- Porquê nós?
- Características
Estatísticas do Website
Análise Comportamental
Próximos Recursos
- Privacidade
- Plataformas
- Preços
- Suporte
02. October 2020
Especialmente desde que a GDPR entrou em vigor em 25 de Maio de 2018, a atenção à privacidade online em todo o mundo, e não apenas na UE, tem continuado a crescer. Leis semelhantes foram aprovadas em vários países em (pelo menos) 4 continentes e outras regras de referência foram aprovadas.
Se um processador de dados, como o dono de um website, estivesse em coma há cerca de 2 anos ½, eles estariam acordando para um mundo totalmente diferente. Muito aconteceu, culminando com a decisão Schrems II no Tribunal de Justiça Europeu, que decidiu a favor de Max Schrems e contra o Escudo de Privacidade UE-EUA, em 16 de julho de 2020.
Schrems II é a consequência lógica de SchremsI, um caso que começou já em 2013, com uma queixa apresentada por Max Schrems ao Comissário de Protecção de Dados da Irlanda, o país onde se encontrava a sede europeia do Facebook. O activista austríaco argumentou que o direito à privacidade dos dados pessoais no seu perfil no Facebook não podia ser garantido porque tinha sido transferido da UE para os EUA.
Nós já cobrimos este caso antes, logo após a decisão do tribunal em relação aos dados pessoais da UE. Em suma, já não é legal que qualquer tipo de processador de dados utilize serviços dos EUA que dão acesso aos dados pessoais dos cidadãos da UE a esses serviços, sem explicar completamente os riscos. As implicações são enormes e a questão continua a fazer manchetes, agora que se fala da retirada total do Facebook da UE.
À luz disto, vejamos os efeitos do Schrems II e a queda do Data Privacy Shield, combinados com outras regulamentações atuais. Além disso, fornecemos uma visão geral do que você, como proprietário de um website, é obrigado a garantir pela legislação da UE.
...a menos que as leis desse país possam fornecer um nível de protecção adequado para esses dados. Os EUA já não são uma excepção a essa regra e são o alvo específico da regra. Verifique onde está o seu provedor de hospedagem e quais dados são coletados e onde são armazenados. Se você descobrir que está nos EUA e recolher dados pessoais de visitantes da UE, mude o seu fornecedor.
Os proprietários do site devem verificar todos os serviços de terceiros que utilizam e os (tipos de) dados a que têm acesso. Isto inclui potencialmente: ferramentas de análise de websites (por exemplo, Google Analytics), ferramentas de conhecimento doutilizador (por exemplo, Hotjar), ferramentas de chat de clientes (por exemplo, Livechat), ferramentas de gestão de relações comclientes (por exemplo, Monday.com), serviços depublicidade, etc.
Qualquer ferramenta que tenha acesso aos dados pessoais das pessoas que interagem com o seu site é uma responsabilidade. Lembre-se que o IP do visitante é considerado um dado pessoal. Verifique onde estas ferramentas estão localizadas. Legalmente, eles devem estar na UE e oferecer um Acordo de Protecção de Dados (DPA) para assinar, para que possam actuar como um sub-processador para si e para as suas necessidades.
...se a empresa permanecer registada nos EUA, significa que cumpre as leis dos EUA. E estas leis permitem ao governo dos EUA aceder a dados privados para fins de segurança nacional. Especificamente, as empresas americanas devem cumprir com a leiCLOUD Act, que basicamente permite que as agências federais de aplicação da lei as obriguem, através de uma ordem judicial, a fornecer quaisquer dados pessoais, independentemente de os dados estarem fisicamente armazenados em um servidor nos EUA ou em outro lugar.
Regulamentos como o Privacy Shield e as Cláusulas Contratuais Padrão (SCC) são anulados pela decisão do Tribunal de Justiça Europeu. Leia uma lista de todas as empresas afectadas aqui: https://www.privacyshield.gov/list. Gigantes como Facebook, Google, Amazon estão na lista de 5239 empresas que de repente enfrentam este sério e grave problema legal.
Certifique-se de que o seu website não dá acesso a nenhum dos serviços desta lista a quaisquer dados pessoais dos seus visitantes da UE, ou pode verificar que não existe uma alternativa europeia como excepção para este tipo de serviço e que deixou os seus utilizadores registarem-se antes de enviar quaisquer dados para o serviço externo.
a menos que todos os visitantes sejam informados com antecedência dos possíveis riscos e dêem o seu consentimento explícito.
Isto implica a utilização de uma faixa/caixa de dados antes de se iniciar qualquer rastreamento, que deve fornecer informações sobre os possíveis riscos de transferência de dados para um país terceiro, uma vez que não existem medidas adequadas para salvaguardar os dados, tal como descrito no artigo 46º do Regulamento Geral de Protecção de Dados.
