Reading Time: 7 minutes

Os últimos meses têm sido totalmente escaldantes. A partir do dia 25 de maio de 2018, e com a entrada em vigor do Regulamento Geral de Proteção dos Dados, doravante designado por RGPD, as empresas incorrem em maiores riscos de negócio.

No dia 28 de março foi também publicado no Diário da República um documento com obrigações e requisitos técnicos a implementar nos sistemas da Administração Pública. Estas obrigações foram então definidas para o setor empresarial do Estado, em matéria de arquitetura de segurança das redes e sistemas de informação e procedimentos a adotar de modo a cumprir as normas do RGPD. Nunca é demais lembrar que, todas elas podem e devem ser transpostas para a sua loja-online, apesar de terem sido inicialmente direcionadas para a Administração Pública.

Este artigo aborda, de forma breve e prática, algumas orientações práticas que devem estar implementadas em websites e lojas-online a partir de 25 de maio de 2018.

 

Tenho um website/loja-online. E agora?

A prioridade inicial passa pelo levantamento dos procedimentos e fluxos do produto (website/loja-online) de forma a alinhar a sua implementação com as diretivas do RGPD.  Com este mindset bem definido é possível manter o produto totalmente em conformidade.

O RGPD prevê multas extremamente pesadas para todos aqueles que não cumprirem com as diretivas do regulamento. No entanto, as penalizações mais severas serão aplicadas a todas as entidades que tiverem um comportamento mais negligente, do que a quem procurou aplicar as normas legais e falhou uma ou outra coisa no momento da sua aplicação — resumidamente: quem fez alguma coisa será visto com bons olhos por parte do fiscal de proteção de dados.

Já as multas podem mesmo ultrapassar os 20 milhões de euros ou 4% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.

 

Por onde devo começar?

Antes de mais, o RGPD destina-se a todo o tipo de dados de pessoas singulares, e não a dados das empresas.

  • O nome de uma empresa não é um dado pessoal.
  • O e-mail geral de uma empresa não é um dado pessoal.
  • O e-mail de um funcionário de uma empresa já é um dado pessoal.

 

De uma forma geral, se na era pré-RGPD o ciclo de desenvolvimento de software já era um processo bastante relevante no desenho de qualquer produto ou sistema da informação, com o advento deste novo quadro de regulamentação tornou-se inevitável para as empresas efetuarem uma análise, planeamento e implementação com foco na segurança e na privacidade da informação que é muitas vezes exposta pelo sistema implementado. Segurança e privacidade por defeito (security and privacy by design) estão na ordem do dia e isso obrigará as empresas a arquitetar todo o fluxo de processamento e negócio logo desde o início.

 

E que tipo de leis devo eu conhecer para implementar um plano de conformidade para o meu produto (website e loja-online)?

De acordo com as leis, deve ser do seu conhecimento o seguinte:

  • Orientações relativas ao comércio eletrónico à distância e lojas-online (aplicam-se exclusivamente a lojas-online).
  • Orientações relativas à resolução do Conselho de Ministros n.º 41/2018.
  • Orientações relativas ao RGPD.

comercio-eletronico

 

Depois de conhecer todas as orientações, é tempo de colocar as mãos à obra. Não existe, de facto, uma varinha mágica para tornar um website ou uma loja-online totalmente compliant com todas as legislações aqui abordadas. Porém, existem um conjunto de orientações genéricas, e que no mínimo poderão ser aplicadas de imediato durante o planeamento e conceção do produto (sendo ele um website, uma loja-online ou até uma aplicação móvel).

A melhor forma de o fazer é como foi ilustrado na imagem acima. Em primeiro lugar, este “desafio” deve ser alavancado por um indivíduo que conheça minimamente as leis acima mencionadas, e que detenha também alguma formação e experiência em “boas práticas de segurança” e proteção de dados. Em segundo lugar, deve ser definida uma checklist. Esta checklist deve ser implementada e analisada durante o planeamento do produto, no final de cada sprint — se for usar uma metodologia Agile durante o desenvolvimento — e por fim, deve ser também revista e analisada cuidadosamente no fecho do projeto. Se assim for, nada lhe irá escapar!

 

Checklist de conformidade e segurança para websites e lojas-online

Se o produto for a uma loja-online, é necessário conhecer as orientações entregues mais abaixo, de maneira a validar se é respeitada a legislação relativa ao comércio eletrónico, e com isso, evitar coimas por parte da ASAE.

