RGPD e DPOs – certificação NÃO é uma exigência

Com base naquilo que temos lido aqui e ali a respeito do Regulamento Geral de Proteção de Dados (RGPD), cabe-nos tranquilizar empresas, especialmente as pequenas, de um aspeto extremamente relevante: certificações e acreditações NÃO são uma exigência.

O mercado português atual é notadamente repleto de desnecessidades certificatórias em todo canto, porém vale lembrar de dois fatores muito importantes:

  • Primeiro, o Projeto de Lei 120, que regulamentaria o RGPD em sua aplicação e execução em Portugal, foi chumbado pelo Parlamento e criticado pela própria Comissão Nacional de Proteção de Dados (CNPD). E mesmo nesse documento, que estabelecia mecanismos e normas contraditórios ao posto no RGPD, as certificações não eram uma exigência – seja para controladores de dados ou para os encarregados ou DPOs.
  • Em segundo lugar, em relação a qualquer discussão que se trave no tocante a certificações exigidas para empresas de qualquer porte, o artigo 42º do RGPD, em seu item nº3, é absolutamente direto: “a certificação é voluntária e está disponível através de um processo transparente.”

De igual maneira, estipula-se no RGPD que o encarregado da proteção de dados deva ser alguém com conhecimento e domínio das prerrogativas legais e também técnicas do disposto na norma. Em outras palavras, pode ser um advogado, um informático, mas também outro profissional qualquer. O DPO pode ser um membro da equipa existente de uma empresa, designado para tal, e pode desempenhar outras funções que não a de DPO. Finalmente, pode-se nomear um DPO terceiro, prestador de serviços.

Um pouco de cinismo

O número estarrecedor de entidades a ofertar certificações e formações de DPO na atualidade, contudo, lança uma cortina de fumaça naquilo que está disposto no regulamento. Faz parecer que certificações para o RGPD ou para assumir o papel de DPO, aqui no país das formações, são uma exigência. Novamente: “certificação NÃO é uma exigência”. Obviamente que, caso sua empresa processe dados de clientes e empregados em grande volume, deverá preferir apontar uma pessoa capaz, com conhecimento amplo em segurança da informação, aspetos jurídicos relacionados e rotinas informáticas. No entanto, tais qualificações já podem ser comprovadas por outros certificados e diplomas.

Ademais, parece pouco provável que, em tão pouco tempo, já estejamos a dispor de um sem número de instituições especializadas em uma matéria que, até então, sequer foi regulamentada de forma própria pelo Legislativo e ainda cria discussões entre aqueles que serão os responsáveis pela fiscalização e auditoria em relação à norma. Parece estranho que, se o tema ainda segue em discussão inclusive no campo das autoridades de controlo, haja quem seja capaz de certificar com tamanha precisão e certeza.

Senso comum

Por mais intricada que pareça, a legislação presente no RGPD foi originada do senso comum. São as pessoas as titulares dos dados. Empresas são os controladores dos dados que requisitam e assumem responsabilidade sobre tal. O mesmo ocorre com aqueles que os processam em nome desses controladores. Autoridades envolvidas são basicamente as mesmas que já atuavam no tema há 20 anos.

Elementos e direitos assegurados ao usuário já constavam do regime do DPD, emitido em 1995 pela Directiva 95/46/EC sobre processamento de dados pessoais. Boas práticas que constam de normas como as da família ISO 26000 também estão em linha com muito do que vemos no regulamento europeu atual.

É o momento de tranquilizar um pouco o empresariado e também os produtores de conteúdo na internet, mostrando-lhes que a adoção das novas práticas pode ser algo simples e menos custoso do que estavam a esperar.

Privacidade por Defeito

Caros leitores – “privacidade por defeito” não existe

Chamou-nos a atenção, durante nossos recentes trabalhos para construir uma base de dados acerca das normas do RGPD, um pequeno erro que pode vir a causar imensos problemas e dúvidas em uma matéria já complicada por si só.

Um dos conceitos mais importantes no segmento do web design, sob a égide do Regulamento Geral de Proteção de Dados, é a definição da privacidade “by design” e “by default“. O artigo 25º do RGPD europeu trata exclusivamente desse ponto. No documento original, o conceito de “design” foi mantido, enquanto o conceito de “default” foi aportuguesado para o incompreensível “defeito”.

