RGPD

GDPR e WordPress – o que esperar das próximas versões

O WordPress é o sistema de CMS mais popular do mundo… de longe. Com milhares de programadores em sua comunidade, novas versões sempre visam não apenas introduzir novas funcionalidades, mas corrigir defeitos, falhas de segurança e também alinhar o software às necessidades legais e protocolares.

O GDPR, o Regulamento Geral de Proteção de Dados, vem causando certo terror. Justificadamente, devemos dizer. Isso porque, convenhamos, as entidades que serão responsáveis pela fiscalização – e consequente e eventual aplicação de multas – não demonstram possuir domínio amplo a respeito dos patamares das tecnologias hoje utilizadas. Exigir compliance parece fácil quando barreiras técnicas e dificuldades processuais são completamente ignoradas.

GDPR e WordPress – o que está a acontecer nos bastidores?

Dezenas de plugins, patches e soluções estão a surgir. Grande parte não soluciona problema algum, outro tanto delas simplesmente atende a um ou a outro aspeto da nova norma. A verdade é que a solução para a questão do GDPR se dará, inevitavelmente, em partes e sob um processo contínuo de alinhamento e aprimoramento.

Mas, como dizíamos, o WordPress é hoje o CMS mais popular do mundo. E como tal, parecia impossível que sua comunidade não preocupasse a respeito da questão da nova lei europeia. A verdade, de facto, é que estão todos a trabalhar noites a fio para lidar com a situação. A próxima versão do WordPress, a versão 4.9.6, deverá adicionar um submenu à aba de “Opções” no backoffice. Ali constará uma aba de “Privacidade”, que inclusive deverá possuir a automatização para um texto de política de privacidade sugerido.

Na aba “Ferramentas”, a versão provavelmente contará com dois submenus – um para permitir a exportação de dados dos usuários que o requisitarem e outra ainda para garantir a possibilidade de remoção de dados (sob o exigido pelo “Direito a Ser Esquecido”, que consta no GDPR). Testámos a versão beta e ainda há inconsistências no funcionamento dessas novas ferramentas, o que deverá, contudo, ser solucionado até a data limite para entrada da lei em vigor.

GDPR e WordPress – por que é tão desafiador?

A nova regra do GDPR não implica em implementações simples, como era o caso do “Cookie Law”. Não basta ali meter apenas um botão ao canto e está tudo pronto. Se analisarmos sob o ponto de vista da comunicação online e do desenvolvimento e progresso dos negócios na web, o GDPR é sim extremamente negativo. É como se, de repente, trouxéssemos toda a morosidade das conservatórias para um ambiente que parecia estar a funcionar muito bem sem que nele mexessem.

Mas é lei – e embora isso implique em algumas escolhas, não aderir não é uma delas. Sob os ditames do GDPR, empresas a manter sites e sistemas em WordPress e outras plataformas têm de desenvolver funcionalidades e ferramentas que, minimamente, possam permitir:

  1. Que usuários e clientes corrijam ou peçam correção, transfiram ou migrem seus dados, possam apagar definitivamente seus perfis e dados e tenham um contacto sempre disponível para reclamações ou apontamentos.
  2. Que usuários optem ou não por estar sob a influência de cookies quando visitam os sites. Apenas avisar que os usa não mais é suficiente. O problema? Praticamente toda a aplicação ou ferramenta online

GDPR e WordPress – como lidar daqui para frente?

O WordPress é o CMS que mais rapidamente evolui e oferece ferramentas e plugins, vindos de uma imensa comunidade. Não desesperar é uma boa forma de começar. A flexibilidade do WordPress em termos de adaptações e reprogramações é um marco, e bastará programadores capazes para que sites possam ser ajustados até coincidir com as normas do GDPR. O prazo da entrada da lei em vigor está próximo – mas ainda há muito o regulamentar e, em termos práticos, muito ainda está por definir.

Para aqueles que já querem antecipar seus trabalhos, tenham de possuir um DPO ou não, sejam grandes ou pequenas empresas, podem estabelecer algumas prioridades em seus websites:

  • Comunicados e avisos mais claros ao usuário, com opções de saída ou não aceite visíveis
  • Melhorias na política de privacidade e detalhamento dos processos internos do site, ferramentas usadas e dados armazenados
  • Cuidados maiores com a segurança dos dados – backups em servidores, firewalls, ferramentas de encriptação
  • Um design mais intuitivo, que seja claro ao usuário e não tente enganá-lo em termos do que pode ou não esperar do conteúdo ali contido e do que é ou não feito com seus dados e informações a respeito de sua visita ao site

 

RGPD

GDPR – algumas ferramentas para preparar-se melhor

A MeuPPT, junto com seus parceiros, tem trabalhado em soluções para lidar com os desafios da adaptação do GDPR. Nossas soluções estão principalmente focadas, mas não apenas, no WordPress. Entretanto, outros desenvolvedores também vêm colocando no mercado plugins, scripts e serviços rápidos para lidar com o GDPR – e que não limitam-se apenas ao falatório que estão a propagar aqui e ali.

