8 etapas para estar em conformidade com o GDPR com seu site

Em 2018, a União Europeia(European Union) implementou uma série de reformas de proteção de dados conhecidas como Regulamento Geral de Proteção de Dados(General Data Protection Regulation) ( RGPD(GDPR) ). Em essência, o GDPR substituiu todas as diferentes leis de proteção de dados por um único conjunto de regras que se aplicam a todos os estados da UE(EU state) . Muitas empresas tiveram que mudar suas políticas para estarem em conformidade com o GDPR(GDPR compliant) , no entanto, apesar do período de transição(transition period) , ainda há muita confusão em relação às novas regras. 

Então, o que é GDPR e como você pode tornar sua empresa compatível(business compliant) ?

Neste artigo, você aprenderá como estar em conformidade com o GDPR(GDPR compliant) sem ter que ler a diretiva seca de proteção de dados da UE(EU data protection directive) . Ajudaremos você a entender o que é o GDPR e informaremos quais etapas você precisa seguir para tornar seu site compatível com o GDPR(GDPR compliant) .

O que é GDPR?

GDPR é uma diretiva de proteção de dados(data protection directive) na União Europeia(European Union) projetada para proteger a privacidade online(the online privacy) dos cidadãos da UE. Ele regula a forma como os dados pessoais são usados ​​e que tipo de dados os sites podem coletar sobre você. Apesar de ser um regulamento da UE(EU regulation) , o GDPR(GDPR) se aplica a todos os sites acessados ​​por usuários da UE. Como resultado, sites e empresas precisam estar em conformidade com o GDPR ou bloquear o tráfego da UE(GDPR compliant or block EU traffic) .

Com isso em mente, aqui estão os principais aspectos do GDPR que podem afetar seus negócios:

  • Seu site deve informar claramente aos visitantes que seus dados pessoais estão sendo coletados.
  • Você também precisa divulgar como e por que seus dados são coletados e armazenados.
  • Se os usuários solicitarem que você exclua os dados pessoais(delete personal data) coletados, você deverá cumprir a solicitação na maioria dos casos.
  • Os usuários também podem solicitar uma cópia de todas as informações pessoais que você armazena.
  • Se uma das principais atividades do seu negócio é coletar e armazenar dados pessoais, você precisa contratar um responsável pela proteção de dados(data protection officer) .
  • Se seu site for violado e as informações pessoais de seus usuários vazarem, você terá 72 horas para relatar a violação.
  • A violação do regulamento GDPR(GDPR regulation) pode levar a multas de até € 20 milhões(fines of up to €20 million) (~ $ 24 milhões) ou 4% do faturamento anual da sua empresa.

O principal objetivo do GDPR é proteger as pessoas e suas informações pessoais contra violações de dados(data breaches) . Agora a questão é: que tipos de dados se enquadram no GDPR ?

Tipos de dados regulamentados pelo GDPR(Types of Data Regulated by GDPR)

Se você construiu seu site do zero ou usou um tema WordPress(WordPress theme) , seu site coleta diferentes tipos de dados. Os sites coletam informações de diferentes maneiras, inclusive por meio de análises, formulários do WordPress , formulários de assinatura, formulários de contato e campanhas de marketing por e-mail.

Em suma, todos os dados pessoais se enquadram no GDPR , mas podemos dividi-los nos seguintes tipos:

  • Informações genéticas e de saúde.
  • Dados biométricos.
  • Pontos de vista políticos e/ou religiosos.
  • Raça, etnia e gênero.
  • Dados da Web, como seu endereço IP(IP address) e dados de cookies

Desde que sua empresa armazene qualquer um dos dados mencionados de cidadãos da UE, seu site precisa estar em conformidade com o GDPR(GDPR compliant) . Lembre-se de que isso se aplica mesmo se você não estiver presente dentro das fronteiras da União Europeia.

Etapas necessárias para estar em conformidade com o GDPR

Ao ler sobre suas responsabilidades como proprietário de um site,(website owner) você pode se sentir sobrecarregado e decidir que é mais fácil bloquear todo o tráfego de entrada da UE(EU traffic) . Não deixe que o (t let)GDPR(Don) o desanime(GDPR discourage) . Abaixo estão as principais etapas que você precisa seguir para estar em conformidade com o GDPR(GDPR compliant) .

1. Melhore sua política de privacidade(1. Improve Your Privacy Policy)

Seja transparente ao coletar, armazenar e compartilhar dados. Seu site deve conter uma política de privacidade(privacy policy) detalhada que explique claramente as práticas de coleta de dados, proteção de dados, uso de cookies e compartilhamento de dados. Uma boa política de privacidade(privacy policy) deve incluir pelo menos os seguintes pontos:

  • Você não vende os dados privados de seus usuários.
  • Você não compartilha(t share) dados privados a menos que a lei o obrigue.
  • Os tipos de dados que você coleta.
  • As razões pelas quais você coleta dados e como você os usa.
  • Como você protege os dados do usuário.
  • Como seus plugins coletam e usam dados.