Não existe “privacidade por defeito”

É bem verdade que a palavra inglesa “default” oferece, dentre seus vários significados, o conceito de “falha”, “falhanço” ou “defeito”. No entanto, ao mesmo tempo, pode significar um “padrão”. Basta lembrar das configurações de alguns softwares, como o Windows, que vêm com um caráter “default” em suas definições – em outras palavras, configurações padrão ou vindas de fábrica. Do mesmo modo, muitos dentro da comunidade informática sugerem “por omissão”, o que funciona tão bem quanto (e certamente de modo melhor do que “defeito”).

Advogados ou especialistas, já tomados pela definição “oficial” do conceito, argumentarão no sentido de sua correção. Mas, convenhamos, em bom português, analisemos o texto da medida nesse trecho:

O responsável pelo tratamento aplica medidas técnicas e organizativas para assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento.

Agora, só por questões experimentais, tentemos substituir o termo pelo outro significado da palavra “default”, a ver se passa a fazer algum sentido:

O responsável pelo tratamento aplica medidas técnicas e organizativas para assegurar que, por padrão / por omissão, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento.

Parece-nos óbvio que a segunda frase traz maior correção em suas determinações. O “privacy by default” implica, em resumo, que sistemas informáticos e bases de dados que lidem com dados pessoais devam ser configurados e ajustados para que, como padrão e não alternativa, utilizem-se apenas daqueles dados estritamente necessários para que conduzam seus propósitos de processamento.

Novamente, uma falha menor de tradução e adaptação, mas que pode levantar uma questão interessante: quantas falhas mais encontrar-se-ão no texto da norma?

Por que devemos corrigir?

O RGPD é um conjunto de normas que nos afeta a todos. Qualquer um que mantenha negócios ou atividades online (e mesmo offline, em alguns casos), precisa de estar em linha com os ditames da lei europeia. Nas incontáveis formações que explodiram em solo português a respeito do RGPD, não há uma única a aclarar o sentido verdadeiro de tal norma. Nesse sentido, e se o objetivo das formações é meramente o de repetir de forma literal o disposto no texto legal, melhor seria para cada um simplesmente transferir os ficheiros oficiais e lê-los com atenção e cuidado.

Moodle

GDPR Europeu – um bom motivo para atualizar seu Moodle

Praticamente todas as formações em b-learning ou com ferramentas digitais em Portugal utilizam um mesmo sistema de CMS – o Moodle. O Moodle é um CMS exclusivamente desenvolvido para fins educacionais, portanto chamado de LMS (Learning Management System). À luz do novo GDPR europeu, que estabelece novos padrões de privacidade, o sistema também é alvo de consideráveis mudanças.

Para quem possui ou usa o Moodle em formações, uma atualização pode ser vital e inadiável.

Infelizmente para muitos, atualizar o sistema como o Moodle não é exatamente uma tarefa simples. Não basta, como ocorre com o WordPress ou o Joomla, carregar num botão e esperar por alguns segundos. É por essa e outras razões que geralmente indicamos outras soluções de CMS para a criação de formações online – contudo, se já está a operar em Moodle, pode encontrar informações de como proceder uma atualização na página oficial da aplicação.

Moodle e GDPR – histórico

Em 19 de Março, o Moodle teve lançadas as suas versões 3.3.5 e 3.4.2, preparadas para suportar a instalação de dois módulos adicionais à aplicação, desenvolvidos especificamente para implementar o GDPR europeu e dar-lhe respaldo. A versão 3.5 do Moodle, que foi lançada em maio de 2018, incorpora esses dois módulos e toda a funcionalidade requerida pelo GDPR.

Estes novos módulos contemplam a seguinte funcionalidade:

Processo de admissão de novos utilizadores, o que passa a incluir:

  • Exibir todas as políticas de privacidade necessárias;
  • Listar e solicitar consentimento para cada entidade que pode ter acesso aos dados pessoais;
  • Estabelecer o processo para o consentimento de menores de idade;
  • Obter e registar cada consentimento específico dado por cada utilizador;
  • Gerir atualizações e versões de todas as políticas.

Processo para cumprir os direitos de um utilizador em particular, incluindo:

  • Pedido para consultar toda a informação do utilizador no Moodle;
  • Pedido para apagar toda a informação pessoal identificável do Moodle;
  • Pedido para modificar a informação do utilizador;
  • Funcionalidade para administrador processar os pedidos anteriores
  • Permitir configurar período de retenção para os dados pessoais guardado pelas várias atividades.

