O RGPD é um regulamento da UE que irá entrar em funcionamento a 25 de Maio de 2018.
É imediato tornar o seu website compatível com o RGPD, pois as multas são bastante sérias – até 20 milhões de euros.
No dia 25 de maio de 2018, o RGPD (Regulamento Geral de Proteção de Dados) promulgado pela UE irá entrar em vigor. O seu website desenvolvido em wordpress, é compatível com RGPD?
Verifique aqui as etapas que deve seguir para garantir que segue todas as directrizes?
Este conteúdo irá ajudá-lo a estar pronto quando o regulamento entrar em ação.
- Primeiro, vamos verificar em detalhe as diretrizes do RGPD, as áreas específicas da sua empresa que as directrizes afectam e por que deve estar preocupado com a conformidade com o RGPD.
- Finalmente, discutiremos as implicações do uso de plugins em sites com wordpress e como a sua conformidade com a RGPD pode ser afetada.
O que é o RGPD?
O RGPD, sigla de Regulamento Geral de Proteção de Dados e é uma nova lei de proteção de dados na UE, que entra em vigor em 25 de maio de 2018.
O objectivo do RGPD é dar aos cidadãos da UE o controlo sobre os seus dados pessoais e mudar a abordagem das organizações de todo o mundo para a privacidade dos seus dados.
O RGPD fornece regras muito mais concretas sobre as leis existentes e é muito mais restritivo do que a “lei de cookies da UE”.
Por exemplo, os utilizadores devem confirmar que seus dados podem ser recolhidos, deve haver uma política de privacidade clara que mostre quais dados serão armazenados, como eles serão usados e fornecer ao utilizador o direito de retirar o consentimento para o uso de dados (consequentemente, excluindo os dados), se necessário.
A lei RGPD aplica-se aos dados recolhidos sobre cidadãos da UE de qualquer lugar do mundo. Como consequência, um website com qualquer visitante ou cliente da UE deve cumprir o RGPD, o que significa que praticamente todos os sites e empresas devem obedecer.
Para entender melhor o regulamento, consulte a publicação dos regulamentos no Site Oficial da União Europeia, que define todos os termos relacionados com a lei. Há dois aspectos principais do GDPR: “dados pessoais” e “processamento de dados pessoais”. Veja como isso se relaciona com o desenvolvimento de um website em wordpress:
- Os dados pessoais dizem respeito a “qualquer informação relativa a uma pessoa singular identificada ou identificável” – como nome, email, endereço ou até mesmo um endereço IP.
- Enquanto o processamento de dados pessoais refere-se a “qualquer operação ou conjunto de operações que são realizadas em dados pessoais”. Portanto, uma simples operação de armazenar um endereço IP nos registros do servidor web constitui o processamento de dados pessoais de um utilizador.
O RGPD deve ser levado a sério?
Os Desenvolvedores Web têm até maio de 2018 para cumprir os regulamentos estabelecidos pelo RGPD. A penalidade pelo descumprimento pode ser de 4% da faturação global anual, até um máximo de 20 milhões de euros.
Existem vários níveis de penalidades de acordo com a gravidade da violação, que foram descritas na secção FAQ do portal GDPR.
No entanto, pode-se questionar acerca dos passos para a supervisão de sites que estão em vigor. Autoridades de Supervisão (AS) de diferentes estados membros serão criadas, com o total apoio da lei. Cada estado membro pode ter várias ASs, dependendo das estruturas constitucionais, administrativas e organizacionais. Existem vários poderes que os ASs terão:
-
- Realizar auditorias em sites,
- Emitir avisos de não conformidade,
- Emitir medidas corretivas a serem seguidas com prazos.
As ASs têm poderes investigativos e corretivos para verificar a conformidade com a lei e sugerir mudanças para serem compatíveis.
É demasiado cedo para especular como as ASs dos vários Estados membros se vão interligar ou trabalham juntas. Mas as ASs desfrutam de poder para aplicar as directrizes da RGPD.
Os detalhes da conformidade do WordPress com o RGPD
Esquecendo por um pouco todas as informações oficiais, vamos falar sobre como garantir que um website esteja em conformidade e que não haverá problemas com o RGPD num site em WordPress.
