Podcast #1 General Data Protection Regulation (GDPR)
“O GDPR é um regulamento que afeta o ecommerce tremendamente.”
— Serafim Costa, Redicom
Nesta edição, o tema abordado é o General Data Protection Regulation (GDPR)/Regulamento Geral de Protecção de Dados (RGPD):
- O que é o GDPR/RGPD, quando entra em vigor e quais as principais alterações? [00:50]
- Quais são as principais preocupações para quem tem um projeto de ecommerce? [02:22]
- O que poderá acontecer às empresas que não estiverem em conformidade? [03:48]
- Recomendações para as empresas estarem em conformidade. [06:29]
- O GDPR irá afetar os projetos de ecommerce/bases de dados antigos ou apenas os novos? [10:17]
- Os advogados podem ajudar as empresas a estarem preparadas para o regulamento? [13:31]
- Os sistemas que integram com lojas online também são abrangidos pelo GDPR? [14:33]
- Segundo o GDPR, de que forma as empresas devem atuar caso ocorra fuga de informação/roubo de dados pessoais? [17:10]
- Há algum documento de apoio para implementar o regulamento? [19:15]
- Que implicações práticas terá o “direito ao esquecimento” nos projetos de ecommerce? [20:22]
- De que forma estão a preparar a vossa plataforma de ecommerce para o GDPR? [22:45]
- Notas finais. [25:32]
Para saber mais, consulte o nosso artigo sobre o General Data Protection Regulation (GDPR)/Regulamento Geral de Protecção de Dados (RGPD).
[su_row][su_column size=”3/4″ center=”no” class=””]
- Adicionar feed do podcast Tudo sobre eCommerce: iTunes; RSS.
- Para descarregar o podcast, clique no ícone “Download” no player acima.
[/su_column]
[su_column size=”1/4″ center=”no” class=””]
[/su_column][/su_row]
Transcrição do podcast
Nelson Peixoto: Bem-vindos ao podcast Tudo sobre eCommerce.
Nesta edição, vamos falar sobre o GDPR — General Data Protection Regulation –, em Portugal conhecido como Regulamento Geral de Proteção de Dados, uma diretiva que pretende reforçar o direito dos cidadãos à proteção dos seus dados pessoais e construir mais confiança no mundo digital.
Para falar sobre o GDPR temos connosco Serafim Costa, Head of Ecommerce da Redicom, uma empresa com mais de 15 anos de experiência em projetos de ecommerce, que atua tanto na parte da plataforma de ecommerce como na parte de sistemas.
Serafim, o que nos podes dizer sobre o GDPR? O que é, quando entra em vigor e quais as principais alterações a que as empresas devem estar atentas?
Serafim Costa: [00:00:57] O GDPR é um regulamento que já tem dois anos, ou seja, vai entrar em vigor a partir do próximo ano, em maio, mais precisamente no dia 25. Quer dizer que nós podemos esperar alterações do dia 24 para o dia 25. No dia 24 vai haver, ainda, empresas em incumprimento e no dia 25 vão estar, acredito eu, grande parte delas — senão todas — em cumprimento.
O GDPR introduz todo um conjunto de complexas regras para serem aplicadas no que diz respeito à gestão e tratamento de dados pessoais e afeta o ecommerce tremendamente. Porque hoje nos sites de compras são essencialmente as plataformas que recolhem mais informação. É típico, nós, num site de ecommerce, introduzirmos o nosso nome, o nosso endereço de email, a nossa morada, morada de entrega e tudo isso que até agora era feito de uma forma quase que sem qualquer tipo de regulamento, apesar que já existia regulamento, mas este novo regulamento que entra em vigor em 2018 vai realmente reforçar tudo isto. E quando eu digo reforçar, é reforçar mesmo porque isto tem multas que podem ir aos 20 milhões.
Nelson Peixoto: [00:02:21] Portanto, para quem tem um projeto de comércio eletrónico, quais são as principais preocupações que deve ter neste momento?
