Documentação

O que é o RGPD e de que forma afeta a tua empresa?

Leonor Castanho

Leonor Castanho

Mar 10, 2022

dados pessoais e dados sensíveis, a prioridade do rgpd

Neste artigo

  • iconO que é o RGPD
  • iconO que implica o RGPD para o proprietário da informação
  • iconImpacto do RGPD no eCommerce
  • iconDe que forma o RGPD afeta as lojas online
  • iconDe que forma o RGPD afeta o marketing
  • iconDe que forma o RGPD afeta o serviço de apoio ao cliente de um eCommerce
  • iconConclusões
  • iconPerguntas frequentes de empresas de eCommerce sobre o RGPD 
  • O RGPG é um termo que afecta directamente qualquer empresa em Portugal que tenha acesso, de alguma forma, aos dados pessoais dos seus clientes ou potenciais clientes. Este regulamento visa salvaguardar os interesses dos cidadãos e residentes europeus (e os seus dados), bem como alcançar um dos principais objectivos da União Europeia: tornar-se num território plenamente integrado. Para tal, é essencial promover as ligações entre as empresas europeias. Isto é possível graças ao RGPD.

    Antes da promulgação do Regulamento (UE) 2016/679, não existia um único acto legislativo que vinculasse diretamente todos os Estados-Membros e organizações nacionais ou internacionais que tratassem dos dados pessoais dos cidadãos e residentes da UE.

    Mas antes de te dizermos o que é, ao certo, o RGPD e de que forma afecta os teus clientes, o teu negócio e os seus processos, vamos esclarecer, em primeiro lugar, o que se entende por "dados pessoais".

    Segundo o documento emitido pelo Parlamento Europeu e pelo Conselho Europeu, dados pessoais podem ser qualquer informação relacionada ou ligada a uma pessoa singular identificada ou identificável. Portanto, quase todas as informações sobre um utilizador são dados potencialmente pessoais: o endereço IP, o endereço de correio electrónico, o nome e apelido, e por aí além.

    Se clicaste neste artigo é porque, provavelmente, este é um assunto que te afecta e sobre o qual te interessa saber. Neste artigo, condensamos toda a informação sobre o RGPD para te ajudar a lidar ele e a aplicá-lo ao seu negócio.

    É importante notar que não somos peritos jurídicos e que este não é o documento original, mas um resumo e explicação do que é o RGPD e de que forma te afeta a ti e aos teus clientes. Para consultas jurídicas, deves contactar um perito ou consultar o documento oficial.

    O que é o RGPD

    O RGPD, ou Regulamento Geral de Protecção de Dados, tem como tema central a protecção das pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais e à livre circulação desses dados.

    A sua criação e implementação tem uma raison d'être muito simples. Até então, a União Europeia tinha promulgado a Directiva 95/46/CE, mas essa diretiva não era vinculativa por si só. Era da responsabilidade de cada Estado-Membro promulgar um Decreto com vista à implementação desta diretiva na sua própria legislação. Esta é a razão pela qual nem todos os Estados-Membros eram regidos por ela e porque é que a legislação mudava de um território para outro.

    A rápida evolução das novas tecnologias, a globalização e a integração económica e social são alguns dos principais motivos pelos quais esta falta de coesão entre as diferentes legislações dentro da UE estava a deixar as empresas, por outro lado, confusas quanto à forma de proceder e/ou, por outro, com uma grande vantagem sobre os dados pessoais dos cidadãos e residentes europeus.

    Com a entrada em vigor  deste Regulamento em 2018, foi criado um quadro jurídico único acerca da proteção de dados em toda a UE e fora dela uma vez que, mesmo as empresas que operam fora do território, terão de cumprir este Regulamento se os seus consumidores forem cidadãos ou residentes na UE.

    O âmbito e a aplicação do RGPD

    O RGPD é um regulamento obrigatório para todas as organizações que lidam com os dados pessoais dos cidadãos e residentes europeus. O seu alcance é, em suma, global e as sanções impostas pela UE têm valor internacional.

    violações rgpd 2018 a 2020 por países

    O que são dados sensíveis e de que forma se distinguem dos dados pessoais?

    Embora seja verdade que este documento reflecte a importância de proteger os dados pessoais, existe um caso específico em que os dados requerem uma atenção especial, Estamos a falar dos dados sensíveis, assim chamados devido à sua natureza e ao risco que representam para os direitos e liberdades fundamentais.

