gdpr europeu

GDPR Europeu – o que custará nossa privacidade?

Privacidade é uma das questões mais delicadas do mundo conectado no qual vivemos hoje. Entretanto, corre ao largo a segunda maior questão quando o assunto é a web: a experiência. A legislação imposta pela União Europeia em relação à privacidade, em tese, traz melhorias em termos de segurança para o usuário. Contudo, como tudo mais que é regulado por entidades governamentais, não faz questão alguma de primar pela experiência do usuário.

Todos já tivemos de ir dezenas de vezes aos mais variados órgãos públicos. Neles, um serviço é prestado (ou não…) de forma objetiva – aquilo que é estritamente necessário é geralmente entregue ao cidadão, sem floreios ou preocupações com detalhes como a comodidade, a experiência ou a satisfação.

O GDPR europeu, sem dúvida, é uma iniciativa que ataca frontalmente diversos problemas de segurança e violações e abusos a direitos pessoais à privacidade e titularidade de dados. Ainda assim, impõe regras em relação ao formato sem preocupar-se com a viabilidade técnica, a interferência em termos de usabilidade e experiência ou mesmo o gosto do usuário médio.

GDPR Europeu – um atentado à comodidade

Cliques, pop-ups, janelas de leitura, avisos – em virtude da maior privacidade do usuário, a morosidade e burocracia das conservatórias invadiu a rede. Não podemos mais simplesmente clicar, ler e sair: temos de concordar com políticas, dar consentimento e assinaturas a janelas que se abrem e receber toneladas de e-mails para consentir com aquilo que já havíamos consentido. Um ponto a mais para a privacidade e vinte pontos a menos para a usabilidade.

É bem verdade que muitos programadores e designers vêm tentando superar a barreira da burocracia causada pelo GDPR europeu, mas não parece algo simples. O minimalismo das plataformas dirigidas à melhor experiência do usuário agora só pode ser mínimo dentro dos limites impostos pela norma. Para que comodidade quando podemos ter segurança, certo?

Bom, não é tão certo como parece…

GDPR Europeu – comunicação em lugar da ação

Sempre nos pareceu, como empresários atuantes em mais de um país, que autoridades governamentais primam geralmente pela comunicação em lugar da ação. O que isso quer dizer? Bem, significa que, na eventualidade de problemas que venham a afetar diretamente o cidadão, comunicados são emitidos como forma de eximir autoridades da responsabilidade imediata. O clássico “fizemos algo de errado e agora iremos tomar medidas para revertê-lo”.

O problema da conotação futura aqui foi transferido para os ditames de transparência em relação ao vazamento e corrupção de dados no GDPR europeu. Empresas têm de possuir um DPO ou equivalente que informe aos usuários a ocorrência de problemas de vazamento de dados ou ameaças à segurança digital dos mesmos. Dentro desse comunicado, ações “propostas” e medidas de contenção são anunciadas. Uma boa política no tocante à transparência, porém algo que cheira mais a uma forma de empurrar o problema adiante ao invés de resolvê-lo.

Parece cínico, porém devemos pensar que os maiores processadores de dados pessoais e privados do mundo não são empresas, mas sim governos. O GDPR europeu, nesse sentido, oferece a autoridades a possibilidade de ganhar tempo precioso na eventualidade de invasões e ameaças digitais. Mas antes de qualquer juízo de valor, analisemos até que ponto o GDPR e as políticas de permissões a cookies e afins de facto reduzem ou inibem ameaças diretas aos dados de usuários no âmbito digital.

GDPR Europeu – consentimento não reduz riscos

Embora o argumento do consentimento em relação à privacidade e segurança de dados seja o grande bastião da nova norma, a verdade é que permissões concedidas a cookies e ferramentas de websites que consultamos não reduzem em absoluto os riscos aos quais nossos dados estão expostos. Sob a luz da nova lei, a redução de riscos apenas ocorre quando decidimos NÃO UTILIZAR certas ferramentas, o que não é exatamente uma vantagem, mas sim a negação do risco pela privação de um serviço.

Em termos reais, é como se tentássemos reduzir os riscos de acidentes de trânsito simplesmente deixando de comprar uma viatura. Durante a compra, nos seria submetido um formulário no qual damos consentimento à montadora de veículos para que faça uso de novas tecnologias em nossos automóveis que poderiam trazer riscos à segurança ou facilitar o roubo ou furto dos veículos. Caso não concordássemos, teríamos de optar por outras formas de transporte e desistir da compra. Estaríamos seguros em relação a acidentes e roubos de nossos bens, porém a pé.