Antes de passar para cada um dos aspectos e ver como cumpri-los, uma auditoria de segurança ao seu website WordPress deve, em geral, revelar como os dados estão a ser processados e armazenados nos seus servidores e que etapas necessárias para cumprir o RGPD. O plugin Log de Auditoria de Segurança pode ajudá-lo a realizar uma auditoria de segurança no seu site.
Algumas formas padrão do WordPress coletar dados do usuário:
- registos de utilizadores,
- comentários,
- envio de formulário de contato,
- analítica e soluções de log de tráfego,
- quaisquer outras ferramentas e plugins de registo,
- ferramentas de segurança e plugins.
Aqui estão alguns aspectos importantes do WordPress RGPD que os utilizadores precisam de saber:
(a) Notificação de violação
De acordo com a conformidade do RGPD, se o seu site obtiver uma violação de dados de qualquer tipo, essa violação deverá ser comunicada aos utilizadores.
Uma violação de dados pode resultar num risco para os direitos e liberdades dos indivíduos, devido ao fato de que notificar os utilizadores em tempo útil será obrigatório. De acordo com o RGPD, a notificação deve ser enviada no prazo de 72 horas após o primeiro conhecimento de uma violação. Os processadores de dados também são obrigados a notificar os usuários, bem como os controladores de dados, imediatamente após tomar conhecimento de uma violação de dados.
Num cenário WordPress, ao obter uma violação de dados, será necessário notificar todos os afetados por essa violação dentro do prazo estabelecido. No entanto, a complexidade aqui é a definição do termo “usuário” – pode constituir usuários regulares do site, envios de formulários de contato e, potencialmente, até mesmo os comentários em blogs.
Esta cláusula do RGPD cria, assim, um requisito legal para avaliar e monitorar a segurança do seu site. A maneira ideal é monitorar o tráfego da web e os logs do servidor da web, mas uma opção prática é usar o plug-in do Wordfence com as notificações ativas. Em geral, essa cláusula incentiva a pessoa a usar as melhores práticas de segurança disponíveis para garantir que violações de dados não ocorrem.
b) Recolha, processamento e armazenamento de dados
Três elementos: Direito ao acesso, direito a ser esquecido e portabilidade de dados.
O direito de acesso fornece aos usuários total transparência no processamento e armazenamento de dados – quais os pontos de dados que estão a ser coletados, onde esses pontos de dados estão a ser processados e armazenados e o motivo por trás dessa coleta, processamento e armazenamento de dados. Os usuários também poderão solicitar uma cópia dos seus dados sem custos, e terão de obter a resposta dentro de 40 dias.
O direito de ser esquecido oferece aos usuários a opção de apagar os seus dados pessoais e interromper a coleta e o processamento dos dados. Esse processo envolve o usuário retirando o consentimento para que seus dados pessoais sejam usados.
A cláusula de portabilidade de dados do GDPR fornece aos usuários o direito de baixar seus dados pessoais, para os quais eles previamente deram o consentimento, e ainda transmitir esses dados para um controlador diferente.
A privacidade por design incentiva os controladores a aplicarem políticas de dados que permitem o processamento e o armazenamento de apenas os dados absolutamente necessários. Isso incentiva os proprietários e controladores de sites a adotar políticas potencialmente mais seguras para dados, limitando o acesso ao número de pontos de dados.
Como proprietário de um site em WordPress, primeiro é preciso publicar uma política detalhada sobre quais os pontos de dados pessoais que está a usar, como estão a ser processados e armazenados e para que efeito.
De seguida, é necessário haver uma configuração que permita fornecer aos usuários uma cópia dos seus dados. Esta é talvez a parte mais difícil do processo. No entanto, podemos supor que, quando chegar a hora, a maioria dos autores de plugin ou outras ferramentas já terá apresentado as suas próprias soluções para esse efeito.
No entanto, ainda é aconselhável ter um sistema implementado para derivar os dados necessários da sua base de dados.
Além disso, pode ser prudente evitar o armazenamento de dados em alguns casos. Por exemplo, os formulários de contato podem ser configurados para encaminhar diretamente toda a comunicação para o seu endereço de e-mail, em vez de serem armazenados em qualquer lugar do seu servidor.
(c) Utilização de plugins – implicações da conformidade com o WordPress RGPD
Todos os plugins que usar também precisam de estar em conformidade com as regras do RGPD. Como proprietário de um site, ainda é da sua responsabilidade, garantir que cada plugin possa exportar / fornecer / apagar dados dos usuário coletados em conformidade com as regras do RGPD.