Seja o mais claro possível usando uma linguagem simples que não deixe espaço para interpretação e você terá uma política de privacidade(privacy policy) clara e transparente .

2. Crie um Aviso de Coleta de Cookies(2. Create a Cookie Collection Notice)

De acordo com o GDPR , os cookies contam como dados pessoais, portanto, você precisa solicitar o consentimento dos usuários antes de usar os dados dos cookies. Coloque(Place) um aviso explícito de coleta de cookies(cookie collection notice) em seu site e certifique-se de permitir que os usuários acessem seu site mesmo que eles não deem consentimento. Seus usuários também devem ter uma maneira fácil de retirar seu consentimento a qualquer momento.

3. Exibir avisos em todos os formulários do site(3. Display Notices On All Website Forms)

É prática padrão(standard practice) coletar alguns dados do usuário por meio de vários tipos de formulários de envio. Se você quiser continuar coletando endereços de e-mail e outros detalhes, publique um aviso de coleta de dados(data collection notice) . Não colete dados antes desse ponto e sem o conhecimento do usuário. Caso contrário(Otherwise) , sua empresa pode receber uma multa pesada por violar o GDPR .

Seja o mais claro possível com sua redação e ofereça todos os detalhes importantes sobre a coleta de dados. Você também deve evitar usar caixas de seleção pré-marcadas. O usuário precisa entender que a coleta de dados(data collection) é opcional e que requer seu consentimento.

4. Certifique-se de que todos os plug-ins são compatíveis com GDPR(4. Make Sure All Plugins Are GDPR Compliant)

Se você estiver usando plug-ins de terceiros que coletam dados, como o Google Analytics(Google Analytics) , será necessário tornar os dados anônimos. Isso pode ser difícil de fazer manualmente, mas você pode encontrar plugins compatíveis com GDPR que lidam com esse processo para você. Basta procurar(Just search) uma ferramenta com configurações de conformidade com GDPR(GDPR compliance) .

5. Use o Double Opt-in(5. Use the Double Opt-in)

O GDPR não(GDPR doesn) torna obrigatórios os opt-ins duplos, mas é altamente recomendável usá-los. Um opt-in duplo significa que você está solicitando ao usuário duas vezes que reconheça que está dando consentimento para a coleta de dados. Isso é particularmente importante para assinaturas de listas de e-mail. 

Para adicionar um duplo opt-in, você precisa primeiro solicitar o consentimento por meio do (request consent)formulário de inscrição(subscription form) do site . Em seguida, o usuário deve consentir uma segunda vez clicando em um link recebido por e-mail.

O uso do duplo opt-in mostra que você se dedica à proteção e privacidade(protection and privacy) de dados , além de fornecer mais provas às autoridades de que seu site é compatível com GDPR.

6. Adicionar links de cancelamento de assinatura(6. Add Unsubscribe Links)

Inclua(Include) links de cancelamento de assinatura fáceis de ler em todas as comunicações enviadas aos seus assinantes. Cancelar a inscrição em sua lista de discussão deve ser um processo fácil e instantâneo(process and instant) .

7. Excluir dados pessoais mediante solicitação(7. Delete Personal Data on Request)

O GDPR(GDPR) dá aos usuários o direito de serem esquecidos. Isso significa que eles podem solicitar a qualquer momento que seus dados sejam excluídos. Sempre faça conforme solicitado. Isso inclui remover seus usuários das listas de e-mail, excluir suas contas e limpar qualquer informação pessoal que você tenha sobre eles. Até mesmo postagens em blogs e comentários em fóruns contam como dados pessoais e devem ser removidos se solicitados.

8. Não compre listas de e-mail(8. Don’t Buy Mailing Lists)

A compra de listas de e-mail não é recomendada porque você pode estar violando o GDPR(GDPR) . Na maioria dos casos, você não pode ter certeza se esses endereços de e-mail foram coletados com o consentimento dos usuários.

Dito isso, se você ainda estiver determinado a comprar uma lista de e-mails, certifique-se de incluir pelo menos links de cancelamento de inscrição em todos os e-mails enviados.

Vale a pena estar em conformidade com o GDPR

Abra seu site e sua empresa(website and business) para cidadãos da UE seguindo todas as etapas acima. Ser compatível com GDPR(GDPR compliant) pode parecer desafiador no começo, mas não é tão difícil. Envolve principalmente ser transparente sobre a coleta de dados e a solicitação de consentimento. Como bônus, os usuários de fora da UE verão que sua empresa se preocupa com privacidade e proteção de dados(privacy and data protection) e é mais provável que confiem em você.



About the author

Sou engenheiro de hardware e desenvolvedor de software com mais de 10 anos de experiência nas plataformas Apple e Google. Minhas habilidades estão no desenvolvimento de soluções eficientes e fáceis de usar para problemas difíceis de engenharia. Eu tive experiência com dispositivos MacOS e iOS, bem como com controles de teclado e mouse. Nas horas vagas, gosto de nadar, assistir tênis e ouvir música.



Related posts