Serafim Costa: Para quem tenha um site de ecommerce hoje, as preocupações são muitas. Eu, por acaso, tenho falado com alguns clientes que até nem sabem bem, ainda, o que é o GDPR, o que é assustador e preocupante. Porque estamos a falar de uma coisa que pode ter um impacto tremendo em termos da organização e não só em termos de ecommerce. Portanto, pode ter um impacto que vai desde o ERP aos CRM, ao software de recursos humanos, e tudo isso. O ecommerce é simplesmente uma extensão, que é o que nos vamos focar aqui mais, mas assusta-me porque é uma coisa tão abrangente, tão abrangente e as empresas, na verdade, parece que… Ainda tive entrevistas esta semana que nem sequer sabiam o que era. Ou então descartavam, do estilo “isso é qualquer coisa inventada”, mas não… É um assunto muito sério. E eu também já assisti completamente o inverso, em empresas muito grandes em Portugal, em grupos muito grandes que estão totalmente preocupados. Contratam PricewaterhouseCooper, contratam Deloitte… E estamos a falar de empresas que já gastaram, até este momento, milhões em tentar compreender todos os seus procedimentos para estar em cumprimento. Portanto, isto é um assunto muito sério.
Nelson Peixoto: [00:03:48] Mas o que poderá acontecer às empresas que não estiverem em conformidade com o regulamento?
Serafim Costa: Eu não me admirava nada que, a partir de maio, a Comissão Nacional de Proteção de Dados começasse a multar todos os sites. Um bocadinho à semelhança do que aconteceu há uns anos com a ASAE quando foi proibido fumar. Eu até diria que ainda há de ser mais grave do que isso. Porque quem ler o regulamento percebe que existe uma clara intenção de tornar este momento o último momento. O mais pesado e mais duro de todos.
Portanto, quem tem um site de ecommerce com o que deve estar preocupado? Deve estar preocupado em várias vertentes porque hoje temos sites que têm registo utilizadores, fazem email marketing… Não esquecer que enviar um simples email de recuperação de carrinho ou um email de confirmação de encomenda pode ser considerado email marketing.
Há muitas alterações a fazer ao site. A título de exemplo, um registo de utilizador, que até agora nós, implicitamente, utilizávamos os dados para fazer envios de emails, de novidades, promoções e recomendações, isso, não quer dizer que vai deixar de ser possível, mas tem que haver um consentimento explícito do cliente a dizer que realmente autoriza que a informação dele seja utilizada para esse fim. E está muito claro no regulamento que aqueles piscos que aparecem lá pré-ativo, ou mesmo que não esteja pré-ativo, nós não podemos remeter isto para um regulamento de cem páginas, não podemos. Ou os termos e condições que os site têm, aqueles termos e condições com vinte páginas, que ninguém lê, isso acaba tudo. Portanto, nós temos de ser muito claros e temos, de uma forma muito granular, dizer para que é que vamos utilizar os dados.
E aqui também há muita discussão, neste tema. Porque grandes empresas como a Zara, como a Mango, como a Amazon, até o site chinês da AliExpress, todos vão ter que alterar, mas ainda ninguém fez nada… Mas nós não podemos ficar a pensar que por eles, publicamente, não dizerem nem fazerem nada, não significa que não estejam a fazer e a preparar-se para dia 25 de maio.
Nelson Peixoto: [00:06:29] E o que recomendas que as empresas façam para estar em conformidade com o novo regulamento quando entrar em vigor no dia 25 de maio?
Serafim Costa: Eu recomendo fortemente que as empresas que tenham algum site de ecommerce avaliem junto de uma empresa consultora ou alguém especialista na área de ecommerce que as possa ajudar a compreender o impacto e perceber como é que podem estar em cumprimento, ainda que mínimo, mas algum cumprimento nesta matéria.
Porque, detalhando mais, ainda se podia dizer que isto divide-se em dois grandes capítulos. Um é o front-end, ou seja, é o site público, é o que se vê. E aí, quem não estiver em cumprimento, é óbvio. Todos vamos conseguir perceber que não está em cumprimento porque o registo de utilizador não pede autorizações, a subscrição da newsletter também é a mesma, as cookies não foram alteradas, a área de cliente está como estava, o que é logo uma forma das empresas quase como que publicamente dizerem que não estão em cumprimento.
