A indústria global do fitness prepara-se para o GDPR

No dia 25 de Maio, o novo Regulamento Geral sobre a Protecção de Dados (RGPD) entra em vigor na União Europeia (UE).

É a causa de alguma confusão, muita preocupação e uma quantidade razoável de preocupações.

"O RGPD representa a maior alteração das leis de protecção de dados na Europa dos últimos 20 anos", afirma Alan Leach, director de marketing do West Wood Club, uma cadeia de sete instalações sediada em Dublin, na Irlanda. "As implicações para as empresas de toda a Europa são enormes."

A razão de ser do RGPD é proteger a privacidade dos dados dos cidadãos e aperfeiçoar a forma como as organizações tratam os dados.

Embora o GDPR tenha sido redigido na Europa, seu impacto será definitivamente sentido nos EUA - inclusive na IHRSA - e em qualquer país que faça negócios na UE. Em dezembro, a Forbes publicou um artigo informando aos leitores que, "Sim, o GDPR afetará seu negócio baseado nos EUA". E, em Janeiro, o The New York Times informou que, em Silicon Valley, "Tech Giants Brace for Europe's New Data Privacy Rules".

A IHRSA está a cumprir o RGPD pedindo aos residentes da UE que optem por receber comunicações por correio electrónico.

"O RGPD é um factor de mudança global nas regras de privacidade", afirma Florian Cartoux, director da IHRSA Europa.

As sanções por incumprimento são impossíveis de ignorar. As infracções podem dar origem a uma coima até 20 milhões de euros ou 4% das receitas anuais da empresa, consoante o montante mais elevado.

As empresas internacionais do sector do fitness com sede nos EUA, como a Life Fitness, com sede em Rosemont, IL, e a Anytime Fitnes, de Woodbury, MN, tomaram nota e estão a tomar medidas. "Trabalhámos... para desenvolver um plano de projecto para abordar as obrigações de segurança e privacidade em conformidade com o RGPD", afirma a Life Fitness.

O aparecimento da Internet e a sua subsequente explosão ajudaram a transformar os dados num dos bens mais valiosos do mundo e, actualmente, é sem dúvida o alicerce, a plataforma universal, sobre a qual assenta a civilização moderna.

Mas para cada uma das infinitas utilizações que oferece, existe a possibilidade de utilização indevida e/ou abusiva. Quando se fala do RGPD, o objectivo está geralmente ligado aos consumidores, que correm o risco de serem vítimas de roubo de identidade, fraude financeira, roubo de informações, manipulação das redes sociais, etc. O RGPD foi concebido para garantir, na medida do possível, a segurança dos dados pessoais das pessoas. Mas a premissa que está na base do RGPD - que os dados são preciosos, têm de ser salvaguardados e, por conseguinte, regulamentados - aplica-se igualmente às empresas.

Não há um mês em que não tenhamos conhecimento de outra enorme violação de dados com efeitos de grande alcance e, por vezes, incalculáveis. Em Março, quando se descobriu que a Cambridge Analytica poderia ter utilizado os dados de mais de 50 milhões de utilizadores do Facebook para fins políticos, os títulos seguintes do Times diziam: "Cambridge Analytica suspende o director executivo" e "Chefe de segurança de dados do Facebook abandona o cargo em meio a protestos".

Talvez o mais importante seja o facto de, pela primeira vez, o desenvolvimento ter tornado o RGPD um tema quente, e um tema dos EUA - um tema relatado pelos noticiários, discutido pelos apresentadores de programas de entrevistas e que aparece com destaque noutros títulos, incluindo: "O GDPR poderia ter impedido o escândalo da Cambridge Analytica?"

O diabo nos detalhes

"Os clubes de saúde recolhem dados pessoais de membros e não membros", diz Leach. "Recolhem nomes, moradas, e-mails, dados bancários, informações médicas e muitas outras informações. Os dados são essenciais para todos os aspectos do nosso negócio e somos responsáveis pela sua protecção. ... O RGPD foi concebido para 'reforçar e unificar' a protecção de dados para todos na UE."

As críticas à medida variam entre "não é essencial" e "o júri ainda está a decidir", mas uma das coisas em que todos parecem concordar é resumida por Jim Goniea, o conselheiro geral da Anytime Fitness, que tem uma grande presença internacional. "Consideramos que as normas do RGPD são a onda do futuro e tencionamos implementá-las nas nossas operações internacionais, mesmo fora da UE, na medida em que não entrem em conflito com as leis locais."

Outra conclusão a que todos chegaram, incluindo Leach e Cartoux, é a importância de recorrer a advogados ou consultores com sérios conhecimentos regulamentares. "Recomendo vivamente que qualquer clube de fitness consulte os seus consultores sobre todas as implicações do RGPD", afirma Leach.

