Skip to main content
Sobre nós

18 de Dezembro de 2019 9 Minutos lidos

Entendendo o cumprimento da GDPR: Ferramentas de análise da GDPR

18 meses após a sua data de aplicação (25 de Maio de 2018), o Regulamento Geral Europeu para a Proteção de Dados continua a fazer manchetes. Já cobrimos isto antes, mesmo antes de a lei de protecção de dados estar a ser aplicada, oferecendo conselhos sobre os passos para estarmos prontos para GDPR aos proprietários de websites. No entanto, muitos empresários, proprietários de websites e equipes de startups ainda ignoram a GDPR ou não sabem como lidar completamente com ela. Isenção de responsabilidade: se você não tem certeza se sua empresa está implementando a GDPR corretamente, por favor consulte também um advogado especializado em tais assuntos.

No contexto atual, isto se tornou extremamente perigoso, pois estamos começando a ver multas pesadas para várias empresas, grandes e pequenas, se elas não se apegarem aos padrões de privacidade de dados. Por favor, note que qualquer negócio online e website acessível aos cidadãos da UE, independentemente do país de onde operam, tem de cumprir os mesmos padrões. Portanto, as empresas fora da Europa também devem estar em alerta.

O que é a GDPR e o que significa para os operadores do website?

A GDPR consiste num conjunto de regulamentos que funcionam como lei em todas as situações em que os dados pessoais dos utilizadores dos cidadãos da UE estão a ser tratados por empresas ou outras organizações. De acordo com este regulamento, todos os indivíduos que, voluntária ou inconscientemente, forneçam informações pessoais a uma empresa, através de qualquer tipo de contacto, devem dar consentimento informado explícito para a coleta, armazenamento e processamento desses dados.

O tipo de dados pessoais cujo tratamento requer o consentimento do utilizador inclui nomes, informações de contato, localização, estado de saúde, interesses, dados demográficos, etc. No consentimento informado está a obrigação de informar as pessoas sobre o tipo de dados que estão a ser recolhidos, como e por quanto tempo serão armazenados e com que finalidade.

Além disso, você precisa fornecer acesso aos seus dados pessoais, mediante solicitação, bem como certificar-se de que você tem segurança de dados. Os dados devem ser protegidos contra roubo e uso indevido. Em caso de violação de dados, como empresa, você deve ter procedimentos em vigor para notificar todos os envolvidos. Isto aplica-se a todos os negócios realizados online, bem como offline.

Mas para aqueles que trabalham online, a situação é muito mais complicada do que para as empresas que agem principalmente offline. Existem várias partes interessadas e envolvidas no processo de coleta de dados online. Não é apenas o próprio operador do site que pode estar coletando informações sobre visitantes e clientes, mas também outros terceiros, principalmente para fins publicitários.

Os aplicativos de rastreamento da web ou ferramentas de análise da web se enquadram nessa categoria, começando pelo mais famoso de todos, que é o Google Analytics. Lembre-se que o operador do site precisa se certificar de que ele tem formas explícitas e distintas de informar o usuário sobre todos os diferentes tipos de dados que estão sendo coletados, bem como quem os está coletando.

Estas regras não devem ser tomadas de ânimo leve. Alguns proprietários de websites fizeram uso de caixas simples pré-marcadas, para dar algum tipo de consentimento informado aos utilizadores que entram nos seus websites. Outros criaram apenas uma caixa GDPR, agrupando várias provisões atrás do mesmo botão, sem especificar todas as formas como os dados seriam utilizados. Estes dois casos não estão de acordo com as normas e não evitarão que os proprietários de websites sejam multados.

Em vez disso, cada terceiro tem de ter uma seção separada "Concordo" logo no primeiro contato que o utilizador tem com a página de destino, que os visitantes podem ou não assinalar. As caixas pré-marcadas não são compatíveis com o GDPR.

Qual é a consequência da regulamentação da GDPR para o Google Analytics?

As consequências para o gigante digital são potencialmente devastadoras. Nas últimas semanas e meses, os operadores de sites na Alemanha que estão usando o Google Analytics têm estado sob fogo. Segundo a Datenschutzbeauftragter, já existem cerca de 200.000 relatórios em todo o país contra operadores web que não estão divulgando corretamente o uso de dados por este terceiro em particular.

Esta é uma verdadeira dor de cabeça para os operadores de websites que estão a tentar implementar esta divulgação. Como irão lidar com as situações quando os usuários não assinalarem a caixa ao lado do acordo de processamento de dados do Google Analytics? Pode muito bem ser um desafio técnico e legal. Não podemos esperar que todos eles sejam especialistas legais, nem podemos esperar que todos eles tenham acesso a aconselhamento jurídico. O cumprimento do GDPR pode ter sido um pesadelo para muitos. Se a GDPR não foi suficiente, agora há a questão do uso de análises compatíveis com a GDPR.

Neste contexto, um clima de medo pode estar se instalando. Ao invés de arriscar pesadas multas pelas atividades de terceiros, será que os operadores do site poderão, pelo menos temporariamente, suspender suas contas no Google Analytics? Que alternativas eles têm? Se eles olharem mais de perto as regulamentações atuais, podem encontrar algumas. Às vezes o diabo está nos pequenos detalhes. Algumas autoridades têm enfatizado o fato de que as situações que estão sendo investigadas são aquelas em que:

"serviços de terceiros integrados em websites também utilizam os dados recolhidos para os seus próprios fins". (Ulrich Kelber, responsável pela protecção de dados na Alemanha)

Isto pode referir-se ao Google Analytics, que, pelo menos por enquanto, utiliza dados pessoais não só no interesse dos seus clientes, mas também para cruzar e intersectar dados de um serviço Google para outro. Isto, naturalmente, tem a ver com os seus interesses em termos de serviços pagos, tais como a publicidade. Mas, se considerarmos esta interpretação da lei como verdadeira, então existem outras formas para os proprietários de websites obterem análises da GDPR.

