O RGPD é um novo regulamento da UE. Vai mudar bastante o modo que cada site WordPress usa para concretizar os seus objectivos. Até mesmo sites e empresas não sediados na UE serão afetados. Tem muito pouco tempo para tornar o seu site WordPress compatível com o RGPD. E as multas são bastante sérias – até 20,000,000.00 €.
No dia 25 de maio de 2018, o RGPD (Regulamento Geral de Proteção de Dados) promulgado pela UE entrará em vigor. O seu site está desenvolvido em WordPress compatível com RGPD? Quais são as etapas que deve seguir para garantir que segue todas as diretrizes? E se negligenciar este aspecto?
Este artigo irá ajudá-lo a estar pronto quando o regulamento entrar em ação.
- Primeiro, iremos verificar em detalhe as diretrizes do RGPD, as áreas específicas da sua empresa que as diretrizes afetam e por que deve estar preocupado com a conformidade com o RGPD em WordPress.
- De seguida, abordaremos as noções básicas de como fazer uma reclamação de um site WordPress com as diretrizes.
- No final, discutiremos as implicações do uso de plugins em sites WordPress e como a sua conformidade com a RGPD pode ser afetada.
- Caso trabalhe em WordPress, aceda à minha [lista de verificação], para conformidade de sites WordPress com o RGPD.
O que é o RGPD?
Aviso Legal: Este artigo não é um conselho legal. Aqui não existem advogados!
O RGPD representa o Regulamento Geral de Proteção de Dados e é uma nova lei de proteção de dados na UE, que entra em vigor em maio de 2018.
O objectivo do RGPD é dar aos cidadãos da UE o controlo sobre os seus dados pessoais e mudar a abordagem das organizações de todo o mundo para a privacidade dos seus dados.
O RGPD fornece regras muito mais fortes do que as leis existentes e é muito mais restritivo do que a “lei de cookies da UE”.
Por exemplo, os usuários devem confirmar que seus dados podem ser coletados, deve haver uma política de privacidade clara que mostre quais dados serão armazenados, como eles serão usados e fornecer ao usuário o direito de retirar o consentimento para o uso de dados (consequentemente, excluindo os dados), se necessário.
A lei RGPD aplica-se aos dados coletados sobre cidadãos da UE de qualquer lugar do mundo. Como consequência, um site com qualquer visitante ou cliente da UE deve cumprir o RGPD, o que significa que praticamente todos os sites e empresas devem obedecer.
Para entender melhor o regulamento, consulte a publicação dos regulamentos no Site Oficial da União Europeia, que define todos os termos relacionados com a lei. Há dois aspectos principais do GDPR: “dados pessoais” e “processamento de dados pessoais”. Veja como isso se relaciona com o desenvolvimento de um site do WordPress:
- Os dados pessoais dizem respeito a “qualquer informação relativa a uma pessoa singular identificada ou identificável” – como nome, email, endereço ou até mesmo um endereço IP,
- Enquanto o processamento de dados pessoais refere-se a “qualquer operação ou conjunto de operações que são realizadas em dados pessoais”. Portanto, uma simples operação de armazenar um endereço IP nos registros do servidor da web constitui o processamento de dados pessoais de um utilizador.
O RGPD deve ser levado a sério?
Os web developers têm até maio de 2018 para cumprir os regulamentos estabelecidos pelo RGPD. A penalidade pelo descumprimento pode ser de 4% do faturamento global anual, até um máximo de 20 milhões de euros.
Existem vários níveis de penalidades de acordo com a gravidade da violação, que foram descritas na seção FAQ do portal GDPR.
No entanto, pode-se questionar acerca dos passos para a supervisão de sites que estão em vigor. Autoridades de Supervisão (AS) de diferentes estados membros serão criadas, com o total apoio da lei. Cada estado membro pode ter várias ASs, dependendo das estruturas constitucionais, administrativas e organizacionais. Existem vários poderes que os ASs terão:
- Realizar auditorias em sites,
- Emitir avisos de não conformidade,
- Emitir medidas corretivas a serem seguidas com prazos.
As ASs têm poderes investigativos e corretivos para verificar a conformidade com a lei e sugerir mudanças para serem compatíveis.
É demasiado cedo para especular como as ASs de vários Estados membros se interligam e trabalham juntas, mas um aspecto é claro; As ASs desfrutam de poder para aplicar as diretrizes da RGPD.
Seis meses após o lançamento destas diretrizes, a PwC perguntou a 200 CEO’s de grandes empresas dos EUA para avaliar o impacto das diretrizes do RGPD. Os resultados revelaram que a maioria das empresas havia adotado as diretrizes do RGPD como a sua principal prioridade na proteção de dados, com 76% dessas empresas preparadas para gastar mais de $ 1 milhão de Dólares em RGPD. Isso mostra que, possuindo uma presença substancial na UE, as grandes empresas estão a levar muito a sério o cumprimento do GDPR.
