Provavelmente já ouviste falar no Regulamento Geral de Proteção de Dados (RGPD ou GDPR) que passará a ser aplicado no dia 25 de Maio de 2018.
Apesar do regulamento depender da dimensão da empresa/organização e da natureza da actividade, abordaremos alguns conceitos gerais deste regulamento.
O que é o RGPD?
O Regulamento Geral de Proteção de Dados, que entrará em vigor no próximo dia 25 de Maio de 2018, regula a proteção e tratamento de dados pessoais singulares e a livre circulação dos mesmos.
O RGPD é aplicável a todas as empresas/organizações que tratem dados pessoais de cidadãos da União Europeia.
Privacidade e controlo
O RGPD tem como objectivo a proteção dos dados pessoais e da privacidade do titular, desta forma as pessoas singulares têm direito a controlar como são utilizados os seus dados.
Acesso aos dados
O titular tem o direito de aceder aos seus dados, como também tem direito a alterar e eliminar os mesmos.
Direito ao esquecimento
O RGPD dá ao titular direito de pedir a eliminação de dados.
Todas as empresas/organizações são obrigadas a fazê-lo, excepto em casos de obrigação ou limitação jurídica (por exemplo, facturação), interesse público (por exemplo, saúde pública) ou outras situações previstas no regulamento.
Nos casos em que os dados tenham sido recolhidos quando a pessoa seria considerada menor, os dados terão de ser eliminados.
Direito à portabilidade
O titular tem direito à portabilidade dos seus dados, num formato estruturado de leitura automática, para transferir para outra empresa/organização.
Consentimento
O Regulamento Geral de proteção de Dados obriga às entidades o controlo do consentimento do titular dos dados.
Para que uma empresa/organização possa processar dados pessoais, o titular terá, de forma voluntária, concordar com a cedência dos mesmos, pelo que não será possível haver sistemas de consentimento pré-preenchidos.
O titular dos dados tem ainda direito a controlar os seus consentimentos, pelo que as opções de double opt-in e opt-out permitem maior controlo por parte do titular.
Se os dados foram adquiridos anteriormente sem consentimento do titular será necessário novo pedido de consentimento.
Existem no entanto casos em que o tratamento de dados não depende de consentimento, como por exemplo para cumprimento de obrigações legais a que o responsável pelo tratamento está sujeito.
Gestão de dados, Transparência e Políticas
O princípio da responsabilidade é um dos pilares que sustentam o Regulamento Geral sobre a Proteção de Dados (RGPD).
As empresas/organizações que recolhem os dados são responsáveis por cumprir o regulamento e assegurar a proteção dos direitos e dos dados cedidos pelos titulares.
É necessário ter em documento a forma como são processados os dados, para que em casos de auditorias, seja possível comprovar que a entidade está a cumprir o RGPD.
Na utilização de serviços terceiros, quando existe a necessidade de recorrer a entidades externas é preciso ter em conta se a entidade cumpre também o RGPD.
Caso exista violação de dados e risco de segurança dos mesmos, o regulamento obriga a notificação à autoridade de controlo (CNPD) e, em alguns casos, também ao titular dos dados num prazo máximo de 72 horas.
O Regulamento destaca também que as organizações necessitam de comunicar de forma clara e transparente com o titular dos dados sobre as suas políticas, sendo assim fundamental a revisão das políticas de privacidade e cookies e os termos e condições de serviço. No caso das Cookies, na App Store da Shopkit, está disponível uma app gratuita para criar facilmente uma barra de consentimento de utilização de cookies.
Marketing e o RGPD
Em grande parte dos negócios de e-commerce o e-mail Marketing é uma ferramenta importante para o negócio.
Com o RGPD, tal como referido acima, o consentimento do titular é obrigatório para qualquer tratamento de dados, e as práticas de Marketing estão incluídas.
Este é um dos pontos mais exigentes, pelo que se pretender cumprir com as normas do regulamento no envio de e-mail Marketing, o consentimento deve ser solicitado de forma clara, directa e transparente (sem recorrer a longos termos de serviço), sem caixas pré preenchidas de inscrição e com double opt-in na confirmação.
O que é que temos vindo a desenvolver na Shopkit para o RGPD?
Durante as últimas semanas temos vindo adaptar algumas medidas na Shopkit para o RGPD:
Exportação de dados para o lojista e comprador
O direito ao acesso e à portabilidade dá ao titular dos dados o direito de poder ter num formato estruturado toda a informação relativa ao tratamento dos seus dados.