Há soluções para WordPress e outros sistemas – algumas delas bastante baratas e que lidam com parte dos inconvenientes das novas regras, especialmente no caso de pequenos sites e empresas.

GDPR – Plugins para WordPress

Em qualquer caso, é preciso avaliar funcionalidades e o que há de mudar. Nenhum plugin dispensa uma boa análise de seu website e processos de tráfego e armazenamento de dados, mas algumas obrigações dos webmasters e empresas com sites na internet serão globais. Para esses casos, há alguns plugins já em funcionamento. Nós mesmos já estamos a oferecer algum auxílio para nossos leitores usuários de WordPress, mais especificamente de lojas em WooCommerce, com um plugin que oferece algumas funcionalidades ligadas ao GDPR, à segurança e privacidade de dados.

Ultimate GDPR Compliance Toolkit for WordPress

Plugin para WordPress com diversas funcionalidades que ajudam a lidar com o GDPR. Desde o “rights to be forgotten”, passando pela política de cookies e privacidade e assessorando na emissão de relatórios e notificações sobre brechas de segurança. Hoje um dos plugins mais bem servidos para o GDPR e com um preço relativamente acessível, de cerca de € 35.

GDPR WordPress

GDPR Compliance & Cookie Consent WordPress Plugin

Opção um pouco mais em conta e com boas avaliações, parece abarcar a maioria dos aspetos do GDPR para WordPress. Embora mais fácil de instalar e utilizar que o plugin anterior, exige configurações e pode dar algum trabalho para aqueles que ainda não percebem muito bem a nova norma.

gdpr europeu

 


 

GDPR – Módulos para Prestashop

O Prestashop é outro sistema de CMS para lojas online bastante usado na Europa e no mundo. Há já alguns sistemas desenvolvidos para lidar com a questão do GDPR. No caso de lojas online, que lidam com dados por vezes sensíveis de clientes e alimentam newsletters e similares, adaptações ao GDPR podem ser ainda mais urgentes do que no caso de sites em WordPress.

GDPR PRO – Complete EU compliant integration

Em nossa análise, um plugin um pouco mais fraquinho. Embora cumpra os itens que promete, oferece algumas funcionalidades incompletas e esparsas – parece-nos que não está 100% desenvolvido para já. No entanto, oferece promessas de atualizações que parecem estar a ser cumpridas e é uma opção para testes nesse caso.

GDPR WordPress


 

GDPR – Grandes Empresas

Muitas grandes empresas terão custos realmente grandes com o compliance ao GDPR. Desde a contratação ou nomeação de um DPO, o profissional que responsabilizar-se-á por atender às normas, até a emissão de relatórios e documentos sem fim, que terão de ser constantemente atualizados. Nesses casos, não há muito plugin ou módulo que resolva a questão.

No entanto, algumas empresas começam a oferece softwares online que auxiliam o tracking e gestão de toda essa documentação (onde há burocratas, há novas oportunidades de fazer dinheiro com plataformas que facilitem a papelada). A inglesa GDPR Portal é um exemplo disso – embora com uma aplicação online que em muitos aspetos parece ainda somente razoável, conta com boa estrutura, excelente tutoriais em vídeo e uma lógica que parece realmente facilitar o trabalho de um DPO e o compliance para grandes empresas e processadores de dados.

RGPD e plugins

RGPD ou GDPR – quanto menos plugins melhor

O WordPress é uma plataforma sensacional. Criado inicialmente como ferramenta de CMS, ou gestão de conteúdos, hoje faz bem mais que isso. Os plugins são capazes de adicionar novas funcionalidades ao sistema e transformar o WordPress em verdadeiras aplicações na nuvem.

Entretanto, à luz do Regulamento Geral de Proteção de Dados (RGPD), a versão portuguesa do GDPR europeu, todos esses plugins terão de cumprir com as disposições do novo regulamento. Isso significa que websites e portais que utilizam 20, 30 ou mesmo mais de 50 plugins (e são comuns), terão de garantir que todos eles cumprem com as normas. Sempre que um plugin, add-on ou software não cumprir com os requisitos de privacidade e segurança, será penalizado não o desenvolvedor desse sistema – mas sim a empresa que o utiliza.