 

Orientações relativas ao comércio eletrónico e lojas-online

Abaixo estão compiladas algumas das orientações base que devem ser sempre aplicadas a lojas-online. É importante, assim, conhecer a lista de leis relevantes para o comércio eletrónico.

• DL n.° 24/2014 – contratos celebrados à distância e fora do estabelecimento comercial.
• DL n.° 7/2004 – comércio electrónico no mercado interno e tratamento de dados pessoais.
• DL n.° 70/2007 – práticas comerciais com redução de preço.
• Lei n.° 144/2015 – mecanismos de resolução extrajudicial de litígios de consumo.
• DL n.° 198/2012 – emissão de faturas.
• DL n.° 166/2013 – regime aplicável às práticas individuais restritivas do comércio.
• Instrução n.° 27/2012 – comunicação de informação estatística ao Banco de Portugal.
• Lei n.° 46/2012 – tratamento de dados pessoais e proteção da privacidade nas comunicações eletrónicas.

Em seguida, é disponibilizada uma checklist, apenas e exclusivamente, para lojas-online.

leis-comercio-eletronico

Fonte: tudo-sobre-ecommerce.com

 

É importante ter sempre presente todas as orientações mencionadas acima, tanto na fase de planeamento como durante a implementação do projeto. Idealize a sua checklist para que nada falhe! Em caso de incumprimento, poderá ser sancionado pela ASAE.

 

Orientações relativas à resolução do Conselho de Ministros n.º 41/2018 e RGPD

Para facilitar, estão condensadas numa só checklist todas as orientações mínimas relativas ao RGPD para o seu website ou loja-online. Estas orientações técnicas devem ser usadas pelas empresas para fazer cumprir a nova lei.

Ainda nesta checklist são apresentadas também algumas breves noções relativas à forma como uma empresa (subcontratante) deve reagir e estar preparada para algumas situações previstas pela lei (a lista não pretende ser exaustiva).

checklist-rgpd

chcklist-rgpd-3

 

 

Exemplos práticos para manter a conformidade no seu website e loja-online

1. Os formulários devem apresentar as opt-ins de forma separada, i.e., em desagregação para os diversos consentimentos de recolha de informação.

As opt-ins nunca deverão estar pré-selecionadas e deve ser feita uma desagregação dos diversos consentimentos em várias opt-ins. Observe os seguintes exemplos.

gdpr-compliant-web-forms

gdpr-consent-md

 

2. Se os formulários partilham a informação recolhida com terceiras partes (third-parties), deve ser solicitado o consentimento para esse tratamento de forma também ela desagregada.

john-lewis-permissions

 

3. O princípio da minimização dos dados é muito importante

Devem ser solicitados ao utilizador apenas os dados necessários para o tratamento indicado. Se não precisa da data de nascimento, p.f., não a solicite. Inicialmente parece boa ideia uma empresa recolher dados em pilha. Mas, adiante, pode ser um problema. Como justifica ter recolhido a data de nascimento se no tratamento em si, não necessita dela?

form-with-to-many-fields-md

 

4. Opt-ins e consentimentos granulares

Tanto nos formulários, como por exemplo, nas cookies usadas num website, o utilizador deve ser informado de qual a finalidade da recolha de dados e que tipo de dados são recolhidos.

Um exemplo clássico é o Google Analytics. O utilizador deve ser informado que o Analytics recolhe os seguintes dados:

  • User ID
  • Demographic reports
  • Remarketing functions

 

Em seguida, deve ser obtido o consentimento do utilizador, p.ex., através de um banner disclaimer — a clássica popup de cookies.

Alguns endereços úteis sobre Analytics:

 

5. Granularidade na ativação e desativação de permissões

O utilizador deve ser capaz de ativar e desativar permissões sobre o tratamento de dados — e envio e receção de notificações — através de um mecanismo facilitado e granular.

Withdaw-consent-GDPR

 

6. Políticas de privacidade adequadas, transparentes, leais e claras

Uma Política de Privacidade é um documento que deve ser incluído num website; por exemplo, através de um link. Ela deve informar adequadamente os utilizadores do website sobre os dados que são recolhidos, para que são utilizados, com quem os dados serão partilhados (se aplicável) e como o utilizador pode impor os seus direitos.