Mas depois ainda existe uma complexa camada, que é a camada de back-end, que também tem que ser, tem que ser alterada. A título de exemplo, para se perceber um bocadinho a abrangência disto, um utilizador que esteja em helpdesk a atender o telefone que hoje, sem qualquer tipo de restrições, vai ao backoffice do site, seja ele Magento, seja PrestaShop, seja o que for. E acede a uma ficha do cliente e vê lá o nome da pessoa, vê a morada. Isso vai deixar de ser possível.
O regulamento introduz uma coisa nova chamada pseudonomização que significa que os nomes e a informação que permite identificar uma pessoa não estejam diretamente expostos sem que haja um registo dessa exposição. O que é que isso quer dizer? Quer dizer que quem está em helpdesk não pode ver o meu nome, não pode ver o meu número, não pode ver a minha morada, não pode ver nada. E se precisar mesmo de ver essa informação, a plataforma tem que conseguir registar esta informação para que em caso de auditoria ou no caso de fuga de informação seja possível perceber que aquela pessoa, naquele dia, àquela hora acedeu aos meus dados para aquele fim. Toda e qualquer empresa que trate dados pessoais, e atenção que dados pessoais, nem é verdadeiramente dados pessoais, é mais que isso, é qualquer informação que consiga levar à identificação de uma pessoa. Um exemplo, disseste, ainda agora, Serafim Costa da Redicom. Mas mesmo que tire o meu nome, se disserem que é uma pessoa que trabalha na Redicom que tem 46 anos, vai levar à minha identificação porque eu sou o único com 46 anos.
Temos que pensar na abrangência, não estamos a falar de… É que as empresas tipicamente dizem assim: “Mas pronto eu não vou pedir mais informação do nome ou da morada”. Portanto isso não resulta. Isto a título de exemplo nós podíamos ficar aqui a que falar toda a manhã. Nós temos os consentimentos, temos o direito ao esquecimento,… Nós até agora um cliente registava-se no nosso site, fazia uma compra e nós ficamos com aquela informação ad aeternum. E depois estas empresas que compram estas bases de dados baratas na internet não ficam a pensar de onde é que elas vêm, ficam a pensar que aquilo caiu do céu, mas não caiu do céu, na verdade muitas das vezes essas bases de dados são vendidas. Vendidas por empresas ou técnicos às vezes assim um bocadinho mais suspeitos que fazem a venda dessas bases de dados e tudo isso vai acabar mas vai acabar de uma forma muito intensa.
Nelson Peixoto: [00:10:17] Posto isso, o que é que as empresas que têm projetos de e-commerce ativos devem fazer? A legislação irá abranger as bases de dados e listas de email existentes ou apenas irá abranger as novas bases de dados que serão criadas após a entrada em vigor do novo regulamento?