Tudo excelente, mas com um único problema: atualizar. Como referimos, lidar com atualizações e modificações de módulos no Moodle não é simples como ocorre com outros sistemas. O resultado, como era de se esperar, será algum investimento para tal. Se a mudança de versões for muito agressiva – 2.X para 3.5, por exemplo – há imensos problemas que podem ocorrer e os próprios criadores do Moodle recomendam uma série de passos que envolve testes, backups e depuração de erros em PHP. Em outras palavras, haverá de contratar um informático para lidar com a questão.

Por outro lado, pode ser esta uma oportunidade para avaliar a migração para outro tipo de ferramenta de LMS, como colocamos em post anterior nosso.

gdpr europeu

GDPR Europeu – o que custará nossa privacidade?

Privacidade é uma das questões mais delicadas do mundo conectado no qual vivemos hoje. Entretanto, corre ao largo a segunda maior questão quando o assunto é a web: a experiência. A legislação imposta pela União Europeia em relação à privacidade, em tese, traz melhorias em termos de segurança para o usuário. Contudo, como tudo mais que é regulado por entidades governamentais, não faz questão alguma de primar pela experiência do usuário.

Todos já tivemos de ir dezenas de vezes aos mais variados órgãos públicos. Neles, um serviço é prestado (ou não…) de forma objetiva – aquilo que é estritamente necessário é geralmente entregue ao cidadão, sem floreios ou preocupações com detalhes como a comodidade, a experiência ou a satisfação.

O GDPR europeu, sem dúvida, é uma iniciativa que ataca frontalmente diversos problemas de segurança e violações e abusos a direitos pessoais à privacidade e titularidade de dados. Ainda assim, impõe regras em relação ao formato sem preocupar-se com a viabilidade técnica, a interferência em termos de usabilidade e experiência ou mesmo o gosto do usuário médio.

GDPR Europeu – um atentado à comodidade

Cliques, pop-ups, janelas de leitura, avisos – em virtude da maior privacidade do usuário, a morosidade e burocracia das conservatórias invadiu a rede. Não podemos mais simplesmente clicar, ler e sair: temos de concordar com políticas, dar consentimento e assinaturas a janelas que se abrem e receber toneladas de e-mails para consentir com aquilo que já havíamos consentido. Um ponto a mais para a privacidade e vinte pontos a menos para a usabilidade.

É bem verdade que muitos programadores e designers vêm tentando superar a barreira da burocracia causada pelo GDPR europeu, mas não parece algo simples. O minimalismo das plataformas dirigidas à melhor experiência do usuário agora só pode ser mínimo dentro dos limites impostos pela norma. Para que comodidade quando podemos ter segurança, certo?

Bom, não é tão certo como parece…

GDPR Europeu – comunicação em lugar da ação

Sempre nos pareceu, como empresários atuantes em mais de um país, que autoridades governamentais primam geralmente pela comunicação em lugar da ação. O que isso quer dizer? Bem, significa que, na eventualidade de problemas que venham a afetar diretamente o cidadão, comunicados são emitidos como forma de eximir autoridades da responsabilidade imediata. O clássico “fizemos algo de errado e agora iremos tomar medidas para revertê-lo”.

O problema da conotação futura aqui foi transferido para os ditames de transparência em relação ao vazamento e corrupção de dados no GDPR europeu. Empresas têm de possuir um DPO ou equivalente que informe aos usuários a ocorrência de problemas de vazamento de dados ou ameaças à segurança digital dos mesmos. Dentro desse comunicado, ações “propostas” e medidas de contenção são anunciadas. Uma boa política no tocante à transparência, porém algo que cheira mais a uma forma de empurrar o problema adiante ao invés de resolvê-lo.

Parece cínico, porém devemos pensar que os maiores processadores de dados pessoais e privados do mundo não são empresas, mas sim governos. O GDPR europeu, nesse sentido, oferece a autoridades a possibilidade de ganhar tempo precioso na eventualidade de invasões e ameaças digitais. Mas antes de qualquer juízo de valor, analisemos até que ponto o GDPR e as políticas de permissões a cookies e afins de facto reduzem ou inibem ameaças diretas aos dados de usuários no âmbito digital.

GDPR Europeu – consentimento não reduz riscos

Embora o argumento do consentimento em relação à privacidade e segurança de dados seja o grande bastião da nova norma, a verdade é que permissões concedidas a cookies e ferramentas de websites que consultamos não reduzem em absoluto os riscos aos quais nossos dados estão expostos. Sob a luz da nova lei, a redução de riscos apenas ocorre quando decidimos NÃO UTILIZAR certas ferramentas, o que não é exatamente uma vantagem, mas sim a negação do risco pela privação de um serviço.