A inundação de autorizações e consentimentos produz efeito similar, com uma única diferença: no caso de sites governamentais, a não concessão de alguns dos consentimentos acabaria por nos levar a ilegalidades. Se não concordamos com a forma com que as Finanças processam ou retêm nossos dados, simplesmente somos incapazes de utilizar o sistema e submeter documentos e informações que somos obrigados a fornecer – incorrendo em coimas e punições. Assim sendo, não há um verdadeiro “opt-out”. Claro que as disposições da norma preveem que serviços essenciais têm uma espécie de consentimento tácito, mas isso pressupõe que saibamos exatamente como e para quê autoridades utilizam nossos dados – e isso tampouco é uma verdade.

GDPR Europeu – pobre pequeno empreendedor

Sim, para PMEs, ainda que delas não se exijam os mesmos requisitos em relação ao GDPR, a nova norma é apenas mais uma barreira no caminho para o sucesso. Medo, desinformação, desconfiança, retração – o pequeno empresário ou novo empreendedor revê agora seus planos para não ter seus negócios destruídos por mais uma série de coimas e punições que poderiam advir de suas ações no mundo digital.

Para a grande empresa, grosso modo o GDPR europeu não vai muito além daquilo que departamentos de informática já teriam de estar a fazer. Normas ISO e políticas de segurança da informação já congregavam rotinas relacionadas ao consentimento e direitos do usuário e os processos já eram monitorados à luz do que o GDPR propõe. Para os gigantes, provavelmente haverá alguma necessidade de reestruturação naquilo que já existe, mas dificilmente um volume de gastos adicionais. Para o pequeno empreendedor, mais uma parcela dos possíveis lucros parece ter sido abocanhada – sem que qualquer vantagem real tenha sido adicionada, quer para ele mesmo ou para seus potenciais clientes.

GDPR Europeu – liberdade de comunicação para quê?

Esta é uma opinião da MeuPPT e não reflete quaisquer análises legais mais profundas. No entanto, afora empresas de qualquer porte, a verdade é que grande parte da internet nos dias de hoje e dos websites no ar são mantidos por pessoas. Os blogs são parte da cultura da sociedade há quase 20 anos e há muitas pessoas que de facto vivem deles. Outras pessoas apenas querem espairecer ou partilhar suas experiências com o mundo, por meio da rede.

A norma, infelizmente, não distingue de forma clara um blog pessoal de um website de uma empresa. A falta de atualização dos idealizadores da norma causa certo constrangimento, à medida que hoje em dia praticamente qualquer website ou blog processa dados de usuários. Vivemos num tempo no qual redes sociais, ferramentas web e blogs são integrados de forma automatizada – e tudo isso utiliza de algum modo cookies ou dados de navegadores e usuários para que possa funcionar.

Bloggers usam formulários de contacto, abrem comentários para seus leitores e ganham algum merecido troco por meio de anúncios automatizados do Google. Imputar a mesma responsabilidade a pessoas individuais que partilham e comunicam com o uso da internet para o “processamento de dados” que empresas é, no mínimo, falta de entendimento acerca de como funciona a tecnologia no século XXI.

Claro que nenhuns bloggers terão de contratar profissionais ou DPOs para zelar por seus dados, porém deles será exigido algum conhecimento técnico e preocupação. E isso, sob toda óptica, é ridículo. Em função do suposto ganho de privacidade a liberdade de comunicação poderá ver-se profundamente ameaçada. Quantos não desistirão de partilhar e participar online por conta dos riscos associados à “não-conformidade”? Aplicarão coimas a quem escreve um diário na internet apenas por não meter avisos e caixas de consentimento para todo lado?

Apenas para quem monetiza

A desculpa do regulamento está em seu Artigo 4º. Em tese, nem todos os que possuem um blog terão de preocupar-se com os ditames do GDPR Europeu – apenas aquelas “pessoas singulares que exercem alguma atividade económica”. A internet é hoje, como falamos, um ganha-pão para muitos. Profissionais liberais, artistas, blogueiros, escritores – gente que tem algo interessante a partilhar e é remunerada por seus próprios leitores, sem prejuízo dos mesmos.