    Os dados abrangidos pela denominação "dados sensíveis" são: a origem racial ou étnica, as tendências políticas, a filiação sindical, a religião ou filosofia do sujeito, dados relacionados com a saúde, a vida sexual ou orientação sexual, bem como dados genéticos ou biométricos.

    Os dados sensíveis fazem parte dos dados pessoais. No entanto, a violação ou comprometimento de tais dados implica sanções ou multas mais elevadas, pelo que é importante ter um cuidado especial com eles.

    O que implica o RGPD para o proprietário da informação

    Este Regulamento, como é evidente, implica uma série de obrigações e direitos para aqueles a quem os dados pessoais dizem respeito.

    Em primeiro lugar, podem escolher se aceitam ou não a política de privacidade de uma loja online e permitir ou desactivar a utilização de cookies, completos ou essenciais.

    Por outro lado, os direitos dos teus clientes são os seguintes:

    1. Direito de acesso. Ao exercer este direito, o titular dos dados pode solicitar confirmação sobre se os seus dados pessoais estão ou não a ser tratados e saber para que fins estão a ser tratados, as categorias de dados pessoais, quem terá acesso aos seus dados, o período de armazenamento desses dados ou os critérios utilizados para os determinar, a possibilidade de rectificar ou apagar os seus dados pessoais ou de se opor ao seu tratamento, bem como o direito de apresentar uma reclamação, a origem dos dados pessoais (se não forem obtidos directamente junto dele) ou a existência de decisões automatizadas e o que estas implicam.
    2. Direito de rectificação. A pessoa em causa pode alterar os seus dados pessoais, quer por inexactidão, quer por incompletude.
    3. Direito de supressão, também conhecido como o direito a ser esquecido. Este é um dos direitos que tem gerado mais atenção. Com ele, o titular dos dados, neste caso o cliente, pode solicitar a eliminação dos seus dados pessoais quando estes já não forem necessários em para os fins para os quais foram concedidos, quando tenham sido tratados ilegalmente, quando estejam sujeitos a uma obrigação legal estabelecida pela lei da União ou de um dos seus Estados-Membros, entre outros casos que pode consultar no documento oficial completo.
    4. Direito à restrição. Este direito pode ser exercido quando uma das seguintes condições for preenchida: a pessoa em causa contesta a exactidão dos seus dados pessoais; o tratamento é ilegal, mas a pessoa em causa prefere a restrição ao apagamento; a pessoa em causa necessita destes dados para a formulação, exercício ou defesa de reclamações e não os pode apagar, mas não quer que sejam tratados, entre outros casos.
    5. Direito à portabilidade dos dados. De acordo com este artigo, a pessoa interessada obtém o direito de receber os seus dados pessoais num formato estruturado, comumente utilizado e legível por máquina, bem como o direito de os transmitir a outro responsável pelo tratamento de dados.
    6. Direito de objecção. Como o nome sugere, a pessoa a quem os dados pessoais dizem respeito pode opor-se ao seu tratamento. Ao exercer este direito, deves, portanto, cessar o tratamento dos dados pessoais, a menos que possa demonstrar motivos legítimos e irrefutáveis para o tratamento que se sobreponha aos interesses, direitos e liberdades da pessoa em causa, ou para a formulação, exercício ou defesa de reivindicações.
    7. O direito de não estar sujeito a uma decisão baseada unicamente no processamento automatizado.

    Vejamos agora de que forma estes direitos e obrigações afectam as lojas online.

    Impacto do RGPD no eCommerce

    Uma empresa digital é, de acordo com o RGPD, o processador dos dados pessoais dos seus clientes, pelo que é seu dever implementar "medidas técnicas e organizacionais adequadas" (pseudonimização, encriptação, minimização dos dados obtidos, etc.) de forma a assegurar  que os dados são processados em conformidade com o regulamento. 

    Uma das medidas mais relevantes para qualquer empresa online é a criação e a publicação de uma Política de Proteção de Dados ou Política de Privacidade. Em suma, a loja online tem de informar os utilizadores acerca dos dados que vai recolher, para que fins, quem terá acesso a eles e durante quanto tempo, e assim por diante.