Em termos reais, é como se tentássemos reduzir os riscos de acidentes de trânsito simplesmente deixando de comprar uma viatura. Durante a compra, nos seria submetido um formulário no qual damos consentimento à montadora de veículos para que faça uso de novas tecnologias em nossos automóveis que poderiam trazer riscos à segurança ou facilitar o roubo ou furto dos veículos. Caso não concordássemos, teríamos de optar por outras formas de transporte e desistir da compra. Estaríamos seguros em relação a acidentes e roubos de nossos bens, porém a pé.

A inundação de autorizações e consentimentos produz efeito similar, com uma única diferença: no caso de sites governamentais, a não concessão de alguns dos consentimentos acabaria por nos levar a ilegalidades. Se não concordamos com a forma com que as Finanças processam ou retêm nossos dados, simplesmente somos incapazes de utilizar o sistema e submeter documentos e informações que somos obrigados a fornecer – incorrendo em coimas e punições. Assim sendo, não há um verdadeiro “opt-out”. Claro que as disposições da norma preveem que serviços essenciais têm uma espécie de consentimento tácito, mas isso pressupõe que saibamos exatamente como e para quê autoridades utilizam nossos dados – e isso tampouco é uma verdade.

GDPR Europeu – pobre pequeno empreendedor

Sim, para PMEs, ainda que delas não se exijam os mesmos requisitos em relação ao GDPR, a nova norma é apenas mais uma barreira no caminho para o sucesso. Medo, desinformação, desconfiança, retração – o pequeno empresário ou novo empreendedor revê agora seus planos para não ter seus negócios destruídos por mais uma série de coimas e punições que poderiam advir de suas ações no mundo digital.

Para a grande empresa, grosso modo o GDPR europeu não vai muito além daquilo que departamentos de informática já teriam de estar a fazer. Normas ISO e políticas de segurança da informação já congregavam rotinas relacionadas ao consentimento e direitos do usuário e os processos já eram monitorados à luz do que o GDPR propõe. Para os gigantes, provavelmente haverá alguma necessidade de reestruturação naquilo que já existe, mas dificilmente um volume de gastos adicionais. Para o pequeno empreendedor, mais uma parcela dos possíveis lucros parece ter sido abocanhada – sem que qualquer vantagem real tenha sido adicionada, quer para ele mesmo ou para seus potenciais clientes.

GDPR Europeu – liberdade de comunicação para quê?

Esta é uma opinião da MeuPPT e não reflete quaisquer análises legais mais profundas. No entanto, afora empresas de qualquer porte, a verdade é que grande parte da internet nos dias de hoje e dos websites no ar são mantidos por pessoas. Os blogs são parte da cultura da sociedade há quase 20 anos e há muitas pessoas que de facto vivem deles. Outras pessoas apenas querem espairecer ou partilhar suas experiências com o mundo, por meio da rede.

A norma, infelizmente, não distingue de forma clara um blog pessoal de um website de uma empresa. A falta de atualização dos idealizadores da norma causa certo constrangimento, à medida que hoje em dia praticamente qualquer website ou blog processa dados de usuários. Vivemos num tempo no qual redes sociais, ferramentas web e blogs são integrados de forma automatizada – e tudo isso utiliza de algum modo cookies ou dados de navegadores e usuários para que possa funcionar.

Bloggers usam formulários de contacto, abrem comentários para seus leitores e ganham algum merecido troco por meio de anúncios automatizados do Google. Imputar a mesma responsabilidade a pessoas individuais que partilham e comunicam com o uso da internet para o “processamento de dados” que empresas é, no mínimo, falta de entendimento acerca de como funciona a tecnologia no século XXI.

Claro que nenhuns bloggers terão de contratar profissionais ou DPOs para zelar por seus dados, porém deles será exigido algum conhecimento técnico e preocupação. E isso, sob toda óptica, é ridículo. Em função do suposto ganho de privacidade a liberdade de comunicação poderá ver-se profundamente ameaçada. Quantos não desistirão de partilhar e participar online por conta dos riscos associados à “não-conformidade”? Aplicarão coimas a quem escreve um diário na internet apenas por não meter avisos e caixas de consentimento para todo lado?