Os detalhes da conformidade WordPress com o RGPD
Ok, agora vamos esquecer por um pouco todas as informações oficiais, e vamos falar sobre como garantir que um website esteja em conformidade e que não haverá problemas com o RGPD num site em WordPress.
Antes de passar para cada um dos aspectos e ver como cumpri-los, uma auditoria de segurança ao seu site WordPress deve, em geral, revelar como os dados estão a ser processados e armazenados nos seus servidores e que etapas necessárias para cumprir o RGPD. O plugin Log de Auditoria de Segurança pode ajudá-lo a realizar uma auditoria de segurança no seu site.
Algumas formas padrão do WordPress coletar dados do usuário:
- registos de utilizadores,
- comentários,
- envio de formulário de contato,
- analítica e soluções de log de tráfego,
- quaisquer outras ferramentas e plugins de registo,
- ferramentas de segurança e plugins.
Aqui estão alguns aspectos importantes do WordPress RGPD que os utilizadores precisam de saber:
(a) Notificação de violação
De acordo com a conformidade do RGPD, se o seu site obtiver uma violação de dados de qualquer tipo, essa violação deverá ser comunicada aos utilizadores.
Uma violação de dados pode resultar num risco para os direitos e liberdades dos indivíduos, devido ao fato de que notificar os utilizadores em tempo útil será obrigatório. De acordo com o RGPD, a notificação deve ser enviada no prazo de 72 horas após o primeiro conhecimento de uma violação. Os processadores de dados também são obrigados a notificar os usuários, bem como os controladores de dados, imediatamente após tomar conhecimento de uma violação de dados.
Num cenário WordPress, ao obter uma violação de dados, será necessário notificar todos os afetados por essa violação dentro do prazo estabelecido. No entanto, a complexidade aqui é a definição do termo “usuário” – pode constituir usuários regulares do site, envios de formulários de contato e, potencialmente, até mesmo os comentários em blogs.
Esta cláusula do RGPD cria, assim, um requisito legal para avaliar e monitorar a segurança do seu site. A maneira ideal é monitorar o tráfego da web e os logs do servidor da web, mas uma opção prática é usar o plug-in do Wordfence com as notificações ativas. Em geral, essa cláusula incentiva a pessoa a usar as melhores práticas de segurança disponíveis para garantir que violações de dados não ocorrem.
b) Recolha, processamento e armazenamento de dados
Três elementos: Direito ao acesso, direito a ser esquecido e portabilidade de dados.
- O direito de acesso fornece aos usuários total transparência no processamento e armazenamento de dados – quais os pontos de dados que estão a ser coletados, onde esses pontos de dados estão a ser processados e armazenados e o motivo por trás dessa coleta, processamento e armazenamento de dados. Os usuários também poderão solicitar uma cópia dos seus dados sem custos, e terão de obter a resposta dentro de 40 dias.
- O direito de ser esquecido oferece aos usuários a opção de apagar os seus dados pessoais e interromper a coleta e o processamento dos dados. Esse processo envolve o usuário retirando o consentimento para que seus dados pessoais sejam usados.
- A cláusula de portabilidade de dados do GDPR fornece aos usuários o direito de baixar seus dados pessoais, para os quais eles previamente deram o consentimento, e ainda transmitir esses dados para um controlador diferente.
A privacidade por design incentiva os controladores a aplicarem políticas de dados que permitem o processamento e o armazenamento de apenas os dados absolutamente necessários. Isso incentiva os proprietários e controladores de sites a adotar políticas potencialmente mais seguras para dados, limitando o acesso ao número de pontos de dados.
Como proprietário de um site em WordPress, primeiro é preciso publicar uma política detalhada sobre quais os pontos de dados pessoais que está a usar, como estão a ser processados e armazenados e para que efeito.
De seguida, é necessário haver uma configuração que permita fornecer aos usuários uma cópia dos seus dados. Esta é talvez a parte mais difícil do processo. No entanto, podemos supor que, quando chegar a hora, a maioria dos autores de plugin ou outras ferramentas já terá apresentado as suas próprias soluções para esse efeito.
No entanto, ainda é aconselhável ter um sistema implementado para derivar os dados necessários da sua base de dados.
Além disso, pode ser prudente evitar o armazenamento de dados em alguns casos. Por exemplo, os formulários de contato podem ser configurados para encaminhar diretamente toda a comunicação para o seu endereço de e-mail, em vez de serem armazenados em qualquer lugar do seu servidor.