Em troca de informação ou conteúdo bom e de interesse, nos prestamos a observar anúncios, preencher formulários com alguns dados pessoais ou efetuar registos com perfis de redes sociais. O GDPR argumenta que tudo isso é dito processamento de dados e surge na suposta preocupação a respeito do “vazamento” desses dados. Assim sendo, bloggers que auferem ganhos a partir de sua produção terão de:

  • Meter consentimentos e caixas de confirmação em tudo – desde a entrada do leitor, a passar por áreas de comentário, formulários de contacto e campos de retenção de emails para newsletters
  • Redigir políticas de privacidade, de cookies, argumentar o processo de fluxo e processamento de dados e tudo mais que a norma preveja e seja realizado por plugins ou integrações automatizadas no blog instaladas
  • Perceber de programação e desenvolvimento web, para descobrir até que ponto todo plugin ou ferramenta que usam de facto permite que se acedam os dados dos usuários ali recolhidos ou mantidos
  • Deixar de recolher emails de qualquer modo que não seja precedido de uma confirmação expressa do usuário
  • Investir em certificados de SSL para seus websites

Infelizmente, o nível enorme de complicações fará com que muitos que hoje produzem conteúdo de qualidade desistam. O conteúdo publicitário, desinteressante e institucional produzido por empresas diversas e mesmo por órgãos governamentais, contudo, permanecerá ali. Em outras palavras, organizações de grande porte, tranquilas em relação à conformidade com o GDPR Europeu e já munidas de departamentos de informática que terão na nova norma apenas mais uma incumbência continuarão livres para comunicar, sem grandes alterações.

Já pequenas empresas, freelancers, profissionais autónomos e mesmo pessoas singulares terão de pensar duas vezes e avaliar uma série de entraves burocráticos e técnicos antes de meter uma única linha de texto num blog. Ganham em privacidade? Talvez. Porém, até que ponto trocar liberdade pela relativa proteção de dados pessoais (e bastante relativa) constitui um bom negócio é um ponto para discussão ao longo dos próximos anos.

RGPD

GDPR e WordPress – o que esperar das próximas versões

O WordPress é o sistema de CMS mais popular do mundo… de longe. Com milhares de programadores em sua comunidade, novas versões sempre visam não apenas introduzir novas funcionalidades, mas corrigir defeitos, falhas de segurança e também alinhar o software às necessidades legais e protocolares.

O GDPR, o Regulamento Geral de Proteção de Dados, vem causando certo terror. Justificadamente, devemos dizer. Isso porque, convenhamos, as entidades que serão responsáveis pela fiscalização – e consequente e eventual aplicação de multas – não demonstram possuir domínio amplo a respeito dos patamares das tecnologias hoje utilizadas. Exigir compliance parece fácil quando barreiras técnicas e dificuldades processuais são completamente ignoradas.

GDPR e WordPress – o que está a acontecer nos bastidores?

Dezenas de plugins, patches e soluções estão a surgir. Grande parte não soluciona problema algum, outro tanto delas simplesmente atende a um ou a outro aspeto da nova norma. A verdade é que a solução para a questão do GDPR se dará, inevitavelmente, em partes e sob um processo contínuo de alinhamento e aprimoramento.

Mas, como dizíamos, o WordPress é hoje o CMS mais popular do mundo. E como tal, parecia impossível que sua comunidade não preocupasse a respeito da questão da nova lei europeia. A verdade, de facto, é que estão todos a trabalhar noites a fio para lidar com a situação. A próxima versão do WordPress, a versão 4.9.6, deverá adicionar um submenu à aba de “Opções” no backoffice. Ali constará uma aba de “Privacidade”, que inclusive deverá possuir a automatização para um texto de política de privacidade sugerido.

Na aba “Ferramentas”, a versão provavelmente contará com dois submenus – um para permitir a exportação de dados dos usuários que o requisitarem e outra ainda para garantir a possibilidade de remoção de dados (sob o exigido pelo “Direito a Ser Esquecido”, que consta no GDPR). Testámos a versão beta e ainda há inconsistências no funcionamento dessas novas ferramentas, o que deverá, contudo, ser solucionado até a data limite para entrada da lei em vigor.

GDPR e WordPress – por que é tão desafiador?

A nova regra do GDPR não implica em implementações simples, como era o caso do “Cookie Law”. Não basta ali meter apenas um botão ao canto e está tudo pronto. Se analisarmos sob o ponto de vista da comunicação online e do desenvolvimento e progresso dos negócios na web, o GDPR é sim extremamente negativo. É como se, de repente, trouxéssemos toda a morosidade das conservatórias para um ambiente que parecia estar a funcionar muito bem sem que nele mexessem.