Apenas para quem monetiza

A desculpa do regulamento está em seu Artigo 4º. Em tese, nem todos os que possuem um blog terão de preocupar-se com os ditames do GDPR Europeu – apenas aquelas “pessoas singulares que exercem alguma atividade económica”. A internet é hoje, como falamos, um ganha-pão para muitos. Profissionais liberais, artistas, blogueiros, escritores – gente que tem algo interessante a partilhar e é remunerada por seus próprios leitores, sem prejuízo dos mesmos.

Em troca de informação ou conteúdo bom e de interesse, nos prestamos a observar anúncios, preencher formulários com alguns dados pessoais ou efetuar registos com perfis de redes sociais. O GDPR argumenta que tudo isso é dito processamento de dados e surge na suposta preocupação a respeito do “vazamento” desses dados. Assim sendo, bloggers que auferem ganhos a partir de sua produção terão de:

  • Meter consentimentos e caixas de confirmação em tudo – desde a entrada do leitor, a passar por áreas de comentário, formulários de contacto e campos de retenção de emails para newsletters
  • Redigir políticas de privacidade, de cookies, argumentar o processo de fluxo e processamento de dados e tudo mais que a norma preveja e seja realizado por plugins ou integrações automatizadas no blog instaladas
  • Perceber de programação e desenvolvimento web, para descobrir até que ponto todo plugin ou ferramenta que usam de facto permite que se acedam os dados dos usuários ali recolhidos ou mantidos
  • Deixar de recolher emails de qualquer modo que não seja precedido de uma confirmação expressa do usuário
  • Investir em certificados de SSL para seus websites

Infelizmente, o nível enorme de complicações fará com que muitos que hoje produzem conteúdo de qualidade desistam. O conteúdo publicitário, desinteressante e institucional produzido por empresas diversas e mesmo por órgãos governamentais, contudo, permanecerá ali. Em outras palavras, organizações de grande porte, tranquilas em relação à conformidade com o GDPR Europeu e já munidas de departamentos de informática que terão na nova norma apenas mais uma incumbência continuarão livres para comunicar, sem grandes alterações.

Já pequenas empresas, freelancers, profissionais autónomos e mesmo pessoas singulares terão de pensar duas vezes e avaliar uma série de entraves burocráticos e técnicos antes de meter uma única linha de texto num blog. Ganham em privacidade? Talvez. Porém, até que ponto trocar liberdade pela relativa proteção de dados pessoais (e bastante relativa) constitui um bom negócio é um ponto para discussão ao longo dos próximos anos.

RGPD

GDPR e WordPress – o que esperar das próximas versões

O WordPress é o sistema de CMS mais popular do mundo… de longe. Com milhares de programadores em sua comunidade, novas versões sempre visam não apenas introduzir novas funcionalidades, mas corrigir defeitos, falhas de segurança e também alinhar o software às necessidades legais e protocolares.

O GDPR, o Regulamento Geral de Proteção de Dados, vem causando certo terror. Justificadamente, devemos dizer. Isso porque, convenhamos, as entidades que serão responsáveis pela fiscalização – e consequente e eventual aplicação de multas – não demonstram possuir domínio amplo a respeito dos patamares das tecnologias hoje utilizadas. Exigir compliance parece fácil quando barreiras técnicas e dificuldades processuais são completamente ignoradas.

GDPR e WordPress – o que está a acontecer nos bastidores?

Dezenas de plugins, patches e soluções estão a surgir. Grande parte não soluciona problema algum, outro tanto delas simplesmente atende a um ou a outro aspeto da nova norma. A verdade é que a solução para a questão do GDPR se dará, inevitavelmente, em partes e sob um processo contínuo de alinhamento e aprimoramento.

Mas, como dizíamos, o WordPress é hoje o CMS mais popular do mundo. E como tal, parecia impossível que sua comunidade não preocupasse a respeito da questão da nova lei europeia. A verdade, de facto, é que estão todos a trabalhar noites a fio para lidar com a situação. A próxima versão do WordPress, a versão 4.9.6, deverá adicionar um submenu à aba de “Opções” no backoffice. Ali constará uma aba de “Privacidade”, que inclusive deverá possuir a automatização para um texto de política de privacidade sugerido.

Na aba “Ferramentas”, a versão provavelmente contará com dois submenus – um para permitir a exportação de dados dos usuários que o requisitarem e outra ainda para garantir a possibilidade de remoção de dados (sob o exigido pelo “Direito a Ser Esquecido”, que consta no GDPR). Testámos a versão beta e ainda há inconsistências no funcionamento dessas novas ferramentas, o que deverá, contudo, ser solucionado até a data limite para entrada da lei em vigor.

