O que está a mudar nos websites para que cumpram o RGPD?
Um dos principais focos do Regulamento Geral de Protecção de Dados é a transparência na recolha de dados do utilizador. Até há pouco um banner aparecia no inicio do seu website informando que o utilizador teria de activar “cookies” para navegar no seu website, e isto dava-lhe autorização para usar todo o tipo de “cookies”e estava mais ou menos tudo feito.
Neste momento à luz do RGPD vai precisar de muito mais para colher dados dos utilizadores, fornecer a informação exigida e obter os consentimentos correspondentes.
São todas estas novas funcionalidades que terão de estar presentes no seu website para que, também o seu website, o ajude a entrar em cumprimento e evitar as multas avultadas.
Os novos direito atribuídos ao portadores dos dados pessoais, nomeadamente o de informação, de acesso, de portabilidade (transferir os seus dados entre entidades) e o de esquecimento dos dados, vêm trazer também ao seu website necessidades de alteração. Não apenas no que é visível aos seus clientes (front-end) mas também na forma como gere as informações (backoffice).
Como tornar o seu website compatível com o RGPD?
1. Formulários de contacto
A qualquer recolha de dados terá de estar associada a justificação para a sua recolha, quais as finalidades, e o respetivo consentimento.
Solicite SEMPRE o consentimento - antes que o utilizador clique em "Enviar mensagem" - adicione uma caixa de selecção no formulário, onde descreve qual o uso que vai dará aos dados pessoais recolhidos.
Ou opte por prescindir dos formulários de contacto, disponibilize apenas o seu email. Passando para o cliente o acto de o contactar e a intenção de fornecer os dados pessoais.
2. Os consentimentos assumidos deixam de ser válidos
As caixas pré preenchidas que tem no seu website, em que o utilizador para recusar o consentimento teria de retirar o visto, deixam de ser considerados consentimentos válidos. As opções deveram aparecer em branco, e serem decisões explicitamente tomadas pelo utilizador.
Também os consentimentos que obteve no passado dentro deste formato perdem a legalidade, havendo necessidade de os solicitar novamente de acordo com as novas regras.
3. Separação clara entre Termos e Condições e Permissões de Contacto.
As permissões de contacto passam a aparecer em separado dos termos e condições do serviço. A concordar com os últimos não implica a aceitação das primeiras. Um cliente pode por exemplo aceitar os termos e condições determinados pela empresa para a utilização de determinado serviço, mas recusar ser contactado com fins de email marketing, newsletters, redes sociais.
4. Para cada uso um consentimento
Não basta pedir UM consentimento para processamento dos dados pessoais do utilizador. Cada tipo de utilização deve estar bem descrito, de forma simples e explicita, e deve corresponder um consentimento. Um cliente pode por exemplo aceitar receber notificação da data da próxima revisão do seu carro, mas recusar newsletters de novos produtos.
5. Tão fácil dizer não, como dizer sim
Os portadores dos dados pessoais passam a poder ter acesso aos seus dados, alterá-los e/ou apagá-los. E a retirada das permissões terá de ser tão simples e rápida como o consentimento.
Também a passagem dos dados pessoais a outras entidades a pedido do portador dos dados pessoais deverá ser assegurada, de forma simples e sem custos adicionais.
6. Parceiros & Terceiros
Caso partilhe a sua base de dados com terceiros, não basta dizer em que categorias de serviços eles se inserem, terá que os nomear. Tal como informar os seus clientes de que o está a fazer. E caso estas empresas estejam em incumprimento com o RGPD, também será chamado à responsabilidade.
7. Uma política de privacidade à luz do RGPD
Na nova política de privacidade deverá constar: a base legal e com que finalidades recolhe e procede ao tratamento de dados, qual o prazo de conservação dos dados e onde estão armazenados os dados pessoais.
Passa a ser obrigatório que as informações sejam fornecidas de forma concisa, inteligível e de fácil acesso, utilizando uma linguagem clara e simples. Os textos complexos e infindáveis perdem a validade legal.
8. Pagamentos online
Se usa gateways de pagamento para transacções financeiras, recolhe dados para transmitir a terceiros. Esses dados ficam armazenados na sua base de dados, deverá por isso definir por quanto tempo permanecerá com esses dados e quando, e como os vai eliminar.
9. Software de rastreamento
Algumas empresas usam soluções de software de automação de marketing de terceiros, desde rastreamento de leads ou rastreamento de chamadas. Deverá de forma clara e inequívoca assegurar que pelo menos o banner de utilização de cookies está a ser usado correctamente. No entanto, não deixe de verificar também se o seu fornecedor está em conformidade.
10. Google Analytics
Grande parte dos websites, atualmente, estão configurados para usar o Google Analytics para rastrear o comportamento do utilizador. A Google declarou estar a trabalhar no compromisso de cumprir a lei de proteção de dados aplicável - RGPD. Veja algumas das configurações que já se encontram disponíveis na secção da ajuda da Google Analytics.
11. E finalmente, o seu site e o CMS são seguros?
Os websites que usam HTTPS enviam dados por meio de uma conexão encriptada, é assim mais uma forma de garantir que os dados estão seguros. Trate de assegurar que o seu website tem um certificado SSL. Mas e o seu CMS (gestor de conteúdos)? Os websites construídos em Wordpress, como depende grande parte das suas funcionalidades de plugins, e também estes terão de estar ao abrigo do RGPD, tem um grande trabalho pela frente para o cumprimento. O Umbraco, também um gestor de conteúdos, como não depende de terceiros nem de plugins, já se encontra em cumprimento mesmo antes de 25 de maio. Veja o que têm feito para assegurar que cumprem o RGPD e como o podem ajudar também a cumprir.
UMBRACO & RGPD, O GESTOR DE CONTEÚDOS QUE O AJUDA A CUMPRIR
Uma grande lista, e isto apenas no que se refere a websites, e nem cheguei a falar de pseodonimização de dados nem de registo de actividade de login, questões muito mais técnicas.
Na verdade toda a sua forma de trabalhar terá de ser alterada. Analise que dados a sua empresa está a recolher neste momento. Precisa efectivamente deles? Que utilizações está a dar-lhes? Como é que consegue assegurar os novos direitos aos seus utilizadores?