Que tipo de informação deve ser agregada a uma política de privacidade?

  • Quem é a entidade? Quem irá tratar os dados (a pessoa responsável ou entidade)
  • Que informação é recolhida (nome, e-mail, endereços, etc.) e qual a sua finalidade quando são processados.
  • Porque o website recolhe essa informação; Porque é necessário recolhê-la.
  • Como é que a informação é guardada, por quanto tempo, e se existem os mecanismos mínimos de segurança.
  • Com quem a informação é partilhada (third-parties).

 

Por exemplo, as cookies devem ser novamente mencionadas. Não só o Analytics, mas também outros plugins usados no website ou na loja-online:

  • Facebook, Twitter, Google+ or other social media buttons and plugins
  • Comment system (WP, Disqus)
  • Google Adsense or Adwords
  • Embedded videos from Vimeo, Youtube etc…
  • Affiliate programs
  • Chat software
  • Support desk software such as Kayako

 

7. Cookies com opt-in

A maneira mais comum de obter consentimento em relação às cookies é por meio de um banner ou popup de cookie, que aparece depois de os utilizadores entrarem no website. Os tipos de cookies em uso em muitos websites são cookies passivas, mas para atender aos requisitos do RGPD devem ser adicionadas opções de contrato permitindo a ativação ou desativação das cookies por parte do utilizador. Uma boa maneira de abordar isso é separar as cookies em grupos, com cada grupo tendo as suas próprias caixas de seleção. Os grupos podem ser configurados em:

  • Necessary
  • Preferences
  • Statistics
  • Marketing

 

Este tipo de classificação permite que os utilizadores tomem uma decisão clara e transparente sobre o que estão dispostos a permitir.

gdpr-cookie-settings-md

 

Idealmente, os utilizadores também devem ter um painel de permissões semelhante ao apresentado de forma a gerirem todos os seus consentimentos. O utilizador tem de ter facilidade na remoção dos consentimentos, tal como aconteceu durante a recolha dos mesmos. Um utilizador deve ter a capacidade de remover um consentimento a qualquer momento.

 

8. Envio de e-mails e campanhas de Marketing

Possui alguma base jurídica ou prova (consentimento) sobre os dados dos clientes de forma a enviar correspondência ou campanhas de marketing para a sua newsletter de contactos?

Se não, então deve de imediato obter esse consentimento. Durante esse ato, deve especificar claramente qual a finalidade dos dados, i.e., indicar ao utilizador que tipo de informação irá receber no seu e-mail.

Não pense que é um caso isolado ao fazê-lo. Há quem tenha um estádio de futebol e o faça de uma forma grandiosa e sem qualquer prejuízo.

GDPR manchester united

 

 

Content Management System (CMS) e Plugins

Se usa um CMS Joomla, Drupal, WordPress, Prestashop, OpenCart, ou outro, certifique-se que eles também cumprem com o RGPD e que têm uma política de privacidade em conformidade.

Não sabe ou não encontra informação suficiente? Contacte-os!

O mesmo se aplica a plugins utilizados no seu produto. Usa plugins de terceiros? Confirme se estão compliant e não se esqueça de indicar na política de privacidade do website com quem está a partilhar os dados dos seus visitantes e que dados são partilhados (nome, email, endereços, etc.).

Se o seu website estiver alojado numa empresa de alojamento (subcontratante — processador de dados), procure saber se a empresa reúne todas as condições organizacionais e técnicas referentes ao regulamento. Questione-os!

Lembre-se que o utilizador final tem o direito de:

  • Ser notificado em caso de violação de dados num prazo máximo de 72 horas.
  • Portabilidade dos dados.
  • Esquecimento.
  • Retificação.
  • Oposição.
  • Saber para que finalidade os seus dados são recolhidos, onde estão armazenados e durante quanto tempo.

 

Tem uma aplicação móvel?

O RGPD também se aplica a dados pessoais recolhidos por meio de dispositivos e aplicações móveis. Gaste algum tempo a analisar os dados recolhidos pela aplicação móvel, para que fins eles são recolhidos, onde são guardados, tudo isso garantindo que a aplicação esteja em conformidade com o RGPD.

 

 

 

Powered by RISEMA


risema

Este artigo é patrocinado pela RISEMA, uma empresa da área da informática fundada em 1992 e com soluções para micro, pequenas e médias empresas.