Mas é lei – e embora isso implique em algumas escolhas, não aderir não é uma delas. Sob os ditames do GDPR, empresas a manter sites e sistemas em WordPress e outras plataformas têm de desenvolver funcionalidades e ferramentas que, minimamente, possam permitir:

  1. Que usuários e clientes corrijam ou peçam correção, transfiram ou migrem seus dados, possam apagar definitivamente seus perfis e dados e tenham um contacto sempre disponível para reclamações ou apontamentos.
  2. Que usuários optem ou não por estar sob a influência de cookies quando visitam os sites. Apenas avisar que os usa não mais é suficiente. O problema? Praticamente toda a aplicação ou ferramenta online

GDPR e WordPress – como lidar daqui para frente?

O WordPress é o CMS que mais rapidamente evolui e oferece ferramentas e plugins, vindos de uma imensa comunidade. Não desesperar é uma boa forma de começar. A flexibilidade do WordPress em termos de adaptações e reprogramações é um marco, e bastará programadores capazes para que sites possam ser ajustados até coincidir com as normas do GDPR. O prazo da entrada da lei em vigor está próximo – mas ainda há muito o regulamentar e, em termos práticos, muito ainda está por definir.

Para aqueles que já querem antecipar seus trabalhos, tenham de possuir um DPO ou não, sejam grandes ou pequenas empresas, podem estabelecer algumas prioridades em seus websites:

  • Comunicados e avisos mais claros ao usuário, com opções de saída ou não aceite visíveis
  • Melhorias na política de privacidade e detalhamento dos processos internos do site, ferramentas usadas e dados armazenados
  • Cuidados maiores com a segurança dos dados – backups em servidores, firewalls, ferramentas de encriptação
  • Um design mais intuitivo, que seja claro ao usuário e não tente enganá-lo em termos do que pode ou não esperar do conteúdo ali contido e do que é ou não feito com seus dados e informações a respeito de sua visita ao site

 

RGPD

GDPR – algumas ferramentas para preparar-se melhor

A MeuPPT, junto com seus parceiros, tem trabalhado em soluções para lidar com os desafios da adaptação do GDPR. Nossas soluções estão principalmente focadas, mas não apenas, no WordPress. Entretanto, outros desenvolvedores também vêm colocando no mercado plugins, scripts e serviços rápidos para lidar com o GDPR – e que não limitam-se apenas ao falatório que estão a propagar aqui e ali.

Há soluções para WordPress e outros sistemas – algumas delas bastante baratas e que lidam com parte dos inconvenientes das novas regras, especialmente no caso de pequenos sites e empresas.

GDPR – Plugins para WordPress

Em qualquer caso, é preciso avaliar funcionalidades e o que há de mudar. Nenhum plugin dispensa uma boa análise de seu website e processos de tráfego e armazenamento de dados, mas algumas obrigações dos webmasters e empresas com sites na internet serão globais. Para esses casos, há alguns plugins já em funcionamento. Nós mesmos já estamos a oferecer algum auxílio para nossos leitores usuários de WordPress, mais especificamente de lojas em WooCommerce, com um plugin que oferece algumas funcionalidades ligadas ao GDPR, à segurança e privacidade de dados.

Ultimate GDPR Compliance Toolkit for WordPress

Plugin para WordPress com diversas funcionalidades que ajudam a lidar com o GDPR. Desde o “rights to be forgotten”, passando pela política de cookies e privacidade e assessorando na emissão de relatórios e notificações sobre brechas de segurança. Hoje um dos plugins mais bem servidos para o GDPR e com um preço relativamente acessível, de cerca de € 35.

GDPR WordPress

GDPR Compliance & Cookie Consent WordPress Plugin

Opção um pouco mais em conta e com boas avaliações, parece abarcar a maioria dos aspetos do GDPR para WordPress. Embora mais fácil de instalar e utilizar que o plugin anterior, exige configurações e pode dar algum trabalho para aqueles que ainda não percebem muito bem a nova norma.

gdpr europeu

 


 

GDPR – Módulos para Prestashop

O Prestashop é outro sistema de CMS para lojas online bastante usado na Europa e no mundo. Há já alguns sistemas desenvolvidos para lidar com a questão do GDPR. No caso de lojas online, que lidam com dados por vezes sensíveis de clientes e alimentam newsletters e similares, adaptações ao GDPR podem ser ainda mais urgentes do que no caso de sites em WordPress.

GDPR PRO – Complete EU compliant integration

Em nossa análise, um plugin um pouco mais fraquinho. Embora cumpra os itens que promete, oferece algumas funcionalidades incompletas e esparsas – parece-nos que não está 100% desenvolvido para já. No entanto, oferece promessas de atualizações que parecem estar a ser cumpridas e é uma opção para testes nesse caso.