Isto ainda pode significar alguns momentos difíceis para alguns dos plugins mais populares por aí. Por exemplo, soluções como Gravity Forms ou Jetpack possuem vários módulos que coletam dados dos usuário por natureza. Como é que essas ferramentas se vão adequar ao RGPD?
Para os plugins, também se aplicam as mesmas regras, embora devam ser abordadas do ponto de vista do proprietário do site em WordPress. Cada plugin precisa estabelecer um fluxo de dados e informar sobre o processamento desses dados pessoais. Se for o autor de um plugin, considere fornecer aos usuários do seu plugin uma adenda que eles possam adicionar aos termos e condições dos seus websites de modo a torná-los compatíveis com o RGPD. O Gravity Forms, por exemplo, precisa informar ao usuário como os dados pessoais que estão a ser preenchidos num formulário de contato serão publicados e uma opção para removê-los, se necessário.
Embora não tenha havido comunicação oficial dos autores dos plugins mais populares do WordPress, o Twitter do Jetpack confirmou que eles se estão a preparar para o GDPR, e novas actualizações aparecerão com novos recursos relacionados à privacidade.
Além disso, algumas ferramentas que ficam aparentemente fora do seu site WordPress também terão este impacto. Ferramentas de marketing por e-mail, por exemplo. São uma prática comum integrá-los num site WordPress e enviar e-mails promocionais com base em listas de endereços de e-mail. Dependendo de como executa os boletins informativos / listas, esses endereços podem não ter sido obtidos com o consentimento explícito dos usuários.
Por exemplo, uma caixa de seleção selecionada por padrão representa uma violação. De acordo com o RGPD, tudo o que faz parte da sua presença online como empresa terá de recolher explicitamente o consentimento e ter uma política de privacidade em vigor. Existem outras implicações – se deseja comprar uma lista de emails, está então a enviar e-mails ilegalmente para os seus destinatários, já que ninguém lhe pediu explicitamente para receber esses e-mails.
Embora a responsabilidade final recaia sobre o proprietário do site, o próprio WordPress pode ter que examinar os processos para se tornar compatível também. A partir de julho de 2017, uma pesquisa por RGPD não produziu nenhum resultado na página de ideias para o WordPress, o que sugere que não há alterações planeadas na estrutura e funcionamento do WordPress. A única mudança atribuída é a adição de uma política de privacidade para o WordPress.
Notas finais
Para resumir o que significa tornar o WordPress compatível com RGPD:
- A lei entra em vigor em maio de 2018,
- Aplica-se a qualquer website que trate de informações pessoais de usuários da UE (leia-se: todos os sites WordPress),
- Dar ao usuário o direito de controlar o fluxo de suas informações pessoais,
- Existem processos definidos para monitorar a conformidade e existem grandes multas para a sua não-conformidade.
Resumindo, para tornar o seu site em WordPress compatível com RGPD, deve (1) investigar todas as maneiras diferentes de coletar dados de visitantes. Em seguida, (2) coloque mecanismos para garantir que os usuários possam controlar os seus dados. Além disso, (3) é provavelmente uma boa ideia evitar a coleta de dados de usuários quando isso não for necessário (como o exemplo num formulário de contato). E, o mais importante de tudo, (4) mesmo se estiver a usar ferramentas e soluções de terceiros, ainda é necessário garantir que elas sejam também compatíveis com o RGPD.
Como podemos ajudar?
Estamos a preparar um Serviço direccionado (RGPD Corner) para este efeito:
- Auditoria ao seu website com as notas de melhoria e viabilidade de implementação;
- Possibilidade de migração gratuita para os nosso servidores dedicados para este efeito;
- Alojamento do seu website em servidor preparado para o efeito, garantindo as normas do RGPD;
- Aplicação e integração de certificado SSl (oferta no 1º ano) de forma a garantir a encriptação entre o browser do utilizador e o website, e vice-versa;
- Adaptação do seu website para o funcionamento segundo as normas do RGPD (a verificar caso a caso);
- Monitorização do funcionamento do website para garantir a correta e adequada utilização segundo as normas do RGPD.
Assim, propomos-lhe este serviço integrado. Para mais informações consulte-nos o mais breve possível.