Serafim Costa: Abrange tudo. Não há qualquer tipo de benefício em ser uma base de dados que já tenha 10 anos e uma relação estabelecida, não dá. E também não serve de desculpa nós dizermos assim: “Mas ele é meu cliente há 10 anos e ele compra-me todos os anos ou todos os meses.” Também não serve… Nós temos que ter consentimento comprovável, e o que quer dizer consentimento comprovável? Quer dizer que nós temos que conseguir, em caso de termos uma auditoria, comprovar ao auditor de que obtivemos consentimento para utilizar os dados para aquele fim específico. Imagina que tens uma base dados de emails que já faz email marketing num software desse envio de emails e todos os meses mandas aquela tua newsletter com os teus produtos, com as tuas promoções e com as tuas novidades…e tu tens ali uma base de dados que até, vamos admitir, até a maior parte das pessoas abrem os emails e lêem os emails e está tudo bem. E tu dizes assim : “Ainda para mais são clientes meus que me compraram ano passado.” Isto serve? Não, não serve. Em caso de auditoria nós temos que conseguir individualmente, para cada um deles, temos que ter consentimento. Isto à primeira vista até parece que vem destruir o email marketing. Mas não vem, e quem estiver atento e perceber um bocadinho disto percebe que na verdade isto vem melhorar, porque há uma coisa que ninguém liga mas que vai-se começar a ligar, é haver interesse legítimo dos clientes e o interesse legítimo está na base de tudo isto. Se tu tens um cliente que legitimamente quer receber os teus emails não será difícil obter consentimento porque tu envias-lhe um e-mail e nesse email dizes: “Este será o último email etc, etc. A não ser que me dê consentimento para continuar a enviar”. Temos que ter consentimento antes do dia 25 de maio de 2018. Agora se me perguntam a mim se vem a polícia para a rua no dia a seguir, não sei, não faço a mínima ideia… Eu só te estou a dizer o que é que diz o regulamento. As grandes empresas e os grandes grupos estão preocupados, estão preocupados precisamente com isto, com as bases de dados existentes. Eu recomendo a quem tenha uma base de dados destas ( e repare que uma base de dados pode valer muito dinheiro, pois são coisas que são recolhidas ao longo dos anos e vale muito dinheiro)que se tente auxiliar de alguma empresa de consultoria ou de apoio que lhes possa ajudar, a tempo, porque isto não se pode começar uma semana antes, uma semana antes já não dá tempo. O melhor é começar já.
Nelson Peixoto: [00:13:31] Relativamente a isso tenho uma questão que é: sendo isto uma legislação que vai abranger vários países, o que por um lado é bom porque as empresas que têm projetos de ecommerce podem atuar nesses mercados sob uma única lei. Por outro lado sendo uma legislação inerentemente remete para advogados, os advogados podem ajudar as empresas a estarem preparadas para o regulamento? Ou pode não ser a melhor opção visto que envolve uma forte componente de tecnologias de informação?
Serafim Costa: Sim, uma empresa de advogados, depende, se for uma empresa muito grande obviamente que sim se for uma empresa mais pequena, acho que isto pode ser demasiado pesado, e quando digo pesado é pesado mesmo. Uma pessoa que perceba de ecommerce e que tenha alguma formação no que diz respeito à gestão de dados e tratamento de dados, certamente vai conseguir assegurar à empresa a solução.
Nelson Peixoto: [00:14:33] Passando agora para uma perspectiva mais tecnológica. A loja online é apenas a ponta do icebergue de um projeto de ecommerce. Há todo um conjunto de integrações com ERP e com sistemas de logística, entre outros, que afetam diretamente o desempenho de um projeto. Essas integrações também são abrangidas pelo GDPR ou é apenas a loja online que está abrangida?
Serafim Costa: Qualquer projeto que transmita dados pessoais, e repara que dados pessoais foi como eu disse, não é nome, morada, email, é mais do que isso. Uma encomenda basta que tenha lá o meu e-mail, o registo de uma encomenda num ERP, por exemplo, também tem dados pessoais.
Portanto, qualquer transmissão de dados é considerada tratamento de dados, e sendo considerada tratamento de dados está abrangida por isso. E aqui é capaz de ser das maiores dores de cabeça, estamos a falar de sistemas que são complexos, quer como webservices, sincronizações de clientes, cartão cliente, vouchers, fidelização então nem se fala, fidelização é cortar os pulsos. Todos estes sistemas vão ter que ser alterados.
Nelson Peixoto: [00:15:47] Mas isso parece acarretar um grande volume de trabalho e custos para as empresas. O regulamento indica explicitamente que os temas têm de ser alterados?
Serafim Costa: Na verdade mesmo em bom tom nós não precisávamos alterar, nós só os alterarmos porque queremos precaver a possibilidade de sermos auditados e não estarmos em cumprimento, porque o regulamento não diz: “Olhe pegue nos webservices e tem que alterar os webservices”, não diz nada disso, o que diz é que se houver fuga de informação ou se a gestão não for adequada dos dados, o armazenamento e a gestão não for adequada e auditável, está sujeito a pena. Portanto, o que é que o que se tem vindo a falar nesta matéria? As empresas, e nós já estamos em desenvolvimento com algumas empresas nesta matéria, nós estamos a rever todos os processos de integração para introduzir encriptação dos dados. Significa que os dados não circulam livremente, são encriptados. Enfim, há outro tipo de soluções mas nós temos que olhar para eles, também, como fazendo parte de tudo isto. Não é só a recolha dos dados. É como disse, é desde a recolha dos dados, o armazenamento, o tratamento, a transmissão, a utilização, o arquivo, tudo isto.
