Skip to main content
Sobre nós

29. March 2018

8 (fáceis) passos para estar pronto para RGPD-/LGPD se você possui um site

 

 

Aviso: Por favor note que nós não somos um escritório de advocacia e este não é um conselho legal! As informações contidas neste post do blog são fornecidas apenas para fins informativos gerais, e podem não refletir suas necessidades legais/RGPD-/LGPD.

Para ter certeza de que você (e/ou seu negócio) está em conformidade com a RGPD-/LGPD, nós recomendamos que você consulte um advogado.

O Regulamento Geral de Privacidade de Dados (RGPD-/LGPD) é a mudança mais importante no regulamento de privacidade de dados em 20 anos. Para o tornar mais curto (e mais fácil de compreender): o RGPD-/LGPD substitui a Diretiva 95/46/CE relativa à proteção de dados e foi concebido para harmonizar as leis sobre privacidade de dados em toda a Europa, para proteger e capacitar todos os cidadãos da UE em matéria de privacidade de dados e para reformular a forma como as organizações em toda a região abordam a privacidade de dados.

Data de aplicação: 25 de Maio de 2018 - altura em que as organizações em situação de incumprimento podem enfrentar pesadas multas.

Como pessoa: os seus dados pessoais serão mais fáceis de gerir. Como empresário, administrador do website ou organização que oferece bens ou serviços a (ou monitora o comportamento dos) sujeitos de dados da UE, terá de os cumprir. Portanto, se você tem clientes da UE ou dados de qualquer pessoa residente na União Européia, você tem que respeitar o GDPR não importa onde você está realmente localizado. Caso contrário, poderá ser multado em até 4% do volume de negócios global anual por infringir o GDPR ou 20 milhões de euros.

O que são dados pessoais?

  • Nome
  • Endereço
  • E-mail
  • Números de telefone
  • Localização
  • Identificador online
  • Informação sobre saúde
  • Renda
  • Perfil cultural
  • e mais

O que significa o não cumprimento?

Digamos que você tem alguns dados pessoais dos seus clientes, contatos ou alguém que tropeçou na sua organização em algum momento. Os dados pessoais implicam qualquer informação relacionada com uma pessoa singular, que pode ser usada para identificar direta ou indiretamente a pessoa. Pode ser qualquer coisa desde um nome, uma foto, um endereço de e-mail, dados bancários, postagens em sites de redes sociais, informações médicas ou um endereço IP de computador.

Além disso, se você tem este tipo de dados, você tem que ter certeza que você tem o consentimento de todos e um processo fácil de retirar o consentimento também, uma vez que este é o núcleo do conceito de Privacidade por Design. Ser compatível com a GDPR envolve um conjunto de medidas para evitar qualquer violação de dados e, no caso de uma violação de segurança, requer que você envie uma notificação a todos os envolvidos dentro de 72h após ter tomado conhecimento da violação.

O que você deve fazer agora, para ser mais preciso?

Basicamente, se você tem alguma ferramenta analítica, uma lista de e-mails para enviar newsletters e tudo o que ajuda a recolher dados, você tem que cumprir com a GDPR e tornar tudo o mais transparente possível.

Aqui está o que você pode começar com:

  1. Assine um DPA (Data Processor Agreement) com todos os seus aplicativos de terceiros (Visitor Analytics ou qualquer outra ferramenta analítica, serviço de e-mail ao cliente, etc.). Para assinar um DPA basta verificar os avisos de todos os seus aplicativos de terceiros (caso já o tenha recebido) ou pedir-lhes que lhe enviem um.
  2. Faça uma secção clara de Termos & Condições onde especificará os dados que irá recolher e a sua finalidade
  3. Mencione todos os cookies usados e detalhes sobre eles (nome, vida útil, necessidade dos mesmos)
  4. Fornecer o direito de acesso: como em, se alguém em suas listas/base de dados quiser obter de você a confirmação se os dados pessoais que lhe dizem respeito estão ou não sendo processados, onde e com que finalidade, você tem que responder e deve fornecer uma cópia dos dados pessoais, gratuitamente, em formato eletrônico.
  5. Oferecer o direito de ser esquecido, também conhecido como Apagamento de Dados. Pode-se pedir a qualquer momento para apagar os seus dados pessoais. Portanto, tenha cuidado com este, pois as condições para o apagamento, conforme descrito no artigo 17, incluem que os dados não sejam mais relevantes para os fins originais do processamento, ou que o titular dos dados retire o consentimento.
  6. Crie um conjunto de medidas para evitar qualquer violação de dados e, no caso de uma violação de segurança, você deve notificar todos os envolvidos no prazo de 72h após ter tomado conhecimento da violação.
  7. Oferecer o direito de portabilidade dos dados. Isto significa que alguém pode pedir os dados pessoais que lhe dizem respeito, os quais foram previamente fornecidos num "formato de uso comum e de leitura ótica" e tem o direito de transmitir esses dados a outro responsável pelo tratamento. Em breve, todos podem exportar os seus dados de um controlador e enviá-los para outro controlador.
  8. Seja mais organizado com os dados! Há também uma mudança de chave de Privacidade por Design na legislação. Para facilitar a sua compreensão, o Artigo 23 exige que os responsáveis pelo tratamento apenas guardem e processem os dados absolutamente necessários para o cumprimento das suas funções (minimização de dados), bem como limitam o acesso aos dados pessoais àqueles que necessitem de atuar sobre o processamento.

 

Há muito mais informações sobre este tópico, mas aqui está a estrutura e capítulos do GDPR, para que você possa facilmente entender sobre o que é esta grande mudança na proteção de dados:

  • Capítulo 1: Disposições gerais (objetivos e definições do PIBR)
  • Capítulo 2: Princípios (tudo relacionado com o processamento de dados pessoais e condições para o consentimento)
  • Capítulo 3: Direitos do Sujeito dos Dados (este capítulo está centrado na transparência, acesso aos dados, apagamento, tomada de decisão e restrições)
  • Capítulo 4: Controlador e Processador (obrigação geral tanto dos controladores como dos processadores, segurança dos dados pessoais, responsáveis pela protecção de dados e informação sobre códigos de conduta)
  • Capítulo 5: Transferência de dados pessoais para países terceiros ou organizações internacionais (bem, este não há necessidade de explicar)
  • Capítulo 6: Autoridades de Supervisão Independentes (condições gerais quando se trata de estatuto independente, competência, tarefas e poderes dentro de uma organização)
  • Capítulo 7: Cooperação e Consistência (este é bastante complexo e explica muitas preocupações de cooperação, mecanismos de consistência, procedimentos, confidencialidade e muitas coisas ou coisas do Conselho Europeu de Proteção de Dados)
  • Capítulo 8: Remédios, Responsabilidade e Sanções (um capítulo importante, se você quiser saber o que são penalidades e como certificar-se de que não as receberá)
  • Capítulo 9: Disposições relativas a situações específicas de tratamento de dados
  • Capítulo 10: Atos Delegados e Atos de Implementação
  • Capítulo 11: Disposições finais

Nós, da Visitor Analytics, estamos trabalhando arduamente para garantir que continuaremos a fornecer todas as funcionalidades para os nossos clientes, ao mesmo tempo em que estamos em conformidade com a GDPR!

No próximo artigo, vamos dizer-lhe como vamos adaptar os nossos serviços de modo a respeitar todas as expectativas da GDPR e como podemos ajudá-lo, como proprietário de um website usando o nosso aplicativo, a estar em conformidade sem esforço! Sabemos que todas estas etapas de conformidade podem parecer complicadas, mas se você está apenas começando sua jornada para um site 100% compatível com a GDPR, aqui está a lista de verificação mais abrangente da GDPR para começar.

PS: Se você conseguiu chegar ao final do artigo, aqui está um belo infográfico sobre o GDPR criado pela incrível equipe da UE: http://ec.europa.eu/justice/smedataprotect/index_en.htm