O que é RGPD ou GDPR e como ele afeta websites?

RGPD

As siglas RGPD ou GDPR estão a causar inquietação em Portugal – e também em outros países do bloco europeu. Poucos parecem perceber do que se trata realmente e, mesmo mediante explicações dadas aqui e ali, permanecem dúvidas.

Para muitos empresários, com razão, parece ser apenas mais um subterfúgio para que consultorias ganhem rios de dinheiro com formações empurradas por legislações engraçadas. Porém, é um pouco mais do que isso. RGPD refere-se a Regulamento Geral de Proteção de Dados. Trata-se da versão em português da sigla original, GDPR, que em inglês significa General Data Protection Regulation.



Até então, empresas e a grande maioria dos websites tinham de limitar-se a incluir um botão em alguma parte do ecrã para usuários, alertando-os a respeito da utilização de “cookies” por parte do website. Como a grande maioria dos sistemas de websites de hoje, construídos em WordPress, Joomla, Drupal, Magento e outras plataformas utilizam os tais “cookies” para colher informações de navegação e acesso dos usuários, o aviso em forma de botão tornou-se praticamente uma regra em toda a Europa.

O RGPD, contudo, vai muito além de um simples botão no topo do navegador. A norma entra em vigor a partir de 25 de maio de 2018 e páginas oficiais já começam, em Portugal e em todo lado, a exibir contagens regressivas. Consultorias já armaram-se de formações para tentar explicar a empresários o porquê deverão gastar nisso. Embora o RGPD em nível europeu e mundial seja extremamente positivo, a verdade é que sob o olhar empresarial o principal aspeto que torna o investimento necessário é o risco de pesadas coimas e punições.

O que é RGPD?

Sob o aspeto jurídico, O RGPD, aprovado no Parlamento Europeu ainda em abril de 2016, visa regular a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Com isso, cai a Diretiva 95/46/CE. Para os que lidam com o campo legal, cursos de formação podem ser uma boa maneira de atualizar-se. O mesmo se diz de informáticos especializados na área de segurança da informação. Para empresários pequenos e médios, por outro lado, gastar fortunas que podem atingir quase € 2 mil para umas poucas horas de palestra sobre o tema é algo aviltante.

Investimentos far-se-ão necessários, mas se qualquer loja de licores ou vinhos regionais online tiver de pagar cursos de milhares de euros, ainda que apenas para proprietários ou dirigentes, teremos poucas empresas em Portugal a operar de facto até o final de 2018.

A MeuPPT propõe auxiliar o público a conseguir mais informação a respeito dessas novas normas de proteção da privacidade e, logo mais, também auxiliar o público a efetuar os ajustes que se farão necessários para qualquer tipo ou natureza de website.

O que é RGPD – coimas

Antes de mais nada, é preciso saber em detalhes o motivo pelo qual a maioria dos empresários precisa aderir às novas regras: as coimas aplicadas a casos de desconformidade. Caso uma empresa falhe ao atender às disposições do RGPD, valores de coimas poder-se-ão aplicar em dois diferentes escalões:

  • Nos casos menos graves, a coima poderá ter um valor até 10 milhões de Euros ou 2% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.
  • Nos casos mais graves, a coima poderá ter um valor até 20 milhões de Euros ou 4% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.

São documentos e disposições imensas, que podem ser encontrados no portal Proteção de Dados – embora alguns deles sequer possuam versões em português para já. A verdade é que, para empresas que não utilizam dados pessoais de clientes e usuários de forma intensa, cumprir com as disposições não será tarefa impossível. Ler as disposições e compreendê-las, por outro lado, pode ser um esforço ingrato e sem recompensas.

O que é RGPD – em resumo

De forma direta e clara, o RGPD cria a necessidade de informações claras e objetivas a todo e qualquer usuário do qual um website ou serviço web exija dados pessoais. Esses dados podem ter natureza diversas e não abrangem apenas nome, apelido, moradas ou números de documentos, mas também números de IP, informações sobre softwares e hardware utilizados, entre outros. O RGPD está baseado em direitos garantidos a cidadãos e obrigações a cumprir por parte de empresas e órgãos. À luz do novo regulamento, revalidam-se e ampliam-se os direitos pessoais a:

  1. Um acesso facilitado aos dados pessoais e afins
  2. Portabilidade desses dados e sua consequente transferência
  3. Exclusão completa e absoluta desses dados
  4. Tomar conhecimento de ameaças ou violações que venham a atingir tais dados pessoais

Em outras palavras, como os dados pessoais são de propriedade do cidadão, esse possui o direito de acedê-los, apagá-los, fazer uso deles da maneira que lhe convier e tomar ciência de qualquer tipo de utilização indevida ou corrupção desses dados, em qualquer circunstância. Ainda que muitos desses direitos fossem “pressupostos” até então, o RGPD torna-os legítimos, claros e invioláveis, criando novas obrigações para empresas e instituições que mantenham, sob qualquer período, esses dados para qualquer que seja o fim.

Esse conjunto aparentemente simples de direitos ratificados em favor do cidadão europeu cria, do ponto de vista tecnológico, um verdadeiro pandemónio. Formações ajudarão advogados e profissionais experimentados a lidar com as mudanças, mas não tornam a vida de nenhum empresário mais fácil. Sempre é positivo tomar ciência das minúcias que cercam novas normativas, contudo uma empresa precisa de soluções – e formações esclarecerão o problema para os versados, mas não o resolverão para aqueles que ainda estão a desesperar com mais uma regra a lhes cair sobre as cabeças.

Em primeiro lugar, algumas obrigações estendem-se apenas a empresas de imenso porte, aquelas que lidam com informações do público em grande escala ou entidades da administração pública – como a necessidade de possuir um encarregado da proteção de dados. Para todas as empresas, sem exceção, cabe a obrigação de informar com clareza, garantir a segurança dos dados de usuários e também criar ferramentas para que esses dados possam ser deletados, utilizados ou transferidos por seus donos sempre que queiram. A conceção de consentimento também torna-se mais rigorosa, e exigirá de empresas de qualquer porte uma maior seriedade em suas comunicações digitais e pedidos claros de permissão para seus usuários.

Nesta série, publicaremos diversos textos que esclarecerão de maneira mais profunda como websites comuns podem e devem operar para cumprir com o RGPD, e ofereceremos no momento oportuno ferramentas que auxiliarão o empresariado a lidar com tais mudanças, sem que milhares de euros de seus lucros sejam deitados água abaixo de uma hora para outra.

O que é RGPD – o que todo site precisará

Ao que interessa: o que todo site precisará, mesmo que não seja da administração público ou de empresa de porte. A segurança do usuário entrou em destaque com o RGPD, e portanto haverão os sites que se preocupar mais com esse detalhe. Para tanto, um site, mesmo que de uma empresa de pequeno porte, deverá preferencialmente possuir:

  • Um certificado SSL, ainda que gratuito
  • Configurações que tornem esse certificado útil em termos de segurança digital
  • Acesso apenas a dados essenciais do usuário
  • Política de uso de cookies, como havia antes
  • Declarações por escrito de como dados de usuários são mantidos, porque isso é feito e como ocorre seu processamento
  • No caso de cessão dos dados para terceiros, informação a respeito
  • Recolhimento do consentimento do usuário TODA vez que dados forem solicitados ou registados