Nelson Peixoto: [00:17:10] Abordaste um tema muito pertinente que é o roubo de dados, a fuga de informação. Infelizmente temos vários casos de grandes empresas que sofreram ataques informáticos e que resultaram em roubo de informação e de dados pessoais, segundo o GDPR, de que forma é que as empresas devem atuar caso ocorra uma fuga de informação?
Serafim Costa: Isto é assim, falaste num tema importante, grandes empresas, e eu por acaso nem tinha tocado nisso. Porquê? Porque o regulamento prevê que uma empresa que tenha 250 funcionários ou mais, e não interessa se é uma empresa que está, numa fábrica, não interessa se é uma empresa fabril, não interessa. Qualquer empresa independentemente da sua atividade que tenha 250 funcionários ou mais tem que ter um encarregado de Proteção de Dados, é quase como ter um advogado interno ou um contabilista, passas a ter um Encarregado de Proteção de dados.
Nelson Peixoto: [00:18:12] E o que é o que esse encarregado faz?
Serafim Costa: Este, é uma pessoa que a full-time, ou seja, a tempo inteiro, é responsável por garantir a correta gestão e tratamento dos dados pessoais. Portanto vejam bem até onde vai o alcance. Isto já não é “Ah, vamos guardar os dados ali e estão seguros”, não, há uma pessoa a tempo inteiro que a única função dessa pessoa é assegurar que todo este regulamento está a ser cumprido, e mais, e também é ele o responsável pela comunicação da violação de dados pessoais no caso de elas existirem, como eu falei, ou seja fuga de dados, é responsável por assegurar as metodologias e descrevê-las, porque não é só dizer eu tenho as minhas metodologias, não, tenho que conseguir descrevê-las e tenho que conseguir documentá-las para que quando auditado possa poder ter um processo, ou seja, ter forma de justificar as opções que tomou.
Nelson Peixoto: [00:19:14] Mas há algum documento, algum ebook, whitebook, que possa ajudar as empresas a implementar todas as alterações necessárias para ficar em conformidade como o GDPR?
Serafim Costa: Para ecommerce? Não, que eu conheça não. Há o regulamento, são 88 páginas está disponível em várias línguas e está online. Agora se fores para a internet pesquisares por GDPR ou RGPD, porque em Portugal é RGPD, é Regulamento Geral de Proteção de Dados, se pesquisares, e se pesquisares por comércio eletrónico, loja online, etc., vais encontrar empresas internacionais como a Litmus, e assim, que já vêm publicamente falar, dar a sua opinião porque isto é muito de interpretação. Como já vi advogados a dizer, é uma autogestão, ou seja, o governance, que é o governo destes dados passa a estar em autogoverno. Tu é que tens que te governar a ti próprio.
Nelson Peixoto: [00:20:20] É um conceito interessante. Um dos pontos principais do GDPR é o direito ao esquecimento. O que é que isto significa na prática, que as empresas têm de apagar automaticamente os dados pessoais dos clientes, que os clientes têm de ter forma de solicitar que os seus dados sejam apagados. De que forma é que isto afeta os projetos de ecommerce?