GDPR e WordPress – por que é tão desafiador?

A nova regra do GDPR não implica em implementações simples, como era o caso do “Cookie Law”. Não basta ali meter apenas um botão ao canto e está tudo pronto. Se analisarmos sob o ponto de vista da comunicação online e do desenvolvimento e progresso dos negócios na web, o GDPR é sim extremamente negativo. É como se, de repente, trouxéssemos toda a morosidade das conservatórias para um ambiente que parecia estar a funcionar muito bem sem que nele mexessem.

Mas é lei – e embora isso implique em algumas escolhas, não aderir não é uma delas. Sob os ditames do GDPR, empresas a manter sites e sistemas em WordPress e outras plataformas têm de desenvolver funcionalidades e ferramentas que, minimamente, possam permitir:

  1. Que usuários e clientes corrijam ou peçam correção, transfiram ou migrem seus dados, possam apagar definitivamente seus perfis e dados e tenham um contacto sempre disponível para reclamações ou apontamentos.
  2. Que usuários optem ou não por estar sob a influência de cookies quando visitam os sites. Apenas avisar que os usa não mais é suficiente. O problema? Praticamente toda a aplicação ou ferramenta online

GDPR e WordPress – como lidar daqui para frente?

O WordPress é o CMS que mais rapidamente evolui e oferece ferramentas e plugins, vindos de uma imensa comunidade. Não desesperar é uma boa forma de começar. A flexibilidade do WordPress em termos de adaptações e reprogramações é um marco, e bastará programadores capazes para que sites possam ser ajustados até coincidir com as normas do GDPR. O prazo da entrada da lei em vigor está próximo – mas ainda há muito o regulamentar e, em termos práticos, muito ainda está por definir.

Para aqueles que já querem antecipar seus trabalhos, tenham de possuir um DPO ou não, sejam grandes ou pequenas empresas, podem estabelecer algumas prioridades em seus websites:

  • Comunicados e avisos mais claros ao usuário, com opções de saída ou não aceite visíveis
  • Melhorias na política de privacidade e detalhamento dos processos internos do site, ferramentas usadas e dados armazenados
  • Cuidados maiores com a segurança dos dados – backups em servidores, firewalls, ferramentas de encriptação
  • Um design mais intuitivo, que seja claro ao usuário e não tente enganá-lo em termos do que pode ou não esperar do conteúdo ali contido e do que é ou não feito com seus dados e informações a respeito de sua visita ao site

 

Woocommerce gdpr

WooCommerce – o box de termos e condições no checkout

O Regulamento Geral de Proteção de Dados (RGPD) trará, em breve, necessidades imensas de segurança na web. Mas não é só isso: para muitas empresas (principalmente aquelas de e-commerce, que usam plataformas como o WooCommerce), é nos detalhes que problemas aparecerão e coimas farão sombra e ameaça a uma antes rentável atividade online.

Muitos dos plugins, temas e sistemas utilizados – tanto para WordPress e WooCommerce, como tratamos aqui, quanto para outras plataformas, simplesmente trazem muitas opções. Configurações que não mais acabam e dificuldades em flexibilizar-se a novos parâmetros, nesse caso a norma. (Leia até o final e confira nosso plugin WooCommerce GDPR Basics).

O WooCommerce é uma plataforma maravilhosa de vendas online, com imensa flexibilidade e funcionalidades poderosas, mesmo sem contar plugins e extensões. Entretanto, alguns detalhes simples podem deixar uma loja bem preparada à mercê de multas e punições. Como funcionalidade nativa, o WooCommerce permite ao administrador de um site colocar, no sopé da página de checkout, uma caixa de clicar na qual o usuário precisa assinalar, para que siga adiante.

Essa caixa pode ainda ser vinculada, em seu texto, a qualquer página existente do WordPress – a sugestão é meter um link para uma página de política de privacidade ou termos e condições, na qual todo tipo de informação a ser cobrada pelo RGPD, no futuro, tenha explícito consentimento do usuário.

De qualquer modo, as configurações do próprio WooCommerce dão conta de inserir de forma automatizada a caixa de seleção. Há, ainda assim, um único problema: quando o cliente clica e dá seu consentimento através do botão, ele passa à faturação na loja – contudo seu consentimento não é guardado pelo sistema. Ou seja, o usuário concede sua concordância com as condições, porém o empresário não guarda qualquer prova digital datada desse consentimento.