GDPR WordPress


 

GDPR – Grandes Empresas

Muitas grandes empresas terão custos realmente grandes com o compliance ao GDPR. Desde a contratação ou nomeação de um DPO, o profissional que responsabilizar-se-á por atender às normas, até a emissão de relatórios e documentos sem fim, que terão de ser constantemente atualizados. Nesses casos, não há muito plugin ou módulo que resolva a questão.

No entanto, algumas empresas começam a oferece softwares online que auxiliam o tracking e gestão de toda essa documentação (onde há burocratas, há novas oportunidades de fazer dinheiro com plataformas que facilitem a papelada). A inglesa GDPR Portal é um exemplo disso – embora com uma aplicação online que em muitos aspetos parece ainda somente razoável, conta com boa estrutura, excelente tutoriais em vídeo e uma lógica que parece realmente facilitar o trabalho de um DPO e o compliance para grandes empresas e processadores de dados.

Woocommerce gdpr

WooCommerce – o box de termos e condições no checkout

O Regulamento Geral de Proteção de Dados (RGPD) trará, em breve, necessidades imensas de segurança na web. Mas não é só isso: para muitas empresas (principalmente aquelas de e-commerce, que usam plataformas como o WooCommerce), é nos detalhes que problemas aparecerão e coimas farão sombra e ameaça a uma antes rentável atividade online.

Muitos dos plugins, temas e sistemas utilizados – tanto para WordPress e WooCommerce, como tratamos aqui, quanto para outras plataformas, simplesmente trazem muitas opções. Configurações que não mais acabam e dificuldades em flexibilizar-se a novos parâmetros, nesse caso a norma. (Leia até o final e confira nosso plugin WooCommerce GDPR Basics).

O WooCommerce é uma plataforma maravilhosa de vendas online, com imensa flexibilidade e funcionalidades poderosas, mesmo sem contar plugins e extensões. Entretanto, alguns detalhes simples podem deixar uma loja bem preparada à mercê de multas e punições. Como funcionalidade nativa, o WooCommerce permite ao administrador de um site colocar, no sopé da página de checkout, uma caixa de clicar na qual o usuário precisa assinalar, para que siga adiante.

Essa caixa pode ainda ser vinculada, em seu texto, a qualquer página existente do WordPress – a sugestão é meter um link para uma página de política de privacidade ou termos e condições, na qual todo tipo de informação a ser cobrada pelo RGPD, no futuro, tenha explícito consentimento do usuário.

De qualquer modo, as configurações do próprio WooCommerce dão conta de inserir de forma automatizada a caixa de seleção. Há, ainda assim, um único problema: quando o cliente clica e dá seu consentimento através do botão, ele passa à faturação na loja – contudo seu consentimento não é guardado pelo sistema. Ou seja, o usuário concede sua concordância com as condições, porém o empresário não guarda qualquer prova digital datada desse consentimento.

GDPR ou RGPD – é preciso resolver problemas

A grande maioria das formações e consultorias que vêm se multiplicando no entorno do novo regulamento europeu certamente apontará esse problema. Contudo, para além de dizer o que está errado, provavelmente não será oferecido um modo simples de contornar o inconveniente.

Woocommerce gdpr

Ferramenta e código simples permite que o consentimento do cliente seja armazenado na própria encomenda – expresso e com data.

Como falamos, o WooCommerce é um plugin poderoso e, principalmente, flexível e amigável a customizações e ao desenvolvimento de extensões e add-ons. Tendo isso dito, a MeuPPT resolveu oferecer um plugin simples. Começamos por atacar esse simples inconveniente nesse plugin, com duas simples configurações:

  1. Permitir ao proprietário de uma loja em WooCommerce guardar o registo do consentimento do cliente – que passa a figurar, datado, no registo da encomenda efetuada.
  2. Permitir que o mesmo registo seja enviado por e-mail para o respetivo cliente, uma vez confirmada sua encomenda.

Com esses dois simples passos, talvez economizemos para si algumas horas de programação ou sugestões que dariam voltas sem parar para chegar ao mesmo ponto. Claro que ainda é cedo: novos problemas surgirão. E, desde agora, estaremos sempre nos propondo a oferecer respostas simples – o RGPD ou GDPR pode ser importante, mas para o cotidiano do já exigido empresário médio, é apenas mais um grande problema com o qual terá de lidar.

woocommerce Gdpr basics 1.1.0

Transfira agora a versão 1.1.0 do plugin WooCommerce GDPR Basics, resolva seu problema conforme apontado no texto e aguarde por atualizações e novidades.