Serafim Costa: Vamos falar estritamente de eCommerce. Portanto, nós hoje vamos uma loja online, fazemos uma compra, e que nós damos consentimento para que aqueles dados sejam utilizados para aquele fim seja qual for, e que no fim dessa utilização nós possamos ser esquecidos, quer dizer, não vamos ficar agora a ser bombardeados, digamos assim, ad aeternum pela empresa. E isto, também, há várias interpretações no que se refere concretamente o direito ao esquecimento…porque há quem diga que direito ao esquecimento no regulamento não é claro. Há quem diga que o direito ao esquecimento é o cliente que vai ao site, à área de cliente, que também tem que ser alterado nos sites, e que manifesta lá vontade de ser esquecido. E há quem diga que, e é o que me parece mais certo, o regulamente também assim o faz transparecer, findo um período que seja considerado justo, ou seja ao fim de um ano ou dois que até pode ser o período de garantia do produto que estás a vender, que já não faz sentido guardar os dados. Mas isso também conflita com leis portuguesas que é do arquivo contabilístico, que obrigam a ter, acho que são 10 anos, não sou expert em contabilidade, mas sei que tem que guardar em arquivo creio para dez anos, portanto, isto também conflita um bocadinho com tudo isto. O direito ao esquecimento não está a dizer que temos que ir os registos da contabilidade apagar as faturas. Há pessoas que pensam que é isto, mas não é. O direito ao esquecimento é um direito que o cliente tem a que os dados dele não sejam utilizados mais, percebes? Agora, também, podemos considerar que o direito ao esquecimento é quando já não precisas mais dos dados que os deves apagar. Sim, também é.
Nelson Peixoto: [00:22:44] Serafim, visto que a REDICOM tem uma plataforma de eCommerce própria e que já é utilizada em projetos de dimensão relevante, de que forma é que estão a preparar a vossa plataforma para o GDPR?
Serafim Costa: A nossa plataforma está a ser preparada, neste momento, temos em vista até final do mês de novembro já introduzir nalguns clientes. Consiste, essencialmente, em alterações, como já disse, de front-end e back-end. Mas, numa primeira fase nós só vamos introduzir as alterações em termos de back-end, ou seja vamos criar uma área própria para a gestão de privacidade, vamos fazer pseudonomização, vamos fazer encriptação, vamos fazer auditoria, vamos munir toda a plataforma, em termos do que não é visível para fora, já em conformidade. Estamos já neste momento a desenvolver em termos de front-end as alterações necessárias ao registo, às cookies, às subscrições de newsletters, aos e-mails, tudo isso. Mas isso é algo que só vamos propor aos nossos clientes a partir de fevereiro do próximo ano.
Nelson Peixoto: [00:24:01] Por algum motivo em especial, alguma razão pela qual tenham escolhido essa data?
Serafim Costa: O GDPR também é muito go with the flow, como disse há um bocado as grandes empresas não fizeram nada. Nós sabemos de antemão que as alterações que estamos a falar em termos de back office são incontornáveis, são intransponíveis. Temos que as fazer e vamos fazer. As alterações que dizem respeito a front-end, que é a recolha dos dados e obter os consentimentos no sítio certo…aqueles “granulares” que a gente falou. Portanto, tudo isso é uma coisa que se pode fazer com mais ligeireza, é mais imediato. Portanto, nós podíamos alterar um site de ecommerce em dois ou três dias, mas a plataforma precisamos de três ou quatro meses, portanto, a razão é mesmo essa, nós vamos esperar um bocadinho mais, também, para ver se começam a surgir algumas best practices internacionalmente até, porque empresas como a Amazon.com, se querem vender para aqui, vão ter que se ajustar. Isto não é só para empresas europeias. Isto é para as empresas que operem na Europa. Vamos esperar um bocadinho pelas best practices em termos de front end, mas em termos de back end estamos a falar de um trabalho gigantesco e temos que começar a fazê-lo desde muito cedo.
Nelson Peixoto: [00:25:20] Serafim, chegamos ao final do nosso podcast e quero agradecer a disponibilidade que teve para falar deste tema muito importante para as empresas, principalmente para as que têm projetos de ecommerce.
Quanto aos nossos ouvintes, podem saber mais sobre o GDPR lendo o artigo disponível em tudo tsecommerce.com/blog.
Para saber mais sobre este e outros assuntos relacionados com comércio eletrónico, consulte o nosso website, subscreva a nossa newsletter e acompanhe-nos nas redes sociais.
Obrigado por ouvir e até à próxima edição do podcast “Tudo sobre eCommerce”.
Nota: os conteúdos são meramente informativos e não podem ser considerados como aconselhamento jurídico.