GDPR ou RGPD – é preciso resolver problemas

A grande maioria das formações e consultorias que vêm se multiplicando no entorno do novo regulamento europeu certamente apontará esse problema. Contudo, para além de dizer o que está errado, provavelmente não será oferecido um modo simples de contornar o inconveniente.

Woocommerce gdpr

Ferramenta e código simples permite que o consentimento do cliente seja armazenado na própria encomenda – expresso e com data.

Como falamos, o WooCommerce é um plugin poderoso e, principalmente, flexível e amigável a customizações e ao desenvolvimento de extensões e add-ons. Tendo isso dito, a MeuPPT resolveu oferecer um plugin simples. Começamos por atacar esse simples inconveniente nesse plugin, com duas simples configurações:

  1. Permitir ao proprietário de uma loja em WooCommerce guardar o registo do consentimento do cliente – que passa a figurar, datado, no registo da encomenda efetuada.
  2. Permitir que o mesmo registo seja enviado por e-mail para o respetivo cliente, uma vez confirmada sua encomenda.

Com esses dois simples passos, talvez economizemos para si algumas horas de programação ou sugestões que dariam voltas sem parar para chegar ao mesmo ponto. Claro que ainda é cedo: novos problemas surgirão. E, desde agora, estaremos sempre nos propondo a oferecer respostas simples – o RGPD ou GDPR pode ser importante, mas para o cotidiano do já exigido empresário médio, é apenas mais um grande problema com o qual terá de lidar.

woocommerce Gdpr basics 1.1.0

Transfira agora a versão 1.1.0 do plugin WooCommerce GDPR Basics, resolva seu problema conforme apontado no texto e aguarde por atualizações e novidades.

RGPD

O que é RGPD ou GDPR e como ele afeta websites?

As siglas RGPD ou GDPR estão a causar inquietação em Portugal – e também em outros países do bloco europeu. Poucos parecem perceber do que se trata realmente e, mesmo mediante explicações dadas aqui e ali, permanecem dúvidas.

Para muitos empresários, com razão, parece ser apenas mais um subterfúgio para que consultorias ganhem rios de dinheiro com formações empurradas por legislações engraçadas. Porém, é um pouco mais do que isso. RGPD refere-se a Regulamento Geral de Proteção de Dados. Trata-se da versão em português da sigla original, GDPR, que em inglês significa General Data Protection Regulation.

Até então, empresas e a grande maioria dos websites tinham de limitar-se a incluir um botão em alguma parte do ecrã para usuários, alertando-os a respeito da utilização de “cookies” por parte do website. Como a grande maioria dos sistemas de websites de hoje, construídos em WordPress, Joomla, Drupal, Magento e outras plataformas utilizam os tais “cookies” para colher informações de navegação e acesso dos usuários, o aviso em forma de botão tornou-se praticamente uma regra em toda a Europa.

O RGPD, contudo, vai muito além de um simples botão no topo do navegador. A norma entra em vigor a partir de 25 de maio de 2018 e páginas oficiais já começam, em Portugal e em todo lado, a exibir contagens regressivas. Consultorias já armaram-se de formações para tentar explicar a empresários o porquê deverão gastar nisso. Embora o RGPD em nível europeu e mundial seja extremamente positivo, a verdade é que sob o olhar empresarial o principal aspeto que torna o investimento necessário é o risco de pesadas coimas e punições.

O que é RGPD?

Sob o aspeto jurídico, O RGPD, aprovado no Parlamento Europeu ainda em abril de 2016, visa regular a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Com isso, cai a Diretiva 95/46/CE. Para os que lidam com o campo legal, cursos de formação podem ser uma boa maneira de atualizar-se. O mesmo se diz de informáticos especializados na área de segurança da informação. Para empresários pequenos e médios, por outro lado, gastar fortunas que podem atingir quase € 2 mil para umas poucas horas de palestra sobre o tema é algo aviltante.

Investimentos far-se-ão necessários, mas se qualquer loja de licores ou vinhos regionais online tiver de pagar cursos de milhares de euros, ainda que apenas para proprietários ou dirigentes, teremos poucas empresas em Portugal a operar de facto até o final de 2018.

A MeuPPT propõe auxiliar o público a conseguir mais informação a respeito dessas novas normas de proteção da privacidade e, logo mais, também auxiliar o público a efetuar os ajustes que se farão necessários para qualquer tipo ou natureza de website.