    Quer sejas responsável pelo tratamento, encarregado do tratamento ou ambos, deves assegurar-te do cumprimento de todas as disposições do Regulamento (UE) 2016/679, ou que as partes responsáveis pelo processamento o cumprem. De acordo com esta disposição, só poderá partilhar os dados pessoais dos teus clientes com o seu consentimento expresso ou declarando a sua utilização legítima na Políticas de Privacidade.

    Se precisares de consentimento expresso, uma das formas mais populares de o conseguir é através da ativação de cookies. 

    É particularmente importante que, tanto a Política de Protecção de Dados como a Política de Cookies estejam em conformidade com os requisitos do RGPD. Entre outras coisas, deves tornar estes documentos tão concisas, transparentes e inteligíveis quanto possível. Isto aplica-se que ao texto quer ao formato, sendo aconselhável utilizar tabelas, ícones e figuras.

    Note-se que a pré-selecção para a aceitação de todos os cookies vai contra o Regulamento, que declara a necessidade  consentir, de forma ativa, afirmativa e granular (com a capacidade de escolher certas opções e optar por não aceitar outras). Para além dos formulários opt-in que autorizam o tratamento de dados pessoais, é igualmente importante criar formulários opt-out que permitam limitar, apagar, rectificar ou opor-se ao tratamento dos seus dados.

    É importante que este processo seja simples e que não prejudique a experiência do utilizador. Afinal, a última coisa que queremos é transformar a implementação e a aplicação de algo positivo numa crise de gestão e em má publicidade para onegócio. Se já tiveres estes sistemas em funcionamento, não te esqueças de informar os utilizadores. Nem todas as empresas online tomam todas as medidas necessárias para proteger os seus clientes, mesmo que tal seja obrigatório.

    os nomes e apelidos são regulados pelo rgpds

    Como mencionado, outra das tuas obrigações como responsável pelo tratamento de dados é manter um registo das atividades de tratamento. Isto deve incluir informações como o nome e os dados de contacto do responsável pelo tratamento, e se houver um controlador conjunto, processador, etc., para que serão utilizados os dados, quem terá acesso aos dados, durante quanto tempo ou que informações serão armazenadas ou de que forma os dados serão protegidos, entre outros. 

    Este registo deve estar disponível por escrito e, pelo menos, em formato digital. Estes registos podem ser solicitados pelas autoridades de controle de diferentes Estados-Membros, se for caso disso.

    No entanto, se a tua empresa for responsável por menos de 250 pessoas, não precisará de ter esse registo, a menos que o tratamento dos dados afecte os direitos das pessoas em causa, não seja ocasional, ou envolva certas categorias especiais de dados.

    Tanto o processador de dados como o controlador de dados devem dispor de sistemas de segurança para regular o tratamento dos dados. Entre outras tarefas, é importante pseudonimizar e cifrar estes dados, assegurar a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento, ser capaz de restaurar rapidamente a disponibilidade e o acesso aos dados pessoais, e verificar e avaliar regularmente a eficácia das medidas técnicas e organizacionais destinadas a garantir a segurança do processamento.

    Riscos como a possibilidade de destruição acidental ou ilegal, perda ou modificação de tais dados ou acesso não autorizado a tais dados são aspectos a ter particularmente em conta, uma vez que, como responsável pelo tratamento de dados, é sua tarefa garantir a sua segurança.

    Além disso, como responsável pelo tratamento dos dados, deves comunicar qualquer eventual violação da segurança dos dados à autoridade de controlo competente o mais rapidamente possível, de preferência no prazo de 72 horas. Juntamente com esta comunicação, deve ser fornecida uma série de informações, tais como os dados afetados, o número de pessoas abrangidas, as consequências, as medidas implementadas para evitar violações futuras, entre outros.

    Estas violações devem também ser comunicadas aos titulares dos dados, mais ou menos as mesmas condições. Contudo, de acordo com o Regulamento, esta comunicação deve utilizar uma linguagem clara e facilmente compreensível e incluir, no mínimo, as informações de contacto da pessoa para obter mais informações, as consequências da violação, bem como as medidas tomadas ou propostas para remediar a violação.

    A fim de evitar violações da segurança dos dados pessoais, o RGPD obriga a realizar uma avaliação ao impacto do tratamento de dados pessoais, quando o risco é susceptível de ser elevado, como é o caso das empresas online.

    Outra tarefa do responsável pelo tratamento e do processador é nomear um responsável pela protecção de dados se a empresa tiver uma grande quantidade de dados potencialmente em risco. O responsável pela protecção de dados é uma pessoa que deve assumir a responsabilidade profissional e legal pela conformidade com a RGPD.