(c) Uso de plugins – implicações da conformidade com o WordPress RGPD
Todos os plugins que usar também precisam de estar em conformidade com as regras do RGPD. Como proprietário de um site, ainda é da sua responsabilidade, garantir que cada plugin possa exportar / fornecer / apagar dados dos usuário coletados em conformidade com as regras do RGPD.
Isto ainda pode significar alguns momentos difíceis para alguns dos plugins mais populares por aí. Por exemplo, soluções como Gravity Forms ou Jetpack possuem vários módulos que coletam dados dos usuário por natureza. Como é que essas ferramentas se vão adequar ao RGPD?
Para os plugins, também se aplicam as mesmas regras, embora devam ser abordadas do ponto de vista do proprietário do site em WordPress. Cada plugin precisa estabelecer um fluxo de dados e informar sobre o processamento desses dados pessoais. Se for o autor de um plugin, considere fornecer aos usuários do seu plugin uma adenda que eles possam adicionar aos termos e condições dos seus websites de modo a torná-los compatíveis com o RGPD. O Gravity Forms, por exemplo, precisa informar ao usuário como os dados pessoais que estão a ser preenchidos num formulário de contato serão publicados e uma opção para removê-los, se necessário.
Embora não tenha havido comunicação oficial dos autores dos plugins mais populares do WordPress, o Twitter do Jetpack confirmou que eles se estão a preparar para o GDPR, e novas atualizações aparecerão com novos recursos relacionados à privacidade.
Nenhum outro plugin parece ter disponibilizado, para já, qualquer declaração relacionada a isso.
Além disso, um breve comentário do próprio Ionut Neagu – CEO da ThemeIsle e o responsável por todos os plug-ins disponíveis nas marcas ThemeIsle e Revive.Social:
O GDPR parece uma mudança enorme que todos devemos tratar muito seriamente e procurar soluções. Se há uma coisa que aprendemos com o IVA, é que a UE é bastante séria sobre estas coisas. Continuam a introduzir mais e mais regulamentos e, em seguida, criam novos mecanismos para reforçá-los. Esses 4% de multas não estão a cheirar bem.
Além disso, algumas ferramentas que ficam aparentemente fora do seu site WordPress também terão este impacto. Ferramentas de marketing por e-mail, por exemplo. São uma prática comum integrá-los num site WordPress e enviar e-mails promocionais com base em listas de endereços de e-mail. Dependendo de como executa os boletins informativos / listas, esses endereços podem não ter sido obtidos com o consentimento explícito dos usuários.
Por exemplo, uma caixa de seleção selecionada por padrão representa uma violação. De acordo com o RGPD, tudo o que faz parte da sua presença online como empresa terá de recolher explicitamente o consentimento e ter uma política de privacidade em vigor. Existem outras implicações – se deseja comprar uma lista de emails, está então a enviar e-mails ilegalmente para os seus destinatários, já que ninguém lhe pediu explicitamente para receber esses e-mails.
Embora a responsabilidade final recaia sobre o proprietário do site, o próprio WordPress pode ter que examinar os processos para se tornar compatível também. A partir de julho de 2017, uma pesquisa por RGPD não produziu nenhum resultado na página de ideias para o WordPress, o que sugere que não há alterações planeadas na estrutura e funcionamento do WordPress. A única mudança atribuída é a adição de uma política de privacidade para o WordPress.
Pensamentos finais
Para resumir o que significa tornar o WordPress compatível com RGPD:
- A lei entra em vigor em maio de 2018,
- Aplica-se a qualquer website que trate de informações pessoais de usuários da UE (leia-se: todos os sites WordPress),
- Dar ao usuário o direito de controlar o fluxo de suas informações pessoais,
- Existem processos definidos para monitorar a conformidade e existem grandes multas para a sua não-conformidade.
Resumindo, para tornar o seu site em WordPress compatível com RGPD, deve (1) investigar todas as maneiras diferentes de coletar dados de visitantes. Em seguida, (2) coloque mecanismos para garantir que os usuários possam controlar os seus dados. Além disso, (3) é provavelmente uma boa ideia evitar a coleta de dados de usuários quando isso não for necessário (como o exemplo num formulário de contato). E, o mais importante de tudo, (4) mesmo se estiver a usar ferramentas e soluções de terceiros, ainda é necessário garantir que elas sejam também compatíveis com o RGPD.
Caso, não tenha todos os itens acima resolvidos até maio de 2018, problemas na calha!
COLOCAR EM CONFORMIDADE COM O RELATÓRIO GERAL
Conheça o Plano de 13 passos RGPD
Infográfico: sage.pt
Bom dia Frederico, tenho de contratar um profissional para gerir a minha base de contactos?
Boas José. Tanto quanto sei, é obrigatório em alguns casos existir um Encarregado de Proteção de Dados (DOP) que tem de ser INDEPENDENTE e AUTÓNOMO.