A forma de obter o consentimento para o uso de cookies foi descrita em detalhes pelo Tribunal Federal de Justiça (BGH) na Alemanha e foi sancionada pelo Tribunal de Justiça Europeu (TJE). Veja o acórdão do TJE no processo número C-673/17 aqui.
Consequência 5.1: os banners de consentimento marcados com antecedência não são legais.
Conseqüência 5.2: os banners de consentimento precisam ter caixas de consentimento separadas para todos os cookies que são colocados, agrupados por finalidade.
Isto informa o usuário sobre a finalidade dos cookies. Deve haver uma caixa de consentimento separada para os cookies de análise/estatística, cookies de marketing, cookies para armazenar as preferências do utilizador e os chamados cookies "necessários" (por exemplo, cookies que permitem ao website manter os seus produtos no seu carrinho enquanto está a navegar).
Opção A (recomendada) - utilizar apenas prestadores de serviços da UE
Opção B - (somente se você não operar na UE) - bloquear visitas ao seu website de todos os IPs da UE, para que nenhum dado pessoal seja importado de lá. No entanto, isto irá (1) limitar o seu público e mercado e (2) não o manterá a salvo de legislação semelhante a ser desenvolvida em outras partes do mundo.
Opção C - assegurar que os seus visitantes estejam plenamente conscientes das implicações da transferência de dados para os EUA e dar-lhes a possibilidade de darem o seu consentimento Isto deve ser feito com muito cuidado e somente após consulta a um advogado, para evitar qualquer ação legal contra você. OBSERVAÇÃO! Se um utilizador não der o seu consentimento, deve certificar-se de que não é rastreado. Isto irá resultar em dados truncados. Por exemplo, em termos de análise, um lote potencialmente grande de utilizadores não será de todo contado nas estatísticas do seu website.
Opção D (recomendada para serviços de análise): Use uma solução consensual e conforme e livre-se destes irritantes banners de cookies. Saiba mais aqui.
Se o seu site usa o Google Analytics para rastrear o tráfego de visitantes, o consentimento e o opt-in não podem ser superficiais. Você terá que incluir uma série de elementos diferentes em seu banner. Não se esqueça que este é um serviço que utiliza cookies e que também está baseado nos EUA. Portanto, tudo isso tem de ser tratado no consentimento informado.
Explique e obtenha consentimento para o seu propósito como proprietário de um website para usar a ferramenta. Que dados pessoais recolhe e com que finalidade (por exemplo, "concordo que o website possa utilizar o Google Analytics para agregar dados de tráfego e estatísticas sobre as páginas visitadas, para nos permitir tomar decisões sobre a adaptação do website às necessidades gerais do nosso público. Dados pessoais como o seu endereço IP estão a ser processados").
Explicar e obter autorização para fins de recolha de dados do Google (por exemplo, "concordo em permitir que o Google Analytics utilize os meus dados pessoais para os seus próprios fins, para criar um perfil pessoal e para me permitir receber anúncios personalizados ou outro conteúdo personalizado").
Explicar e obter consentimento para o uso de cookies pelo Google (por exemplo, "concordo que o Google possa definir cookies no meu navegador para me identificar e reconhecer no futuro e para traçar o perfil dos meus comportamentos e preferências").
Explicar e obter autorização para a transferência de dados e os riscos associados (por exemplo, "concordo que os meus dados pessoais recolhidos durante a utilização deste site podem ser transferidos para a Google Inc. nos EUA e aí processados. Compreendo que o mesmo nível de protecção de dados pessoais aplicado na UE não pode ser garantido. Estou ciente de que as autoridades dos EUA podem aceder aos meus dados pessoais, armazenados pelo Google, sem o meu consentimento").
Então é assim que a opção C teria que ser se você não quiser desistir de usar o Google Analytics. Bastante complicado e uma questão sensível em termos de legalidade. A escolha das palavras aqui tem de ser feita com muito cuidado.
Em relação à análise do website, as opções A e D são soluções muito melhores. Você pode usar um provedor da UE, em vez do Google Analytics.
Esse fornecedor é o VisitorAnalytics.
Visitor Analytics:
tem sede na Alemanha e só hospeda dados dentro das fronteiras da Alemanha, pelo que não haverá transferência de dados pessoais para fora da UE
não utiliza o alojamento Amazon, Google, ou outros fornecedores de alojamento em "cloud" dos EUA com filiais alemãs, pelo que a Lei CLOUD Act não se lhe aplica
é um provedor de serviços que não utiliza cookies, rastreando o tráfego do site (ver Rastreamento sem cookies)
é um prestador de serviços que oferece uma forma em que o consentimento do usuário não é mais necessário, uma vez que absolutamente nenhum dado pessoal será processado (ver Rastreamento sem consentimento)
Sign up to Our Newsletter for Regular Nuggets. E não se preocupe, não diremos às vendas.