Uma maneira é procurar outras ferramentas analíticas, que simplesmente não estão ligadas a serviços de publicidade e não partilham os dados com terceiros. Se a única finalidade da ferramenta analítica é gerar dados agregados e anónimos para os seus clientes, então não deve ser necessário o consentimento informado adicional. E não há escassez de ferramentas analíticas por aí, mas como podemos diferenciar entre aqueles que são 100% compatíveis com o GDPR e aqueles que não o são?

Coisas a considerar ao escolher uma alternativa compatível com o GDPR ao Google Analytics

Se, como operador de um site, você decidir que o Google Analytics é uma responsabilidade ou um incômodo demais para caber nas suas provisões do GDPR, você pode começar a procurar uma alternativa. Se ou quando você fizer isso, considere o seguinte (isenção de responsabilidade: tenha em mente que este não é um conselho legal oficial. Em caso de dúvida, consulte um advogado):

  • Faz alguma pesquisa para responder à pergunta: esta ferramenta tem o seu próprio sistema de rastreamento ou é baseada no código do Google Analytics? Muitas ferramentas apenas adicionam seus próprios gráficos e experiência do usuário aos dados que lhes são fornecidos pelo Google Analytics. Embora possam parecer diferentes, as questões relativas à privacidade dos dados, processamento de dados e requisitos do GDPR são as mesmas.

  • Certifique-se de que a nova ferramenta tem um Acordo de Processamento de Dados e dedique algum tempo à sua leitura

  • No Contrato de Processamento de Dados, procure a provisão de que a ferramenta analítica processe dados pessoais somente na medida e de tal maneira que seja razoavelmente necessário para os propósitos do contrato que você tem com eles. Isso garante que eles não possam usar os dados para seus próprios fins, tornando-os assim completamente compatíveis com a GDPR, sem a necessidade de você pedir a seus usuários um consentimento separado. Veja um exemplo abaixo, do Contrato de Processamento de Dados da Visitor Analytics

  • Entre em contato com os fornecedores da ferramenta e assine o DPA (Data Processing Agreement) com eles. Isso deve ser feito para todos os aplicativos de terceiros que você estiver usando, não apenas analíticos.

  • Certifique-se de que os dados utilizados estão com pseudônimos e que existem opções para optar por não rastrear

  • Verifique para ver as provisões de acesso à base de dados. Você precisa disso para poder fornecer o direito de acesso aos seus usuários caso eles o solicitem. Tenha em mente que se alguém nas suas listas/base de dados quiser obter de si a confirmação se os dados pessoais que lhe dizem respeito estão ou não a ser processados, onde e com que finalidade, tem de responder e deve fornecer uma cópia dos dados pessoais, gratuitamente, em formato eletrônico. A propósito, você também pode fazer isso para todos os serviços do Google, visitando Google Minha Conta. Existe aí uma opção para descarregar os dados que o Google tem armazenados no seu perfil. Inclui enormes quantidades de informação de várias ferramentas.

  • Verifique se existe uma opção para excluir dados, pois alguns de seus usuários podem solicitar isso. Em toda a justiça, o Google Analytics também tomou medidas para cumprir esta medida e agora você pode excluir visualizações e visitantes. O Visitor Analytics também oferece esta opção.

  • Verifique também as definições de retenção de dados. Por quanto tempo o fornecedor da ferramenta analítica (processador de dados) irá manter os dados em usuários individuais? O Google Analytics agora oferece a opção de controlar a retenção.

  • A ferramenta de análise da sua escolha é certificada pela ISO 27001? Esta é uma certificação do facto de a organização manter os ativos de informação seguros.

  • Por último, mas não menos importante, verifique as disposições sobre a propriedade dos dados. Tente encontrar uma ferramenta analítica que lhe dê a propriedade dos dados. Veja a seção "controle sobre os dados" na visão geral de conformidade da GDPR da Visitor Analytics para um exemplo de boas práticas.

Por que precisamos do GDPR em primeiro lugar?

Antes deste regulamento ser eficaz, as regras que regem a coleta e utilização de dados pessoais eram muito mais flexíveis. Como consequência, havia casos em que os dados pessoais como nome, endereço, número de telefone ou outras informações sensíveis eram extraviados, facilmente desviados ou mesmo vendidos de uma empresa para outra, sem o conhecimento e consentimento do indivíduo. Isto poderia ter um impacto muito sério na vida privada de qualquer indivíduo. Uma coisa que muitas vezes aconteceria é que você poderia ser mais facilmente visado pelos marqueteiros, inclusive pelo uso de publicidade intrusiva. Outras consequências, mais graves, seriam lidar com identidades roubadas. Os provedores de saúde eram (e às vezes ainda são) um alvo predileto para aqueles que gostariam de usar mal os dados pessoais. Por exemplo, um criminoso pode apresentar uma declaração de impostos fraudulenta ou solicitar um cartão de crédito usando as datas divulgadas de uma violação de dados hospitalares. Neste contexto, sentiu-se que a privacidade e proteção de dados deveria ser levada mais a sério.

Se você quiser saber mais sobre como nós, na Visitor Analytics, cumprimos com a GDPR, aqui estão algumas boas leituras a serem consideradas sobre este tópico: