O novo regulamento geral de proteção de dados (GDPR) da UE e o impacto nos negócios de ecommerce
Índice
O que é o GDPR?
O novo regulamento geral de proteção de dados (RGPD) ou General Data Protection Regulation – GDPR (em inglês) integra a nova legislação da União Europeia que se aplica a todos os 28 Estados-membros e a qualquer país que venda produtos ou serviços dentro da UE. Entra em vigor a 25 de maio de 2018 e o tempo urge para todas as empresas. Seja qual for a sua área de negócio, prepare-se para entrar em conformidade com a nova lei.
Segundo a Comissão Europeia, o GDPR tem como objetivo certificar que o direito dos cidadãos à proteção de dados pessoais se mantém efetivo na era digital. Procura, essencialmente, trazer maior controlo às pessoas sobre os seus dados pessoais e construir uma maior confiança na utilização dos seus dados pelas marcas.
Tratando-se de uma lei da UE, e não uma diretiva, o GDPR tem caráter obrigatório e poder jurídico vinculativo, e será regulado em Portugal pela Comissão Nacional de Proteção de Dados (CNPD).
Principais reformas do GDPR
1. Direito a “ser esquecido”
Quando um indivíduo não quer mais que a sua informação seja processada, e não havendo razões legítimas para a reter, a informação será apagada. Trata-se de proteger a privacidade dos indivíduos, e não de apagar eventos passados ou restringir a liberdade à imprensa. Em ecommerce, será necessário tornar fácil ao utilizador de remover o consentimento de processamento dos seus dados ou apagar a sua conta.
2. Acesso facilitado aos dados pessoais
Os indivíduos terão mais informação sobre como os seus dados são processados, que deve ser claramente compreensível e acessível. Nos negócios de ecommerce, isto significa rever os termos e condições, tornando-os o mais claros e diretos possíveis. Adicionalmente, o novo direito à portabilidade dos dados vai tornar mais fácil a transmissão de dados pessoais entre fornecedores de serviços. Com a portabilidade de dados, o cidadão passa a poder exigir a uma empresa os dados que lhe dizem respeito num formato que permitirá a migração para outra empresa.
3. Direito a saber quando os dados pessoais foram invadidos
As empresas estão obrigadas a notificar a autoridade de supervisão nacional quando existe uma violação dos dados que ponha os indivíduos em risco (em 72 horas). Devem igualmente comunicar aos indivíduos afetados para que estes possam tomar as medidas apropriadas.
4. Proteção dos dados “por design” e por definição
Proteção de dados “por design” significa que cada novo serviço ou negócio que faça uso de dados pessoais está obrigado a tomar em consideração a proteção desses dados. As empresas necessitam de ser capazes de mostrar/provar que têm segurança apropriada. Em termos práticos isto significa que os departamentos de tecnologias de informação (TI) devem ter em conta a privacidade dos dados no “design” da tecnologia do produto ou serviço. Medidas de proteção “por design” podem incluir técnicas tais como pseudonimização ou encriptação.
Por outro lado, o controlador dos dados necessitará de se certificar que, por definição, apenas os dados pessoais absolutamente necessários para determinada ação específica são processados. Em termos práticos isto significa que as configurações de privacidade devem estar, por defeito, no nível mais alto de segurança (privacidade) para o utilizador. Isto implica também que os dados pessoais nunca sejam automaticamente disponibilizados a terceiros sem a intervenção dos indivíduos. É de sublinhar que existe, adicionalmente, um elemento temporal relativamente a este princípio, já que os dados pessoais devem, por definição, apenas ser mantidos pelo espaço de tempo necessário para providenciar o produto ou serviço.
5. Execução mais forte das regras
O novo regulamento prevê penalizações severas para as empresas em incumprimento. Embora seja desconhecido exatamente que tipo de sanções serão aplicadas a cada caso, as autoridades de proteção de dados (CNPD) vão poder multar empresas que estejam em desacordo com o GDPR até 20 milhões de euros ou 4% do seu volume de negócios.
Neste ebook partilhamos a nossa experiência sobre o tema RGPD – o novo Regulamento Geral da Proteção de Dados da UE, que entrou em vigor em maio de 2018. Este documento tem como base a nossa experiência de implementação de projetos de conformidade ao RGPD em vários negócios online de sucesso, com a parceria de um advogado especialista na área.