A MeuPPT lida com WordPress quase desde o início da plataforma. E, emitindo uma opinião a respeito da possibilidade de garantir que todos esses plugins estejam em compliance: é IMPOSSÍVEL.

Plugins e RGPD

Os plugins atualmente não parecem estar particularmente preparados para atender ao RGPD e às novas regras de privacidade na Europa. O fato é que a maioria dos principais desenvolvedores dos plugins mais populares da comunidade WordPress estão nos Estados Unidos:

  • WooCommerce
  • Yoast SEO
  • Jetpack
  • Contact Form 7
  • Mailchimp for WordPress
  • WP Super Cache
  • WPML

Esses são apenas alguns dentre as dezenas de milhares de plugins existentes dentro da comunidade WordPress. Ainda assim, mesmo em se tratando dessas ferramentas extremamente populares e sempre bem atualizadas, não há ainda um suporte em particular para as regras do RGPD. A alternativa, para usuários desses sistemas, será ajustar a utilização e código para atender ao RGPD, ou simplesmente deixar de utilizar o plugin de maneira geral.

Aqui entra um problema: muitos websites DEPENDEM de plugins para manter suas funcionalidades mais básicas. Lojas online construídas sobre a plataforma do Woocommerce, por exemplo. Bem, chegaremos lá – mas primeiro, é preciso estabelecer algumas prioridades no que se relaciona a plugins, com vistas a aderir de forma tranquila e sem problemas ao RGPD.

RGPD – medidas em relação a plugins

Agora que as normas entram em vigor, em maio próximo, é preciso criar alguns passos para evitar problemas em seu website. Em relação a plugins, pode haver muito a ser feito. Contudo, alguns passos iniciais já poderão afastar uma empresa de possíveis problemas com usuários ou entidades reguladoras.

  1. Reduza o número de plugins. Alguns deles podem ser facilmente excluídos, mesmo por falta de uso. Outros possuem dezenas de funcionalidades, para que apenas uma delas seja de fato usada.
  2. Tente lidar com plugins completos, como o WooCommerce para lojas ou o WPML para traduções. Evite a utilização de 3 ou 4 plugins para realizar uma mesma coisa.
  3. Apenas instale plugins com origem discriminada e comprovável. Queremos dizer que plugins sem a assinatura de desenvolvedores capazes não oferecem suporte e responsabilidade, e portanto poderão criar brechas em sua situação de conformidade com o RGPD.
  4. Com o tempo, deverão surgir plugins declaradamente “compliant” com o RGPD ou GDPR. Quando a oportunidade apresentar-se, em alguns casos valerá a pena substituir plugins em uso por aqueles que cumpram com as disposições legais.
  5. Invista em segurança. Plugins podem ter problemas ou não conformidades, mas isso pode ser revertido por um bom trabalho de segurança da informação.
  6. Busque por soluções – formações e explicações em relação às disposições do RGPD são sempre úteis, mas apostilas ou apresentações em Powerpoint sozinhas não resolverão a situação de compliance de seu website.
  7. Ao nomear um encarregado pela privacidade de dados ou contratar profissionais de tecnologia, garanta que os mesmos estejam familiarizados não apenas com o RGPD, mas com todas plataformas que sua empresa utiliza, em WordPress, em plugins e também em outras plataformas, quando necessário.

RGPD – informações sensíveis

Muitos plugins lidam com informações sensíveis do usuário: dados pessoais que são informados em lojas, formulários de contacto que guardam mensagens e dados de usuários, plugins que utilizam cookies diversos para monitorar o comportamento do usuário. Tudo isso terá de ser informado ao usuário ANTES que o mesmo preencha seus dados ou abra informações. Em páginas documentais do RGPD, todos esses plugins terão de constar, assim como o modo com que colhem, processam e lidam com a informação.

Para cada plugin que é utilizado, é possível encontrar dados a respeito do respetivo desenvolvedor. Prefira utilizar plugins cujos desenvolvedores dispõem de forma completa e clara as documentações das aplicações que desenvolvem. Isso não apenas garante mais transparência, mas também facilitará o trabalho de pesquisa dos encarregados pela proteção de dados e também de programadores e informáticos que ajudarão sua empresa a criar soluções de acordo com a nova lei.

A MeuPPT, em parceria com outras empresas, está iniciando trabalhos no desenvolvimento de patches, complementos, aplicações e mesmo plugins que auxiliarão a comunidade a garantir que seus plugins mais essenciais estejam em cumprimento com as normas, além de agilizar e automatizar o trabalho que será necessário com a entrada das novas disposições. Em breve teremos novidades – portanto permaneça a acompanhar nossas publicações.