2018-04-10

O RGPD afeta o seu website?

Já analisou em que medida o RGPD [Regulamento Geral de Proteção de Dados] abrange o funcionamento do seu website e a informação que recolhe a partir dele?

Antes de mais o que é o RGPD?

RGPD é a sigla em português para Regulamento Geral de Proteção de Dados, ou em inglês GDPR.

Este é um regulamento da UE (2016/679) que estabelece as regras referentes à proteção, tratamento e livre circulação de dados pessoais das pessoas singulares em todos os países membros da União Europeia.

Pode ficar a saber mais saber este tema aqui.

Será que se aplica ao meu site?

O RGPD tem implicação nos websites se estes fizerem, de forma direta ou indireta, recolha de dados pessoais dos utilizadores.

De uma forma geral os sites que não utilizem formulários, tenham áreas privadas e/ou façam ligações a páginas com algum tipo de identificador pessoal (por exe: redes sociais) não têm que se preocupar. Mas se o site tem uma fonte de recolha de algum tipo de dados pessoais têm que desenvolver medidas para garantir a proteção dos dados pessoais.

Não esquecer, no entanto, que os cookies são uma forma de recolha de dados, existindo sempre a necessidade de ter uma referência ao armazenamento de cookies e forma de desativar essa recolha.

Qual o objetivo?

O GDPR tem como objetivo reforçar o direito dos cidadãos à proteção dos seus dados pessoais e tornar este direito mais simples e transparente, em particular na era digital em que a partilha de informação é fácil e imediata. Procura, essencialmente, trazer maior controlo às pessoas sobre os seus dados pessoais e construir uma maior confiança na utilização dos seus dados pelas empresas.

O regulamento exige a adoção de medidas técnicas e organizativas adequadas, tendo como referência princípios da proteção de dados desde a conceção e da proteção de dados por definição.

O GDPR aplica-se ao tratamento de dados pessoais efetuado no contexto de atividades no território da União da Europeia, independentemente de o tratamento ocorrer dentro ou fora da União. Ou seja, empresas fora da UE terão que cumprir com o regulamento se os seus serviços/ atividades ocorrerem no território da união.

Na prática o que há de novo?

Existem requisitos e obrigações novos em relação a anterior Lei de Proteção de dados pessoais, mas que estavam de alguma forma a ser considerados na legislação de comunicação e comércio eletrónica.

Alguns aspetos que se realça:

  • Assegurar que estão implementadas medidas de proteção adequadas, que garantam toda a cadeia relacionada com o site é abrangida;
  • A recolha de dados deve ter uma finalidade clara e o utilizador tem de ser informado, antes de tomar uma decisão;
  • Os dados pessoais a recolher deve ser apenas os necessários para a finalidade prevista e identificada;
  • O consentimento assume uma importância acrescida, em particular em situações de marketing, devendo existir um ato positivo claro do utilizador. As opções pré-validadas ou a omissão deixam de ser válidas para constituir um consentimento. Nos casos em que o tratamento sirva fins múltiplos, deverá ser dado um consentimento para todos esses fins.
    Na prática, formulários em que a opção "sim, aceito" já está pré-preenchida deixam de constituir consentimento. Por outro lado, cada finalidade deve ter uma ação distinta, por exemplo, marketing por sms, email ou correio devem ter aceitação distinta.;
  • Os direitos do utilizador são reforçados: Deve ser (possível) e fácil retirar o consentimento para um determinado tratamento. O utilizador tem direito à retificação, à portabilidade e ao esquecimento;
  • Quem é responsável pelo tratamento de dados têm de demonstrar a licitude do tratamento, sendo que quando o consentimento é obrigatório tem que fazer prova de que obteve o consentimento de cada utilizador. As violações passam a ter multas pesadas, que podem atingir os 20 000 000 EUR ou 4% do volume de negócios anual a nível mundial;

Quando é obrigatório?

A partir de 25 maio de 2018, as organizações abrangidas passam a ter que demonstrar conformidade com o regulamento.

Em resumo:

O RGPD é um regulamento europeu que impõe (novos) requisitos para o tratamento de dados pessoais, incluindo-se os dados recolhidos em websites.

O responsável pelo tratamento (organização que determina as finalidades e os meios de tratamento de dados pessoais) têm de garantir a proteção e segurança dos dados pessoais em toda a cadeia que, de alguma forma, possa interferir com os dados pessoais recolhidos (recolha, armazenamento, pessoal que acede e trata, transferência de dados,…).

As organizações devem assegurar o consentimento livre e explicito dos dados a utilizar em campanhas de marketing / comerciais.

As coimas podem assumir valores muito elevados.

Nota final:

Neste post apresentamos apenas alguns temas que merecem o nosso destaque, tendo como tema os websites, não deixe de consultar o regulamento (UE) 2016/679 para conhecer toda a sua abrangência e requisitos. Se necessitar de apoio, não hesite em contactar-nos.

O RGPD afeta o seu website?