    Finalmente, deves respeitar os direitos acima mencionados (direito de acesso, rectificação, apagamento, limitação, portabilidade, oposição e o direito de não utilizar os seus dados de forma automatizada).

    Multas, sanções e infrações do RGPD

    A UE teve em conta as diferentes dimensões das empresas que tratam dados pessoais, razão pela qual existem dois tipos de sanções e três tipos diferentes de infracção.

    Tanto pode ser cobrada uma porcentagem do volume de negócios anual da empresa como um um valor financeiro específico.

    Dependendo da gravidade da infração, podem ser cobrados até 10 milhões de euros ou 2% do volume de negócios, no caso de infracções menores, ou até 20 milhões de euros ou 4%, no caso de infracções graves ou muito graves. O montante ou a percentagem mais elevada será sempre escolhida.

    E o que é que constitui uma infracção menor, uma infracção grave e uma infracção muito grave? Esta é uma questão deixada ao critério de cada Estado Membro. Alguns dos fatores a ter em conta para medir a gravidade da violação são a existência, ou não, de medidas para a segurança do processamento de dados, se a violação foi acidental ou voluntária por qualquer das partes envolvidas, a natureza dos dados pessoais que foram colocados em risco, a finalidade que a ação pretendia atingir, entre outros.

    A nossa recomendação é implementar todas as medidas possíveis para salvaguardar o tratamento de dados pessoais para não enfrentar multas ou sanções de qualquer tipo.

    Privacidade por concepção, protecção de dados por defeito

    O RGPD veio mudar a forma como as empresas que lidam com dados pessoais interagem com eles.

    Antes da entrada em vigor deste regulamento, a norma era a criação de políticas de privacidade difíceis de compreender e por vezes ambíguas. As ocasiões em que os utilizadores sabiam exatamente o que acontecia aos seus dados eram raras.

    Foi por isso que, a partir de 25 de Maio de 2018, se colocou o foco na proteção do utilizador. Aplicar a mesma legislação a todas as organizações significa que mais paridade também para as empresas, sem diferenciação entre empresas da UE e as de fora da UE. 

    Agora que já conheces o impacto geral do RGPD no teu negócio, vamos ver como é que ele afecta os teus processos.

    De que forma o RGPD afeta as lojas online

    Uma das disposições do RGPD é a utilização lícita dos dados pessoais. No caso de dados essenciais para prestar do serviço, não é necessário pedir o consentimento dos utilizadores. Isto aplica-se, por exemplo, ao processamento de encomendas e ao seu pagamento, uma vez que são necessários dados do cliente, tais como o endereço electrónico, a morada, e a informação bancária, para que a encomenda possa ser processada. 

    Em muitos casos, informação tão básica como o endereço IP dos utilizadores pode ser vital para fornecer uma aproximação precisa dos portes de envio, por exemplo, ou para os encaminhar para a loja online apropriada para a área geográfica onde se encontram, se tiveres várias lojas online configuradas para diferentes países.

    Neste ponto do processo de venda, entram em jogo outras empresas, como as transportadoras. É importante que o eCommerce se certifique que as empresas de transporte cumprem o RGPD porque, em caso de violação do regulamento, é ele  que terá de enfrentar os clientes.

    Solicitar dados sem um motivo legítimo pode ser considerado uma violação do RGPD e o teu negócio pode ser penalizado pois. Dados injustificados podem ser, por exemplo, a data de nascimento, o género, ou outras informações que não sejam essenciais para o processamento, pagamento, entrega ou devolução da encomenda.

    Se tens uma loja online, é provável que utilizes uma plataforma CMS para a sua gestão. É possível que estes serviços armazenem dados pessoais sobre os teus clientes, visitantes e outros utilizadores, pelo que deves verificar se o CMS que utilizas age em conformidade com a RGPD. 

    De que forma o RGPD afeta o marketing

    O Marketing é uma das áreas mais afectadas pelo RGPD. Isto deve-se, em parte, ao abuso de privilégios que existiam antes da imposição deste regulamento. O envio de emails ou SMS em massa para fins publicitários, ou a personalização da publicidade são alguns exemplos de ações que, embora não sejam proibidas, podem ser limitadas se o utilizador assim o desejar.