O que é RGPD – coimas

Antes de mais nada, é preciso saber em detalhes o motivo pelo qual a maioria dos empresários precisa aderir às novas regras: as coimas aplicadas a casos de desconformidade. Caso uma empresa falhe ao atender às disposições do RGPD, valores de coimas poder-se-ão aplicar em dois diferentes escalões:

  • Nos casos menos graves, a coima poderá ter um valor até 10 milhões de Euros ou 2% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.
  • Nos casos mais graves, a coima poderá ter um valor até 20 milhões de Euros ou 4% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.

São documentos e disposições imensas, que podem ser encontrados no portal Proteção de Dados – embora alguns deles sequer possuam versões em português para já. A verdade é que, para empresas que não utilizam dados pessoais de clientes e usuários de forma intensa, cumprir com as disposições não será tarefa impossível. Ler as disposições e compreendê-las, por outro lado, pode ser um esforço ingrato e sem recompensas.

O que é RGPD – em resumo

De forma direta e clara, o RGPD cria a necessidade de informações claras e objetivas a todo e qualquer usuário do qual um website ou serviço web exija dados pessoais. Esses dados podem ter natureza diversas e não abrangem apenas nome, apelido, moradas ou números de documentos, mas também números de IP, informações sobre softwares e hardware utilizados, entre outros. O RGPD está baseado em direitos garantidos a cidadãos e obrigações a cumprir por parte de empresas e órgãos. À luz do novo regulamento, revalidam-se e ampliam-se os direitos pessoais a:

  1. Um acesso facilitado aos dados pessoais e afins
  2. Portabilidade desses dados e sua consequente transferência
  3. Exclusão completa e absoluta desses dados
  4. Tomar conhecimento de ameaças ou violações que venham a atingir tais dados pessoais

Em outras palavras, como os dados pessoais são de propriedade do cidadão, esse possui o direito de acedê-los, apagá-los, fazer uso deles da maneira que lhe convier e tomar ciência de qualquer tipo de utilização indevida ou corrupção desses dados, em qualquer circunstância. Ainda que muitos desses direitos fossem “pressupostos” até então, o RGPD torna-os legítimos, claros e invioláveis, criando novas obrigações para empresas e instituições que mantenham, sob qualquer período, esses dados para qualquer que seja o fim.

Esse conjunto aparentemente simples de direitos ratificados em favor do cidadão europeu cria, do ponto de vista tecnológico, um verdadeiro pandemónio. Formações ajudarão advogados e profissionais experimentados a lidar com as mudanças, mas não tornam a vida de nenhum empresário mais fácil. Sempre é positivo tomar ciência das minúcias que cercam novas normativas, contudo uma empresa precisa de soluções – e formações esclarecerão o problema para os versados, mas não o resolverão para aqueles que ainda estão a desesperar com mais uma regra a lhes cair sobre as cabeças.

Em primeiro lugar, algumas obrigações estendem-se apenas a empresas de imenso porte, aquelas que lidam com informações do público em grande escala ou entidades da administração pública – como a necessidade de possuir um encarregado da proteção de dados. Para todas as empresas, sem exceção, cabe a obrigação de informar com clareza, garantir a segurança dos dados de usuários e também criar ferramentas para que esses dados possam ser deletados, utilizados ou transferidos por seus donos sempre que queiram. A conceção de consentimento também torna-se mais rigorosa, e exigirá de empresas de qualquer porte uma maior seriedade em suas comunicações digitais e pedidos claros de permissão para seus usuários.

Nesta série, publicaremos diversos textos que esclarecerão de maneira mais profunda como websites comuns podem e devem operar para cumprir com o RGPD, e ofereceremos no momento oportuno ferramentas que auxiliarão o empresariado a lidar com tais mudanças, sem que milhares de euros de seus lucros sejam deitados água abaixo de uma hora para outra.

O que é RGPD – o que todo site precisará

Ao que interessa: o que todo site precisará, mesmo que não seja da administração público ou de empresa de porte. A segurança do usuário entrou em destaque com o RGPD, e portanto haverão os sites que se preocupar mais com esse detalhe. Para tanto, um site, mesmo que de uma empresa de pequeno porte, deverá preferencialmente possuir:

  • Um certificado SSL, ainda que gratuito
  • Configurações que tornem esse certificado útil em termos de segurança digital
  • Acesso apenas a dados essenciais do usuário
  • Política de uso de cookies, como havia antes
  • Declarações por escrito de como dados de usuários são mantidos, porque isso é feito e como ocorre seu processamento
  • No caso de cessão dos dados para terceiros, informação a respeito
  • Recolhimento do consentimento do usuário TODA vez que dados forem solicitados ou registados