Este processo pode ser feito de forma manual pela empresa/organização contudo para facilitarmos as lojas Shopkit desenvolvemos a funcionalidade de exportação automática de um ficheiro com todos os dados do cliente.
Actualização da integração com o Mailchimp e a nossa app Newsletter
Tanto a app Newsletter como a app Mailchimp terão a possibilidade de double opt-in, permitindo ao inscrito maior controlo sobre o seu consentimento.
O double opt-in é a forma segura de ter o consentimento do titular dos dados, com esta opção, no registo da newsletter o inscrito recebe um e-mail de confirmação e caso confirme a subscrição será importado para a lista de inscritos da app Newsletter e para a respectiva lista Mailchimp.
Caso o utilizador não confirme a subscrição, os dados não serão importados pois não houve consentimento por parte do utilizador.
Quando o registado retirar a subscrição da newsletter será também eliminado da lista Mailchimp.
Será também possível a pesquisa por utilizador no detalhe da app newsletter e a possibilidade de eliminar manualmente inscritos.
Ferramenta para gestão de dados
Actualmente no nosso backoffice já é possível gerir dados de forma fácil e intuitiva sem que exista qualquer entrave para o cumprimento do regulamento, contudo na Shopkit queremos facilitar ao máximo a gestão do negócio online dos nossos clientes e iremos disponibilizar ferramentas de gestão de dados para que seja possível automatizar o processo da gestão de dados.
Caso utilize a Shopkit, a minha empresa/organização estará a cumprir o RGPD?
Automaticamente não. Na Shopkit cumprimos com o RGPD e disponibilizamos as ferramentas para que todos os lojistas consigam gerir a sua política de dados. Utilizar a Shopkit sem qualquer política de dados, não garante que a empresa cumpre o RGPD.
O que sugerimos:
- Identificar quais os dados pessoais recolhidos
- Onde e como são armazenados os dados
- Certificar que os dados são guardados de forma segura
- Validar por quanto tempo são armazenados os dados
- Justificar o motivo do armazenamento
- Recolher apenas os dados necessários
- Garantir que os titulares têm controlo sobre os seus dados e que foi dado o seu consentimento
- Confirmar se existe o consentimento necessário para práticas de E-mail Marketing e outras formas de comunicação promocional
- Criar registos internos de política de dados
- Rever se as políticas e termos de serviço são claras e transparentes
Em suma, o que é importante?
O Regulamento Geral de Proteção de Dados tem uma realidade diferente de empresa para empresa, no entanto tem como fim criar uma conformidade geral sobre o direito dos dados pessoais.
As empresas têm de respeitar a privacidade pessoal, controlar a sua gestão de dados e comunicar de forma transparente os processos e métodos de tratamento de dados.
Se quiseres saber mais sobre RGPD estes artigos têm informação útil:
- https://www.cnpd.pt/bin/rgpd/rgpd.htm
- https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations_pt
- http://www.privacy-regulation.eu/pt/index.htm
FAQ (Perguntas frequentes)
O Regulamento Geral de Proteção de Dados, que entrou em vigor no dia 25 de Maio de 2018, regula a proteção e tratamento de dados pessoais singulares e a livre circulação dos mesmos.
O RGPD é aplicável a todas as empresas/organizações que tratem dados pessoais de cidadãos da União Europeia.
Dados pessoais são informações que podem levar à identificação de uma determinada pessoa. São exemplos de dados pessoais os seguintes:
- Nome e apelido;
- Endereço de e-mail;
- Números de identificação (ex. cartão do cidadão);
- Dados de localização;
- Dados médicos;
- Endereços de IP;
- Fotografias.
Estão também abrangidas informações armazenadas em bases de dados, bem como os dados obtidos a partir de formulários preenchidos. O RGPD define, também, uma categoria especial de dados pessoais sensíveis, como os genéticos e biométricos.
Os principais direitos dos titulares dos dados são os seguintes:
- Direito de acesso;
- Direito de retificação;
- Direito à eliminação ou esquecimento;
- Direito à limitação do tratamento;
- Direito de portabilidade;
- Direito de oposição;
- Direito a Retirar o consentimento;
- Direito de reclamação.
Uma violação de dados pessoais consiste numa quebra de segurança que provoca, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
As queixas podem ser reportadas à Comissão Nacional de Proteção de Dados (CNPD), a autoridade nacional de controlo responsável por assegurar o cumprimento das regras previstas no RGDP.
Sim, não agir em conformidade com o RGPD no tratamento de dados pessoais pode conduzir a multas ou sanções.