    Isto não afeta as notificações via emails para o acompanhamento das encomendas que podem ser enviadas a quem faz compras em lojas online, uma vez que estes são considerados emails essenciais e que, nesse caso, a utilização de dados pessoais é aceitável. Portanto, se tens uma loja online, não só podes como deves enviar email de tracking, de preferência  personalizados à imagem da tua marca. Com a Outvio é possível automatizar o envio de emails de seguimento das encomendas aos clientes, bem como a criação de um portal de tracking personalizado com a tua marca e que podes utilizar para promover outros produtos e aumentar a taxa de compra repetida.

    Em suma, o utilizador pode escolher se ou como os seus dados pessoais são processados para fins de marketing. Além disso, como responsável pelo tratamento de dados, se os clientes concordarem com o tratamento dos seus dados, deverás informá-los que têm os seguintes direitos:

    • Saber motivo pelo qual os contacta, quando se trata de marketing por email ou via contacto telefónico;
    • A possibilidade de deixar de ser contactado e de solicitar que os seus dados sejam apagados ou modificados;
    • Solicitar uma cópia dos seus dados pessoais;
    • Saber quem mantém o registo das mensagens que recebem, que informações são armazenadas e onde, entre outros.

    Por outro lado, é importante considerar a forma como o RGPD afeta as ferramentas de marketing de terceiros que utilizas (e.g.: Ferramentas analíticas, ferramentas de email marketing, entre outros). O mundo do eCommerce é um ecossistema no qual tudo se encontra ligado, por isso é preciso lembrar que o responsável pelos recolhidos é a loja online com a qual o proprietário dos dados assina o contrato. 

    De que forma o RGPD afeta o serviço de apoio ao cliente de um eCommerce

    Para o bom funcionamento do departamento de serviço de apoio ao cliente, existem uma série de dados que são essenciais. 

    Se utilizas ferramentas online de terceiros para armazenar dados pessoais de clientes, é importante verificar se as suas políticas de privacidade estão em conformidade com o RGPD.

    Para além do aspeto digital, recomendamos oferecer um curso básico aos funcionários sobre o RGPD e o impacto que pode ter na forma como desempenham as suas funções. Afinal de contas, conforme diz o Regulamento, o erro humano também é punível. A sensibilização dos empregados para a lei pode impedir que a empresa seja penalizada no futuro.

    Além disso, é importante lembrar que o RGPD se destina a proteger os dados pessoais holisticamente, e não apenas online. Por isso, há que tomar precauções para salvaguardar os dados pessoais armazenados, processados ou partilhados também na sua forma física.

    Conclusões

    Em suma, o RGPD impede que as lojas online, e não só, tirem partido da falta de legislação clara sobre a proteção de dados pessoais para se apropriarem e utilizarem indevidamente os dados dos utilizadores.

    Com a implementação do RGPD, a UE consegue criar um único acto legislativo para todos os cidadãos e residentes e que afecta todas as organizações que têm acesso a dados pessoais.

    As lojas online são responsáveis pelo processamento dos dados pessoais dos seus clientes, visitantes do website e outros.

    Cumprir o RGPD é uma obrigação, mas a correta implementação de medidas com o intuito de tornar o processamento de dados pessoais mais seguro não deixa de ser fundamental para reforçar a importância de salvaguardar os interesses dos clientes ou potenciais clientes.

    Partilhar, com o sujeito dos dados que recolhidos, informação sobre a sua utilização e armazenamento é essencial se quiseres evitar enfrentar sanções no futuro.

    Esperamos que este guia tenha ajudado a esclarecer o que é o RGPD, de que forma afecta as lojas online, e algumas das medidas que devem ser implementadas para assegurar o tratamento correto dos dados pessoais que o teu eCommerce armazena, gere, partilha ou modifica.

    Lembra-te que o RGPD deve ser tido em conta em todas as actividades que afectam, ou se relacionam, com o processamento de dados pessoais. 

    Perguntas frequentes de empresas de eCommerce sobre o RGPD 

    O que significam as siglas RGPD?

    As siglas RGPD significam Regulamento Geral de Proteção de Dados.

    Quem é obrigado a cumprir o GDPR?

    O RGPD é obrigatório em todos os estados membros da União Europeia e aplica-se a entidades comerciais, administrações e organismos públicos, associações, trabalhadores independentes, comunidades de bens, associações de residentes e organizações sem fins lucrativos.