GDPR Europeu – O que é e qual o impacto no seu site aqui no Brasil

Um marco histórico na internet mundial começou a valer desde sexta-feira passada – 25 de maio de 2018 – quando o GDPR (General Data Protection Regulation) da União Européia passou a vigorar.

O que é o GDPR – em português brasileiro passamos a tratar como Regulamento Geral de Proteção de Dados da União Europeia(UE), ou conformidade com o GDPR

GDPR é um projeto para proteção de dados e identidade dos cidadãos da União Europeia que começou a ser idealizado em 2012 e foi aprovado em 2016. Embora a região já tivesse leis relacionadas à privacidade, elas datavam de 1995 e, mesmo com algumas atualizações, não correspondiam ao cenário tecnológico atual. A decisão de criar o regulamento vem daí.

A União Europeia considera a proteção de dados pessoais um direito dos cidadãos dos países do bloco. Por conta disso, todas as empresas e organizações, independente de porte ou área de atuação, deverão seguir regras rígidas para coletar, processar, compartilhar e resguardar dados pessoais de cidadãos europeus.

Principais considerações por Ostiore, aqui do Gente que Pensa:

  • A conformidade com o GDPR não se limita ao território dos países que fazem parte da UE. Sua aplicação tem foco no cidadão da comunidade européia, seja ele residente ou não fisicamente naqueles países. Isso na prática quer dizer que se o seu site aqui no Brasil recebe uma visita de um italiano ou francês que está morando em Dubai ou Tóquio, seu site é elegível a ser tratado pelos rigores legais do novo regulamento, e está sujeito a pesadas multas no caso de infração de qualquer das regras de privacidade e tratamento de dados pessoais daquele visitante.
  • Em resumo, atente-se aos dados pessoais de usuários ou visitantes em seu site, e aos cookies. E antes que o visitante ou usuário do seu site escreva uma única letra em seus formulários de contato, ou campos de cometários, ele precisa consentir conscientemente que compreende o que vai fazer e que conhece sua política de privacidade e cookies:
    Como são tratados, armazenados e protegidos os dados pessoais em seu site?
    – Porque são coletados dados pessoais?
    – Como e onde são processados estes dados?

    – Qual o destino seu site dá a esses dados?
    – Seu site compartilha esses dados com terceiros? Porque?
    – Por quanto tempo seu site guarda/mantém esses dados?
    – Quais cookies utiliza e porque? Que informações eles retêm, para qual fim e por quanto tempo?
  • É um marco – o GDPR – mais pela nova cultura a que ele obriga do que pelas possibilidades de sansões que representa. Os sites de empresas e negócios, e mesmo os de presença virtual simples na web passam a ser obrigados a considerar, desde seu escopo inicial, as questões de política de privacidade e cookies.
  • A recomendação é adequar-se já, pois a tendência é que o GDPR seja encampado por outros países participantes da ONU ainda esse ano, e a lei brasileira não tarda a acompanhar. Não faz sentido esperar inocentemente ser autuado por um órgão internacional por desrespeitar seus cidadãos. Nem faz sentido sofrer algum tipo de represália e ser apanhado de surpresa.
  • Redobre sua atenção com fraudes indiretas. Eventos assim – novas regras do GDPR – normalmente provocam uma avalanche de golpes pela web, normalmente na forma de emails disfarçados, entre outros formatos, que visam apenas tomar dinheiro dos proprietários de sites, das formas mais criativas.
  • Se seu site já tem algum público europeu, você precisa agir rapidamente pois está em maior risco. Encomende uma avaliação de conformidade do seu site à luz dessas novas regras, e procure implantá-las o mais breve possível. O foco aqui deve ser se aproximar constantemente da conformidade com a GDPR, num esforço constante e claro. ( Formulário para solicitar avaliação preliminar da conformidade do seu site para o GDPR, clique aqui )

Do que trata o GDPR

Para o tratamento de dados é necessário obter consentimento do titular, em um pedido que deve ser apresentado de forma clara e acessível, garantindo também o direito ao usuário de revogá-lo. A norma estabelece uma série de direitos aos cidadãos, entre eles acessar as informações que uma empresa tenha, corrigí-las e negar que elas sejam objeto de tratamento.

A lei prevê o “direito ao esquecimento”: a possibilidade de o usuário solicitar a retirada de suas informações de uma plataforma, devendo a empresa avaliar se o pleito não fere o interesse público. Também previu o direito de a pessoa não submeter suas informações a decisões automatizadas, como as linhas do tempo do Facebook ou a recomendação de vídeos do YouTube.

As empresas são submetidas a diversas exigências. Precisam notificar usuários em caso de um vazamento de dados pessoais. Devem informar se seus dados estão sendo processados, como e para qual finalidade. Se solicitadas ficam obrigadas a fornecer os dados daquele usuário em formato que outras máquinas podem ler, instituindo uma espécie de “portabilidade de dados”. Têm ainda de adotar medidas tecnológicas para garantir a proteção dos dados dos usuários.

A regulação estabelece multas de até 20 milhões de euros ou de 4% do faturamento anual da empresa punida (o que for maior). Os valores variam de acordo com a gravidade da infração. Isso vale para quem processa  e para quem controla os dados, incluindo armazenamentos feitos na “nuvem” (serviços que permitem acesso remoto a informações por meio da conexão à internet).

Que tipos de dados de privacidade o GDPR protege?

– Informações básicas de identidade, como nome, endereço e números de ID

– Dados da Web, como localização, endereço IP, dados de cookies e etiquetas RFID

– Saúde e dados genéticos

– Dados biométricos

– Dados raciais ou étnicos

– Opiniões políticas

– Orientação sexual

O cuidado com a privacidade e a proteção de dados passa a ser o padrão. Também será exigido que as empresas documentem todas as operações de tratamento de dados. Podemos esperar a criação de mecanismos de cooperação para a governança das informações e o combate às fraudes, por exemplo.

A perspectiva é que, a partir da aplicação do GDPR, novas soluções jurídicas sejam exigidas e que sejam revisadas condições contratuais, especialmente junto a fornecedores e subcontratados. Também se estima que venham a ser implantadas rotinas de auditoria interna nas empresas e até de certificação por entidades especializadas. Essas novas práticas tendem a tornar os relacionamentos entre empresas e usuários mais transparentes e seguros.

Embora perseguir todas as empresas por multas de milhões de dólares não seja a intenção do regulamento, a ameaça de uma fatura igual a 4% da receita global é muito real, e uma ameaça que deve ser motivo de temor para os infratores.  As  autoridades de proteção de dados não querem atingir todas as empresas com uma multa maciça. Eles simplesmente querem que as organizações mostrem vontade. Além disso, sanções menores, como o bloqueio de IPs, pode trazer muitos transtornos.

DPO – Data Protection Officer – em português brasileiro passamos a tratar como o funcionário Profissional Responsável, o Agente Oficial de conformidade GDPR de uma empresa

Uma parte importante do GDPR é que muitas empresas precisarão contratar um DPO responsável por garantir a conformidade com a legislação, atuando como o administrador dos esforços de privacidade de uma empresa e como ponto de contato para as autoridades de proteção de dados. É, portanto, uma função muito específica, muito relevante e, em alguns casos, até obrigatória.

Cabe ao DPO informar  as obrigações e os deveres dos responsáveis pelo tratamento de dados e verificar o cumprimento do GDPR dentro da sua organização.

Estima-se que a demanda não atendida por DOPs chegue hoje  a 78 mil profissionais só na União Europeia. A expertise é muito pequena. Você ficaria surpreso com quantas grandes empresas não têm agentes de privacidade.

Seria um erro achar que o DPO será o único responsabilizado na organização por descumprimentos ao regulamento. O DPO é o elo de contato com as autoridades de controle. Quem vai estar na linha de frente. Mas não é ele que vai resolver sozinho todos os problemas de proteção de dados da organização. Se a empresa cumpre ou não o GDPR é um problema organizacional.

Para um grande número de DPOs a única maneira de aprender a função será trabalhando nela, uma nova profissão muito especifica surge no mercado de trabalho.

Brasil

Embora ainda não exista uma legislação específica correspondente ao regulamento europeu (dois PLs seguem em debate no Congresso), existem outras leis setoriais que tratam de dados pessoais e também preveem severas punições aos infratores,  como o Marco Civil da Internet, da Lei de Acesso à Informação, da Lei de Cadastro Positivo e do Código de Defesa do Consumidor.

Portanto, as práticas e políticas das empresas devem ser repensadas e revistas, se necessário for. Prevaricação é o maior inimigo.

Tomado como um todo, o problema de conformidade com o GDPR pode ser um pouco assustador, mas dividi-lo em partes e atribuir prioridades a elas é uma boa forma de fazer a bola rolar. Comece com a compreensão de quão grande é o problema, e uma avaliação sobre onde estão as informações protegidas pelo GDPR.

Observe os fluxos de dados e dados dentro e fora da organização. Uma vez que haja um entendimento sobre o tamanho do problema, coloque o plano em prática para proteger a organização e observe como a governança contínua será alcançada com o mínimo de interrupção dos negócios. Preocupe-se também em montar um programa de conscientização. Muito do GDPR diz respeito a pessoas e processos, em vez de tecnologia. Então envolva o RH. A conformidade é para toda a empresa, não apenas para a TI, e todo o negócio pode ajudar a aumentar a conformidade.

Um bom guia de conformidade GDPR e política de privacidade seria esse a seguir, criado e implementado pelas equipes do WordPress.org em todo o mundo:

Quem somos

Nesta seção você deve explicitar o URL do seu site, assim como o nome da empresa, organização ou indivíduo responsável, e também informações de contato detalhadas.

O volume de informações que você pode ser obrigado a fornecer varia de acordo com sua localização ou regras comerciais específicas. Você pode, por exemplo, ser obrigado a fornecer um endereço físico, um endereço comercial ou o número de cadastro da sua empresa.

Texto sugerido: O endereço do nosso site é: https://www.gentequepensa.com.br.

Quais dados pessoais coletamos e porque

Nesta seção você deve descrever quais dados pessoais são coletados de usuários e visitantes em seu site. Isso pode incluir dados pessoais, como nome, endereço de e-mail, preferencias pessoais e dados de transações, tais como informações de compras, também dados técnicos, como informações sobre cookies.

Você também deve justificar qualquer coleta e retenção de dados pessoais sensíveis, como dados referentes a saúde.

Além de listar quais dados pessoais você coleta, você deve explicar por que os coleta. Essas explicações devem justificar as bases legais para a coleta e retenção dos dados ou o consentimento expresso fornecido pelo usuário.

Dados pessoais não são criados apenas pela interação do usuário com o seu site. Eles também são gerados por processos técnicos, como formulários de contato, cookies, dados para análises e mídias de terceiros incorporadas.

Por padrão o WordPress não coleta dados pessoais sobre visitantes, e apenas coleta os dados mostrados na tela de perfil dos usuários cadastrados. Porém, se algum dos seus plugins também coletar dados pessoais, adicione essa informação abaixo.

Comentários

Nesta subseção você deve descrever quais informações são coletadas dos comentários. Nós já descrevemos quais dados o WordPress coleta por padrão.

Texto sugerido: Quando os visitantes deixam comentários no site, coletamos os dados mostrados no formulário de comentários, além do endereço de IP e de dados do navegador do visitante, para auxiliar na detecção de spam.

Uma sequência anonimizada de caracteres criada a partir do seu e-mail (também chamada de hash) poderá ser enviada para o Gravatar para verificar se você usa o serviço. A política de privacidade do Gravatar está disponível aqui: https://automattic.com/privacy/. Depois da aprovação do seu comentário, a foto do seu perfil fica visível publicamente junto de seu comentário.

Mídia

Nesta subseção você deve descrever que informações podem ser divulgadas quando um usuário envia arquivos de mídia. Todos os arquivos de mídia enviados geralmente são públicos.

Texto sugerido: Se você envia imagens para o site, evite enviar as que contenham dados de localização incorporados (EXIF GPS). Visitantes podem baixar estas imagens do site e extrair delas seus dados de localização.

Formulários de contato

Por padrão, o WordPress não inclui um formulário de contato. Se você usa um plugin de formulários de contato, use essa subseção para explicar quais são os dados pessoais coletados quando alguém envia informações por um formulário de contato e por quanto tempo você mantém essas informações. Por exemplo, você pode informar que mantém os dados enviados pelo formulário por algum tempo visando o atendimento ao consumidor, mas que não usa essas informações para fins de marketing.

Cookies

Nesta subseção você deve listar os cookies que seu site utiliza, inclusive aqueles gerados por plugins, mídias sociais e para análises. Já incluímos os cookies que o WordPress cria por padrão.

Texto sugerido: Ao deixar um comentário no site, você poderá optar por salvar seu nome, e-mail e site nos cookies. Isso visa seu conforto, assim você não precisará preencher seus dados novamente quando fizer outro comentário. Estes cookies duram um ano.

Se você tem uma conta e acessa este site, um cookie temporário será criado para determinar se seu navegador aceita cookies. Ele não contém nenhum dado pessoal e será descartado quando você fechar seu navegador.

Quando você acessa sua conta no site, também criamos vários cookies para salvar os dados da sua conta e suas escolhas de exibição de tela. Cookies de login são mantidos por dois dias e cookies de opções de tela por um ano. Se você selecionar “Lembrar-me”, seu acesso será mantido por duas semanas. Se você se desconectar da sua conta, os cookies de login serão removidos.

Se você editar ou publicar um artigo, um cookie adicional será salvo no seu navegador. Este cookie não inclui nenhum dado pessoal e simplesmente indica o ID do post referente ao artigo que você acabou de editar. Ele expira depois de 1 dia.

Mídia incorporada de outros sites

Texto sugerido: Artigos neste site podem incluir conteúdo incorporado como, por exemplo, vídeos, imagens, artigos, etc. Conteúdos incorporados de outros sites se comportam exatamente da mesma forma como se o visitante estivesse visitando o outro site.

Estes sites podem coletar dados sobre você, usar cookies, incorporar rastreamento adicionar de terceiros e monitorar sua interação com este conteúdo incorporado, incluindo sua interação com o conteúdo incorporado se você tem uma conta e está conectado com o site.

Análises

Nesta subseção você deve descrever qual o serviço de analises que o seu site utiliza, como os usuários podem optar por não serem rastreados, e um link para a página de política de privacidade do seu provedor de analises, se houver.

Por padrão, o WordPress não coleta nenhum dado para análise. Entretanto, muitos serviços de hospedagem coletam alguns dados anônimos para análise. Você também pode ter instalado um plugin do WordPress que fornece serviços de análise. Neste caso, adicione as informações do plugin aqui.

Com quem partilhamos seus dados

Nesta seção você deve listar todos os provedores terceirizados com quem você compartilha dados do site, incluindo parceiros, serviços baseados na nuvem, processadores de pagamento e provedores de serviços terceirizados, além de explicar quais dados você compartilha com eles e por que. Aponte para suas próprias políticas de privacidade se possível.

Por padrão, o WordPress não compartilha quaisquer dados pessoais.

Por quanto tempo mantemos os seus dados

Nesta seção você deve explicar por quanto tempo ficam armazenados os dados pessoais coletados ou processados pelo site. Como é sua responsabilidade divulgar por que e por quanto tempo cada conjunto de dados é armazenado, esta informação precisa ser listada aqui. Por exemplo, você pode querer dizer que mantém os dados enviados pelo formulário de contato por seis meses, registros para análises por um ano e registros de compras dos consumidores por dez anos.

Texto sugerido: Se você deixar um comentário, o comentário e os seus metadados são conservados indefinidamente. Fazemos isso para que seja possível reconhecer e aprovar automaticamente qualquer comentário posterior ao invés de retê-lo para moderação.

Para usuários que se registram no nosso site (se houver), também guardamos as informações pessoais que fornecem no seu perfil de usuário. Todos os usuários podem ver, editar ou excluir suas informações pessoais a qualquer momento (só não é possível alterar o seu username). Os administradores de sites também podem ver e editar estas informações.

Quais os seus direitos sobre seus dados

Nesta seção você deve explicar quais direitos os seus usuários têm sobre os seus dados e como podem requerer estes direitos.

Texto sugerido: Se você tiver uma conta neste site ou se tiver deixado comentários, pode solicitar um arquivo exportado dos dados pessoais que mantemos sobre você, inclusive quaisquer dados que nos tenha fornecido. Também pode solicitar que removamos qualquer dado pessoal que mantemos sobre você. Isto não inclui nenhuns dados que somos obrigados a manter para propósitos administrativos, legais ou de segurança.

Para onde enviamos seus dados

Nesta seção você deve listar todas as transferências dos dados do seu site para fora da União Europeia e descrever os meios pelos quais estes dados são protegidos segundo os padrões de proteção de dados europeus. Isto pode incluir a sua hospedagem de sites, armazenamento de nuvem ou outros serviços de terceiros.

A lei de proteção de dados europeia exige que os dados de residentes europeus que sejam transferidos para fora da União Europeia tenham o mesmo nível de proteção como se os dados estivessem na Europa. Assim, além de listar para onde os dados vão, é preciso descrever como você garante que estes padrões estejam sendo seguidos, opr você ou pelos seus provedores terceiros, seja por meio de um acordo como o Escudo de Privacidade, cláusulas modelo nos seus contratos ou normas corporativas vinculatórias.

Texto sugerido: Comentários de visitantes podem ser marcados por um serviço automático de detecção de spam.

Suas informações de contato

Nesta seção, você deve fornecer um meio de contato para questões específicas sobre privacidade. Se você é obrigado a ter um profissional responsável pela proteção de dados, liste seu nome e detalhes completos de contato aqui também.

Informações adicionais

Caso o seu site tem fins comerciais e atua em processos mais complexos de coleta ou processamento de dados pessoais, você deve também salientar essa informação em sua política de privacidade, juntamente com toda a informação já discutida.

Como protegemos seus dados

Nesta seção você deve explicar quais medidas foram tomadas para proteger os dados de seus usuários. Isso pode incluir medidas técnicas como encriptação; medidas de segurança como autenticação em dois passos; e medidas como treinamento de pessoal em proteção de dados. Se você tiver feito uma Avaliação do impacto de privacidade, pode mencioná-la aqui também.

Quais são nossos procedimentos contra violação de dados

Nesta seção você deve explicar que procedimentos são usados para lidar com violações de dados, potenciais ou verdadeiras, como sistemas de informação internos, mecanismos de contato ou caçadas de erros.

De quais terceiros nós recebemos dados

Caso o seu site receba dados de terceiros sobre usuários, incluindo anunciantes, esta informação deve ser incluída dentro da seção da sua política de privacidade que trata de dados de terceiros.

Quais tomadas de decisão ou análises de perfil automatizadas fazemos com os dados de usuários

Se o seu site oferecer um serviço que inclua tomada de decisão automatizada, por exemplo, permitir a clientes solicitar crédito ou agregar seus dados em um perfil publicitário, você deve observar que isto está acontecendo, e incluir informações sobre como aquela informação é usada, que decisões são tomadas com os dados agregados e o que direitos os usuários têm sobre as decisões tomadas sem intervenção humana.

Como proceder hoje no Brasil?

Acreditamos que para sites brasileiros, escritos em língua portuguesa, o foco agora deve estar em aproximar-se cada vez mais da conformidade com a GDPR. Este esforço deve ser encarado e percebido como uma opção de vontade clara do proprietário do site brasileiro de se adequar às novas regras. Inicialmente com uma boa página de política de privacidade e cookies, uma avaliação ampla da sua utilização dos dados pessoais de seus usuários e visitantes, interações com terceiros, segurança, avisos claros em cada momento de interação site x usuário.

Uma atenção especial aos terceiros que você disponibiliza em suas páginas também vem a calhar, num momento em que muitos sites atuais lançam mão de adwords de forma indiscriminada e absurdamente poluída em seus próprios sites, numa busca tola de obter receita – sempre centavos, na prática – a qualquer custo.

Att.
Equipe GQP

fonte: diversos na web, https://www.eugdpr.org/ e https://www.wordpress.org