Implicações para o marketing e para o ecommerce
O email marketing é, para a maioria dos negócios de ecommerce, uma parte essencial da estratégia. O GDPR vem exigir que a obtenção de consentimento por parte do utilizador, para receber qualquer tipo de comunicação ou para processamento de dados pessoais por parte da empresa, seja muito mais claro e específico. De forma a encontrar-se em conformidade com o regulamento, a obtenção de consentimento terá de ser:
- Desagregada dos termos e condições;
- “Opt-in”, de forma a que as caixas de consentimento não estejam automaticamente preenchidas;
- Granular, de forma a que o consentimento para diferentes atividades de marketing receba obrigatoriamente consentimentos separados;
- Designado, de forma a que todos os terceiros sejam especificamente mencionados.
Recorde-se que, devido ao novo direito a “ser esquecido”, o utilizador deve poder facilmente retirar qualquer consentimento que tenha dado anteriormente ou mesmo apagar a sua conta e dados pessoais.
Adicionalmente, é importante perceber que o GDPR vem encarregar as empresas de provarem que foi reunido consentimento suficiente. Isto significa que as empresas terão de mostrar evidências razoáveis que cumpriram com o GDPR, se lhes for pedido. Assim estão obrigadas a, entre outras medidas, armazenar todos os formulários de consentimento obtidos. A informação armazenada deve ter em conta as principais questões:
- Que informação foi recolhida?
- Quem a recolheu?
- Como foi recolhida?
- Porque é que foi recolhida?
- Como será usada?
- Com quem será partilhada?
- Qual o efeito sobre os indivíduos a quem os dados foram recolhidos?
- O fim para o qual os dados foram usados poderá causar desconforto/indignação aos indivíduos?
A obtenção de consentimento, aplica-se, no entanto, a qualquer processamento de dados pessoais do utilizador além do marketing, tal como:
- envio de email de confirmação de encomenda;
- envio de email de notificação do estado da encomenda;
- transmissão de informações às empresas transportadoras;
- transmissão de dados ao Gateway de pagamento;
- envio de newsletters;
- programas de fidelização;
- área de cliente;
- entre outros.
Necessidade de eleger um Data Protection Officer (DPO)
Em alguns casos poderá ser obrigatório eleger um responsável pela proteção de dados. O regulamento prevê a obrigatoriedade de eleger um DPO nos três cenários seguintes:
- O processamento de dados é levado a cabo por uma autoridade pública;
- As atividades nucleares da organização consistam em operações que exigem o processamento regular e sistemático de dados pessoais numa grande escala;
- As atividades nucleares da organização consistam em processar uma grande quantidade de informação sensível ou ofensas criminosas.
Em suma, a obrigatoriedade de ter um DPO depende da escala e âmbito das atividades de processamento de dados levadas a cabo pela empresa, pelo que é necessário que verifique a necessidade de o fazer.
Qual o próximo passo para os negócios de ecommerce?
Primeiramente, é necessário ter em grande atenção que quaisquer bases de dados existentes antes do novo regulamento entrar em vigor (Maio de 2018) estão também obrigadas a cumprir com o mesmo. Assim, se obteve a sua base de dados por vias que não estão em conformidade com o GDPR, terá de obter consentimento (de acordo com as normas acima referidas) para poder legalmente processar esses dados. Isso implica uma distância temporal de meros meses para que consiga renovar por completo a sua base de dados conforme a nova lei.
Como já provavelmente concluiu, o GDPR vem trazer enormes mudanças à forma como os negócios de ecommerce terão de tratar a proteção de dados. A forma mais fácil de o fazer será, essencialmente, servir-se de uma plataforma de ecommerce que esteja em conformidade com o GDPR e consciente relativamente ao mesmo. Assim poderá assegurar conformidade em termos, quer de back-end quer de front-end, do seu website.
Deve procurar entender as implicações para o seu negócio em particular e educar-se ao máximo relativamente ao assunto, informando-se junto de profissionais de TI e investindo em formação.
Não arrisque e certifique-se que estará em conformidade quando a legislação entrar em vigor.
Veja este artigo sobre 12 pontos essenciais para estar em conformidade com o GDPR, da Sage.
Outros artigos sobre GDPR: