aérea.

Aqui estão as diferentes personas usadas neste exemplo:

  • Laura é o Titular de dados. Ela é o recipient que recebe mensagens da companhia aérea. Laura pode ser uma passageira frequente, mas em algum momento pode decidir que não quer nenhuma propaganda personalizada ou mensagens de marketing da companhia aérea. Ela pedirá à companhia aérea (com base em seu processo) para excluir seu número de passageiro frequente.

  • Ann é o Controlador de dados. Ela recebe a solicitação de Laura, recupera as IDs úteis solicitadas para identificar o Titular de Dados e envia a solicitação ao Adobe Campaign.

  •  Adobe é o Processador de dados.

Aqui está o fluxo geral para este caso de uso:

  1. Titular de dados envia uma solicitação RGPD para o Controlador de dados, por email, atendimento ao cliente ou um portal da Web.

  2. Controlador de dados envia a solicitação RGPD ao Campaign por meio da interface ou usando uma API.

  3. Uma vez que o Campaign recebe as informações, ele executa uma ação na solicitação do RGPD e envia uma resposta ou confirmação ao Controlador de dados.

  4. Controlador de dados então analisa as informações e as envia de volta ao Titular de dados.