Embora os objectivos do regulamento pareçam razoáveis, o desafio de os traduzir em acções é assustador. "Não é que o novo RGPD seja desnecessário, ou que qualquer requisito individual seja particularmente chocante; em vez disso, a maior parte do problema é que o RGPD veio até nós de uma só vez e pode potencialmente ter um impacto em quase todas as organizações do mundo", diz Leach.

Outro obstáculo, como ele rapidamente salienta, é o facto de "o RGPD ser complexo. Muito complexo!"

O guia mais completo e autorizado é o sítio Web oficial do RGPD.

"O artigo 5.º do RGPD descreve seis princípios que devem ser aplicados a qualquer recolha ou tratamento de dados de uma pessoa", explica Leach. "Estes seis princípios estão no centro do RGPD." São eles:

1. Os dados pessoais (DP) devem ser tratados de forma legal, justa e transparente.
2. Os DP só podem ser recolhidos para fins específicos, explícitos e legítimos.
3. As DP devem ser adequadas, pertinentes e limitadas ao que é necessário para o tratamento.
4. Os DP devem ser exactos e actualizados.
5. Os DP devem ser conservados de forma a que a pessoa em causa só possa ser identificada "durante o tempo necessário" para o tratamento.
6. As DP devem ser tratadas de forma a garantir a sua segurança.

No mês passado, a IHRSA apresentou um webinar sobre "Novas regras europeias de protecção de dados: O impacto no seu ginásio", que pode ser ouvido em qualquer altura.

Conformidade: Os custos e as recompensas

Dominar a complexidade do RGPD é, em muitos aspectos, como aprender uma língua completamente nova, mas dos EUA à UE, os health clubs e outras empresas do sector estão a aplicar-se diligentemente.

Leach e os gestores de topo da sua cadeia de lojas participaram numa formação profissional CMG em Dublin e receberam certificados de mestre CMG para o RGPD. "Nesta fase, já participei em tantas reuniões e sessões de planeamento que acho que poderia recitar todo o documento do RGPD palavra por palavra", afirma.

O West Wood Club começou a preparar-se para o Dia do RGPD há cerca de sete meses e "o primeiro e mais importante objectivo era separar o alarmismo dos factos", afirma Leach, que também é membro do conselho de administração da IHRSA.

"Vai ser necessário muito trabalho e esforço para que o West Wood Club esteja totalmente em conformidade com o RGPD até 25 de Maio", afirma. "Mais de 400 funcionários terão de receber formação. Terá de ser recrutado um responsável pela protecção de dados. Todo o software de adesão e vendas terá de ser analisado para ver se está tudo em conformidade com o RGPD."

A Anytime Fitness, que tem cerca de 4.000 clubes em 20 países, percebeu que o RGPD estava para breve e "reuniu uma equipa composta pelos nossos departamentos de tecnologia e jurídico para avaliar os requisitos do regulamento e implementar as alterações necessárias para garantir a conformidade", afirma Goniea.

A lista de acções a realizar parece monumental, mas este franchise de fitness parece estar a encará-la com alguma naturalidade. "As tarefas que tivemos de concluir incluem, entre outras, a avaliação dos requisitos do RGPD; o mapeamento dos fluxos de dados no nosso sistema; a avaliação de quem, dentro do nosso sistema, constitui um controlador e/ou um processador; a análise e revisão da nossa política de privacidade; a análise e revisão dos contratos com os membros, onde o historial pessoal é recolhido; a análise e revisão dos contratos de fornecedores da UE. ..."

A Anytime Fitness, explica Goniea, sempre utilizou as melhores práticas no que diz respeito a questões de privacidade de dados e, como resultado, é capaz de contemplar o GDPR com uma certa frieza profissional, aceitando calmamente os esforços e despesas adicionais que implica.

"O cumprimento das normas do RGPD não exigiu alterações significativas na forma como fazemos negócios ou tratamos os dados dos membros ou dos funcionários", afirma. "Para as empresas que já estão a implementar as melhores práticas na área da privacidade de dados, o RGPD provavelmente não acabará por ser um obstáculo significativo à expansão das suas operações na UE."

Os desafios, os custos adicionais e a confusão passageira decorrentes do RGPD são acompanhados de uma cenoura e de um pau. O não cumprimento das muitas estipulações da medida desencadeia uma penalização e pode mesmo levar a que uma empresa não possa operar na UE.

"O custo do incumprimento é demasiado perigoso para ser ignorado", adverte Cartoux. "Poderá enfrentar uma multa até 20 milhões de euros ou 4% das suas receitas globais, consoante o valor mais elevado, se for apanhado a tratar mal os dados dos seus clientes europeus." Ao mesmo tempo, salienta, "o RGPD oferecerá aos clubes e a outras empresas uma oportunidade para cuidarem melhor dos dados dos seus funcionários e clientes.

"Para as empresas americanas, a equação deve ser muito simples", diz ele. "Não se quer ficar de fora de um mercado com 500 milhões de consumidores."